技術領域

本發明屬于信息安全技術領域，尤其涉及一種文件識別方法、裝置及服務器。

背景技術

在當前的云查殺技術中，當客戶端在用戶機器上掃描出未知或者行為可疑的文件且服務器的文件信息庫中不存在該文件的狀態信息時，則由客戶端將該文件進行上報，服務器的虛擬化數據中心（Virtual?Data?Center，VDC）系統根據該文件的內容或者程序行為等一系列鑒定邏輯判斷該文件的屬性為黑文件（病毒文件）或者白文件（安全文件）。服務器在將判斷結果返回給客戶端的同時，還將判斷結果記錄在文件信息庫中，以使得此后能夠直接向查詢該文件屬性的客戶端返回該文件的屬性。

然而，服務器在對未知或者行為可疑的文件進行判斷時，只能針對每個文件進行單獨的分析與判斷，在判斷過程中沒有考慮到一個文件與其他文件之間的父子關系或者依賴關系。例如，一個新的病毒母體文件A.exe在運行過程中會在某目錄中釋放兩個病毒子體文件B.exe和B.dll，其中，B.dll為具有危害行為的病毒模塊，而B.exe本身并沒有實質的危害行為，其只負責在系統啟動后運行并加載B.dll。上述三個病毒文件在被客戶端捕獲并上報給服務器后，服務器無法獲知這三個病毒文件之間的關系，使得B.exe有極大可能被鑒定為安全的白文件，降低了服務器對文件的識別準確率。

發明內容

本發明實施例的目的在于提供一種文件識別方法，旨在解決現有技術中服務器對客戶端上報的文件識別準確率低的問題。

本發明實施例是這樣實現的，一種文件識別方法，包括：

根據客戶端上報的掃描結果建立數據庫，所述數據庫中記錄了從所述掃描結果中提取的每個所述客戶端的全球唯一標識符GUID及其上報的被掃描文件的校驗碼；

根據所述被掃描文件的校驗碼，分別在所述數據庫中查詢每個所述被掃描文件的上報客戶端的GUID；

根據查詢出的每個所述被掃描文件的上報客戶端的GUID，分別獲取第一所述被掃描文件與每個第二所述被掃描文件之間的共存率；

根據所述共存率高于預設閾值的第二所述被掃描文件的屬性，確定第一所述被掃描文件的屬性。

本發明實施例的另一目的在于提供一種文件識別裝置，包括：

數據庫建立單元，用于根據客戶端上報的掃描結果建立數據庫，所述數據庫中記錄了從所述掃描結果中提取的每個所述客戶端的全球唯一標識符GUID及其上報的被掃描文件的校驗碼；

查詢單元，用于根據所述被掃描文件的校驗碼，分別在所述數據庫中查詢每個所述被掃描文件的上報客戶端的GUID；

獲取單元，用于根據查詢出的每個所述被掃描文件的上報客戶端的GUID，分別獲取第一所述被掃描文件與每個第二所述被掃描文件之間的共存率；

確定單元，用于根據所述共存率高于預設閾值的第二所述被掃描文件的屬性，確定第一所述被掃描文件的屬性。

本發明實施例的另一目的在于提供一種服務器，所述服務器包括如上所述的文件識別裝置。

本發明實施例在由服務器對客戶端上報的未知或者行為可疑的被掃描文件進行識別時，通過考察被掃描文件與其他文件共存于一臺機器上的情況，根據共存率最高的文件的屬性來確定被掃描文件的屬性，進一步提高了服務器對被掃描文件識別的準確性，加強了對客戶端的信息安全保障。

附圖說明

圖1是本發明實施例提供的文件識別方法的實現流程圖；

圖2是本發明實施例提供的文件識別方法步驟S101的具體實現流程圖；

圖3是本發明實施例提供的文件識別方法步驟S101數據庫建立的原理示意圖；

圖4是本發明實施例提供的文件識別方法步驟S103的具體實現流程圖；

圖5是本發明實施例提供的文件識別裝置的結構框圖。

具體實施方式

為了使本發明的目的、技術方案及優點更加清楚明白，以下結合附圖及實施例，對本發明進行進一步詳細說明。應當理解，此處所描述的具體實施例僅僅用以解釋本發明，并不用于限定本發明。

本發明實施例在由服務器對客戶端上報的未知或者行為可疑的被掃描文件進行識別時，通過考察被掃描文件與其他文件共存于一臺機器上的情況，根據共存率最高的文件的屬性來確定被掃描文件的屬性，進一步提高了服務器對被掃描文件識別的準確性，加強了對客戶端的信息安全保障。

圖1示出了本發明實施例提供的文件識別方法的實現流程，詳述如下：