CN104298920A - 一种病毒文件的处理方法、系统及设备 - Google Patents
一种病毒文件的处理方法、系统及设备 Download PDFInfo
- Publication number
- CN104298920A CN104298920A CN201410542371.2A CN201410542371A CN104298920A CN 104298920 A CN104298920 A CN 104298920A CN 201410542371 A CN201410542371 A CN 201410542371A CN 104298920 A CN104298920 A CN 104298920A
- Authority
- CN
- China
- Prior art keywords
- virus
- information
- virus family
- file
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/568—Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种病毒文件的处理方法、系统及设备,所述方法包括:云端数据平台收集病毒统计信息,并根据收集的所述病毒统计信息筛选出病毒家族文件;客户端接收所述云端数据平台发送的病毒家族文件,对所述病毒家族文件进行行为特征分析,得到病毒家族行为信息;所述客户端根据所述行为链脚本库中的病毒家族行为信息,对客户端的文件进行查杀病毒处理,并将记录所述查杀病毒处理的日志上报至所述云端数据平台;所述云端数据平台对接收的所述日志进行分析并得到更新行为信息;所述客户端根据所述更新行为信息对所述病毒家族行为信息进行更新。通过采用本发明可以精确检测和彻底清除病毒文件,提高病毒文件的查杀成功率。
Description
技术领域
本发明涉及计算机领域,更为具体而言,涉及一种病毒文件的处理方法、系统及设备。
背景技术
随着互联网的快速发展,各类病毒文件也在迅速增长和变异,其中,基于病毒模式聚集网站流量并通过流量广告变现的灰色产业利益链已经形成。每日新增的流氓软件已经数以百万计,这些病毒文件使用各种不易辨识的技术,通过进程、注册表、文件等方式进行相互捆绑,防止杀毒软件进行查杀。传统的杀毒软件以查杀单独的病毒文件为主,但这种杀毒方式已经很难对现在的病毒文件进行彻底清除和修复。并且,面对当前病毒文件增长速度越来越快的局面,现有的查杀病毒的方法对病毒文件的分析和更新不够及时,使得病毒文件的查杀成功率较低。
发明内容
为了精确、及时和有效地处理病毒文件,提高病毒文件的查杀成功率,本发明实施方式提供了一种病毒文件的处理方法、系统及设备。
一方面,本发明实施方式提供了一种病毒文件的处理方法,所述方法包括:
云端数据平台收集病毒统计信息,并根据收集的所述病毒统计信息筛选出病毒家族文件;
客户端接收所述云端数据平台发送的病毒家族文件,对所述病毒家族文件进行行为特征分析,得到病毒家族行为信息;
所述客户端根据所述病毒家族行为信息,对客户端的文件进行查杀病毒处理,并将记录所述查杀病毒处理的日志上报至所述云端数据平台;
所述云端数据平台对接收的所述日志进行分析并得到更新行为信息;
所述客户端根据所述更新行为信息对所述病毒家族行为信息进行更新。
另一方面,本发明实施方式又提供了一种病毒文件的处理方法,所述方法包括:
云端数据平台收集病毒统计信息,根据收集的病毒统计信息筛选出病毒家族文件,
对所述病毒家族文件进行行为特征分析,得到病毒家族行为信息并将其发送至所述客户端,以便所述客户端根据所述病毒家族行为信息进行查杀病毒处理;
所述云端数据平台获取所述客户端上报的记录所述查杀病毒处理的日志,
对所述日志进行分析并得到更新行为信息,将所述更新行为信息发送至所述客户端以对所述病毒家族行为信息进行更新。
相应的,本发明实施方式提供了一种云端数据平台,其特征在于,所述云端数据平台包括:
收集单元,用于收集所述病毒统计信息,根据所述收集的病毒统计信息筛选出病毒家族文件;
分析单元,用于执行下述操作:对所述病毒家族文件进行特征分析,得到病毒家族行为信息并将其发送至所述客户端,以便所述客户端根据所述病毒家族行为信息进行查杀病毒处理;以及
日志单元,用于执行下述操作:获取所述客户端上报的所述日志,对所述日志进行分析并得到更新行为信息,将所述更新行为信息发送至所述客户端以对所述病毒家族行为信息进行更新。
又一方面,本发明实施方式还提供了一种病毒文件的处理方法,所述方法包括:
客户端接收云端数据平台发送的病毒家族行为信息,并将所述接收的病毒家族行为信息存储到行为链脚本库,
根据所述行为链脚本库中的病毒家族行为信息,对所述客户端的文件进行查杀病毒处理,并将记录所述查杀病毒处理的日志上报至所述云端数据平台,以便所述云端数据平台对所述日志进行分析并得到更新行为信息,
接收所述云端数据平台发送的所述更新行为信息,并根据所述更新行为信息对所述行为链脚本库中的所述病毒家族行为信息进行更新。
相应的,本发明实施方式提供了一种客户端,其特征在于,所述客户端包括:
行为链脚本库,用于执行下述操作:接收和存储云端数据平台发送的病毒家族行为信息;接收所述云端数据平台发送的更新行为信息,并根据所述更新行为信息对所述病毒家族行为信息进行更新;
引擎加载模块,用于执行下述操作:加载所述行为链脚本库,根据所述行为链脚本库中的病毒家族行为信息,对所述客户端提供的文件进行查杀病毒处理,并将记录所述查杀病毒处理的日志上报至所述云端数据平台。
另外,本发明实施方式提供了一种病毒文件的处理系统,包括:如上所述的云端数据平台和如上所述的客户端。
实施本发明的各种实施方式可以精确检测和彻底清除病毒文件,提高病毒文件的查杀成功率。
附图说明
图1是根据本发明实施方式的一种病毒文件的处理方法的流程图;
图2示出了图1的步骤S3的具体流程图;
图3示出了图2的步骤S33的具体流程图;
图4是根据本发明实施方式的一种病毒文件的处理系统的架构图;
图5示出了图4所示的云端数据平台200的框图;
图6示出了图4所示的行为链脚本库300的框图;
图7示出了图4所示的引擎加载模块400的框图;
图8示出了图7所示的查杀单元420的框图;
图9是根据本发明实施方式的另一种病毒文件的处理方法的流程图;
图10是根据本发明实施方式的又一种病毒文件的处理方法的流程图。
具体实施方式
以下结合附图和具体实施方式对本发明的各个方面进行详细阐述。其中,众所周知的模块、单元及其相互之间的连接、链接、通信或操作没有示出或未作详细说明。并且,所描述的特征、架构或功能可在一个或一个以上实施方式中以任何方式组合。本领域技术人员应当理解,下述的各种实施方式只用于举例说明,而非用于限制本发明的保护范围。还可以容易理解,本文所述和附图所示的各实施方式中的模块或单元或处理方式可以按各种不同配置进行组合和设计。
图1是根据本发明实施方式的一种病毒文件的处理方法的流程图,参见图1,所述方法包括:
步骤S1,云端数据平台收集病毒统计信息,并根据收集的所述病毒统计信息筛选出病毒家族文件;其中,云端数据平台可根据客户端对病毒查询的次数和查询该病毒的机器数量,梳理出病毒查询排名前N名的病毒家族文件(例如:病毒家族文件前N名排行榜),对于所述N的取值,可根据需要病毒家族文件的范围进行设置,如前10名、前50名等,从而重点解决这些流行病毒的问题。所述病毒家族文件是指一组病毒行为相似的若干病毒文件,它们可能是同一制作者或者由同一病毒源文件修改的文件。所述病毒统计信息包括病毒的查询次数和查询机器数量,用于根据其统计的数据综合分析该病毒的流行程度。
步骤S2,客户端接收所述云端数据平台发送的病毒家族文件,对所述病毒家族文件进行行为特征分析,得到病毒家族行为信息。其中,可由所述客户端的行为链脚本库接收所述云端数据平台发送的病毒家族文件;提取所述病毒家族文件的扫描、鉴定和清除的行为特征作为所述病毒家族行为信息(所述病毒家族行为信息具体包含文件内容特征、注册表特征、进程服务特征、启动项特征、浏览器默认主页和默认搜索项等特征行为);将得到的所述病毒家族行为信息存储于所述客户端的行为链脚本库。上述行为特征所构成的病毒家族脚本文件可标识病毒家族文件的行为特征,对病毒家族文件的特性具有标识和辨别作用,将这些特征保存至行为链脚本库,用于作为病毒文件的对比样本,能够更有针对性地排查检测文件,从而精确查杀病毒文件。所述行为链脚本库可在查杀病毒文件时被引擎加载模块同步加载调用,用于作为确定病毒文件对比样本的资源库。
步骤S3,客户端根据所述病毒家族行为信息,对客户端的文件进行查杀病毒处理,并将记录所述查杀病毒处理的日志上报至所述云端数据平台。其中,所述客户端包括待查杀病毒文件的各类客户端设备,如:计算机、手机等移动终端设备;所述客户端的文件是指客户端设备中本地存储的数据文件、进程信息和注册信息。另外,在此过程中所产生的数据都被记录为日志,并及时上报云端数据平台。
步骤S4,所述云端数据平台对接收的所述日志进行分析(例如:得到病毒文件无法删除的原因等)并得到更新行为信息,为客户端的数据改进提供数据支持,从而引导进一步完善病毒文件的处理。
步骤S5,所述客户端根据所述更新行为信息对所述病毒家族行为信息进行更新。由于病毒文件的更新和变异速度快,为了有效对病毒文件进行查杀,需要不断更新病毒家族文件,因此,通过插入所述更新行为信息,使所述客户端中的病毒家族脚本文件不断更新,从而有效提高查杀病毒文件的及时性和有效性。
图2示出了图1的步骤S3的具体流程图,参见图2,步骤S3包括:
步骤S31,所述客户端的引擎加载模块加载所述行为链脚本库;
步骤S32,对客户端设备中的脚本信息中设备预定义位置进行扫描,从而可获取对应的行为特征信息;其中,进行扫描脚本信息包括:网络修复、进程、加载模块、驱动、服务、Rootkit(一种隐藏其他程式进程的软件或技术)、启动项、IE(网络浏览器)相关的项目、引导病毒、系统目录、桌面目录、开始菜单、常用软件、脚本、系统组件、登录部分、系统启动项等。
步骤S33,根据所述行为链脚本库中的病毒家族行为信息,对所述扫描后的脚本信息进行鉴定并得到病毒鉴定结果,例如,可通过将所述行为链脚本库中的病毒家族行为信息与所述扫描后的脚本信息进行对比的方式来鉴定客户端的文件是否存在病毒文件,如果两者具有相同的脚本信息,则确定该文件为病毒文件(或定义其病毒状态为危险);如果两者不具有相同的脚本信息,则确定该文件为非病毒文件(或定义其病毒状态为安全)。
步骤S34,将所述病毒鉴定结果为病毒(或定义其病毒状态为危险)的文件中的对应行为进行清除和修复处理,相比传统查杀病毒文件时统一删除病毒文件的做法,本发明则是根据病毒家族脚本文件的行为特征,对病毒文件中的行为特征进行清除和修复处理,所谓对行为特征进行清除和修复处理是指针对病毒文件及其相关的特定病毒行为(包括进程和注册表信息等)进行清除和修复,而不是按照传统杀毒软件的处理方式对整体病毒文件进行删除,。例如:本发明实施例在对所述对应行为进行清除和修复处理时,不仅停止病毒文件的服务和删除病毒文件,还将同步删除注册表项、清理此文件的关联内容、修复浏览器默认主页、重启后清除相关项等内容。而传统的杀毒软件仅删除整体病毒文件,这样可能会导致客户端设备在下次重启时出现由于删除文件引起的服务启动出错、浏览器无法打开等问题。
步骤S35,记录查杀病毒处理的日志并上报至所述云端数据平台,在上述查杀病毒处理的过程中,将所述扫描、鉴定、清除和修复处理的过程分别记录为扫描日志、鉴定日志、清除和修复处理日志,并及时上报至所述云端数据平台。
图3示出了图2的步骤S33的具体流程图,参见图3,步骤S33包括:
步骤S331,将所述扫描后的脚本信息与所述行为链脚本库的所述病毒家族行为信息进行匹配;例如,可通过将所述行为链脚本库中的病毒家族行为信息与所述扫描后的脚本信息进行对比的方式来鉴定客户端的文件是否存在病毒文件。
步骤S332,判断所述匹配是否成功,即:如果两者具有相同的脚本信息,则所述匹配成功;如果两者不具有相同的脚本信息,则所述匹配失败。
步骤S333,当所述匹配成功时,所述病毒鉴定结果为所述行为链脚本库中预定义的对应所述病毒家族行为信息的鉴定结果;则确定该文件为病毒文件(或定义其病毒状态为危险)。
步骤S334,当所述匹配失败时,将所述扫描后的脚本信息上传至所述云端数据平台进行查询鉴定,并得到所述病毒鉴定结果。对于没有匹配到对应病毒家族行为信息的脚本信息,则需要送到云端进行云查询获取其文件状态,通过状态确认是否是恶意文件。例如,可通过客户端发送这些文件的Hash值到云端,云端会保存通过云平台自动化鉴定处理后的文件状态,及时返回文件的状态给客户端。从而更加全面和完善地对文件是否存在病毒文件进行鉴定。
图4是根据本发明实施方式的一种病毒文件的处理系统的架构图,参见图4,所述系统包括:
云端数据平台200,用于执行下述操作:收集病毒统计信息,筛选出病毒家族文件,对所述病毒家族文件进行行为特征分析,得到病毒家族行为信息并发送至客户端100,获取和分析所述客户端100上报的记录查杀病毒处理的日志,并对所述日志进行分析得到更新行为信息;
客户端100,用于提供待检测病毒的文件并根据所述云端数据平台200提供的所述病毒家族行为信息对所述文件进行查杀病毒处理;
其中,所述客户端100包括:
行为链脚本库300,用于存储所述病毒家族行为信息,并根据所述云端数据平台200发送的更新行为信息对所述病毒家族行为信息进行更新;
引擎加载模块400,用于执行下述操作:加载所述行为链脚本库300,根据所述行为链脚本库300中的病毒家族行为信息,对所述客户端100提供的文件进行查杀病毒处理,并记录和上报所述查杀病毒处理的日志。其中,云端数据平台200可根据病毒查询的次数和查询该病毒的机器数量,梳理出病毒查询排名前N名的病毒家族文件(例如:病毒家族文件前N名排行榜),对于所述N的取值,可根据需要病毒家族文件的范围进行设置,如前10名、前50名等,从而重点解决这些流行病毒的问题。所述病毒家族文件是指一组病毒行为相似的若干病毒文件,它们可能是同一制作者或者由同一病毒源文件修改的文件。所述病毒统计信息包括病毒的查询次数和查询机器数量,用于根据其统计的数据综合分析该病毒的流行程度。所述对所述病毒家族文件进行特征分析包括:提取所述病毒家族文件的扫描、鉴定和清除的行为特征,具体包含文件内容特征、注册表特征、进程服务特征、启动项特征、浏览器默认主页和默认搜索项等特征行为。这些行为特征所构成的病毒家族脚本文件可标识病毒家族文件的行为特征,对病毒家族文件的特性具有标识和辨别作用,将这些特征保存至行为链脚本库300,用于作为病毒文件的对比样本,能够更有针对性地排查检测文件,从而精确查杀病毒文件。
需要说明的是,所述一种病毒文件的处理系统中的客户端100和云端数据平台200可以作为单独的执行设备用于执行下文所述的病毒文件的处理方法。
图5示出了图4所示的云端数据平台200的框图,参见图5,所述云端数据平台200包括:
收集单元210,用于收集所述病毒统计信息,并筛选出病毒家族文件;
分析单元220,用于对所述病毒家族文件进行特征分析,得到所述病毒家族行为信息,其中,所述对病毒家族文件进行特征分析包括提取所述病毒家族文件的扫描、鉴定和清除的行为特征;以及
日志单元230,用于获取所述客户端上传的所述日志,对所述日志进行分析并得到所述更新行为信息,其中,所述日志包括扫描日志、鉴定日志、清除和修复处理日志。
图6示出了图4所示的行为链脚本库300的框图,参见图6,所述行为链脚本库300包括:
存储单元310,用于存储所述病毒家族行为信息;以及
更新单元320,用于根据所述更新行为信息对所述病毒家族行为信息进行更新。由于病毒文件的更新和变异速度快,为了有效对病毒文件进行查杀,需要不断更新病毒家族文件,因此,通过插入所述更新行为信息,使所述行为链脚本库中的病毒家族行为文件不断更新,从而有效提高查杀病毒文件的及时性和有效性。
图7示出了图4所示的引擎加载模块400的框图,参见图7,所述引擎加载模块400包括:
加载单元410,用于加载所述行为链脚本库;
查杀单元420,用于对所述客户端提供的文件进行查杀病毒处理;以及
记录单元430,用于记录所述查杀病毒处理的日志,并将所述日志上传至所述云端数据平台。
其中,所述引擎加载模块400在对客户端提供的文件进行病毒文件的查杀处理过程中,通过加载所述行为链脚本库,可同步调用和对比病毒家族行为信息。另外,在此过程中所产生的数据都被记录为各类日志,并及时上报云端数据平台。
图8示出了图7所示的查杀单元420的框图,参见图8,所述查杀单元420包括:
扫描子单元421,用于对所述客户端100的脚本信息中预定义位置进行扫描。其中,进行扫描的脚本信息包括:网络修复、进程、加载模块、驱动、服务、Rootkit(一种隐藏其他程式进程的软件或技术)、启动项、IE(网络浏览器)相关的项目、引导病毒、系统目录、桌面目录、开始菜单、常用软件、脚本、系统组件、登录部分、系统启动项等。
鉴定子单元422,用于根据所述行为链脚本库中的病毒家族行为信息,对所述扫描后的脚本信息进行鉴定并得到病毒鉴定结果。例如,可通过将所述行为链脚本库中的病毒家族行为信息与所述扫描后的脚本信息进行对比的方式来鉴定客户端的文件是否存在病毒文件,如果两者具有相同的脚本信息,则确定该文件为病毒文件(或定义其病毒状态为危险);如果两者不具有相同的脚本信息,则确定该文件为非病毒文件(或定义其病毒状态为安全)。
清除子单元423,将所述病毒鉴定结果为病毒(或定义其病毒状态为危险)的文件中的对应行为进行清除和修复处理,相比传统查杀病毒文件时统一删除病毒文件的做法,本发明则是根据病毒家族脚本文件的行为特征,对病毒文件中的行为特征进行清除和修复处理,所谓对行为特征进行清除和修复处理是指针对病毒文件及其相关的特定病毒行为(包括进程和注册表信息等)进行清除和修复,而不是按照传统杀毒软件的处理方式对整体病毒文件进行删除,。例如:本发明实施例在对所述对应行为进行清除和修复处理时,不仅停止病毒文件的服务和删除病毒文件,还将同步删除注册表项、清理此文件的关联内容、修复浏览器默认主页、重启后清除相关项等内容。而传统的杀毒软件仅删除整体病毒文件,这样可能会导致客户端设备在下次重启时出现由于删除文件引起的服务启动出错、浏览器无法打开等问题。
图9是根据本发明实施方式的另一种病毒文件的处理方法的流程图,参见图9,所述方法包括:
步骤S11,云端数据平台收集病毒统计信息,根据收集的病毒统计信息筛选出病毒家族文件;
步骤S12,对所述病毒家族文件进行行为特征分析,得到病毒家族行为信息并将其发送至所述客户端,以便所述客户端根据所述病毒家族行为信息进行查杀病毒处理;其中,所述对所述病毒家族文件进行行为特征分析包括:提取所述病毒家族文件的扫描、鉴定和清除的行为特征;
步骤S13,所述云端数据平台获取所述客户端上报的记录所述查杀病毒处理的日志;其中,所述日志包括:将所述扫描、鉴定、清除和修复处理的过程分别记录为扫描日志、鉴定日志、清除和修复处理日志;
步骤S14,对所述日志进行分析并得到更新行为信息,将所述更新行为信息发送至所述客户端以对所述病毒家族行为信息进行更新。
图10是根据本发明实施方式的另一种病毒文件的处理方法的流程图,参见图10,所述方法包括:
步骤S21,客户端接收云端数据平台发送的病毒家族行为信息,并将所述接收的病毒家族行为信息存储到行为链脚本库,
步骤S22,根据所述行为链脚本库中的病毒家族行为信息,对所述客户端的文件进行查杀病毒处理,并将记录所述查杀病毒处理的日志上报至所述云端数据平台,以便所述云端数据平台对所述日志进行分析并得到更新行为信息;
步骤S23,接收所述云端数据平台发送的所述更新行为信息,并根据所述更新行为信息对所述行为链脚本库中的所述病毒家族行为信息进行更新。
其中,步骤S22中,所述根据所述行为链脚本库中的病毒家族行为信息,对所述客户端的文件进行查杀病毒处理包括:
所述引擎加载模块加载所述行为链脚本库;
对所述客户端的文件的脚本信息进行扫描;
根据所述行为链脚本库中的病毒家族行为信息,对所述扫描后的脚本信息进行鉴定并得到病毒鉴定结果;
将所述病毒鉴定结果为病毒的文件进行清除和修复处理。
其中,步骤S23中,所述根据所述行为链脚本库中的病毒家族行为信息,对所述扫描后的脚本信息进行鉴定并得到病毒鉴定结果包括:
将所述扫描后的脚本信息与所述行为链脚本库的所述病毒家族行为信息进行匹配;当所述匹配成功时,所述病毒鉴定结果为所述行为链脚本库中预定义的对应所述病毒家族行为信息的鉴定结果;当所述匹配失败时,将所述扫描后的脚本信息上传至所述云端数据平台进行查询鉴定,并得到所述病毒鉴定结果。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件结合硬件平台的方式来实现,当然也可以全部通过硬件来实施。基于这样的理解,本发明的技术方案对背景技术做出贡献的全部或者部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,智能手机或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本发明说明书中使用的术语和措辞仅仅为了举例说明,并不意味构成限定。本领域技术人员应当理解,在不脱离所公开的实施方式的基本原理的前提下,对上述实施方式中的各细节可进行各种变化。因此,本发明的范围只由权利要求确定,在权利要求中,除非另有说明,所有的术语应按最宽泛合理的意思进行理解。
Claims (17)
1.一种病毒文件的处理方法,其特征在于,所述方法包括:
云端数据平台收集病毒统计信息,并根据收集的所述病毒统计信息筛选出病毒家族文件;
客户端接收所述云端数据平台发送的病毒家族文件,对所述病毒家族文件进行行为特征分析,得到病毒家族行为信息;
所述客户端根据所述病毒家族行为信息,对客户端的文件进行查杀病毒处理,并将记录所述查杀病毒处理的日志上报至所述云端数据平台;
所述云端数据平台对接收的所述日志进行分析并得到更新行为信息;
所述客户端根据所述更新行为信息对所述病毒家族行为信息进行更新。
2.如权利要求1所述的方法,其特征在于,所述客户端接收所述云端数据平台发送的病毒家族文件,对所述病毒家族文件进行行为特征分析,得到病毒家族行为信息包括:
所述客户端的行为链脚本库接收所述云端数据平台发送的病毒家族文件;
提取所述病毒家族文件的扫描、鉴定和清除的行为特征作为所述病毒家族行为信息;
将得到的所述病毒家族行为信息进行存储。
3.如权利要求1所述的方法,其特征在于,所述客户端根据所述病毒家族行为信息,对客户端的文件进行查杀病毒处理包括:
所述客户端的引擎加载模块加载所述客户端行为链脚本库;
对所述客户端的文件的脚本信息进行扫描;
根据所述行为链脚本库中的病毒家族行为信息,对所述扫描后的脚本信息进行鉴定并得到病毒鉴定结果;
将所述病毒鉴定结果为病毒的文件进行清除和修复处理。
4.如权利要求3所述的方法,其特征在于,所述将记录所述查杀病毒处理的日志上报至所述云端数据平台包括:
将所述扫描、鉴定、清除和修复处理的过程分别记录为扫描日志、鉴定日志、清除和修复处理日志,并上报至所述云端数据平台。
5.如权利要求3所述的方法,其特征在于,所述根据所述行为链脚本库中的病毒家族行为信息,对所述扫描后的脚本信息进行鉴定并得到病毒鉴定结果包括:
将所述扫描后的脚本信息与所述行为链脚本库的所述病毒家族行为信息进行匹配;当所述匹配成功时,所述病毒鉴定结果为所述行为链脚本库中预定义的对应所述病毒家族行为信息的鉴定结果;当所述匹配失败时,将所述扫描后的脚本信息上传至所述云端数据平台进行查询鉴定,并得到所述病毒鉴定结果。
6.一种病毒文件的处理方法,其特征在于,所述方法包括:
云端数据平台收集病毒统计信息,根据所述收集的病毒统计信息筛选出病毒家族文件,
对所述病毒家族文件进行行为特征分析,得到病毒家族行为信息并将其发送至所述客户端,以便所述客户端根据所述病毒家族行为信息进行查杀病毒处理;
所述云端数据平台获取所述客户端上报的记录所述查杀病毒处理的日志;
对所述日志进行分析并得到更新行为信息,将所述更新行为信息发送至所述客户端以对所述病毒家族行为信息进行更新。
7.如权利要求6所述的方法,其特征在于,所述对所述病毒家族文件进行行为特征分析包括:
提取所述病毒家族文件的扫描、鉴定和清除的行为特征。
8.如权利要求7所述的方法,其特征在于,所述客户端上报的记录所述查杀病毒处理的日志包括:
将所述扫描、鉴定、清除和修复处理的过程分别记录为扫描日志、鉴定日志、清除和修复处理日志。
9.一种云端数据平台,其特征在于,所述云端数据平台包括:
收集单元,用于收集所述病毒统计信息,根据所述收集的病毒统计信息筛选出病毒家族文件;
分析单元,用于执行下述操作:对所述病毒家族文件进行特征分析,得到病毒家族行为信息并将其发送至所述客户端,以便所述客户端根据所述病毒家族行为信息进行查杀病毒处理;以及
日志单元,用于执行下述操作:获取所述客户端上报的所述日志,对所述日志进行分析并得到更新行为信息,将所述更新行为信息发送至所述客户端以对所述病毒家族行为信息进行更新。
10.一种病毒文件的处理方法,其特征在于,所述方法包括:
客户端接收云端数据平台发送的病毒家族行为信息,并将所述接收的病毒家族行为信息存储到行为链脚本库,
根据所述行为链脚本库中的病毒家族行为信息,对所述客户端的文件进行查杀病毒处理,并将记录所述查杀病毒处理的日志上报至所述云端数据平台,以便所述云端数据平台对所述日志进行分析并得到更新行为信息,
接收所述云端数据平台发送的所述更新行为信息,并根据所述更新行为信息对所述行为链脚本库中的所述病毒家族行为信息进行更新。
11.如权利要求10所述的方法,其特征在于,所述根据所述行为链脚本库中的病毒家族行为信息,对所述客户端的文件进行查杀病毒处理包括:
所述引擎加载模块加载所述行为链脚本库;
对所述客户端的文件的脚本信息进行扫描;
根据所述行为链脚本库中的病毒家族行为信息,对所述扫描后的脚本信息进行鉴定并得到病毒鉴定结果;
将所述病毒鉴定结果为病毒的文件进行清除和修复处理。
12.如权利要求11所述的方法,其特征在于,所述根据所述行为链脚本库中的病毒家族行为信息,对所述扫描后的脚本信息进行鉴定并得到病毒鉴定结果包括:
将所述扫描后的脚本信息与所述行为链脚本库的所述病毒家族行为信息进行匹配;当所述匹配成功时,所述病毒鉴定结果为所述行为链脚本库中预定义的对应所述病毒家族行为信息的鉴定结果;当所述匹配失败时,将所述扫描后的脚本信息上传至所述云端数据平台进行查询鉴定,并得到所述病毒鉴定结果。
13.一种客户端,其特征在于,所述客户端包括:
行为链脚本库,用于执行下述操作:接收和存储云端数据平台发送的病毒家族行为信息;接收所述云端数据平台发送的更新行为信息,并根据所述更新行为信息对所述病毒家族行为信息进行更新;
引擎加载模块,用于执行下述操作:加载所述行为链脚本库,根据所述行为链脚本库中的病毒家族行为信息,对所述客户端提供的文件进行查杀病毒处理,并将记录所述查杀病毒处理的日志上报至所述云端数据平台。
14.如权利要求13所述的客户端,其特征在于,所述行为链脚本库包括:
存储单元,用于存储所述病毒家族行为信息;以及
更新单元,用于根据所述更新行为信息对所述病毒家族行为信息进行更新。
15.如权利要求13所述的客户端,其特征在于,所述引擎加载模块包括:
加载单元,用于加载所述行为链脚本库;
查杀单元,用于对所述客户端提供的文件进行查杀病毒处理;以及
记录单元,用于记录所述查杀病毒处理的日志,并将所述日志上传至所述云端数据平台。
16.如权利要求15所述的客户端,其特征在于,所述查杀单元包括:
扫描子单元,用于对所述客户端的文件的脚本信息进行扫描;
鉴定子单元,用于根据所述行为链脚本库中的病毒家族行为信息,对所述扫描后的脚本信息进行鉴定并得到病毒鉴定结果;以及
清除子单元,用于将所述病毒鉴定结果中的病毒文件进行清除和修复处理。
17.一种病毒文件的处理系统,其特征在于,包括:权利要求9所述的云端数据平台和权利要求13至16任意一项所述的客户端。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410542371.2A CN104298920A (zh) | 2014-10-14 | 2014-10-14 | 一种病毒文件的处理方法、系统及设备 |
PCT/CN2015/081856 WO2016058403A1 (zh) | 2014-10-14 | 2015-06-18 | 一种病毒文件的处理方法、系统及设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410542371.2A CN104298920A (zh) | 2014-10-14 | 2014-10-14 | 一种病毒文件的处理方法、系统及设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN104298920A true CN104298920A (zh) | 2015-01-21 |
Family
ID=52318643
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410542371.2A Pending CN104298920A (zh) | 2014-10-14 | 2014-10-14 | 一种病毒文件的处理方法、系统及设备 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN104298920A (zh) |
WO (1) | WO2016058403A1 (zh) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2016058403A1 (zh) * | 2014-10-14 | 2016-04-21 | 百度在线网络技术(北京)有限公司 | 一种病毒文件的处理方法、系统及设备 |
CN105528543A (zh) * | 2015-12-23 | 2016-04-27 | 北京奇虎科技有限公司 | 远程杀毒的方法、客户端、控制台及系统 |
WO2016095479A1 (zh) * | 2014-12-19 | 2016-06-23 | 百度在线网络技术(北京)有限公司 | 一种病毒处理方法、装置、系统、设备和计算机存储介质 |
CN106961450A (zh) * | 2017-05-24 | 2017-07-18 | 深信服科技股份有限公司 | 安全防御方法、终端、云端服务器以及安全防御系统 |
CN107563200A (zh) * | 2017-09-07 | 2018-01-09 | 郑州云海信息技术有限公司 | 一种文件管理方法和装置 |
CN112580030A (zh) * | 2019-09-27 | 2021-03-30 | 奇安信科技集团股份有限公司 | 网络系统及半隔离网终端病毒查杀方法和装置 |
CN112989349A (zh) * | 2021-04-19 | 2021-06-18 | 腾讯科技(深圳)有限公司 | 病毒检测方法、装置、设备及存储介质 |
WO2021135940A1 (zh) * | 2019-12-31 | 2021-07-08 | 深信服科技股份有限公司 | 一种恶意文件的修复方法、装置、电子设备及存储介质 |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111159520B (zh) * | 2019-12-31 | 2023-11-10 | 奇安信科技集团股份有限公司 | 样本鉴定方法、装置及安全应急响应系统 |
CN112948829B (zh) * | 2021-03-03 | 2023-11-03 | 深信服科技股份有限公司 | 文件查杀方法、系统、设备及存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101388056A (zh) * | 2008-10-20 | 2009-03-18 | 成都市华为赛门铁克科技有限公司 | 一种预防恶意程序的方法、系统及装置 |
US20110271341A1 (en) * | 2010-04-28 | 2011-11-03 | Symantec Corporation | Behavioral signature generation using clustering |
CN102332071A (zh) * | 2011-09-30 | 2012-01-25 | 奇智软件(北京)有限公司 | 发现疑似恶意信息、追踪恶意文件的方法及装置 |
CN102664875A (zh) * | 2012-03-31 | 2012-09-12 | 华中科技大学 | 基于云模式的恶意代码类别检测方法 |
CN102945350A (zh) * | 2012-10-24 | 2013-02-27 | 珠海市君天电子科技有限公司 | 一种远程杀毒的方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104298920A (zh) * | 2014-10-14 | 2015-01-21 | 百度在线网络技术(北京)有限公司 | 一种病毒文件的处理方法、系统及设备 |
-
2014
- 2014-10-14 CN CN201410542371.2A patent/CN104298920A/zh active Pending
-
2015
- 2015-06-18 WO PCT/CN2015/081856 patent/WO2016058403A1/zh active Application Filing
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101388056A (zh) * | 2008-10-20 | 2009-03-18 | 成都市华为赛门铁克科技有限公司 | 一种预防恶意程序的方法、系统及装置 |
US20110271341A1 (en) * | 2010-04-28 | 2011-11-03 | Symantec Corporation | Behavioral signature generation using clustering |
CN102332071A (zh) * | 2011-09-30 | 2012-01-25 | 奇智软件(北京)有限公司 | 发现疑似恶意信息、追踪恶意文件的方法及装置 |
CN102664875A (zh) * | 2012-03-31 | 2012-09-12 | 华中科技大学 | 基于云模式的恶意代码类别检测方法 |
CN102945350A (zh) * | 2012-10-24 | 2013-02-27 | 珠海市君天电子科技有限公司 | 一种远程杀毒的方法 |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2016058403A1 (zh) * | 2014-10-14 | 2016-04-21 | 百度在线网络技术(北京)有限公司 | 一种病毒文件的处理方法、系统及设备 |
WO2016095479A1 (zh) * | 2014-12-19 | 2016-06-23 | 百度在线网络技术(北京)有限公司 | 一种病毒处理方法、装置、系统、设备和计算机存储介质 |
US10192053B2 (en) | 2014-12-19 | 2019-01-29 | Baidu Online Network Technology (Beijing) Co., Ltd. | Method, apparatus, system, device and computer storage medium for treating virus |
CN105528543A (zh) * | 2015-12-23 | 2016-04-27 | 北京奇虎科技有限公司 | 远程杀毒的方法、客户端、控制台及系统 |
CN106961450A (zh) * | 2017-05-24 | 2017-07-18 | 深信服科技股份有限公司 | 安全防御方法、终端、云端服务器以及安全防御系统 |
CN107563200A (zh) * | 2017-09-07 | 2018-01-09 | 郑州云海信息技术有限公司 | 一种文件管理方法和装置 |
CN112580030A (zh) * | 2019-09-27 | 2021-03-30 | 奇安信科技集团股份有限公司 | 网络系统及半隔离网终端病毒查杀方法和装置 |
CN112580030B (zh) * | 2019-09-27 | 2023-08-01 | 奇安信科技集团股份有限公司 | 网络系统及半隔离网终端病毒查杀方法和装置 |
WO2021135940A1 (zh) * | 2019-12-31 | 2021-07-08 | 深信服科技股份有限公司 | 一种恶意文件的修复方法、装置、电子设备及存储介质 |
CN113127865A (zh) * | 2019-12-31 | 2021-07-16 | 深信服科技股份有限公司 | 一种恶意文件的修复方法、装置、电子设备及存储介质 |
CN113127865B (zh) * | 2019-12-31 | 2023-11-07 | 深信服科技股份有限公司 | 一种恶意文件的修复方法、装置、电子设备及存储介质 |
CN112989349A (zh) * | 2021-04-19 | 2021-06-18 | 腾讯科技(深圳)有限公司 | 病毒检测方法、装置、设备及存储介质 |
CN112989349B (zh) * | 2021-04-19 | 2021-08-13 | 腾讯科技(深圳)有限公司 | 病毒检测方法、装置、设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
WO2016058403A1 (zh) | 2016-04-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104298920A (zh) | 一种病毒文件的处理方法、系统及设备 | |
US20130167236A1 (en) | Method and system for automatically generating virus descriptions | |
CN103607381B (zh) | 白名单生成及恶意程序检测方法、客户端和服务器 | |
CN101923617B (zh) | 一种基于云的样本数据库动态维护方法 | |
US10216848B2 (en) | Method and system for recommending cloud websites based on terminal access statistics | |
CN104573515A (zh) | 一种病毒处理方法、装置和系统 | |
CN102413142A (zh) | 基于云平台的主动防御方法 | |
CN106529294B (zh) | 一种用于手机病毒判定与过滤的方法 | |
US20160140344A1 (en) | Security information management system and security information management method | |
CN110691080B (zh) | 自动溯源方法、装置、设备及介质 | |
CN102799811B (zh) | 扫描方法和装置 | |
CN101304426A (zh) | 一种可疑文件的识别上报方法和装置 | |
Kumari et al. | An insight into digital forensics branches and tools | |
CN102663288A (zh) | 病毒查杀方法及装置 | |
CN102708309A (zh) | 恶意代码自动分析方法及系统 | |
CN103475671B (zh) | 恶意程序检测方法 | |
CN103177022A (zh) | 一种恶意文件搜索方法及装置 | |
CN104239798B (zh) | 移动办公系统及其杀毒方法和系统中的移动端、服务器端 | |
CN112257032B (zh) | 一种确定app责任主体的方法及系统 | |
CN113259392A (zh) | 一种网络安全攻防方法、装置及存储介质 | |
CN103716394A (zh) | 下载文件的管理方法及装置 | |
Riadi et al. | Comparative analysis of forensic software on android-based michat using acpo and dfrws framework | |
JP6169497B2 (ja) | 接続先情報判定装置、接続先情報判定方法、及びプログラム | |
Satrya et al. | A novel Android memory forensics for discovering remnant data | |
TWI640891B (zh) | 偵測惡意程式的方法和裝置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20150121 |