技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，具體涉及一種文件掃描系統(tǒng)。

背景技術(shù)

惡意程序是一個概括性的術(shù)語，指任何故意創(chuàng)建用來執(zhí)行未經(jīng)授權(quán)并通常是有害行為的軟件程序。計算機病毒、后門程序、鍵盤記錄器、密碼盜取者、Word和Excel宏病毒、引導(dǎo)區(qū)病毒、腳本病毒(batch，windows?shell，java等)、木馬、犯罪軟件、間諜軟件和廣告軟件等等，都是一些可以稱之為惡意程序的例子。

為了防止惡意程序?qū)τ嬎銠C的攻擊，一般都需要在計算機上安裝殺毒軟件對系統(tǒng)中的文件進行掃描，以鑒別出惡意程序并進行查殺。

為了快速地識別和查殺惡意程序，同時為了減輕客戶端的資源消耗，目前的安全防護軟件越來越多地使用云安全技術(shù)。云安全技術(shù)即把客戶端的文件傳給服務(wù)器端，在服務(wù)器端中存儲了大量樣本文件，服務(wù)器端通過將客戶端上傳的文件與其存儲的樣本文件進行比對，從而對客戶端文件的安全性做出判定，然后客戶端安全軟件根據(jù)服務(wù)器端傳回的信息對惡意程序進行報告和處理。

由于惡意程序的種類和數(shù)量不斷地增加，服務(wù)器端中的樣本文件也要不斷地更新，因此客戶端每天需要將數(shù)以萬計的樣本文件上傳到服務(wù)器端，云安全中心利用定期升級的第三方殺毒軟件(即除云安全中心之外的其他殺毒軟件)每天對全部的樣本文件進行掃描，以鑒別出其中的可疑樣本文件。但是，第三方殺毒軟件的掃描能力是有限的，隨著樣本文件數(shù)量的增多，這種方式顯然會降低文件掃描效率。

發(fā)明內(nèi)容

鑒于上述問題，提出了本發(fā)明以便提供一種克服上述問題或者至少部分地解決上述問題的文件掃描系統(tǒng)。

依據(jù)本發(fā)明，提供了一種文件掃描系統(tǒng)，包括：客戶端和服務(wù)器端，

其中，

客戶端包括：

文件上傳模塊，適于將樣本文件上傳至存儲服務(wù)器中；

服務(wù)器端包括：存儲服務(wù)器、文件下載服務(wù)器和掃描服務(wù)器，

所述存儲服務(wù)器包括：

數(shù)據(jù)庫，適于存儲所述文件上傳模塊上傳的樣本文件；

所述文件下載服務(wù)器包括：

文件下載模塊，適于從所述數(shù)據(jù)庫中下載樣本文件并傳輸至掃描服務(wù)器中；

所述掃描服務(wù)器包括文件掃描裝置，該文件掃描裝置包括：

概率計算模塊，適于針對待掃描樣本文件，分別計算每個待掃描樣本文件被鑒別為可疑的概率；

排序模塊，適于對所述待掃描樣本文件按照其被鑒別為可疑的概率進行排序；

抽取模塊，適于獲取掃描文件的個數(shù)K，從排序后的待掃描樣本文件中抽取可疑概率高的K個待掃描樣本文件，K為正整數(shù)；

掃描模塊，適于對所述K個待掃描樣本文件進行掃描，鑒別出其中的可疑樣本文件。

本發(fā)明實施例中，該文件掃描裝置還包括：

等級檢測模塊，適于在概率計算模塊分別計算每個待掃描樣本文件被鑒別為可疑的概率之前，檢測全部樣本文件的等級，所述樣本文件的等級包括安全等級、未知等級、可疑/高度可疑等級、以及惡意等級；

獲取模塊，適于獲取未知等級的樣本文件，將獲取到的未知等級的樣本文件作為待掃描樣本文件。

本發(fā)明實施例中，排序模塊按照待掃描樣本文件被鑒別為可疑的概率從大到小進行排序；

所述K個待掃描樣本文件為排序后的待掃描樣本文件中的前K個待掃描樣本文件。

本發(fā)明實施例中，概率計算模塊包括：

時間點獲取子模塊，適于針對每個待掃描樣本文件，獲取該待掃描樣本文件對應(yīng)的本次掃描的時間點n₂以及上次掃描的時間點n₁；

概率計算子模塊，適于計算從時間點n₁開始到時間點n₂為止，所述待掃描樣本文件在本次掃描中被鑒別為可疑的概率Pr(N≥n₁，N≤n₂|α，β)：

Pr(N≥n₁，N≤n₂|α，β)＝Pr(N≥n₁|α，β)-Pr(N≥n₂+1|α，β)；

其中，參數(shù)α和β為通過對待掃描樣本文件數(shù)據(jù)進行最大似然估計得到的參數(shù)。

本發(fā)明實施例中，該文件掃描裝置還包括：

建立模塊，適于在概率計算模塊分別計算每個待掃描樣本文件被鑒別為可疑的概率之前，為每個待掃描樣本文件建立一個信息庫，所述信息庫中包括該待掃描樣本文件對應(yīng)的上次掃描的時間點n₁。