CN104980407A - 误报检测方法和装置 - Google Patents
误报检测方法和装置 Download PDFInfo
- Publication number
- CN104980407A CN104980407A CN201410145545.1A CN201410145545A CN104980407A CN 104980407 A CN104980407 A CN 104980407A CN 201410145545 A CN201410145545 A CN 201410145545A CN 104980407 A CN104980407 A CN 104980407A
- Authority
- CN
- China
- Prior art keywords
- malware
- wrong report
- information
- clouds
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明提出一种误报检测方法和装置,该误报检测方法包括识别恶意软件;获取所述识别恶意软件时的第一信息,并将所述第一信息发送给云端,以使所述云端根据所述第一信息判断对所述恶意软件的识别是否为误报;接收所述云端发送的判断结果,根据所述判断结果确定是否存在误报。该方法能够在云端根据客户端识别出的恶意软件的第一信息进行误报的判断,不依赖用户主动上报误报情况,可以及时检测出误报。
Description
技术领域
本发明涉及安全技术领域,尤其涉及一种误报检测方法和装置。
背景技术
云安全(Cloud Security)技术是网络时代信息安全的最新体现,应用云安全技术后,识别和查杀病毒不再仅仅依靠本地硬盘中的病毒库,而是依靠庞大的网络服务,实时进行采集、分析和处理。应用云安全技术的杀毒系统包括杀毒软件客户端(以下简称客户端)和云端,客户端位于用户设备,例如用户计算机上,客户端中的本地引擎可以完成病毒扫描过程,扫描过程的读文件、获取特征码、特征匹配、判定是否恶意软件等步骤都是在用户设备上完成,扫描过程不连接网络,或者说不从云端接收信息并影响流程。云端是由硬件服务器和相关软件组成,可以接收客户端的信息,对接收的信息进行处理并返回处理信息给客户端。客户端和云端可以通过因特网连接并进行信息传输。
在病毒扫描过程中,可能会出现误报情况。误报是指本地引擎将正常的软件识别为恶意软件的现象。相关技术中,杀毒软件厂商发现误报和解除误报的基本流程大致如下:本地引擎在在用户设备上扫描文件,本地引擎误将正常软件识别为恶意软件,本地引擎将正常软件当恶意软件处理,用户通过客户端向杀毒软件厂商反馈误报,厂商核实误报反馈,厂商发布升级数据,用户主动升级杀毒软件或杀毒软件自动升级,误报解除。
但是,上述技术中,杀毒软件厂商主要依赖用户主动反馈误报才获知误报,及时性会存在问题。
发明内容
本发明旨在至少在一定程度上解决相关技术中的技术问题之一。
为此,本发明的一个目的在于提出一种误报检测方法,该误报检测方法能够使得客户端及时发现误报,进而可以及时解除误报。
本发明的第二个目的在于提出一种误报检测装置。
为达到上述目的,本发明第一方面实施例提出的误报检测方法,包括:识别恶意软件;获取所述识别恶意软件时的第一信息,并将所述第一信息发送给云端,以使所述云端根据所述第一信息判断对所述恶意软件的识别是否为误报;接收所述云端发送的判断结果,根据所述判断结果确定是否存在误报。
本发明第一方面实施例提出的误报检测方法通过客户端在识别出恶意软件后将第一信息发送给云端,由云端根据该第一信息判断是否存在误报。由于无需等待用户主动反馈误报情况,而是直接由云端进行误报判断,可以提高误报检测的及时性,进而客户端可以及时解除误报。
为达到上述目的,本发明第二方面实施例提出的误报检测装置,包括:识别模块,用于识别恶意软件;获取模块,用于获取所述识别恶意软件时的第一信息,并将所述第一信息发送给云端,以使所述云端根据所述第一信息判断对所述恶意软件的识别是否为误报;判定模块,用于接收所述云端发送的判断结果,根据所述判断结果确定是否存在误报。
本发明第二方面实施例提出的误报检测装置,通过客户端在识别出恶意软件后将第一信息发送给云端,由云端根据该第一信息判断是否存在误报。由于无需等待用户主动反馈误报情况,而是直接由云端进行误报判断,可以提高误报检测的及时性,进而客户端可以及时解除误报。
为达到上述目的,本发明第三方面实施例提出的客户端设备,包括壳体、处理器、存储器、电路板和电源电路,其中,所述电路板安置在所述壳体围成的空间内部,所述处理器和所述存储器设置在所述电路板上;所述电源电路,用于为所述客户端设备的各个电路或器件供电;所述存储器用于存储可执行程序代码;所述处理器通过读取所述存储器中存储的可执行程序代码来运行与所述可执行程序代码对应的程序,以用于:识别恶意软件;获取所述识别恶意软件时的第一信息,并将所述第一信息发送给云端,以使所述云端根据所述第一信息判断对所述恶意软件的识别是否为误报;接收所述云端发送的判断结果,根据所述判断结果确定是否存在误报。
本发明第三方面实施例提出的客户端设备在识别出恶意软件后将第一信息发送给云端,由云端根据该第一信息判断是否存在误报。由于无需等待用户主动反馈误报情况,而是直接由云端进行误报判断,可以提高误报检测的及时性,进而客户端可以及时解除误报。
本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:
图1为本发明实施例提供的一种误报检测方法的流程示意图;
图2为本发明实施例提供的另一种误报检测方法的流程示意图;
图3为本发明实施例提供的另一种误报检测方法的流程示意图;
图4为本发明实施例提供的另一种误报检测方法的流程示意图;
图5为本发明实施例提供的另一种误报检测方法的流程示意图;
图6为本发明实施例提供的另一种误报检测方法的流程示意图;
图7为本发明实施例提供的一种误报检测装置的结构示意图;
图8为本发明实施例提供的另一种误报检测装置的结构示意图;
图9为本发明实施例提供的另一种误报检测装置的结构示意图;
图10为本发明实施例提供的另一种误报检测装置的结构示意图;
图11为本发明实施例提供的另一种误报检测装置的结构示意图;
图12为本发明实施例提供的另一种误报检测装置的结构示意图;
图13为本发明实施例提供的另一种误报检测装置的结构示意图;
图14为本发明实施例提供的另一种误报检测系统的结构示意图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能理解为对本发明的限制。相反,本发明的实施例包括落入所附加权利要求书的精神和内涵范围内的所有变化、修改和等同物。
需要说明的是,在本发明的描述中,术语“第一”、“第二”等仅用于描述目的,而不能理解为指示或暗示相对重要性。此外,在本发明的描述中,除非另有说明,“多个”的含义是两个或两个以上。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本发明的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
图1为本发明实施例提供的一种误报检测方法的流程示意图,如图1所示,该方法包括:
S11:客户端识别恶意软件。
可以理解的是,相关技术中,客户端也可以识别出恶意软件,因此,本领域技术人员可以获知具体的客户端如何实现恶意软件的识别,本发明实施例不再赘述。
相关技术中,客户端在识别出恶意软件后直接按照恶意软件处理流程进行处理,但是,客户端识别出的恶意软件有可能是正常软件,也就是产生了误报。相关技术中,误报需要用户通过客户端上报给服务器端。为了使云端及时获知误报,本发明实施例的误报检测方法在识别出恶意软件之后,还包括:
S12:客户端获取所述识别恶意软件时的第一信息,并将所述第一信息发送给云端,以使所述云端根据所述第一信息判断对所述恶意软件的识别是否为误报。
所述第一信息包括如下项中的至少一项:
所述恶意软件的哈希(hash)值;
识别所述恶意软件的本地引擎信息;
所述恶意软件的特征信息;
所述恶意软件所在客户端的不可逆的唯一用户标识(Universally Unique Identifier,UUID)。
其中,恶意软件的哈希值可以是对恶意软件的二进制文件进行哈希运算后得到的,哈希算法包括但不限于:消息摘要算法第五版(Message Digest Algorithm,MD5)、循环冗余校验码(Cyclic Redundancy Check,CRC)、安全哈希算法(Secure Hash Algorithm,sha1)等。
本地引擎信息可以是对本地引擎进行识别后获取的,本地引擎信息包括:引擎名,和/或,命中规则标识(ID)等。
恶意软件的特征信息可以是对恶意软件的二进制文件进行解析后获取的,恶意软件的特征信息包括如下项中的至少一项:文件路径、文件类型、文件大小等。
UUID可以是对恶意软件所在客户端的识别获取的。
S13:客户端接收所述云端发送的判断结果,根据所述判断结果确定是否存在误报。
例如,在判断结果表明为误报时,客户端可以确定存在误报;在判断结果表明为非误报时,客户端可以确定不存在误报。
本实施例的客户端通过在识别出恶意软件后不是直接作为恶意软件进行处理,而是向云端发送识别出的恶意软件的第一信息,以便云端根据该第一信息判断是否为误报,可以使得云端及时获知是否存在误报。
相关技术中,由服务器端升级杀毒软件版本,并且客户端升级后才可以获知误报。而本实施例的客户端通过接收云端的判断结果可以及时获知是否存在误报,而不再需要等待杀毒软件升级后才能确定误报。因此,本实施例提高了云端和客户端获知误报的及时性。另外,客户端由于在识别出恶意软件后会向云端查询,并获知是否误报的判断结果,因此客户端无需升级软件就可以及时获知误报,避免需要升级导致的延迟问题。
图2为本发明实施例提供的另一种误报检测方法的流程示意图,该方法在上述的S13之后还可以包括:
S14:客户端在所述判断结果表明为误报时,对所述识别出的恶意软件不作为恶意软件进行处理。
也就是说,识别出的恶意软件为正常软件,不进行杀毒处理。或者,
S15:客户端在所述判断结果表明为非误报时,对所述识别出的恶意软件作为恶意软件进行处理。
也就是说,识别出的恶意软件不是正常软件,需要进行杀毒处理。
本实施例通过根据判断结果进行处理,可以在存在误报时及时解除误报。
图3为本发明实施例提供的另一种误报检测方法的流程示意图,该方法在上述的S13之后还可以包括:
S31:客户端在确定存在误报时,将第一信息记录在误报列表中。
例如,确定存在误报时的第一信息为哈希值_1,那么可以在误报列表中记录哈希值_1。
S32:下次识别出的恶意软件时,查找误报列表,判断下次识别出恶意软件时的信息是否记录在误报列表中,如果在,则执行S33,否则执行S34。
例如,下次识别出恶意软件时,也可以获取此时的恶意软件的信息,例如,获取此时的恶意软件的哈希值。
S33:直接将该次的恶意软件的识别确定为误报。
例如,S32中识别出的恶意软件的哈希值为哈希值_1,由于哈希值_1记录在误报列表中,则将该次的恶意软件的识别确定为误报,不需要再向云端进行判断。
S34:将该次的恶意软件的识别时的信息发送给云端,由云端进行判断,并接收云端发送的判断结果。
例如,S32中获取的信息是哈希值_3,由于其不在误报列表中,可以将该哈希值_3发送给云端,由云端进行是否误报的判断。
进一步的,假设云端反馈的结果是误报,那么也可以把该哈希值_3也记录在误报列表中,以供后续检测查找。
本实施例以客户端获知误报后,记录第一信息,以供后续检测参考。
可以理解的是,客户端在获知误报后还可以进行其他操作,例如,客户端在确定存在误报时,进行软件升级处理。
相关技术中,由于升级依赖用户的自主性或者杀毒软件设定的升级日期,因此在误报发生时并不能及时升级,会造成误报不能及时解除。而本实施例通过在发生误报后就进行软件升级,可以及时升级软件,进而及时解决误报。
本实施例通过在获知存在误报时,将误报时的信息进行记录,可以为后续检测提供基础,避免每次都去云端查询,可以降低资源开销。
图4为本发明实施例提供的另一种误报检测方法的流程示意图,如图4所示,该方法包括:
S41:云端接收客户端发送的第一信息,所述第一信息是所述客户端识别出恶意软件时获取的信息;
所述第一信息包括如下项中的至少一项:
所述恶意软件的哈希(hash)值;
识别所述恶意软件的本地引擎信息;
所述恶意软件的特征信息;
所述恶意软件所在客户端的不可逆的唯一用户标识(Universally Unique Identifier,UUID)。
其中,恶意软件的哈希值可以是对恶意软件的二进制文件进行哈希运算后得到的,哈希算法包括但不限于:消息摘要算法第五版(Message Digest Algorithm,MD5)、循环冗余校验码(Cyclic Redundancy Check,CRC)、安全哈希算法(Secure Hash Algorithm,sha1)等。
本地引擎信息可以是对本地引擎进行识别后获取的,本地引擎信息包括:引擎名,和/或,命中规则标识(ID)等。
恶意软件的特征信息可以是对恶意软件的二进制文件进行解析后获取的,恶意软件的特征信息包括如下项中的至少一项:文件路径、文件类型、文件大小等。
UUID可以是对恶意软件所在客户端的识别获取的。
S42:云端根据所述第一信息判断所述客户端对所述恶意软件的识别是否为误报;
S43:云端将判断结果发送给所述客户端,以使所述客户端根据所述判断结果确定是否存在误报。
如上述实施例,客户端在收到判断结果后,可以根据判断结果确定是否存在误报,进而可以进行相应处理。具体内容可以参照上述实施例,在此不再赘述。
可选的,在云端设置有误报判定规则库,以便进行上述的误报判定。
相应的,图5为本发明实施例提供的另一种误报检测方法的流程示意图,该方法包括:
S51:云端接收客户端发送的第一信息,所述第一信息是所述客户端识别出恶意软件时获取的信息。
具体内容可以参见S41,在此不再赘述。
S52:云端设置误报判定规则库,所述误报判定规则库中记录属于误报的规则。
例如,误报规则库中可以记录当恶意软件的哈希值为设定的某个哈希值时,则为误报;和/或,当本地引擎信息为设定的某个本地引擎信息时,为误报等。
S53:云端在所述第一信息满足所述误报判定规则中记录的规则时,确定对所述恶意软件的识别为误报。
其中,所述第一信息和/或所述属于误报的规则,包括如下项中的至少一项:
所述恶意软件的哈希值;
识别所述恶意软件的本地引擎信息;
所述恶意软件的特征信息;
所述恶意软件所在客户端的不可逆的唯一用户标识。
相应的,当所述第一信息与所述属于误报的规则相同时,确定所述第一信息满足所述误报判断规则中记录的规则。
例如,误报判断规则库中记录:本地引擎A的a1规则识别的文件为误报,那么,当云端接收的客户端上报的第一信息包括本地引擎信息,本地引擎信息包括引擎号和命中规则标识,且引擎号为A,命中规则标识为a1时,则确定此时客户端对恶意软件的识别为误报。或者,误报判断规则库中记录:哈希值为x的文件为误报,那么,当云端接收的客户端上报的第一信息包括识别出的恶意软件的哈希值,且该哈希值为x时,则确定此时客户端对恶意软件的识别为误报。
S54:云端将判断结果发送给所述客户端,以使所述客户端根据所述判断结果确定是否存在误报。
如上述实施例,客户端在收到判断结果后,可以根据判断结果确定是否存在误报,进而可以进行相应处理。具体内容可以参照上述实施例,在此不再赘述。
本实施例的云端可以接收客户端在识别出恶意软件后发送的第一信息,云端根据该第一信息进行误报的判断,并将判断结果反馈给客户端。因此,客户端可以及时获知是否存在误报,进而可以及时解除误报。
相关技术中,杀毒厂商需要根据各用户反馈的误报情况,从这些反馈中筛选出相对紧急重要误报进行优先处理。由于用户反馈误报的及时性不够,就会造成不能及时处理紧急重要误报,延误紧急重要误报。为此,如图6所示,本发明还提供一种实施例,以解决相关技术中存在的延误紧急重要误报的问题。
图6为本发明实施例提供的另一种误报检测方法的流程示意图,包括:
S61:云端接收客户端发送的第一信息,所述第一信息是所述客户端识别出恶意软件时获取的信息;
S62:云端设置误报判定规则库,所述误报判定规则库中记录属于误报的规则;
S63:云端在所述第一信息满足所述误报判定规则中记录的规则时,确定对所述恶意软件的识别为误报。
S64:云端将判断结果发送给所述客户端,以使所述客户端根据所述判断结果确定是否存在误报。
具体内容可以参见S51~S54,在此不再赘述。
S65:云端区分紧急误报和非紧急误报;
其中,云端可以设置恶意软件信息库,用于记录根据各个客户端反馈的第一信息得到的统计信息,例如,可以得到针对感染同一个恶意软件的客户端的数量,进而,云端可以根据该统计信息进行区分;和/或,
云端可以设置用户反馈误报信息库,其中记录各用户反馈的误报情况,例如,根据用户反馈的误报情况也可以得到感染同一个恶意软件的客户端的数量,进而,云端可以根据该用户数量进行区分。或者,用户可以反馈识别出的恶意软件的性质,根据该性质进行区分。
即S65可以具体包括:
对各个客户端发送到第一信息进行统计,根据统计结果区分紧急误报和非紧急误报;和/或,
获取用户反馈的误报情况,根据用户反馈的误报情况区分紧急误报和非紧急误报。
进一步的,所述第一信息中包含识别出的恶意软件的信息以及客户端的信息,所述对各个客户端发送到第一信息进行统计,根据统计结果区分紧急误报和非紧急误报,包括:
根据各个客户端发送的第一信息,确定识别出同一恶意软件的客户端的数量;
在所述数量大于预设的阈值时,确定对所述恶意软件的识别为紧急误报。
其中,该预设的阈值可以是10万户/每天。
另一实施例中,所述获取用户反馈的误报情况,根据用户反馈的误报情况区分紧急误报和非紧急误报,包括:
获取各用户反馈的误报情况,确定反馈同一恶意软件的用户数量;
在所述用户数量大于预设的阈值时,确定对所述恶意软件的识别为紧急误报。
其中,该预设的阈值也可以是10万户/每天。
另一实施例中,所述获取用户反馈的误报情况,根据用户反馈的误报情况区分紧急误报和非紧急误报,包括:
根据用户反馈的误报的软件性质,区分紧急误报和非紧急误报。
具体可以是,所述根据用户反馈的误报的软件性质,区分紧急误报和非紧急误报,包括:
在所述用户反馈的误报的软件是系统运行必需软件时,将对所述系统运行必需软件的误报确定为紧急误报。
系统运行必需软件例如为windows系统文件。
S66:云端优先核实所述紧急误报,并在核实后,将所述紧急误报对应的规则更新到所述误报判定规则库中。
其中,可以根据静态代码分析,和/或,动态行为分析,核实是否为误报。
例如,编写一段静态代码,该静态代码可以获取一定时间段内感染同一恶意软件的范围,如果该范围超出预设值,则可以核实为误报;或者,通过动态行为获取一定时间段内增加的感染同一恶意软件的用户数量,如果该数量超出预算值,则可以核实为误报。这是由于感染范围很大或者感染量增加很快通常不会是病毒,当然,这种情况也可能是病毒大规模爆发,为此,之后还可以进行进一步的核实,具体内容可以采用相关技术中病毒核实的流程,本实施例不再赘述。
在核实为误报后,可以将此时客户端识别出恶意软件时发送的第一信息更新到误报判断规则库中,以便后续检测作为参考。
例如,原来的误报判断规则库中的哈希值不包括y,而经过核实哈希值为y的软件为误报,那么可以将y更新到误报判断规则库中,当下次客户端识别出的恶意软件的哈希值为y后,根据该更新后的误报判断规则库就可以确定其为误报。
本实施例中由于云端拥有所有客户端识别出的恶意软件的信息,可以在没有用户反馈或者用户未及时反馈的情况下,根据客户端上报的第一信息进行分析,及时区分出紧急误报,避免对紧急误报的延迟。
图7为本发明实施例提供的一种误报检测装置的结构示意图,该装置70包括识别模块71、获取模块72和判定模块73。
识别模块71用于识别恶意软件;
获取模块72用于获取所述识别恶意软件时的第一信息,并将所述第一信息发送给云端,以使所述云端根据所述第一信息判断对所述恶意软件的识别是否为误报;
判定模块73用于接收所述云端发送的判断结果,根据所述判断结果确定是否存在误报。
在一个实施例中,可以理解的是,相关技术中,客户端也可以识别出恶意软件,因此,本领域技术人员可以获知具体的识别模块71如何实现恶意软件的识别,本发明实施例不再赘述。
相关技术中,客户端在识别出恶意软件后直接按照恶意软件处理流程进行处理,但是,客户端识别出的恶意软件有可能是正常软件,也就是产生了误报。相关技术中,误报需要用户通过客户端上报给服务器端。为了使云端及时获知误报,本发明实施例的误报检测装置在识别出恶意软件之后,还包括上述的获取模块72和判定模块73。
对应获取模块72,其中,所述第一信息包括如下项中的至少一项:
所述恶意软件的哈希(hash)值;
识别所述恶意软件的本地引擎信息;
所述恶意软件的特征信息;
所述恶意软件所在客户端的不可逆的唯一用户标识(Universally Unique Identifier,UUID)。
其中,恶意软件的哈希值可以是对恶意软件的二进制文件进行哈希运算后得到的,哈希算法包括但不限于:消息摘要算法第五版(Message Digest Algorithm,MD5)、循环冗余校验码(Cyclic Redundancy Check,CRC)、安全哈希算法(Secure Hash Algorithm,sha1)等。
本地引擎信息可以是对本地引擎进行识别后获取的,本地引擎信息包括:引擎名,和/或,命中规则标识(ID)等。
恶意软件的特征信息可以是对恶意软件的二进制文件进行解析后获取的,恶意软件的特征信息包括如下项中的至少一项:文件路径、文件类型、文件大小等。
UUID可以是对恶意软件所在客户端的识别获取的。
对应判定模块73,例如,在判断结果表明为误报时,客户端可以确定存在误报;在判断结果表明为非误报时,客户端可以确定不存在误报。
例如,在判断结果表明为误报时,客户端可以确定存在误报;在判断结果表明为非误报时,客户端可以确定不存在误报。
本实施例的客户端通过在识别出恶意软件后不是直接作为恶意软件进行处理,而是向云端发送识别出的恶意软件的第一信息,以便云端根据该第一信息判断是否为误报,可以使得云端及时获知是否存在误报
相关技术中,由服务器端升级杀毒软件版本,并且客户端升级后才可以获知误报。而本实施例的客户端通过接收云端的判断结果可以及时获知是否存在误报,而不再需要等待杀毒软件升级后才能确定误报。因此,本实施例提高了云端和客户端获知误报的及时性。另外,客户端由于在识别出恶意软件后会向云端查询,并获知是否误报的判断结果,因此客户端无需升级软件就可以及时获知误报,避免需要升级导致的延迟问题。
图8为本发明实施例提供的另一种误报检测装置的结构示意图,该装置在图7所述的实施例的基础上,还包括:处理模块74。
处理模块74,用于在所述判定模块73接收的所述判断结果表明为误报时,对所述识别出的恶意软件不作为恶意软件进行处理,也就是说,识别出的恶意软件为正常软件,不进行杀毒处理;和/或,在所述判定模块接收的所述判断结果表明为非误报时,对所述识别出的恶意软件作为恶意软件进行处理,也就是说,识别出的恶意软件不是正常软件,需要进行杀毒处理。
本实施例通过根据判断结果进行处理,可以在存在误报时及时解除误报。
图9为本发明实施例提供的另一种误报检测装置的结构示意图,该装置在图7所示的基础上还包括记录模块75、第一查找模块76和第二查找模块77。
记录模块75用于在判定模块73确定存在误报时,将第一信息记录在误报列表中。
例如,确定存在误报时的第一信息为哈希值_1,那么可以在误报列表中记录哈希值_1。
第一查找模块76用于下次识别出恶意软件时,在所述误报列表中进行查找,如果所述下次识别出恶意软件时的信息在所述误报列表中,直接将所述下次识别出的恶意软件确定为误报。
例如,下次识别出的恶意软件的哈希值为哈希值_1,由于哈希值_1记录在误报列表中,则将该次的恶意软件的识别确定为误报,不需要再向云端进行判断。
第二查找模块77用于下次识别出恶意软件时,在所述误报列表中进行查找,如果所述下次识别出恶意软件时的信息不在所述误报列表中,才将所述下次识别恶意软件时的信息发送给云端,使得所述云端进行误报判断。
例如,下次识别出恶意软件时获取的信息是哈希值_3,由于其不在误报列表中,可以将该哈希值_3发送给云端,由云端进行是否误报的判断。
进一步的,假设云端反馈的结果是误报,那么也可以把该哈希值_3也记录在误报列表中,以供后续检测查找。
本实施例通过记录误报情况,可以在下次及时发现误报。
图10为本发明实施例提供的另一种误报检测装置的结构示意图,该装置在图7所示的基础上还包括升级模块76。
升级模块76用于在判定模块73确定存在误报时,进行软件升级处理。
相关技术中,由于升级依赖用户的自主性或者杀毒软件设定的升级日期,因此在误报发生时并不能及时升级,会造成误报不能及时解除。而本实施例通过在发生误报后就进行软件升级,可以及时升级软件,进而及时解决误报。
图11为本发明实施例提供的另一种误报检测装置的结构示意图,该装置110包括接收模块111、判断模块112和发送模块113。
接收模块111用于接收客户端发送的第一信息,所述第一信息是所述客户端识别出恶意软件时获取的信息;
判断模块112用于根据所述接收模块111接收的所述第一信息判断所述客户端对所述恶意软件的识别是否为误报;
发送模块113用于将所述判断模块112得到的判断结果发送给所述客户端,以使所述客户端根据所述判断结果确定是否存在误报。
在一个实施例中,所述第一信息包括如下项中的至少一项:
所述恶意软件的哈希(hash)值;
识别所述恶意软件的本地引擎信息;
所述恶意软件的特征信息;
所述恶意软件所在客户端的不可逆的唯一用户标识(Universally Unique Identifier,UUID)。
其中,恶意软件的哈希值可以是对恶意软件的二进制文件进行哈希运算后得到的,哈希算法包括但不限于:消息摘要算法第五版(Message Digest Algorithm,MD5)、循环冗余校验码(Cyclic Redundancy Check,CRC)、安全哈希算法(Secure Hash Algorithm,sha1)等。本地引擎信息可以是对本地引擎进行识别后获取的,本地引擎信息包括:引擎名,和/或,命中规则标识(ID)等。
恶意软件的特征信息可以是对恶意软件的二进制文件进行解析后获取的,恶意软件的特征信息包括如下项中的至少一项:文件路径、文件类型、文件大小等。
UUID可以是对恶意软件所在客户端的识别获取的。
可选的,参见图12,该装置还可以包括:设置模块114,用于设置误报判定规则库,所述误报判定规则库中记录属于误报的规则。
例如,误报规则库中可以记录当恶意软件的哈希值为设定的某个哈希值时,则为误报;和/或,当本地引擎信息为设定的某个本地引擎信息时,为误报等。
相应的,判断模块112具体用于:在所述第一信息满足所述误报判定规则中记录的规则时,确定对所述恶意软件的识别为误报。
一个实施例中,所述第一信息和/或所述属于误报的规则,包括如下项中的至少一项:
所述恶意软件的哈希值;
识别所述恶意软件的本地引擎信息;
所述恶意软件的特征信息;
所述恶意软件所在客户端的不可逆的唯一用户标识。
相应的,当所述第一信息与所述属于误报的规则相同时,确定所述第一信息满足所述误报判断规则中记录的规则。
例如,误报判断规则库中记录:本地引擎A的a1规则识别的文件为误报,那么,当云端接收的客户端上报的第一信息包括本地引擎信息,本地引擎信息包括引擎号和命中规则标识,且引擎号为A,命中规则标识为a1时,则确定此时客户端对恶意软件的识别为误报。或者,误报判断规则库中记录:哈希值为x的文件为误报,那么,当云端接收的客户端上报的第一信息包括识别出的恶意软件的哈希值,且该哈希值为x时,则确定此时客户端对恶意软件的识别为误报。
本实施例的云端可以接收客户端在识别出恶意软件后发送的第一信息,云端根据该第一信息进行误报的判断,并将判断结果反馈给客户端。因此,客户端可以及时获知是否存在误报,进而可以及时解除误报。
相关技术中,杀毒厂商需要根据各用户反馈的误报情况,从这些反馈中筛选出相对紧急重要误报进行优先处理。由于用户反馈误报的及时性不够,就会造成不能及时处理紧急重要误报,延误紧急重要误报。为此,如图13所示,本发明还提供一种实施例,以解决相关技术中存在的延误紧急重要误报的问题。
图13为本发明实施例提供的另一种误报检测装置的结构示意图,该装置在图11所述的基础上,还包括区分模块115和更新模块116。
区分模块115用于区分紧急误报和非紧急误报;
其中,云端可以设置恶意软件信息库,用于记录根据各个客户端反馈的第一信息得到的统计信息,例如,可以得到针对感染同一个恶意软件的客户端的数量,进而,云端可以根据该统计信息进行区分;和/或,
云端可以设置用户反馈误报信息库,其中记录各用户反馈的误报情况,例如,根据用户反馈的误报情况也可以得到感染同一个恶意软件的客户端的数量,进而,云端可以根据该用户数量进行区分。或者,用户可以反馈识别出的恶意软件的性质,根据该性质进行区分。
即区分模块可以包括:
第一单元,用于对各个客户端发送到第一信息进行统计,根据统计结果区分紧急误报和非紧急误报;和/或,
第二单元,用于获取用户反馈的误报情况,根据用户反馈的误报情况区分紧急误报和非紧急误报。
进一步的,所述第一信息中包含识别出的恶意软件的信息以及客户端的信息,所述第一单元具体用于:
根据各个客户端发送的第一信息,确定识别出同一恶意软件的客户端的数量;
在所述数量大于预设的阈值时,确定对所述恶意软件的识别为紧急误报。
一个实施例中,所述第二单元具体用于:
获取各用户反馈的误报情况,确定反馈同一恶意软件的用户数量;
在所述用户数量大于预设的阈值时,确定对所述恶意软件的识别为紧急误报。
其中,上述预设的阈值可以是10万户/每天。
一个实施例中,所述第二单元具体用于:根据用户反馈的误报的软件性质,区分紧急误报和非紧急误报。
进一步的,所述第二单元具体用于:在所述用户反馈的误报的软件是系统运行必需软件时,将对所述系统运行必需软件的误报确定为紧急误报。
系统运行必需软件例如为windows系统文件。
更新模块116用于优先核实所述紧急误报,并在核实后,将所述紧急误报对应的规则更新到所述误报判定规则库中。
其中,可以根据静态代码分析,和/或,动态行为分析,核实是否为误报。
例如,编写一段静态代码,该静态代码可以获取一定时间段内感染同一恶意软件的范围,如果该范围超出预设值,则可以核实为误报;或者,通过动态行为获取一定时间段内增加的感染同一恶意软件的用户数量,如果该数量超出预算值,则可以核实为误报。这是由于感染范围很大或者感染量增加很快通常不会是病毒,当然,这种情况也可能是病毒大规模爆发,为此,之后还可以进行进一步的核实,具体内容可以采用相关技术中病毒核实的流程,本实施例不再赘述。
本实施例中由于云端拥有所有客户端识别出的恶意软件的信息,可以在没有用户反馈或者用户未及时反馈的情况下,根据客户端上报的第一信息进行分析,及时区分出紧急误报,避免对紧急误报的延迟。
图14为本发明实施例提供的一种误报检测系统的结构示意图,该系统140包括客户端装置141和云端装置142。
客户端装置141可以如图7至图10任一所述,云端装置142可以如图11至图13任一所述。在此不再赘述。
本实施例的客户端通过在识别出恶意软件后不是直接作为恶意软件进行处理,而是向云端发送识别出恶意软件时的第一信息,以便云端根据该第一信息判断是否为误报,一方面可以使得云端及时获知是否存在误报,另一方面客户端通过接收云端的判断结果也可以及时获知是否存在误报,而不再需要等待杀毒软件升级后才能确定误报。因此,本实施例提高了云端和客户端获知误报的及时性。另外,客户端由于在识别出恶意软件后会向云端查询,并获知是否误报的判断结果,因此客户端无需升级软件就可以及时获知误报,避免需要升级导致的延迟问题。本实施例的云端可以接收客户端在识别出恶意软件后发送的第一信息,云端根据该第一信息进行误报的判断,并将判断结果反馈给客户端。因此,客户端可以及时获知是否存在误报,进而可以及时解除误报。
本发明实施例还提供了一种客户端设备,该客户端设备包括壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为客户端设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,以用于执行以下步骤:
S11’:识别恶意软件。
可以理解的是,相关技术中,客户端也可以识别出恶意软件,因此,本领域技术人员可以获知具体的客户端如何实现恶意软件的识别,本发明实施例不再赘述。
相关技术中,客户端在识别出恶意软件后直接按照恶意软件处理流程进行处理,但是,客户端识别出的恶意软件有可能是正常软件,也就是产生了误报。相关技术中,误报需要用户通过客户端上报给服务器端。为了使云端及时获知误报,本发明实施例的误报检测方法在识别出恶意软件之后,还包括:
S12’:获取所述识别恶意软件时的第一信息,并将所述第一信息发送给云端,以使所述云端根据所述第一信息判断对所述恶意软件的识别是否为误报。
所述第一信息包括如下项中的至少一项:
所述恶意软件的哈希(hash)值;
识别所述恶意软件的本地引擎信息;
所述恶意软件的特征信息;
所述恶意软件所在客户端的不可逆的唯一用户标识(Universally Unique Identifier,UUID)。
其中,恶意软件的哈希值可以是对恶意软件的二进制文件进行哈希运算后得到的,哈希算法包括但不限于:消息摘要算法第五版(Message Digest Algorithm,MD5)、循环冗余校验码(Cyclic Redundancy Check,CRC)、安全哈希算法(Secure Hash Algorithm,sha1)等。
本地引擎信息可以是对本地引擎进行识别后获取的,本地引擎信息包括:引擎名,和/或,命中规则标识(ID)等。
恶意软件的特征信息可以是对恶意软件的二进制文件进行解析后获取的,恶意软件的特征信息包括如下项中的至少一项:文件路径、文件类型、文件大小等。
UUID可以是对恶意软件所在客户端的识别获取的。
S13’:接收所述云端发送的判断结果,根据所述判断结果确定是否存在误报。
例如,在判断结果表明为误报时,客户端可以确定存在误报;在判断结果表明为非误报时,客户端可以确定不存在误报。
本实施例的客户端通过在识别出恶意软件后不是直接作为恶意软件进行处理,而是向云端发送识别出的恶意软件的第一信息,以便云端根据该第一信息判断是否为误报,可以使得云端及时获知是否存在误报。
相关技术中,由服务器端升级杀毒软件版本,并且客户端升级后才可以获知误报。而本实施例的客户端通过接收云端的判断结果可以及时获知是否存在误报,而不再需要等待杀毒软件升级后才能确定误报。因此,本实施例提高了云端和客户端获知误报的及时性。另外,客户端由于在识别出恶意软件后会向云端查询,并获知是否误报的判断结果,因此客户端无需升级软件就可以及时获知误报,避免需要升级导致的延迟问题。
在一个实施例中,处理器还可以执行如下步骤:
S14’:在所述判断结果表明为误报时,对所述识别出的恶意软件不作为恶意软件进行处理。
也就是说,识别出的恶意软件为正常软件,不进行杀毒处理。或者,
S15’:在所述判断结果表明为非误报时,对所述识别出的恶意软件作为恶意软件进行处理。
也就是说,识别出的恶意软件不是正常软件,需要进行杀毒处理。
本实施例通过根据判断结果进行处理,可以在存在误报时及时解除误报。
在一个实施例中,处理器还可以执行如下步骤:
S31’:在确定存在误报时,将第一信息记录在误报列表中。
例如,确定存在误报时的第一信息为哈希值_1,那么可以记录哈希值_1,当下次识别出的恶意软件为哈希值_1时,可以直接确定为误报。例如,确定存在误报时的第一信息为哈希值_1,那么可以在误报列表中记录哈希值_1。
S32’:下次识别出的恶意软件时,查找误报列表,判断下次识别出恶意软件时的信息是否记录在误报列表中,如果在,则执行S33,否则执行S34。
例如,下次识别出恶意软件时,也可以获取此时的恶意软件的信息,例如,获取此时的恶意软件的哈希值。
S33’:直接将该次的恶意软件的识别确定为误报。
例如,S32’中识别出的恶意软件的哈希值为哈希值_1,由于哈希值_1记录在误报列表中,则将该次的恶意软件的识别确定为误报,不需要再向云端进行判断。
S34’:将该次的恶意软件的识别时的信息发送给云端,由云端进行判断,并接收云端发送的判断结果。
例如,S32’中获取的信息是哈希值_3,由于其不在误报列表中,可以将该哈希值_3发送给云端,由云端进行是否误报的判断。
进一步的,假设云端反馈的结果是误报,那么也可以把该哈希值_3也记录在误报列表中,以供后续检测查找。
本实施例以客户端获知误报后,记录第一信息,以供后续检测参考。
可以理解的是,客户端在获知误报后还可以进行其他操作,例如,客户端在确定存在误报时,进行软件升级处理。
相关技术中,由于升级依赖用户的自主性或者杀毒软件设定的升级日期,因此在误报发生时并不能及时升级,会造成误报不能及时解除。而本实施例通过在发生误报后就进行软件升级,可以及时升级软件,进而及时解决误报。
本实施例通过在获知存在误报时,将误报时的信息进行记录,可以为后续检测提供基础,避免每次都去云端查询,可以降低资源开销。
本发明实施例还提供了一种云端设备,该云端设备包括壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为云端设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,以用于执行以下步骤:
本发明实施例还提供了一种云端设备,该云端设备包括壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为云端设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,以用于执行以下步骤:
S41’:接收客户端发送的第一信息,所述第一信息是所述客户端识别出恶意软件时获取的信息;
所述第一信息包括如下项中的至少一项:
所述恶意软件的哈希(hash)值;
识别所述恶意软件的本地引擎信息;
所述恶意软件的特征信息;
所述恶意软件所在客户端的不可逆的唯一用户标识(Universally Unique Identifier,UUID)。
其中,恶意软件的哈希值可以是对恶意软件的二进制文件进行哈希运算后得到的,哈希算法包括但不限于:消息摘要算法第五版(Message Digest Algorithm,MD5)、循环冗余校验码(Cyclic Redundancy Check,CRC)、安全哈希算法(Secure Hash Algorithm,sha1)等。
本地引擎信息可以是对本地引擎进行识别后获取的,本地引擎信息包括:引擎名,和/或,命中规则标识(ID)等。
恶意软件的特征信息可以是对恶意软件的二进制文件进行解析后获取的,恶意软件的特征信息包括如下项中的至少一项:文件路径、文件类型、文件大小等。
UUID可以是对恶意软件所在客户端的识别获取的。
S42’:根据所述第一信息判断所述客户端对所述恶意软件的识别是否为误报;
可选的,在云端设置有误报判定规则库,以便进行上述的误报判定。
S43’:将判断结果发送给所述客户端,以使所述客户端根据所述判断结果确定是否存在误报。如上述实施例,客户端在收到判断结果后,可以根据判断结果确定是否存在误报,进而可以进行相应处理。具体内容可以参照上述实施例,在此不再赘述。
一个实施例中,处理器具体用于执行如下步骤:
S51’:接收客户端发送的第一信息,所述第一信息是所述客户端识别出恶意软件时获取的信息。
具体内容可以参见S41’,在此不再赘述。
S52’:设置误报判定规则库,所述误报判定规则库中记录属于误报的规则。
例如,误报规则库中可以记录当恶意软件的哈希值为设定的某个哈希值时,则为误报;和/或,当本地引擎信息为设定的某个本地引擎信息时,为误报等。
S53’:在所述第一信息满足所述误报判定规则中记录的规则时,确定对所述恶意软件的识别为误报。
其中,所述第一信息和/或所述属于误报的规则,包括如下项中的至少一项:
所述恶意软件的哈希值;
识别所述恶意软件的本地引擎信息;
所述恶意软件的特征信息;
所述恶意软件所在客户端的不可逆的唯一用户标识。
相应的,当所述第一信息与所述属于误报的规则相同时,确定所述第一信息满足所述误报判断规则中记录的规则。
例如,误报判断规则库中记录:本地引擎A的a1规则识别的文件为误报,那么,当云端接收的客户端上报的第一信息包括本地引擎信息,本地引擎信息包括引擎号和命中规则标识,且引擎号为A,命中规则标识为a1时,则确定此时客户端对恶意软件的识别为误报。或者,误报判断规则库中记录:哈希值为x的文件为误报,那么,当云端接收的客户端上报的第一信息包括识别出的恶意软件的哈希值,且该哈希值为x时,则确定此时客户端对恶意软件的识别为误报。
S54’:将判断结果发送给所述客户端,以使所述客户端根据所述判断结果确定是否存在误报。如上述实施例,客户端在收到判断结果后,可以根据判断结果确定是否存在误报,进而可以进行相应处理。具体内容可以参照上述实施例,在此不再赘述。
本实施例的云端可以接收客户端在识别出恶意软件后发送的第一信息,云端根据该第一信息进行误报的判断,并将判断结果反馈给客户端。因此,客户端可以及时获知是否存在误报,进而可以及时解除误报。
相关技术中,杀毒厂商需要根据各用户反馈的误报情况,从这些反馈中筛选出相对紧急重要误报进行优先处理。由于用户反馈误报的及时性不够,就会造成不能及时处理紧急重要误报,延误紧急重要误报。为此,本发明还提供一种实施例,以解决相关技术中存在的延误紧急重要误报的问题。
一个实施例中,处理器具体用于执行如下步骤:
S61’:云端接收客户端发送的第一信息,所述第一信息是所述客户端识别出恶意软件时获取的信息;
S62’:云端设置误报判定规则库,所述误报判定规则库中记录属于误报的规则;
S63’:云端在所述第一信息满足所述误报判定规则中记录的规则时,确定对所述恶意软件的识别为误报。
S64’:云端将判断结果发送给所述客户端,以使所述客户端根据所述判断结果确定是否存在误报。
具体内容可以参见S51’~S54’,在此不再赘述。
S65’:云端区分紧急误报和非紧急误报;
其中,云端可以设置恶意软件信息库,用于记录根据各个客户端反馈的第一信息得到的统计信息,例如,可以得到针对感染同一个恶意软件的客户端的数量,进而,云端可以根据该统计信息进行区分;和/或,
云端可以设置用户反馈误报信息库,其中记录各用户反馈的误报情况,例如,根据用户反馈的误报情况也可以得到感染同一个恶意软件的客户端的数量,进而,云端可以根据该用户数量进行区分。或者,用户可以反馈识别出的恶意软件的性质,根据该性质进行区分。
即S65’可以具体包括:
对各个客户端发送到第一信息进行统计,根据统计结果区分紧急误报和非紧急误报;和/或,
获取用户反馈的误报情况,根据用户反馈的误报情况区分紧急误报和非紧急误报。
进一步的,所述第一信息中包含识别出的恶意软件的信息以及客户端的信息,所述对各个客户端发送到第一信息进行统计,根据统计结果区分紧急误报和非紧急误报,包括:
根据各个客户端发送的第一信息,确定识别出同一恶意软件的客户端的数量;
在所述数量大于预设的阈值时,确定对所述恶意软件的识别为紧急误报。
其中,该预设的阈值可以是10万户/每天。
另一实施例中,所述获取用户反馈的误报情况,根据用户反馈的误报情况区分紧急误报和非紧急误报,包括:
获取各用户反馈的误报情况,确定反馈同一恶意软件的用户数量;
在所述用户数量大于预设的阈值时,确定对所述恶意软件的识别为紧急误报。
其中,该预设的阈值也可以是10万户/每天。
另一实施例中,所述获取用户反馈的误报情况,根据用户反馈的误报情况区分紧急误报和非紧急误报,包括:
根据用户反馈的误报的软件性质,区分紧急误报和非紧急误报。
具体可以是,所述根据用户反馈的误报的软件性质,区分紧急误报和非紧急误报,包括:
在所述用户反馈的误报的软件是系统运行必需软件时,将对所述系统运行必需软件的误报确定为紧急误报。
系统运行必需软件例如为windows系统文件。
S66’:云端优先核实所述紧急误报,并在核实后,将所述紧急误报对应的规则更新到所述误报判定规则库中。
其中,可以根据静态代码分析,和/或,动态行为分析,核实是否为误报。
例如,编写一段静态代码,该静态代码可以获取一定时间段内感染同一恶意软件的范围,如果该范围超出预设值,则可以核实为误报;或者,通过动态行为获取一定时间段内增加的感染同一恶意软件的用户数量,如果该数量超出预算值,则可以核实为误报。这是由于感染范围很大或者感染量增加很快通常不会是病毒,当然,这种情况也可能是病毒大规模爆发,为此,之后还可以进行进一步的核实,具体内容可以采用相关技术中病毒核实的流程,本实施例不再赘述。
在核实为误报后,可以将此时客户端识别出恶意软件时发送的第一信息更新到误报判断规则库中,以便后续检测作为参考。
例如,原来的误报判断规则库中的哈希值不包括y,而经过核实哈希值为y的软件为误报,那么可以将y更新到误报判断规则库中,当下次客户端识别出的恶意软件的哈希值为y后,根据该更新后的误报判断规则库就可以确定其为误报。
本实施例中由于云端拥有所有客户端识别出的恶意软件的信息,可以在没有用户反馈或者用户未及时反馈的情况下,根据客户端上报的第一信息进行分析,及时区分出紧急误报,避免对紧急误报的延迟。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
此外,在本发明各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同限定。
Claims (22)
1.一种误报检测方法,其特征在于,包括:
识别恶意软件;
获取所述识别恶意软件时的第一信息,并将所述第一信息发送给云端,以使所述云端根据所述第一信息判断对所述恶意软件的识别是否为误报;
接收所述云端发送的判断结果,根据所述判断结果确定是否存在误报。
2.根据权利要求1所述的方法,其特征在于,还包括:
在所述判断结果表明为误报时,对所述识别出的恶意软件不作为恶意软件进行处理;和/或,
在所述判断结果表明为非误报时,对所述识别出的恶意软件作为恶意软件进行处理。
3.根据权利要求1所述的方法,其特征在于,还包括:
在确定存在误报时,将所述第一信息记录在误报列表中。
4.根据权利要求3所述的方法,其特征在于,还包括:
下次识别出恶意软件时,在所述误报列表中进行查找,如果所述下次识别出恶意软件时的信息在所述误报列表中,直接将所述下次识别出的恶意软件确定为误报。
5.根据权利要求3所述的方法,其特征在于,还包括:
下次识别出恶意软件时,在所述误报列表中进行查找,如果所述下次识别出恶意软件时的信息不在所述误报列表中,才将所述下次识别恶意软件时的信息发送给云端,使得所述云端进行误报判断。
6.根据权利要求1所述的方法,其特征在于,还包括:
在确定存在误报时,进行软件升级处理。
7.根据权利要求1至6任一项所述的方法,其特征在于,所述第一信息包括如下项中的至少一项:
所述恶意软件的哈希值;
识别所述恶意软件的本地引擎信息;
所述恶意软件的特征信息;
所述恶意软件所在客户端的不可逆的唯一用户标识。
8.根据权利要求7所述的方法,其特征在于,当所述第一信息为所述恶意软件的哈希值时,所述获取所述识别恶意软件时的第一信息,包括:
对所述恶意软件的二进制文件进行哈希运算获取所述恶意软件的哈希值。
9.根据权利要求8所述的方法,其特征在于,所述哈希运算包括:
MD5运算;或者,
CRC运算;或者,
Sha1运算。
10.根据权利要求7所述的方法,其特征在于,所述本地引擎信息包括:
本地引擎的引擎名,和/或,命中规则标识。
11.根据权利要求7所述的方法,其特征在于,所述恶意软件的特征信息包括如下项中的至少一项:
文件路径、文件类型、文件大小。
12.一种误报检测装置,其特征在于,包括:
识别模块,用于识别恶意软件;
获取模块,用于获取所述识别恶意软件时的第一信息,并将所述第一信息发送给云端,以使所述云端根据所述第一信息判断对所述恶意软件的识别是否为误报;
判定模块,用于接收所述云端发送的判断结果,根据所述判断结果确定是否存在误报。
13.根据权利要求12所述的装置,其特征在于,还包括:
处理模块,用于在所述判定模块接收的所述判断结果表明为误报时,对所述识别出的恶意软件不作为恶意软件进行处理;和/或,在所述判定模块接收的所述判断结果表明为非误报时,对所述识别出的恶意软件作为恶意软件进行处理。
14.根据权利要求12所述的装置,其特征在于,还包括:
记录模块,用于在所述判定模块确定存在误报时,将所述第一信息记录在误报列表中。
15.根据权利要求14所述的装置,其特征在于,还包括:
第一查找模块,用于下次识别出恶意软件时,在所述误报列表中进行查找,如果所述下次识别出恶意软件时的信息在所述误报列表中,直接将所述下次识别出的恶意软件确定为误报。
16.根据权利要求14所述的装置,其特征在于,还包括:
第二查找模块,用于下次识别出恶意软件时,在所述误报列表中进行查找,如果所述下次识别出恶意软件时的信息不在所述误报列表中,才将所述下次识别恶意软件时的信息发送给云端,使得所述云端进行误报判断。
17.根据权利要求12所述的装置,其特征在于,还包括:
升级模块,用于在所述判定模块确定存在误报时,进行软件升级处理。
18.根据权利要求12至17任一项所述的装置,其特征在于,所述获取模块获取的所述第一信息包括如下项中的至少一项:
所述恶意软件的哈希值;
识别所述恶意软件的本地引擎信息;
所述恶意软件的特征信息;
所述恶意软件所在客户端的不可逆的唯一用户标识。
19.根据权利要求18所述的装置,其特征在于,当所述第一信息为所述恶意软件的哈希值时,所述获取模块具体用于:
对所述恶意软件的二进制文件进行哈希运算获取所述恶意软件的哈希值。
20.根据权利要求19所述的装置,其特征在于,所述哈希运算包括:
MD5运算;或者,
CRC运算;或者,
Sha1运算。
21.根据权利要求18所述的装置,其特征在于,所述本地引擎信息包括:
本地引擎的引擎名,和/或,命中规则标识。
22.根据权利要求18所述的装置,其特征在于,所述恶意软件的特征信息包括如下项中的至少一项:
文件路径、文件类型、文件大小。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410145545.1A CN104980407A (zh) | 2014-04-11 | 2014-04-11 | 误报检测方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410145545.1A CN104980407A (zh) | 2014-04-11 | 2014-04-11 | 误报检测方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104980407A true CN104980407A (zh) | 2015-10-14 |
Family
ID=54276517
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410145545.1A Pending CN104980407A (zh) | 2014-04-11 | 2014-04-11 | 误报检测方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104980407A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105099797A (zh) * | 2014-04-21 | 2015-11-25 | 珠海市君天电子科技有限公司 | 误报检测方法和装置 |
| CN105468975A (zh) * | 2015-11-30 | 2016-04-06 | 北京奇虎科技有限公司 | 恶意代码误报的追踪方法、装置及系统 |
| CN106682508A (zh) * | 2016-06-17 | 2017-05-17 | 腾讯科技(深圳)有限公司 | 病毒的查杀方法和装置 |
| CN106682510A (zh) * | 2016-09-06 | 2017-05-17 | 腾讯科技(深圳)有限公司 | 一种防止病毒误杀的方法及装置 |
| CN107294929A (zh) * | 2016-04-05 | 2017-10-24 | 阿里巴巴集团控股有限公司 | 规则匹配和管理方法及装置 |
| CN107689975A (zh) * | 2016-08-05 | 2018-02-13 | 腾讯科技(深圳)有限公司 | 一种基于云计算的计算机病毒识别方法及系统 |
| CN112487420A (zh) * | 2019-09-11 | 2021-03-12 | 卡巴斯基实验室股份制公司 | 减少文件分类中的误报的数量的系统和方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2003077071A2 (en) * | 2002-03-08 | 2003-09-18 | Ciphertrust, Inc. | Systems and methods for enhancing electronic communication security |
| CN101901314A (zh) * | 2009-06-19 | 2010-12-01 | 卡巴斯基实验室封闭式股份公司 | 反恶意软件处理中误报的检测和最小化 |
| US8881276B2 (en) * | 2007-01-09 | 2014-11-04 | Cisco Technology, Inc. | Dynamically generated whitelist for high throughput intrusion prevention system (IPS) functionality |
-
2014
- 2014-04-11 CN CN201410145545.1A patent/CN104980407A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2003077071A2 (en) * | 2002-03-08 | 2003-09-18 | Ciphertrust, Inc. | Systems and methods for enhancing electronic communication security |
| US8881276B2 (en) * | 2007-01-09 | 2014-11-04 | Cisco Technology, Inc. | Dynamically generated whitelist for high throughput intrusion prevention system (IPS) functionality |
| CN101901314A (zh) * | 2009-06-19 | 2010-12-01 | 卡巴斯基实验室封闭式股份公司 | 反恶意软件处理中误报的检测和最小化 |
Non-Patent Citations (1)
| Title |
|---|
| 孙静: "基于Cloud-AV的反病毒软件误报测试系统设计", 《复旦大学硕士学位论文》 * |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105099797A (zh) * | 2014-04-21 | 2015-11-25 | 珠海市君天电子科技有限公司 | 误报检测方法和装置 |
| CN105468975A (zh) * | 2015-11-30 | 2016-04-06 | 北京奇虎科技有限公司 | 恶意代码误报的追踪方法、装置及系统 |
| CN107294929A (zh) * | 2016-04-05 | 2017-10-24 | 阿里巴巴集团控股有限公司 | 规则匹配和管理方法及装置 |
| CN107294929B (zh) * | 2016-04-05 | 2021-05-18 | 阿里巴巴集团控股有限公司 | 规则匹配和管理方法及装置 |
| CN106682508A (zh) * | 2016-06-17 | 2017-05-17 | 腾讯科技(深圳)有限公司 | 病毒的查杀方法和装置 |
| CN107689975A (zh) * | 2016-08-05 | 2018-02-13 | 腾讯科技(深圳)有限公司 | 一种基于云计算的计算机病毒识别方法及系统 |
| CN107689975B (zh) * | 2016-08-05 | 2020-07-31 | 腾讯科技(深圳)有限公司 | 一种基于云计算的计算机病毒识别方法及系统 |
| CN106682510A (zh) * | 2016-09-06 | 2017-05-17 | 腾讯科技(深圳)有限公司 | 一种防止病毒误杀的方法及装置 |
| CN106682510B (zh) * | 2016-09-06 | 2019-04-12 | 腾讯科技(深圳)有限公司 | 一种防止病毒误杀的方法及装置 |
| CN112487420A (zh) * | 2019-09-11 | 2021-03-12 | 卡巴斯基实验室股份制公司 | 减少文件分类中的误报的数量的系统和方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10176321B2 (en) | Leveraging behavior-based rules for malware family classification | |
| CN104980407A (zh) | 误报检测方法和装置 | |
| US10218740B1 (en) | Fuzzy hash of behavioral results | |
| KR101693370B1 (ko) | 퍼지 화이트리스팅 안티-멀웨어 시스템 및 방법 | |
| US9009818B2 (en) | Malware detection system and method for compressed data on mobile platforms | |
| EP4201026A1 (en) | Malicious traffic detection with anomaly detection modeling | |
| US8683216B2 (en) | Identifying polymorphic malware | |
| US8726387B2 (en) | Detecting a trojan horse | |
| US8966634B2 (en) | System and method for correcting antivirus records and using corrected antivirus records for malware detection | |
| EP2807598B1 (en) | Identifying trojanized applications for mobile environments | |
| US10853487B2 (en) | Path-based program lineage inference analysis | |
| US20180082061A1 (en) | Scanning device, cloud management device, method and system for checking and killing malicious programs | |
| CN109862037B (zh) | 基于区块链的数据设备管理方法、装置、介质及电子设备 | |
| CN107977576A (zh) | 一种基于应用指纹的主机漏洞检测系统及方法 | |
| WO2021135257A1 (zh) | 一种漏洞处理方法及相关设备 | |
| KR20160099159A (ko) | 악성 코드를 탐지하기 위한 전자 시스템 및 방법 | |
| CN116319074B (zh) | 一种基于多源日志的失陷设备检测方法、装置及电子设备 | |
| US11836251B2 (en) | Malware detection using a machine learning model | |
| CN105099797A (zh) | 误报检测方法和装置 | |
| US10346611B1 (en) | Detecting malicious software | |
| CN112436969A (zh) | 一种物联网设备管理方法、系统、设备及介质 | |
| CN112580037B (zh) | 病毒文件数据的修复方法、装置及设备 | |
| KR101896679B1 (ko) | 악성코드 탐지장치 및 이의 악성코드 탐지방법 | |
| KR101884529B1 (ko) | 최신 네트워크 응용 분류를 위한 자동화 페이로드 시그니쳐 업데이트 시스템 및 방법 | |
| US20140365576A1 (en) | Identifying a push communication pattern |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20151014 |
|
| RJ01 | Rejection of invention patent application after publication |