CN103034805B - 多引擎病毒查杀方法和装置 - Google Patents
多引擎病毒查杀方法和装置 Download PDFInfo
- Publication number
- CN103034805B CN103034805B CN201110292865.6A CN201110292865A CN103034805B CN 103034805 B CN103034805 B CN 103034805B CN 201110292865 A CN201110292865 A CN 201110292865A CN 103034805 B CN103034805 B CN 103034805B
- Authority
- CN
- China
- Prior art keywords
- killing
- scanned
- engine
- file
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/568—Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/564—Static detection by virus signature recognition
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Measuring Or Testing Involving Enzymes Or Micro-Organisms (AREA)
- Computer And Data Communications (AREA)
- Test And Diagnosis Of Digital Computers (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Investigating Or Analysing Biological Materials (AREA)
- Multi Processors (AREA)
Abstract
本发明实施例公开了一种多引擎病毒查杀方法和装置,通过应用本发明实施例的技术方案,可以将应用单元请求扫描的待扫描文件分别发送给多个查杀引擎进行扫描,并将各查杀引擎返回的扫描信息进行综合处理,确定该文件的扫描结果,反馈给应用单元,从而,使病毒查杀过程支持多引擎查杀,并可以根据具体的策略对多个查杀引擎的扫描结果进行综合,充分利用不同查杀引擎的特点,对各应用单元的病毒查杀需求进行支持,提高病毒查杀的准确性和系统的安全性。
Description
技术领域
本发明涉及通信技术领域,特别涉及一种多引擎病毒查杀方法和装置。
背景技术
随着信息化社会的发展,计算机和网络在现代社会中发挥了越来越大的作用。而计算机病毒的肆虐,造成了计算机资源的损失和破坏,不但会造成资源和财富的巨大浪费,而且有可能造成社会性的灾难。
计算机病毒是指“编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。计算机病毒具有寄生性、传染性、隐蔽性、破坏性、多样性等特点。病毒可以分类为蠕虫病毒、木马、脚本病毒等。
为了有效的检测的杀死病毒,许多计算机安全厂商推出了反病毒软件。在反病毒软件中,最核心的部分是反病毒引擎。反病毒引擎的开发是一项技术门槛高、开发周期长、维护成本高的专业技术。
在现有的技术方案中,反病毒引擎是整个反病毒软件和各种反病毒应用的核心。如图1所示,为现有技术中反病毒引擎的应用场景示意图,反病毒引擎包括文件解析模块、病毒扫描模块和特征码装载模块,相应的处理过程包括:
反病毒引擎接收应用模块的输入(即扫描文件的路径)。
之后,文件解析模块包括催扫描文件类型的检测以及一些预处理,例如,对于压缩包,文件解析模块会对压缩包进行解压;对于加壳的文件,文件解析模块会对文件进行脱壳。
在完成文件的解析后,文件解析模块将文件信息发送给病毒扫描模块。病毒扫描模块加载特征码装载模块,利用病毒特征码来扫描解析后的文件,判断是否与病毒特征库的病毒特征信息相匹配。
最后,将扫描得到的文件信息发送回应用模块。
目前,常用的病毒特征有特征代码法、校验和法、行为检测法和软件模拟法等。
随着反病毒技术的发展,出现了云查杀技术。首先,云计算是并行计算、分布式计算和网格计算的发展,是虚拟化、IaaS(InfrastructureasaService,基础设施即服务)、PaaS(PlatformasaService,平台即服务)等概念混合演进的结果。通俗的讲,云计算是有云计算服务提供商来搭建云计算存储和运算中心,用户通过网络来访问“云”,将“云”作为数据存储和应用服务的中心。而云查杀则是云计算技术在反病毒中的应用。在云查杀中,不需要客户端保留病毒特征库,病毒特征信息保存在云端。在扫描的过程中,客户端提取扫描文件的特征,将该特征发送到云端。云端根据服务器上的病毒特征库对特征进行匹配。最后,将结果发送回客户端。
在实现本发明实施例的过程中,申请人发现现有技术至少存在以下问题:
由于利益的诱惑,目前的病毒数量大、变化快,技术也日益提高,因此,单一的病毒引擎很难完全覆盖所有的病毒,这就导致目前的安全类辅助软件中,通常采用多引擎的设计方案。
但是,在多反病毒引擎的设计中,如何能够支持多引擎的查杀,实现一种灵活的引擎调度策略,并对不同的应用提供充分的支持,现有技术还没有提出合适的解决方案。
发明内容
本发明实施例提供一种多引擎病毒查杀方法和装置,解决在现有技术中不能充分利用多个查杀引擎进行有效地病毒查杀的问题。
为达到上述目的,本发明实施例一方面提供了一种多引擎病毒查杀方法,应用于包括多个查杀引擎的系统中,所述方法具体包括:
病毒查杀设备接收应用单元上报的对待扫描文件进行扫描的请求消息;
所述病毒查杀设备将所述待扫描文件的信息分别发送给所述多个查杀引擎,以使所述多个查杀引擎分别对所述待扫描文件进行扫描;
所述病毒查杀设备分别接收所述多个查杀引擎返回的扫描信息;
所述病毒查杀设备根据所述待扫描文件的信息,和/或所述查杀引擎所对应的优先级信息,和/或本地安全策略,确定各查杀引擎与所述待扫描文件相对应的参考级别;
所述病毒查杀设备根据相应的参考级别和各查杀引擎返回的扫描信息,对各查杀引擎返回的扫描信息进行综合,确定所述待扫描文件的扫描结果;
其中,所述病毒查杀设备根据所述待扫描文件的信息确定各查杀引擎与所述待扫描文件相对应的参考级别,包括:
根据所述待扫描文件的类型信息,将具有与所述类型信息相对应的明显查杀特征的查杀引擎的参考级别提高;
所述病毒查杀设备根据所述查杀引擎所对应的优先级信息确定各查杀引擎与所述待扫描文件相对应的参考级别,包括:
将病毒库更新日期最新的查杀引擎的参考级别提高;
所述病毒查杀设备根据本地安全策略确定各查杀引擎与所述待扫描文件相对应的参考级别,包括:
对于本地安全级别为第一安全要求的本地系统,将安全级别高于所述本地安全级别的查杀引擎的参考级别提高;
对于所述本地安全级别为第二安全要求的本地系统,将安全级别高于所述本地安全级别的查杀引擎的参考级别降低,所述第一安全要求高于所述第二安全要求。
另一方面,本发明实施例还提供了一种病毒查杀设备,应用于包括多个查杀引擎的系统中,所述病毒查杀设备分别与多个查杀引擎相连接,所述病毒查杀设备具体包括:
通信模块,用于接收应用单元上报的对待扫描文件进行扫描的请求消息,并将所述待扫描文件的扫描结果发送给所述应用单元;
管理模块,用于将所述通信模块所接收到的请求消息所对应的待扫描文件的信息分别发送给所述多个查杀引擎,以使所述多个查杀引擎分别对所述待扫描文件进行扫描,并分别接收所述多个查杀引擎返回的扫描信息;
处理模块,用于根据所述待扫描文件的信息,和/或查杀引擎所对应的优先级信息,和/或本地安全策略,确定各查杀引擎与所述待扫描文件相对应的参考级别;根据相应的参考级别和所述管理模块所接收到的多个查杀引擎返回的扫描信息,对各查杀引擎返回的扫描信息进行综合,确定所述待扫描文件的扫描结果;将所述待扫描文件的扫描结果发送给所述通信模块;
所述处理模块在根据所述待扫描文件的信息确定各查杀引擎与所述待扫描文件相对应的参考级别时,具体用于根据所述待扫描文件的类型信息,将具有与所述类型信息相对应的明显查杀特征的查杀引擎的参考级别提高;
所述处理模块在根据所述查杀引擎所对应的优先级信息确定各查杀引擎与所述待扫描文件相对应的参考级别时,具体用于将病毒库更新日期最新的查杀引擎的参考级别提高;
所述处理模块在根据本地安全策略确定各查杀引擎与所述待扫描文件相对应的参考级别时,具体用于对于本地安全级别为第一安全要求的本地系统,将安全级别高于所述本地安全级别的查杀引擎的参考级别提高;对于所述本地安全级别为第二安全要求的本地系统,将安全级别高于所述本地安全级别的查杀引擎的参考级别降低。
与现有技术相比,本发明实施例具有以下优点:
通过应用本发明实施例的技术方案,可以将应用单元请求扫描的待扫描文件分别发送给多个查杀引擎进行扫描,并将各查杀引擎返回的扫描信息进行综合处理,确定该文件的扫描结果,反馈给应用单元,从而,使病毒查杀过程支持多引擎查杀,并可以根据具体的策略对多个查杀引擎的扫描结果进行综合,充分利用不同查杀引擎的特点,对各应用单元的病毒查杀需求进行支持,提高病毒查杀的准确性和系统的安全性。
附图说明
图1为现有技术中反病毒引擎的应用场景示意图;
图2为本发明实施例提出的一种多引擎病毒查杀方法的流程示意图;
图3为本发明实施例提出的一种具体应用场景的系统结构示意图;
图4为本发明实施例提出的一种病毒查杀设备的结构示意图。
具体实施方式
在现有的技术方案中,病毒查杀多是通过单独的查杀引擎来实现,即使采用了多查杀引擎,相应的对于多个查杀引擎的调度策略和管理策略也并不完善,而且,在存在多个查杀引擎的情况下,也不能充分利用各查杀引擎的特点进行结果处理,无法充分利用多查杀引擎实现更好的安全策略和更有效的病毒查杀。
为了克服这样的缺陷,本发明实施例提出了一种多引擎病毒查杀方法,充分利用多查杀引擎的不同特点,提高病毒查杀的准确性和系统的安全性。
如图2所示,为本发明实施例提出的一种多引擎病毒查杀方法的流程示意图,应用于包括多个查杀引擎的系统中,该方法具体包括以下步骤:
步骤S201、病毒查杀设备接收应用单元上报的对待扫描文件进行扫描的请求消息。
步骤S202、病毒查杀设备将待扫描文件的信息分别发送给多个查杀引擎,以使多个查杀引擎分别对待扫描文件进行扫描。
在实际的应用场景中,本步骤的处理过程具体包括以下处理流程:
首先,病毒查杀设备解析接收到的对待扫描文件进行扫描的请求消息,确定待扫描文件的信息。
然后,病毒查杀设备根据解析结果,将待扫描文件的信息添加到扫描文件队列,并按照扫描文件队列的顺序,分别将待扫描文件的信息发送给多个查杀引擎,以使多个查杀引擎分别对待扫描文件进行扫描。
需要进一步指出的是,在病毒查杀设备分别将待扫描文件发送给多个查杀引擎之前,本步骤的处理过程还可以包括对待扫描文件进行预处理。
在实际的应用场景中,这样的预处理一方面包括文件类型的识别,而在文件类型识别完成后,针对不同类型的文件还可以进一步包括不同的处理内容,例如,对于压缩包,需要对压缩包进行解压;对于加壳的文件,则需要对文件进行脱壳。
通过这样的预处理操作,可以方便后续的扫描操作,提高文件扫描和病毒查杀的效率。
步骤S203、病毒查杀设备分别接收多个查杀引擎返回的扫描信息。
步骤S204、病毒查杀设备综合多个查杀引擎返回的扫描信息,确定待扫描文件的扫描结果,并将待扫描文件的扫描结果发送给应用单元。
本步骤处理过程的目的在于充分利用各病毒查杀引擎的特点,对多个查杀引擎所返回的相应的文件扫描信息应用具体的策略,从而,对待扫描文件生成更加准确的扫描结果。
本步骤的具体处理过程包括以下两个方面:
(1)确定策略。
具体的策略确定过程主要是病毒查杀设备根据待扫描文件的信息,和/或查杀引擎所对应的优先级信息,和/或本地安全策略,确定各查杀引擎与待扫描文件相对应的参考级别。
这里的参考级别决定了各查杀引擎所返回的扫描信息对于最后的扫描结果的重要性,参考级别越高的查杀引擎所返回的扫描信息的参考价值越高,其对于最后的扫描结果的影响就越大。
在具体的应用场景中,可以根据具体的需要,决定所采用的策略确定方案,主要的方案包括以下几种:
方案一、根据待扫描文件的信息确定各查杀引擎与待扫描文件相对应的参考级别。
这样的方案的关键点在于待扫描文件的信息内容,例如:
可以根据待扫描文件的类型信息进行区分,如果待扫描文件的类型是视频文件,则提高视频查杀特征比较明显的查杀引擎与该待扫描文件相对应的参考级别,如果待扫描文件的类型是可执行文件,则提高程序查杀特征比较明显与该待扫描文件相对应的查杀引擎的参考级别,同样的,对于文档文件,图片文件等其他的文件类型,均可以将具有相对应的明显查杀特征的查杀引擎的参考级别提高。在应用上述的策略的过程中,具体可以参考针对不同类型的木马或者病毒,不同引擎的查杀率和误报率来设置上述的参考级别。
可以根据待扫描文件的位置信息进行区分,如果待扫描文件是位于系统磁盘中的重点文件夹的文件,则提高系统文件查杀特征比较明显的查杀引擎与该待扫描文件相对应的参考级别,如果待扫描文件是本地普通磁盘中的一般文件,则提高常规文件查杀特征比较明显的查杀引擎与该待扫描文件相对应的参考级别。
除此之外,待扫描文件的大小、生成时间等信息同样也可以作为确定查杀引擎参考级别的因素,具体根据哪种信息或者哪几种信息确定查杀引擎的参考级别可以根据实际需要进行确定,这样的变化并不影响本发明的保护范围。
方案二、根据查杀引擎所对应的优先级信息确定各查杀引擎与待扫描文件相对应的参考级别。
这主要取决于对于查杀引擎准确性等因素的考虑,例如,可以将病毒库信息数量更高的查杀引擎的参考级别提高,也可以将病毒库更新日期最新的查杀引擎的参考级别提高,或者将进行查杀成功率更高或者误报率更低的查杀引擎的参考级别提高。
在本方案中,优先级越高的查杀引擎的扫描信息越重要,在进行扫描信息综合处理时,会优先采用,或者重点参考这样的查杀引擎的扫描信息。
方案三、根据本地安全策略确定各查杀引擎与待扫描文件相对应的参考级别。
本方案增强了本地对于查杀引擎的选择性,例如,对于安全要求比较高的本地系统,可以将安全级别高于本地安全级别的查杀引擎的参考级别提高,对于存在隐患的文件可以实现查杀,对于安全要求比较低的本地系统,可以将安全级别高于本地安全级别的查杀引擎的参考级别降低,避免对于一些安全隐患的频繁告警。
在具体的实施场景中,上述的几种方案可以单独使用,也可以组合使用,例如,如果待扫描文件的文件类型属于系统文件,则将高于本地安全级别的查杀引擎的参考级别提高。具体采用哪种或哪几种方案可以根据实际需要确定,具体的方案内容和组合方式不仅限于上述的说明,凡是能够达到相同技术效果的方案同样可以应用于本发明实施例。
(2)综合处理。
病毒查杀设备根据相应的参考级别和各查杀引擎返回的扫描信息,对各查杀引擎返回的扫描信息进行综合,确定待扫描文件的扫描结果。
这样的综合处理主要是将扫描信息与返回该扫描信息的查杀引擎对应待扫描文件的参考级别进行结合,优先或者重点考虑参考级别高的查杀引擎的扫描信息来生成扫描结果,从而,充分利用各查杀引擎的特点实现病毒查杀准确性和系统安全性的提高,例如,在多个参考级别较低的查杀引擎的扫描信息表示待扫描文件安全,而参考级别较高的查杀引擎的扫描信息表示该待扫描文件存在安全隐患时,系统仍然会确认该待扫描文件存在安全隐患而进行病毒查杀。
需要进一步指出的是,当上述的系统中存在多个应用单元时,病毒查杀设备分别通过不同的通信通道与各应用单元相连接,通过相应的通信通道接收各应用单元上报的对待扫描文件进行扫描的请求消息,并通过相应的通信通道向各应用单元发送待扫描文件的扫描结果,即在步骤S201和步骤S204中分别通过不同的通信通道与各应用单元进行通信,一方面,保证了待扫描文件的扫描结果能够准确的返回给请求对该待扫描文件进行扫描的应用单元,另一方面,这样的处理将多个应用单元的通信过程彼此隔离,避免了多个应用单元之间通信过程的互相干扰,进一步提高了信息反馈和通信过程的准确性。
与现有技术相比,本发明实施例具有以下优点:
通过应用本发明实施例的技术方案,可以将应用单元请求扫描的待扫描文件分别发送给多个查杀引擎进行扫描,并将各查杀引擎返回的扫描信息进行综合处理,确定该文件的扫描结果,反馈给应用单元,从而,使病毒查杀过程支持多引擎查杀,并可以根据具体的策略对多个查杀引擎的扫描结果进行综合,充分利用不同查杀引擎的特点,对各应用单元的病毒查杀需求进行支持,提高病毒查杀的准确性和系统的安全性。
下面,结合具体的应用场景,对本发明实施例所提出的技术方案进行说明。
本发明实施例在客户端软件中集成多种反病毒引擎(即前文的多个查杀引擎),既包括本地查杀引擎,也包括云查杀引擎。
在本发明实施例所提出的技术方案中,系统包括多个应用单元,一个病毒查杀设备,以及多个查杀引擎。
进一步的,上述的病毒查杀设备由进程间通信(Inter-ProcessCommunication,IPC)模块、文件枚举模块、引擎管理模块、结果处理模块四部分组成。
具体的处理过程如图3所示,本发明实施例分别针对上述的各模块对相应的技术方案进行说明。
进程间通信模块,用于实现应用单元与病毒查杀设备之间的信息交互,应用单元与病毒查杀设备使用统一的通讯协议。应用单元通过相应的扫描请求将需要扫描的文件通知病毒查杀设备。病毒查杀设备通过多个查杀引擎完成对文件的扫描后,再将扫描结果通过进程间通信模块发送回应用单元,进行后续的处理。为了实现对多应用的支持,每个应用单元都会与进程间通信模块建立唯一的通信通道,应用单元与进程间通信模块通过该通信通道进行通信。不同的应用单元和病毒查杀设备间是透明的,不会相互影响。
文件枚举模块,主要用于解析扫描请求并且枚举文件,形成扫描文件队列。当然,为了保证扫描的顺利进行,文件枚举模块还会进行一些预处理操作:例如判断文件类型、解压压缩文件等。完成预处理后,文件枚举模块会将相应的文件信息和路径发送给各个引擎管理模块。
引擎管理模块,主要用于与查杀引擎建立连接,将文件枚举模块发送的文件信息和路径发送给查杀引擎,以使查杀引擎对文件进行扫描,并接收查杀引擎返回的扫描信息,并发送给结果处理模块。
在本发明实施例中,存在多个查杀引擎,相对应的,在病毒查杀设备中也同样存在多个引擎管理模块,每个引擎管理模块唯一的和一个查杀引擎相连接,并进行通信,各引擎管理模块之间互不影响,因此,如果一个或几个查杀引擎或引擎管理模块出现故障,其他的查杀引擎仍旧可以和自身相对应的引擎管理模块继续正常工作,保证查杀的继续进行,当然,如果需要添加或者减少当前系统中的查杀引擎,只需要在病毒查杀设备中增加或者减少引擎管理模块即可,其他的查杀引擎不会受到影响。
结果处理模块,根据各引擎管理模块所发送的扫描信息,综合得到相应的扫描结果,并通过进程间通信模块,返回给相应的应用单元。在结果处理模块中的处理策略参见前述步骤S204的说明,在此不再重复。
本发明实施例的系统中存在多个查杀引擎。每个查杀引擎实现了相同的接口,用于接收文件和扫描。查杀引擎从病毒查杀设备得到需要进行扫描的文件的信息,完成扫描后,将相应的扫描信息再发送回病毒查杀设备。
在本发明实施例所提出的应用场景中,包含不同的查杀引擎,例如本地查杀引擎和云查杀引擎等。本地查杀引擎和云查杀引擎具有不同的特征以及调度方案,甚至不同的本地查杀引擎也有不同的特征。为了能够融合不同的查杀引擎,在本发明实施例中,对不同的查杀引擎分别实现了一个对应的引擎管理模块。在各引擎管理设备中,实现每个查杀引擎对应的调度算法。
进一步的,结合图3,进一步对本发明实施例所提出的技术方案进行说明如下:
步骤S301、多个应用单元分别向病毒查杀设备上报文件扫描请求。
即各应用单元通过病毒查杀设备的进程间通信模块进行进程间通信,实现扫描请求。
步骤S302、病毒查杀设备的进程间通信模块将接收到的文件扫描请求发送给文件枚举模块。
文件枚举模块解析扫描请求,确定待扫描文件的信息,并且枚举文件,形成扫描文件队列。
步骤S303、文件枚举模块按照扫描文件队列,将待扫描文件的信息和路径发送给各引擎管理模块。
步骤S304、各引擎管理模块将相应的信息分别发送给各自所对应的查杀引擎。
各查杀引擎根据相应的信息,对待扫描文件进行扫描。
每个查杀引擎,启动扫描线程,执行扫描循环逻辑。查杀引擎从引擎管理模块获得要扫描的文件以及扫描所需要的各种信息,如文件路径,类型等。扫描完毕后将扫描结果发送到引擎管理模块。
步骤S305、各查杀引擎分别将各自的扫描信息返回给自身所对应的引擎管理模块。
步骤S306、各引擎管理模块将所接收到的扫描信息发送给结果处理模块。
结果处理模块综合各查杀引擎的扫描信息,按照相应的策略确定该文件的扫描结果。
步骤S307、结果处理模块将扫描结果发送给进程间通信模块。
步骤S308、进程间通信模块向相对应的应用单元发送扫描结果。
有以上说明可以看出,本发明实施例所提出的技术方案充分利用各个引擎的优点,达到了查杀速度快、病毒覆盖面广、反应延时短、清除效果好的效果。
与现有技术相比,本发明实施例具有以下优点:
通过应用本发明实施例的技术方案,可以将应用单元请求扫描的待扫描文件分别发送给多个查杀引擎进行扫描,并将各查杀引擎返回的扫描信息进行综合处理,确定该文件的扫描结果,反馈给应用单元,从而,使病毒查杀过程支持多引擎查杀,并可以根据具体的策略对多个查杀引擎的扫描结果进行综合,充分利用不同查杀引擎的特点,对各应用单元的病毒查杀需求进行支持,提高病毒查杀的准确性和系统的安全性。
为了实现本发明实施例的技术方案,本发明实施例还提供了一种病毒查杀设备,应用于包括多个查杀引擎的系统中,病毒查杀设备分别与多个查杀引擎相连接,该病毒查杀设备结构示意图如图4所示,具体包括:
通信模块41,用于接收应用单元上报的对待扫描文件进行扫描的请求消息,并将待扫描文件的扫描结果发送给应用单元;
管理模块42,用于将通信模块41所接收到的请求消息所对应的待扫描文件的信息分别发送给多个查杀引擎,以使多个查杀引擎分别对待扫描文件进行扫描,并分别接收多个查杀引擎返回的扫描信息;
处理模块43,用于综合管理模块42所接收到的多个查杀引擎返回的扫描信息,确定待扫描文件的扫描结果,并通过通信模块41将待扫描文件的扫描结果发送给应用单元。
其中,通信模块41,还用于:
当系统中存在多个应用单元时,分别通过不同的通信通道与各应用单元相连接,通过相应的通信通道接收各应用单元上报的对待扫描文件进行扫描的请求消息,并通过相应的通信通道向各应用单元发送待扫描文件的扫描结果。
进一步的,管理模块42,具体包括文件枚举子模块421和多个引擎管理子模块422,其中,多个引擎管理子模块422分别与多个查杀引擎相连接:
文件枚举子模块421,用于解析通信模块41所接收到的对待扫描文件进行扫描的请求消息,确定待扫描文件的信息,将待扫描文件的信息添加到扫描文件队列,并按照扫描文件队列的顺序,分别将待扫描文件的信息发送给多个引擎管理子模块422;
引擎管理子模块422,用于将文件枚举子模块421发送的待扫描文件的信息发送给自身所连接的查杀引擎,以使查杀引擎对待扫描文件进行扫描,并分别查杀引擎返回的扫描信息。
在具体的实施场景中,文件枚举子模块421,还用于:
在分别将待扫描文件的信息发送给多个引擎管理子模块422之前,对待扫描文件进行预处理。
另一方面,处理模块43,具体用于:
根据待扫描文件的信息,和/或查杀引擎所对应的优先级信息,和/或本地安全策略,确定各查杀引擎与待扫描文件相对应的参考级别;
根据相应的参考级别和管理模块42所接收到的多个查杀引擎返回的扫描信息,对各查杀引擎返回的扫描信息进行综合,确定待扫描文件的扫描结果;
将待扫描文件的扫描结果发送给通信模块41。
与现有技术相比,本发明实施例具有以下优点:
通过应用本发明实施例的技术方案,可以将应用单元请求扫描的待扫描文件分别发送给多个查杀引擎进行扫描,并将各查杀引擎返回的扫描信息进行综合处理,确定该文件的扫描结果,反馈给应用单元,从而,使病毒查杀过程支持多引擎查杀,并可以根据具体的策略对多个查杀引擎的扫描结果进行综合,充分利用不同查杀引擎的特点,对各应用单元的病毒查杀需求进行支持,提高病毒查杀的准确性和系统的安全性。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明实施例可以通过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,本发明实施例的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或网络设备等)执行本发明实施例各个实施场景所述的方法。
本领域技术人员可以理解附图只是一个优选实施场景的示意图,附图中的模块或流程并不一定是实施本发明实施例所必须的。
本领域技术人员可以理解实施场景中的装置中的模块可以按照实施场景描述进行分布于实施场景的装置中,也可以进行相应变化位于不同于本实施场景的一个或多个装置中。上述实施场景的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明实施例序号仅仅为了描述,不代表实施场景的优劣。
以上公开的仅为本发明实施例的几个具体实施场景,但是,本发明实施例并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明实施例的业务限制范围。
Claims (8)
1.一种多引擎病毒查杀方法,其特征在于,应用于包括多个查杀引擎的系统中,所述方法具体包括:
病毒查杀设备接收应用单元上报的对待扫描文件进行扫描的请求消息;
所述病毒查杀设备将所述待扫描文件的信息分别发送给所述多个查杀引擎,以使所述多个查杀引擎分别对所述待扫描文件进行扫描;
所述病毒查杀设备分别接收所述多个查杀引擎返回的扫描信息;
所述病毒查杀设备根据所述待扫描文件的信息,和/或所述查杀引擎所对应的优先级信息,和/或本地安全策略,确定各查杀引擎与所述待扫描文件相对应的参考级别;
所述病毒查杀设备根据相应的参考级别和各查杀引擎返回的扫描信息,对各查杀引擎返回的扫描信息进行综合,确定所述待扫描文件的扫描结果;
其中,所述病毒查杀设备根据所述待扫描文件的信息确定各查杀引擎与所述待扫描文件相对应的参考级别,包括:
根据所述待扫描文件的类型信息,将具有与所述类型信息相对应的明显查杀特征的查杀引擎的参考级别提高;
所述病毒查杀设备根据所述查杀引擎所对应的优先级信息确定各查杀引擎与所述待扫描文件相对应的参考级别,包括:
将病毒库更新日期最新的查杀引擎的参考级别提高;
所述病毒查杀设备根据本地安全策略确定各查杀引擎与所述待扫描文件相对应的参考级别,包括:
对于本地安全级别为第一安全要求的本地系统,将安全级别高于所述本地安全级别的查杀引擎的参考级别提高;
对于所述本地安全级别为第二安全要求的本地系统,将安全级别高于所述本地安全级别的查杀引擎的参考级别降低,所述第一安全要求高于所述第二安全要求。
2.如权利要求1所述的方法,其特征在于,当所述系统中存在多个应用单元时,所述病毒查杀设备分别通过不同的通信通道与各应用单元相连接,通过相应的通信通道接收各应用单元上报的对待扫描文件进行扫描的请求消息,并通过相应的通信通道向各应用单元发送所述待扫描文件的扫描结果。
3.如权利要求1所述的方法,其特征在于,所述病毒查杀设备将所述待扫描文件的信息分别发送给所述多个查杀引擎,以使所述多个查杀引擎分别对所述待扫描文件进行扫描,具体包括:
所述病毒查杀设备解析接收到的对待扫描文件进行扫描的请求消息,确定所述待扫描文件的信息;
所述病毒查杀设备根据解析结果,将所述待扫描文件的信息添加到扫描文件队列,并按照所述扫描文件队列的顺序,分别将所述待扫描文件的信息发送给所述多个查杀引擎,以使所述多个查杀引擎分别对所述待扫描文件进行扫描。
4.如权利要求3所述的方法,其特征在于,所述分别将所述待扫描文件发送给所述多个查杀引擎之前,还包括:
所述病毒查杀设备对所述待扫描文件进行预处理。
5.一种病毒查杀设备,其特征在于,应用于包括多个查杀引擎的系统中,所述病毒查杀设备分别与多个查杀引擎相连接,所述病毒查杀设备具体包括:
通信模块,用于接收应用单元上报的对待扫描文件进行扫描的请求消息,并将所述待扫描文件的扫描结果发送给所述应用单元;
管理模块,用于将所述通信模块所接收到的请求消息所对应的待扫描文件的信息分别发送给所述多个查杀引擎,以使所述多个查杀引擎分别对所述待扫描文件进行扫描,并分别接收所述多个查杀引擎返回的扫描信息;
处理模块,用于根据所述待扫描文件的信息,和/或查杀引擎所对应的优先级信息,和/或本地安全策略,确定各查杀引擎与所述待扫描文件相对应的参考级别;根据相应的参考级别和所述管理模块所接收到的多个查杀引擎返回的扫描信息,对各查杀引擎返回的扫描信息进行综合,确定所述待扫描文件的扫描结果;将所述待扫描文件的扫描结果发送给所述通信模块;
所述处理模块在根据所述待扫描文件的信息确定各查杀引擎与所述待扫描文件相对应的参考级别时,具体用于根据所述待扫描文件的类型信息,将具有与所述类型信息相对应的明显查杀特征的查杀引擎的参考级别提高;
所述处理模块在根据所述查杀引擎所对应的优先级信息确定各查杀引擎与所述待扫描文件相对应的参考级别时,具体用于将病毒库更新日期最新的查杀引擎的参考级别提高;
所述处理模块在根据本地安全策略确定各查杀引擎与所述待扫描文件相对应的参考级别时,具体用于对于本地安全级别为第一安全要求的本地系统,将安全级别高于所述本地安全级别的查杀引擎的参考级别提高;对于所述本地安全级别为第二安全要求的本地系统,将安全级别高于所述本地安全级别的查杀引擎的参考级别降低。
6.如权利要求5所述的病毒查杀设备,其特征在于,所述通信模块,还用于:
当所述系统中存在多个应用单元时,分别通过不同的通信通道与各应用单元相连接,通过相应的通信通道接收各应用单元上报的对待扫描文件进行扫描的请求消息,并通过相应的通信通道向各应用单元发送所述待扫描文件的扫描结果。
7.如权利要求5所述的病毒查杀设备,其特征在于,所述管理模块,具体包括文件枚举子模块和多个引擎管理子模块,其中,所述多个引擎管理子模块分别与所述多个查杀引擎相连接:
所述文件枚举子模块,用于解析所述通信模块所接收到的对待扫描文件进行扫描的请求消息,确定所述待扫描文件的信息,将所述待扫描文件的信息添加到扫描文件队列,并按照所述扫描文件队列的顺序,分别将所述待扫描文件的信息发送给所述多个引擎管理子模块;
所述引擎管理子模块,用于将所述文件枚举子模块发送的所述待扫描文件的信息发送给自身所连接的查杀引擎,以使所述查杀引擎对所述待扫描文件进行扫描,并分别所述查杀引擎返回的扫描信息。
8.如权利要求7所述的病毒查杀设备,其特征在于,所述文件枚举子模块,还用于:
在分别将所述待扫描文件的信息发送给所述多个引擎管理子模块之前,对所述待扫描文件进行预处理。
Priority Applications (8)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110292865.6A CN103034805B (zh) | 2011-09-30 | 2011-09-30 | 多引擎病毒查杀方法和装置 |
US14/112,195 US8966633B2 (en) | 2011-09-30 | 2012-08-30 | Method and device for multiple engine virus killing |
BR112013029874A BR112013029874A2 (pt) | 2011-09-30 | 2012-08-30 | método e dispositivo para múltiplos mecanismos de remoção de vírus |
EP12835796.9A EP2763069A4 (en) | 2011-09-30 | 2012-08-30 | METHOD AND DEVICE FOR SWITCHING OFF MULTIPLE COMPUTER VIRUSES |
JP2014505507A JP5723060B2 (ja) | 2011-09-30 | 2012-08-30 | マルチエンジンでウイルスを検出及び駆除する方法及びその装置 |
RU2013158486/08A RU2584508C2 (ru) | 2011-09-30 | 2012-08-30 | Способ и устройство для определения результатов сканирования файла с применением множественных ядер |
PCT/CN2012/080794 WO2013044716A1 (zh) | 2011-09-30 | 2012-08-30 | 多引擎病毒查杀方法和设备 |
IN270DEN2014 IN2014DN00270A (zh) | 2011-09-30 | 2014-01-13 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110292865.6A CN103034805B (zh) | 2011-09-30 | 2011-09-30 | 多引擎病毒查杀方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103034805A CN103034805A (zh) | 2013-04-10 |
CN103034805B true CN103034805B (zh) | 2015-12-16 |
Family
ID=47994245
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201110292865.6A Active CN103034805B (zh) | 2011-09-30 | 2011-09-30 | 多引擎病毒查杀方法和装置 |
Country Status (8)
Country | Link |
---|---|
US (1) | US8966633B2 (zh) |
EP (1) | EP2763069A4 (zh) |
JP (1) | JP5723060B2 (zh) |
CN (1) | CN103034805B (zh) |
BR (1) | BR112013029874A2 (zh) |
IN (1) | IN2014DN00270A (zh) |
RU (1) | RU2584508C2 (zh) |
WO (1) | WO2013044716A1 (zh) |
Families Citing this family (23)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140181975A1 (en) | 2012-11-06 | 2014-06-26 | William Spernow | Method to scan a forensic image of a computer system with multiple malicious code detection engines simultaneously from a master control point |
CN103514406B (zh) * | 2013-07-25 | 2017-03-01 | 北京网秦天下科技有限公司 | 解析多引擎检测结果的方法和装置 |
KR101480903B1 (ko) * | 2013-09-03 | 2015-01-13 | 한국전자통신연구원 | 모바일 악성코드 다중 점검 방법 |
CN103714289B (zh) * | 2013-12-02 | 2017-03-01 | 百度在线网络技术(北京)有限公司 | 一种确定移动应用的查杀结果的方法与装置 |
CN104123501B (zh) * | 2014-08-06 | 2017-11-07 | 厦门大学 | 一种基于多鉴定器集合的病毒在线检测方法 |
CN104318159A (zh) * | 2014-10-24 | 2015-01-28 | 北京奇虎科技有限公司 | 服务器杀毒的方法、装置及系统 |
CN105095330B (zh) * | 2014-12-01 | 2019-05-07 | 哈尔滨安天科技股份有限公司 | 一种基于压缩包内容的文件格式识别方法及系统 |
CN106295333B (zh) | 2015-05-27 | 2018-08-17 | 安一恒通(北京)科技有限公司 | 用于检测恶意代码的方法和系统 |
US9667657B2 (en) * | 2015-08-04 | 2017-05-30 | AO Kaspersky Lab | System and method of utilizing a dedicated computer security service |
CN106534236A (zh) * | 2015-09-10 | 2017-03-22 | 中国移动通信集团公司 | 一种云查杀方法及装置 |
JP5944041B1 (ja) * | 2015-11-19 | 2016-07-05 | ネクスト・イット株式会社 | コンピュータウイルススキャン装置、コンピュータウイルス方法及びコンピュータ媒体 |
CN106161455B (zh) * | 2016-07-25 | 2019-06-04 | 恒安嘉新(北京)科技股份公司 | 一种多模块和引擎分布式云管理系统及检测方法 |
EP3282665B1 (en) * | 2016-08-10 | 2021-01-27 | Nokia Solutions and Networks Oy | Anomaly detection in software defined networking |
CN108153664A (zh) * | 2016-12-06 | 2018-06-12 | 北京奇虎科技有限公司 | 一种静态代码扫描方法和装置 |
EP3376424B1 (en) * | 2017-03-14 | 2021-05-05 | VirusTotal SLU | Scanning files using antivirus software |
JP6992341B2 (ja) * | 2017-09-13 | 2022-01-13 | 富士フイルムビジネスイノベーション株式会社 | 情報処理装置及びプログラム |
EP3477522B1 (en) * | 2017-10-30 | 2020-12-09 | VirusTotal SLU | Scanning files using antivirus software |
US10496457B2 (en) * | 2018-04-02 | 2019-12-03 | Micron Technology, Inc. | Grouping requests to reduce inter-process communication in memory systems |
US10534912B1 (en) * | 2018-10-31 | 2020-01-14 | Capital One Services, Llc | Methods and systems for multi-tool orchestration |
CN112580038A (zh) * | 2019-09-30 | 2021-03-30 | 奇安信安全技术(珠海)有限公司 | 反病毒数据的处理方法、装置及设备 |
CN111368301A (zh) * | 2020-03-03 | 2020-07-03 | 深信服科技股份有限公司 | 一种病毒查杀方法、装置、设备及可读存储介质 |
CN112214765A (zh) * | 2020-09-29 | 2021-01-12 | 珠海豹好玩科技有限公司 | 一种病毒查杀方法、装置、电子设备及存储介质 |
CN113836533B (zh) * | 2021-09-27 | 2024-05-24 | 深信服科技股份有限公司 | 一种文件监测方法、装置、电子设备及可读存储介质 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101685486A (zh) * | 2008-09-23 | 2010-03-31 | 联想(北京)有限公司 | 多杀毒引擎的杀毒方法和系统 |
Family Cites Families (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH11167533A (ja) * | 1997-12-03 | 1999-06-22 | Toshiba Information Systems Corp | 電子メールファイアウォール装置 |
US6842861B1 (en) * | 2000-03-24 | 2005-01-11 | Networks Associates Technology, Inc. | Method and system for detecting viruses on handheld computers |
US6944775B2 (en) * | 2001-07-26 | 2005-09-13 | Networks Associates Technology, Inc. | Scanner API for executing multiple scanning engines |
US7103913B2 (en) * | 2002-05-08 | 2006-09-05 | International Business Machines Corporation | Method and apparatus for determination of the non-replicative behavior of a malicious program |
JP4145582B2 (ja) * | 2002-06-28 | 2008-09-03 | Kddi株式会社 | コンピュータウィルス検査装置およびメールゲートウェイシステム |
US7748039B2 (en) * | 2002-08-30 | 2010-06-29 | Symantec Corporation | Method and apparatus for detecting malicious code in an information handling system |
JP2005038361A (ja) * | 2003-07-14 | 2005-02-10 | Hikari Tabei | ゲートウエイ型の多重ウイルス検索方法 |
US7257842B2 (en) * | 2003-07-21 | 2007-08-14 | Mcafee, Inc. | Pre-approval of computer files during a malware detection |
KR101201118B1 (ko) * | 2004-11-08 | 2012-11-13 | 마이크로소프트 코포레이션 | 바이러스 방지 소프트웨어 어플리케이션들의 지식 베이스를모으는 시스템 및 방법 |
US8713686B2 (en) * | 2006-01-25 | 2014-04-29 | Ca, Inc. | System and method for reducing antivirus false positives |
US8621610B2 (en) * | 2007-08-06 | 2013-12-31 | The Regents Of The University Of Michigan | Network service for the detection, analysis and quarantine of malicious and unwanted files |
JP4488074B2 (ja) * | 2008-02-13 | 2010-06-23 | 日本電気株式会社 | パターン検出装置、パターン検出システム、パターン検出プログラム、およびパターン検出方法 |
US7540030B1 (en) * | 2008-09-15 | 2009-05-26 | Kaspersky Lab, Zao | Method and system for automatic cure against malware |
RU101231U1 (ru) * | 2010-03-02 | 2011-01-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система управления безопасностью мобильного вычислительного устройства |
CN102081714A (zh) * | 2011-01-25 | 2011-06-01 | 潘燕辉 | 一种基于服务器反馈的云查杀方法 |
US8584242B2 (en) * | 2011-07-12 | 2013-11-12 | At&T Intellectual Property I, L.P. | Remote-assisted malware detection |
US8881258B2 (en) * | 2011-08-24 | 2014-11-04 | Mcafee, Inc. | System, method, and computer program for preventing infections from spreading in a network environment using dynamic application of a firewall policy |
-
2011
- 2011-09-30 CN CN201110292865.6A patent/CN103034805B/zh active Active
-
2012
- 2012-08-30 EP EP12835796.9A patent/EP2763069A4/en not_active Withdrawn
- 2012-08-30 BR BR112013029874A patent/BR112013029874A2/pt not_active Application Discontinuation
- 2012-08-30 US US14/112,195 patent/US8966633B2/en active Active
- 2012-08-30 JP JP2014505507A patent/JP5723060B2/ja active Active
- 2012-08-30 RU RU2013158486/08A patent/RU2584508C2/ru active
- 2012-08-30 WO PCT/CN2012/080794 patent/WO2013044716A1/zh active Application Filing
-
2014
- 2014-01-13 IN IN270DEN2014 patent/IN2014DN00270A/en unknown
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101685486A (zh) * | 2008-09-23 | 2010-03-31 | 联想(北京)有限公司 | 多杀毒引擎的杀毒方法和系统 |
Also Published As
Publication number | Publication date |
---|---|
JP5723060B2 (ja) | 2015-05-27 |
IN2014DN00270A (zh) | 2015-06-05 |
EP2763069A1 (en) | 2014-08-06 |
BR112013029874A2 (pt) | 2016-12-20 |
RU2584508C2 (ru) | 2016-05-20 |
US20140304818A1 (en) | 2014-10-09 |
WO2013044716A1 (zh) | 2013-04-04 |
EP2763069A4 (en) | 2015-05-20 |
CN103034805A (zh) | 2013-04-10 |
JP2014515857A (ja) | 2014-07-03 |
US8966633B2 (en) | 2015-02-24 |
RU2013158486A (ru) | 2015-07-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103034805B (zh) | 多引擎病毒查杀方法和装置 | |
US11381526B2 (en) | Multi-tenant optimized serverless placement using smart network interface cards and commodity storage | |
US9635098B2 (en) | Open platform, open platform access system, storage medium, and method for allowing third party application to access open platform | |
KR101662685B1 (ko) | 심층 패킷 검사 방법 및 기기, 그리고 코프로세서 | |
US20200201686A1 (en) | Method and Apparatus for Accessing Desktop Cloud Virtual Machine, and Desktop Cloud Controller | |
US10592399B2 (en) | Testing web applications using clusters | |
US9589122B2 (en) | Operation processing method and device | |
US11522885B1 (en) | System and method for information gain for malware detection | |
CN112929210B (zh) | 在WebFlux框架搭建的网关路由应用插件的方法、系统及其应用 | |
CN114327803A (zh) | 区块链访问机器学习模型的方法、装置、设备和介质 | |
CN112398867A (zh) | 黑白名单限制实现方法、平台、计算机设备及存储介质 | |
CN111931157A (zh) | 单点登录系统的接入方法、装置、存储介质和计算机设备 | |
US20220353550A1 (en) | Semi-decoupled partitioning for video coding | |
CN113922968A (zh) | 访问令牌的生成及校验方法、装置、电子设备和存储介质 | |
US11861386B1 (en) | Application gateways in an on-demand network code execution system | |
CN102314571B (zh) | 处理计算机病毒的方法及装置 | |
CN106502707B (zh) | 代码生成方法及装置 | |
US9398041B2 (en) | Identifying stored vulnerabilities in a web service | |
CN111966682A (zh) | 一种白名单防护匹配方法、系统、终端及存储介质 | |
CN112417014A (zh) | 动态修改执行计划方法、系统、计算机可读存储介质 | |
CN105162765B (zh) | 一种基于断尾求生的云数据安全实现方法 | |
CN111324645A (zh) | 区块链的数据处理方法及装置 | |
CN111905361B (zh) | 游戏服务系统、游戏处理方法、存储介质及设备 | |
CN110769027A (zh) | 服务请求处理方法、装置、计算机设备及存储介质 | |
CN117519605A (zh) | 读写效率提升方法及相关设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |