CN104077525A - 一种对终端数据信息进行处理的方法 - Google Patents

Abstract

本发明公开了一种对终端数据信息进行处理的方法，其包括：获取终端发送的数据信息，所述数据信息包括终端所监控到的未知文件的新建信息、未知文件或程序的运行信息、已知文件或程序的运行轨迹信息以及终端系统运行过程中所产生的行为信息中的一种或几种，其中，所述已知文件或程序为在所述终端上至少成功运行一次的文件或程序；对获取到的终端发送的数据信息进行分类处理：获取终端发送的处理结果，所述处理结果是终端基于接收到的扫描结果对未知文件的新建信息和/或未知程序的运行信息做出的处理操作，以及基于接收到的已保存结果做出的响应操作。本发明所述的对终端数据信息进行处理的方法有效防止杀毒漏洞的产生，提高终端的安全性能。

Description

一种对终端数据信息进行处理的方法

技术领域

本发明涉及一种对终端数据信息进行处理的方法，尤其涉及到一种利用云端服务器对终端数据信息进行处理的方法。

背景技术

目前，对于终端的数据信息处理方法有很多种，而较为常见的应该属于安装在终端上的杀毒软件，其对于终端运行所产生的信息以及所产生的垃圾文件都能很好的处理，尤其是其具备的杀毒功能，能够对终端上已知的文件和程序进行很好的预警与杀毒。但是，传统的杀毒软件基本上是完全控制终端系统的(比如说电脑终端)，其中有些杀毒软件借此暗中扫描客户端硬盘、窥探用户私密，甚至不排除某些国外杀毒软件存在后门的可能性，这本身意味着终端存在有巨大风险。其次，传统杀毒软件终端只能安装一款软件，往往样本不全或升级不及时，带来安全漏洞。同时，传统杀毒软件客户端笨重，系统占用巨大，导致系统的运行因杀毒软件的运行而受阻，运行效率存在很大的技术缺陷。

发明内容

本发明针对以上要解决的问题提供了一种新型的对终端数据信息进行处理的方法，该方法通过将终端数据集中发送到服务器上处理，在服务器上同时安装任意数量的第三方杀毒引擎，使得上传到服务器上的数据信息能够全方位的进行杀毒扫描，以防止终端上有任何恶意代码的运行及病毒的入侵。

本发明提供的技术方案为：

一种对终端数据信息进行处理的方法，其包括：

获取终端发送的数据信息，所述数据信息包括终端所监控到的未知文件的新建信息、未知文件或程序的运行信息、已知文件或程序的运行轨迹信息以及终端系统运行过程中所产生的行为信息中的一种或几种，其中，

所述已知文件或程序为在所述终端上至少运行一次的文件或程序；

对获取到的终端发送的数据信息进行分类处理：

若所述数据信息是未知文件的新建信息和/或未知程序的运行信息，则对所述数据信息进行全方位病毒分析扫描，并将扫描结果发送回终端；

若所述数据信息是已知文件或程序的运行轨迹信息和/或电脑终端系统运行过程中所产生的行为信息，则将所述数据信息保存到第一数据库中，并将已保存结果发送回终端；

获取终端发送的处理结果，所述处理结果是终端基于接收到的扫描结果对未知文件的新建信息和/或未知程序的运行信息做出的处理操作，以及基于接收到的已保存结果做出的响应操作。

优选的是，所述已知文件或程序的运行轨迹信息包括以下一种或几种：

已知文件的修改信息及修改时间、重命名信息、复制信息及复制路径、压缩信息、向外发送信息及发送地址信息、传递记录信息；

已知程序的加载信息、运行信息和退出信息。

优选的是，所述终端系统运行过程中所产生的行为信息包括：电脑终端系统运行过程中的进程变化信息、线程变化信息、注册表变化信息和网络活动记录信息中的一种或几种。

优选的是，若所述数据信息是未知文件的新建信息和/或未知程序的运行信息，则在对所述数据信息进行全方位病毒分析扫描后，还包括：

将扫描结果存储到第二数据库中。

优选的是，当获取到终端基于所述扫描结果对未知文件的新建信息和/或未知程序的运行信息所做出的处理结果时，还包括：

将处理结果存储到所述第二数据库中，以与存储在所述第二数据库中的扫描结果生成相关联的统计报表。

优选的是，若所述数据信息是已知文件的运行轨迹信息和/或电脑终端系统运行过程中所产生的行为信息，则将所述数据信息保存到第一数据库的同时，还包括：将第一数据库设置成可供所述终端进行查询的格式。

优选的是，所述方法还包括：将第一数据库和第二数据库中存储的数据信息进行备份。

本发明所述的对终端数据信息进行处理的方法具有以下优势：

其一、其将传统杀毒软件的杀毒核心放到了云端服务器上，而非置于客户终端中，让客户终端将发现的未知文件和未知程序通过网络发送到集成了多种第三方杀毒引擎的云端服务器上进行全方位的病毒扫描，能有效防止传统终端仅仅只有一种杀毒软件进行杀毒存在的杀毒漏洞，提高了终端系统的安全性；

其二、由于在客户终端上并没有安装杀毒引擎，仅仅只是上传文件和查询文件，以及处置操作，进而在运行效率上来说得到了很好的提升；

其三、尤其适用于企业网内所有客户终端的有效监控和管理，即企业管理中心可通过不同终端上传的数据信息对终端进行病毒木马的预警和防御，同时还能实现对企业网内所有客户终端上所有程序的运行轨迹分析，所有文件的传递过程的记录和分析审计，进而实现对文件流转细节追踪。

附图说明

图1为本发明所述的对终端数据信息进行处理的方法的流程示意图；

图2为本发明所述的对终端数据信息进行处理的方法所采用的系统结构示意图。

具体实施方式

下面结合附图对本发明做进一步的详细说明，以令本领域技术人员参照说明书文字能够据以实施。

如图1所示，本发明提供一种对终端数据信息进行处理的方法，其包括：

步骤101、获取终端发送的数据信息，所述数据信息包括终端所监控到的未知文件的新建信息、未知文件或程序的运行信息、已知文件或程序的运行轨迹信息以及终端系统运行过程中所产生的行为信息中的一种或几种，其中，所述已知文件或程序为在所述终端上至少成功运行一次的文件或程序；

步骤102、对获取到的终端发送的数据信息进行分类处理：

若所述数据信息是未知文件的新建信息和/或未知程序的运行信息，则对所述数据信息进行全方位病毒分析扫描，并将扫描结果发送回终端；

若所述数据信息是已知文件或程序的运行轨迹信息和/或电脑终端系统运行过程中所产生的行为信息，则将所述数据信息保存到第一数据库中，并将已保存结果发送回终端；

步骤103、获取终端发送的处理结果，所述处理结果是终端基于接收到的扫描结果对未知文件的新建信息和/或未知程序的运行信息做出的处理操作，以及基于接收到的已保存结果做出的响应操作。

上述步骤101中，所述已知文件或程序的运行轨迹信息包括以下一种或几种：已知文件的修改信息及修改时间、重命名信息、复制信息及复制路径、压缩信息、向外发送信息及发送地址信息、传递记录信息；已知程序的加载信息、运行信息和退出信息。以上数据信息均是通过安装在终端上的客户端软件获得的，也是通过该软件向云端服务器进行发送的。换句话说，云端服务器会通过终端上传的以上数据信息记录企业网内所有终端上任意文件、何时、被什么程序复制(或者打包压缩)成什么文件、保存到了什么地方；记录网内所有终端上任意文件、何时、被什么程序使用邮件(或FTP、或任意协议)发送到了什么地，目标IP\URL\EMAIL是什么；记录网内所有终端上任意文件、何时、被什么程序从什么地方下载(Email接收/任意协议传递)到本地的；对上述文件传递记录进行自动、手动预警和审计。文件跟踪记录一般大小为200K/台以下，由客户端自动上报到云端保存和查询。

同样的，上述步骤101中，所述终端系统运行过程中所产生的行为信息包括：电脑终端系统运行过程中的进程变化信息、线程变化信息、注册表变化信息和网络活动记录信息中的一种或几种。即云端服务器会对企业网内所有终端系统的运行轨迹进行记录和审计，以有利于管理中心对终端系统的运行状态进行监控。

本发明中尤其重要的是步骤102中，当云端服务器接收到终端发送的数据信息为未知文件的新建信息和/或未知程序的运行信息时，会通过安装在服务器上的多种杀毒引擎进行病毒的全方位扫描，同时兼容所有杀毒软件的病毒库和杀毒引擎的云端服务器，其杀毒能力必然比任何一款集成在云端服务器中的杀毒软件都强大。而一旦扫描结果显示有病毒入侵时，就会在客户终端上进行预警提示，同时也方便了管理中心对客户终端是否存在病毒入侵的动态管理。

本发明优选的是，若云端服务器接收到的数据信息是未知文件的新建信息和/或未知程序的运行信息，则在对所述数据信息进行全方位病毒分析扫描后，还包括：将扫描结果存储到第二数据库中。而当云端服务器获取到终端基于所述扫描结果对未知文件的新建信息和/或未知程序的运行信息所做出的处理结果时，还包括：将处理结果存储到所述第二数据库中，以与存储所述第二数据库中的扫描结果生成相关联的统计报表。这样可方便管理中心对终端的操作动态进行很好的掌控。

本发明优选的是，若云端服务器获取到的数据信息是已知文件的运行轨迹信息和/或电脑终端系统运行过程中所产生的行为信息，则将所述数据信息保存到第一数据库的同时，还包括：将第一数据库设置成可供所述终端进行查询的格式。即方便客户终端对自己所上传的数据信息进行查询处理。

本发明优选的是，所述方法还包括：云端服务器还将第一数据库和第二数据库中存储的数据信息进行备份。

如图2所示，本发明基于上述提供的对终端数据信息进行处理的方法还提供了一种对终端数据信息进行处理的系统，该系统主要由云端服务器和客户终端组成，其中：

云端服务器主要包括云端管理中心、云端扫描分析中心、云端备份中心(可选)；

云端扫描分析中心：其上安装有多个虚拟机，并在每个虚拟机中安装任何一款第三方杀毒软件作为病毒扫描工具；

云端管理中心：把客户终端上传的文件按照一定的调度规则发送给各个第三方杀毒引擎去扫描，扫描结果回传到客户端进行处置，即具有以下功能：实现客户终端的上线管理、客户终端的文件分类和分发、第三方杀毒引擎调度、数据库管理；

云端备份中心：备份所有客户端的运行日志数据、备份扫描分析结果、备份云端服务器的运行日志、提供数据导出和下载、回传；

客户终端主要包括安装在客户终端上的监控软件，其实现的功能是：

当客户终端创建未知文件时，不阻拦，但上报云端服务器查询分析，根据分析结果进行处理：发现是恶意代码文件时，即提示用户删除，删除后也还可以恢复；

客户端运行一个未知文件时，先阻止(挂起)，并上报云端服务器查询分析，根据分析结果处理：发现是恶意代码时，立即杀掉该文件；若客户端未联网或云端出现故障时，阻止新增的未知程序的运行(但客户端原有的已经运行过的合法程序运行不受影响)；

负责监控本机所有运行细节，包括：文件的创建、修改、改名、复制、打包和发送过程、程序的加载、运行和退出细节；网络活动记录、注册表变化等；

对新增加的文件、进程等上传到云端服务器进行病毒扫描；

根据云端服务器的分析结果进行处理。

总的来说，本发明所提供的对终端数据信息进行处理的方法主要核心点在于以下流程：客户端监控→发现新文件和程序→上传到云端服务器→病毒扫描→结果记入数据库中→回传分析结果到客户端→客户端预警和处理→处理结果上报云端。该流程有效的解决了终端运行速率的问题，同时对于新文件和程序的病毒扫描更加的全面，避免了杀毒漏洞，提高了终端的安全性能。

尽管本发明的实施方案已公开如上，但其并不仅仅限于说明书和实施方式中所列运用，它完全可以被适用于各种适合本发明的领域，对于熟悉本领域的人员而言，可容易地实现另外的修改，因此在不背离权利要求及等同范围所限定的一般概念下，本发明并不限于特定的细节和这里示出与描述的图例。

Claims (7)

1.一种对终端数据信息进行处理的方法，其特征在于，所述方法包括：

获取终端发送的数据信息，所述数据信息包括终端所监控到的未知文件的新建信息、未知文件或程序的运行信息、已知文件或程序的运行轨迹信息以及终端系统运行过程中所产生的行为信息中的一种或几种，其中，

所述已知文件或程序为在所述终端上至少运行一次的文件或程序；

对获取到的终端发送的数据信息进行分类处理：

若所述数据信息是未知文件的新建信息和/或未知程序的运行信息，则对所述数据信息进行全方位病毒分析扫描，并将扫描结果发送回终端；

若所述数据信息是已知文件或程序的运行轨迹信息和/或电脑终端系统运行过程中所产生的行为信息，则将所述数据信息保存到第一数据库中，并将已保存结果发送回终端；

获取终端发送的处理结果，所述处理结果是终端基于接收到的扫描结果对未知文件的新建信息和/或未知程序的运行信息做出的处理操作，以及基于接收到的已保存结果做出的响应操作。

2.如权利要求1所述的对终端数据信息进行处理的方法，其特征在于，所述已知文件或程序的运行轨迹信息包括以下一种或几种：

已知文件的修改信息及修改时间、重命名信息、复制信息及复制路径、压缩信息、向外发送信息及发送地址信息、传递记录信息；

已知程序的加载信息、运行信息和退出信息。

3.如权利要求2所述的对终端数据信息进行处理的方法，其特征在于，所述终端系统运行过程中所产生的行为信息包括：电脑终端系统运行过程中的进程变化信息、线程变化信息、注册表变化信息和网络活动记录信息中的一种或几种。

4.如权利要求1所述的对终端数据信息进行处理的方法，其特征在于，若所述数据信息是未知文件的新建信息和/或未知程序的运行信息，则在对所述数据信息进行全方位病毒分析扫描后，还包括：

将扫描结果存储到第二数据库中。

5.如权利要求4所述的对终端数据信息进行处理的方法，其特征在于，当获取到终端基于所述扫描结果对未知文件的新建信息和/或未知程序的运行信息所做出的处理结果时，还包括：

将处理结果存储到所述第二数据库中，以与存储在所述第二数据库中的扫描结果生成相关联的统计报表。

6.如权利要求2或3所述的对终端数据信息进行处理的方法，其特征在于，若所述数据信息是已知文件的运行轨迹信息和/或电脑终端系统运行过程中所产生的行为信息，则将所述数据信息保存到第一数据库的同时，还包括：将第一数据库设置成可供所述终端进行查询的格式。

7.如权利要求1-6所述的对终端数据信息进行处理的方法，其特征在于，所述方法还包括：将第一数据库和第二数据库中存储的数据信息进行备份。