本申請實施例提供一種文件信譽鑒定方法、裝置及系統，涉及網絡安全技術領域。該方法包括接收安全檢測設備發送的至少一個無法確定是否為惡意文件的樣本文件HASH值的鑒定請求；對所述鑒定請求進行處理，以獲得鑒定結果，并將所述鑒定結果發送至所述安全檢測設備；接收所述安全檢測設備返回的所述鑒定結果中的待詳細鑒定樣本并生成樣本鑒定任務和對應的鑒定任務序號；發送所述鑒定任務序號至所述安全檢測設備，以使所述安全檢測設備根據所述鑒定任務序號查詢鑒定結果和鑒定詳情信息，利用云端樣本鑒定服務器實現云地聯動，達到查漏補缺的全面且快速鑒定的目的，解決了現有方法存在樣本鑒定能力不足且鑒定效率低的問題。

技術領域

本申請涉及網絡安全技術領域，具體而言，涉及一種文件信譽鑒定方法、裝置及系統。

背景技術

安全檢測設備旁路部署于用戶網絡處，通過監聽網絡報文數據，發現安全事件并及時報警。但是由于鑒定樣本文件的過程中需要消耗大量處理器資源，且耗時較長，此外，受限于設備本身處理資源的限制，不可能采用較復雜技術，因此，存在樣本鑒定能力不足且鑒定效率低的問題。

發明內容

本申請實施例的目的在于提供一種文件信譽鑒定方法、裝置及系統，利用云端樣本鑒定服務器實現云地聯動，達到查漏補缺的全面且快速鑒定的目的，解決了現有方法存在樣本鑒定能力不足且鑒定效率低的問題。

本申請實施例提供了一種文件信譽鑒定方法，應用于樣本鑒定服務器，所述方法包括：

接收安全檢測設備發送的至少一個無法確定是否為惡意文件的樣本文件HASH值的鑒定請求；

對所述鑒定請求進行處理，以獲得鑒定結果，并將所述鑒定結果發送至所述安全檢測設備；

接收所述安全檢測設備返回的所述鑒定結果中的待詳細鑒定樣本并生成樣本鑒定任務和對應的鑒定任務序號；

發送所述鑒定任務序號至所述安全檢測設備，以使所述安全檢測設備根據所述鑒定任務序號查詢鑒定結果和鑒定詳情信息。

在上述實現過程中，通過樣本鑒定服務器與安全檢測設備通信連接，實現云地聯動，樣本鑒定服務器提供快速鑒定和異步查詢鑒定結果服務，既彌補了安全檢測設備樣本鑒定能力不足的問題，又達到了查漏補缺、全面檢測的目的，解決了現有方法存在樣本鑒定能力不足且鑒定效率低的問題。

進一步地，在所述接收安全檢測設備發送的鑒定請求的步驟之前，所述方法還包括：

接收安全檢測設備發送的認證請求，以對所述安全檢測設備進行認證；

根據存儲的認證數據對所述安全檢測設備進行認證；

發送認證成功標識、認證憑證、文件信譽列表和采樣配置文件至所述安全檢測設備，以使所述安全檢測設備根據文件信譽列表HASH值和還原文件HASH值確定是否為惡意文件。

在上述實現過程中，在認證成功后，安全檢測設備接收并加載文件信譽列表和采樣配置文件，通過采樣配置文件中的采樣比例對文件進行還原，并計算還原文件HASH值，以通過文件信譽列表HASH值和還原文件HASH值的比對進行惡意文件的初步判定。

進一步地，所述對所述鑒定請求進行處理，以獲得鑒定結果，包括：

根據所述樣本文件HASH值進行靜態檢索，并以黑、白、灰進行標記。

在上述實現過程中，樣本鑒定服務器通過靜態檢索，確定樣本文件HASH值的鑒定結果，并以黑、白、灰進行標記，其中，黑色表示惡意樣本，白色表示正常樣本，灰色為不確定樣本。

進一步地，所述發送所述鑒定任務序號至所述安全檢測設備，以使所述安全檢測設備根據所述鑒定任務序號查詢鑒定結果和鑒定詳情信息，包括：

接收所述安全檢測設備發送的查詢鑒定結果請求，所述查詢鑒定結果請求包括所述鑒定任務序號；