CN106709344A - 一种病毒查杀的通知方法及服务器 - Google Patents
一种病毒查杀的通知方法及服务器 Download PDFInfo
- Publication number
- CN106709344A CN106709344A CN201610651243.0A CN201610651243A CN106709344A CN 106709344 A CN106709344 A CN 106709344A CN 201610651243 A CN201610651243 A CN 201610651243A CN 106709344 A CN106709344 A CN 106709344A
- Authority
- CN
- China
- Prior art keywords
- application
- virus
- terminal
- information list
- real
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/561—Virus type analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Virology (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Telephonic Communication Services (AREA)
- Stored Programmes (AREA)
- Information Transfer Between Computers (AREA)
- Telephone Function (AREA)
Abstract
本发明公开了一种病毒查杀的通知方法及服务器,其中,所述方法包括:实时检测终端上已安装的至少一个应用的应用状态,当所述应用状态发生符合预设条件的变化时触发应用信息同步操作,获取到终端的应用信息列表;每当实时检测到包括病毒及其病毒变种和新型病毒在内的至少一个病毒信息,将所述至少一个病毒信息与所述应用信息列表进行比对,得到比对结果;当所述比对结果为所述至少一个病毒信息与所述应用信息列表中的至少一个应用信息匹配时,以主动通知的方式将所述比对结果实时推送给终端进行显示。
Description
技术领域
本发明涉及病毒通知技术,尤其涉及一种病毒查杀的通知方法及服务器。
背景技术
随着互联网技术的发展,智能终端的大量普及,用户在享受便利的同时,各种信息安全也层出不穷。病毒就是影响信息安全的一个因素,根据病毒存在的媒体,病毒可以划分为网络病毒,文件病毒,引导型病毒。网络病毒通过计算机网络传播感染网络中的可执行文件,文件病毒感染计算机中的文件(如:COM,EXE,DOC等),引导型病毒感染启动扇区(Boot)和硬盘的系统引导扇区(MBR),还有这三种情况的混合型,例如:多型病毒(文件和引导型)感染文件和引导扇区两种目标,这样的病毒通常都具有复杂的算法,它们使用非常规的办法侵入系统,同时使用了加密和变形算法。根据病毒传染的方法可分为驻留型病毒和非驻留型病毒。驻留型病毒感染计算机后,把自身的内存驻留部分放在内存(RAM)中,这一部分程序挂接系统调用并合并到操作系统中去,它处于激活状态,一直到关机或重新启动.非驻留型病毒在得到机会激活时并不感染计算机内存,一些病毒在内存中留有小部分,但是并不通过这一部分进行传染,这类病毒也被划分为非驻留型病毒。
病毒对用户信息的危害特别大,针对病毒及其变种和有待甄别的新型病毒,目前有大量的病毒查杀方案,可以实现本地病毒查杀和云病毒查杀。然而,病毒查杀通常是由用户手动启动查杀,或者按照预设的周期进行定时查杀,这些都是存在时延的,且由于存在病毒变种和有待甄别的新型病毒,病毒库的更新也需要时间。综合这些因素,通过病毒查杀发现了病毒,也不能及时通知到用户,从而对用户的信息安全造成威胁。然而,相关技术中,对于该问题,尚无有效解决方案。
发明内容
有鉴于此,本发明实施例提供了一种病毒查杀的通知方法及服务器,至少解决了现有技术存在的问题。
本发明实施例的技术方案是这样实现的:
本发明实施例的一种病毒查杀的通知方法,所述方法包括:
实时检测终端上已安装的至少一个应用的应用状态,当所述应用状态发生符合预设条件的变化时触发应用信息同步操作,获取到终端的应用信息列表;
每当实时检测到包括病毒及其病毒变种和新型病毒在内的至少一个病毒信息,将所述至少一个病毒信息与所述应用信息列表进行比对,得到比对结果;
当所述比对结果为所述至少一个病毒信息与所述应用信息列表中的至少一个应用信息匹配时,以主动通知的方式将所述比对结果实时推送给终端进行显示。
本发明实施例的一种服务器,所述服务器包括:
检测单元,用于实时检测终端上已安装的至少一个应用的应用状态,当所述应用状态发生符合预设条件的变化时触发应用信息同步操作,获取到终端的应用信息列表;
比对单元,用于每当实时检测到包括病毒及其病毒变种和新型病毒在内的至少一个病毒信息,将所述至少一个病毒信息与所述应用信息列表进行比对,得到比对结果;
主动通知单元,用于当所述比对结果为所述至少一个病毒信息与所述应用信息列表中的至少一个应用信息匹配时,以主动通知的方式将所述比对结果实时推送给终端进行显示。
本发明实施例的病毒查杀的通知方法,包括:实时检测终端上已安装的至少一个应用的应用状态,当所述应用状态发生符合预设条件的变化时触发应用信息同步操作,获取到终端的应用信息列表;每当实时检测到包括病毒及其病毒变种和新型病毒在内的至少一个病毒信息,将所述至少一个病毒信息与所述应用信息列表进行比对,得到比对结果;当所述比对结果为所述至少一个病毒信息与所述应用信息列表中的至少一个应用信息匹配时,以主动通知的方式将所述比对结果实时推送给终端进行显示。
采用本发明实施例,可以实时的对病毒及其病毒变种和有待甄别的新型病毒进行识别,对终端实时检测,每当终端新安装,卸载和更新了任意一个应用,就对收到同步上报的这些应用信息与已经识别出的病毒进行比对,一旦发现该应用中毒,立即以主动通知的方式及时通知到用户,从而避免病毒对用户信息安全所造成的威胁,终端获知应用中毒可以理解进行及时有效的病毒查杀,提高了用户信息安全。
附图说明
图1为本发明实施例中进行信息交互的各方硬件实体的示意图;
图2为本发明实施例一的信息交互示意图;
图3为本发明实施例二的信息交互示意图;
图4为本发明实施例三的信息交互示意图;
图5为本发明实施例四的信息交互示意图;
图6为本发明实施例五的信息交互系统架构图;
图7为进行病毒检测及病毒查杀的现有流程图;
图8为采用本发明实施例一应用场景的病毒检测及病毒查杀的流程图。
具体实施方式
下面结合附图对技术方案的实施作进一步的详细描述。
现在将参考附图描述实现本发明各个实施例的移动终端。在后续的描述中,使用用于表示元件的诸如“模块”、“部件”或“单元”的后缀仅为了有利于本发明实施例的说明,其本身并没有特定的意义。因此,"模块"与"部件"可以混合地使用。
在下面的详细说明中,陈述了众多的具体细节,以便彻底理解本发明。不过,对于本领域的普通技术人员来说,显然可在没有这些具体细节的情况下实践本发明。在其他情况下,没有详细说明公开的公知方法、过程、组件、电路和网络,以避免不必要地使实施例的各个方面模糊不清。
另外,本文中尽管多次采用术语“第一”、“第二”等来描述各种元件(或各种阈值或各种应用或各种指令或各种操作)等,不过这些元件(或阈值或应用或指令或操作)不应受这些术语的限制。这些术语只是用于区分一个元件(或阈值或应用或指令或操作)和另一个元件(或阈值或应用或指令或操作)。例如,第一操作可以被称为第二操作,第二操作也可以被称为第一操作,而不脱离本发明的范围,第一操作和第二操作都是操作,只是二者并不是相同的操作而已。
本发明实施例中的步骤并不一定是按照所描述的步骤顺序进行处理,可以按照需求有选择的将步骤打乱重排,或者删除实施例中的步骤,或者增加实施例中的步骤,本发明实施例中的步骤描述只是可选的顺序组合,并不代表本发明实施例的所有步骤顺序组合,实施例中的步骤顺序不能认为是对本发明的限制。
本发明实施例中的术语“和/或”指的是包括相关联的列举项目中的一个或多个的任何和全部的可能组合。还要说明的是:当用在本说明书中时,“包括/包含”指定所陈述的特征、整数、步骤、操作、元件和/或组件的存在,但是不排除一个或多个其他特征、整数、步骤、操作、元件和/或组件和/或它们的组群的存在或添加。
本发明实施例的智能终端(如移动终端)可以以各种形式来实施。例如,本发明实施例中描述的移动终端可以包括诸如移动电话、智能电话、笔记本电脑、数字广播接收器、个人数字助理(PDA,Personal Digital Assistant)、平板电脑(PAD)、便携式多媒体播放器(PMP,Portable Media Player)、导航装置等等的移动终端以及诸如数字TV、台式计算机等等的固定终端。下面,假设终端是移动终端。然而,本领域技术人员将理解的是,除了特别用于移动目的的元件之外,根据本发明的实施方式的构造也能够应用于固定类型的终端。
图1为本发明实施例中进行信息交互的各方硬件实体的示意图,图1中包括:服务器11、终端设备21-24,终端设备21-24通过有线网络或者无线网络与服务器进行信息交互,终端设备包括手机、台式机、PC机、一体机等类型。采用本发明实施例,当终端设备21-24中的全部或部分应用都被所入侵或传播的病毒文件感染后,由于服务器11是对终端设备21-24实时进行检测的,因此,会收到终端设备21-24触发应用同步操作所上报的应用信息列表。服务器11的一个具体处理逻辑100包括:S11、实时检测终端上已安装的至少一个应用的应用状态,当所述应用状态发生符合预设条件的变化时会触发应用信息同步操作,触发应用同步操作会上报应用信息列表,获取到终端上报的应用信息列表;S12、每当实时检测到包括病毒及其病毒变种和新型病毒在内的至少一个病毒信息,将所述至少一个病毒信息与所述应用信息列表进行比对,得到比对结果;S13、当所述比对结果为所述至少一个病毒信息与所述应用信息列表中的至少一个应用信息匹配时,以主动通知的方式将所述比对结果实时推送给终端进行显示。终端设备21-24收到比对结果,则知道文件有染毒的现象,立即对文件进行病毒查杀。终端设备21-24的一个具体处理逻辑200包括:S21、收到应用染毒通知,开启本地查杀或者云端查杀模式,对染毒的应用进行病毒查杀处理;S22、每当检测到有应用安装、更新或卸载的情况,继续触发应用信息同步操作,并实时上报给服务器进行处理。
上述图1的例子只是实现本发明实施例的一个系统架构实例,本发明实施例并不限于上述图1所述的系统结构,基于上述图1所述的系统架构,提出本发明方法各个实施例。
实施例一:
本发明实施例的一种病毒查杀的通知方法,如图2所示,所述方法包括:
步骤101、实时检测终端上已安装的至少一个应用的应用状态,当所述应用状态发生符合预设条件的变化时触发应用信息同步操作,获取到终端的应用信息列表。
这里,因为终端存在定时查杀机制,可以默认终端上现有的应用都已经通过定时查杀,没有被染毒。那么,服务器对终端上应用的应用状态进行实时检测,如果发现应用状态为应用的安装、应用的更新、应用的卸载中至少一种时,则判断为符合预设条件的变化。由于执行一个新应用的安装、应用更新或应用卸载都属于应用状态更新的场景,对更新后的应用,服务器需要对其进行是否染毒的病毒检测,因此,终端执行一个新应用的安装、应用更新或应用卸载后,应用状态发生变化,会触发应用信息同步操作,从而使得服务器获取到终端的应用信息列表。
一个示例为:本步骤的检测是通过安装的一个应用在本地与云端的交互过程中实现的。该应用可以是病毒查杀类应用,也可以是集中有病毒查杀功能的管理类应用(如手机管家,但不限于手机管家)。终端为手机时,当手机上安装、更新、卸载一个应用后,病毒查杀类应用或集中有病毒查杀功能的管理类应用的本端会检测到相关操作(安装应用的操作、应用更新的操作会卸载应用的操作),然后将该应用的应用信息同步到云端进行存储成应用profile。profile是针对每个应用的数据存储,可以称为镜像或者应用信息备份。镜象通俗点说就是,镜子里照出来的样子,举个例子,用户有张光盘,怕弄丢该光盘,就把光盘上所有的文件压缩复制到用户桌面上,保存为1.zip的数据格式,那么1.zip数据格式的文件就是这个光盘的镜象文件。所述将该应用的应用信息同步到云端进行存储成应用profile,也是类似的意思,是将手机端的应用在后台服务器(或称为云端)做一个镜像文件,这样云端相当于有一个手机端的应用列表信息的镜像,其作为终端应用的备份在后台服务器(或称为云端)进行保存后,就可以执行服务器进行病毒比对的处理逻辑了。
步骤102、每当实时检测到包括病毒及其病毒变种和新型病毒在内的至少一个病毒信息,将所述至少一个病毒信息与所述应用信息列表进行比对,得到比对结果。
这里,后台服务器(或称为云端)根据作为终端应用的备份在本地保存的镜像格式的应用信息列表,与预先已经识别好的包括病毒及其病毒变种和新型病毒在内的至少一个病毒信息进行病毒比对的处理逻辑。其中,预先已经识别好的包括病毒及其病毒变种和新型病毒在内的至少一个病毒信息,也是实时检测的过程,将通过实时检测并进行识别得到的病毒存入病毒库中,以便后续进行病毒比对的处理逻辑。
步骤103、当所述比对结果为所述至少一个病毒信息与所述应用信息列表中的至少一个应用信息匹配时,以主动通知的方式将所述比对结果实时推送给终端进行显示。
这里,后台服务器(或称为云端)检测到作为终端应用的备份在本地保存的镜像格式的应用信息列表中,如果一个或多个应用的应用信息与病毒库中存储的包括病毒及其病毒变种和新型病毒在内的至少一个病毒信息相匹配,则以主动通知的方式将所述比对结果实时推送给终端进行显示。
一个示例为:本步骤也是通过安装的一个应用在本地与云端的交互过程中实现的。该应用可以是病毒查杀类应用,也可以是集中有病毒查杀功能的管理类应用。当终端为手机时,病毒查杀类应用或集中有病毒查杀功能的管理类应用的云端检测到应用信息列表中一个或多个应用的应用信息与病毒库中存储的包括病毒及其病毒变种和新型病毒在内的至少一个病毒信息相匹配,则认为该手机端感染了病毒,然后会通过主动通知的方式,将中毒的软件信息,下发到这些手机上,从而让手机通过本地安装的病毒查杀类应用或集中有病毒查杀功能的管理类应用能进行后续的病毒查杀处理。
采用本发明实施例,每当终端上的应用发送变化,如安装应用,应用更新或卸载应用,则将应用信息通过应用信息同步操作上报给服务器,在服务器形成一个应用profile。其中,对于应用profile来说,它是表示终端上的所有应用信息。每条应用信息包含该应用的包名(例如com.tencent.qqpim)、应用名称(例如手机管家但不限于手机管家)、证书、安装包大小、文件散列值、代码特征值等。这些应用信息会在用户安装、更新、卸载软件时实时同步到服务器(或称云端),或者采用一些定时机制或用户手动同步到服务器(或称云端)。这样服务器(或称云端)就相当于有了用户终端上应用环境的镜像,这个镜像就被称为应用profile。之后,在服务器(或称云端)可以利用应用profile,进行一些分析或处理,就相当于对终端本身进行分析或处理。分析或处理的过程中,将在本地保存的镜像格式的应用信息列表,与预先已经识别好的包括病毒及其病毒变种和新型病毒在内的至少一个病毒信息进行病毒比对的处理逻辑,如果匹配,则以主动通知的方式将所述比对结果实时推送给终端进行显示,提醒用户终端上有应用已经染毒,提醒用户需立即处理,否则用户信息安全得不到保障。
实施例二:
本发明实施例的一种病毒查杀的通知方法,如图3所示,所述方法包括:
步骤201、在第一应用的云端与第一应用的本端间建立信息交互通道。
这里,该信息交互通道是基于网络所构建的信息通道,后续步骤中的应用信息同步操作所携带的应用信息列表、及主动通知方式推送给终端的比对结果(如应用染毒通知)都是通过该信息通道进行传输。
步骤202、根据所述信息交互通道传输第一应用的云端发给第一应用的本端的实时检测指令,使第一应用的本端对终端上已安装的至少一个应用进行实时扫描,扫描得到终端上已安装的至少一个应用的应用状态。
这里,第一应用的本端指位于终端本地的第一应用,也可以称为病毒查杀类应用,也可以是集中有病毒查杀功能的管理类应用(如手机管家,但不限于手机管家)的本地客户端。则病毒查杀类应用或具备病毒查杀功能的管理类应用,其通过本地客户端先对终端上已安装的至少一个应用进行实时扫描,扫描得到终端上已安装的至少一个应用的应用状态,以便后续通过上述信息交互通道,本地客户端与病毒查杀类应用或具备病毒查杀功能的管理类应用的云端进行信息交互。
步骤203、当所述应用状态为应用的安装、应用的更新、应用的卸载中至少一种时,符合所述预设条件的变化,根据所述信息交互通道接收到在触发应用信息同步操作后由第一应用的本端所实时上报的所述终端的应用信息列表。
这里,因为终端存在定时查杀机制,可以默认终端上现有的应用都已经通过定时查杀,没有被染毒。那么,服务器对终端上应用的应用状态进行实时检测,如果发现应用状态为应用的安装、应用的更新、应用的卸载中至少一种时,则判断为符合预设条件的变化。由于执行一个新应用的安装、应用更新或应用卸载都属于应用状态更新的场景,对更新后的应用,服务器需要对其进行是否染毒的病毒检测,因此,终端执行一个新应用的安装、应用更新或应用卸载后,应用状态发生变化,会触发应用信息同步操作,从而使得服务器获取到终端的应用信息列表。
一个示例为:本步骤的检测是通过安装的一个应用在本地与云端的交互过程中实现的。该应用可以是病毒查杀类应用,也可以是集中有病毒查杀功能的管理类应用(如手机管家,但不限于手机管家)。终端为手机时,当手机上安装、更新、卸载一个应用后,病毒查杀类应用或集中有病毒查杀功能的管理类应用的本端会检测到相关操作(安装应用的操作、应用更新的操作会卸载应用的操作),然后将该应用的应用信息同步到云端进行存储成应用profile。profile是针对每个应用的数据存储,可以称为镜像或者应用信息备份。镜象通俗点说就是,镜子里照出来的样子,举个例子,用户有张光盘,怕弄丢该光盘,就把光盘上所有的文件压缩复制到用户桌面上,保存为1.zip的数据格式,那么1.zip数据格式的文件就是这个光盘的镜象文件。所述将该应用的应用信息同步到云端进行存储成应用profile,也是类似的意思,是将手机端的应用在后台服务器(或称为云端)做一个镜像文件,这样云端相当于有一个手机端的应用列表信息的镜像,其作为终端应用的备份在后台服务器(或称为云端)进行保存后,就可以执行服务器进行病毒比对的处理逻辑了。
步骤204、每当实时检测到包括病毒及其病毒变种和新型病毒在内的至少一个病毒信息,将所述至少一个病毒信息与所述应用信息列表进行比对,得到比对结果。
这里,后台服务器(或称为云端)根据作为终端应用的备份在本地保存的镜像格式的应用信息列表,与预先已经识别好的包括病毒及其病毒变种和新型病毒在内的至少一个病毒信息进行病毒比对的处理逻辑。其中,预先已经识别好的包括病毒及其病毒变种和新型病毒在内的至少一个病毒信息,也是实时检测的过程,将通过实时检测并进行识别得到的病毒存入病毒库中,以便后续进行病毒比对的处理逻辑。
步骤205、当所述比对结果为所述至少一个病毒信息与所述应用信息列表中的至少一个应用信息匹配时,以主动通知的方式将所述比对结果实时推送给终端进行显示。
这里,后台服务器(或称为云端)检测到作为终端应用的备份在本地保存的镜像格式的应用信息列表中,如果一个或多个应用的应用信息与病毒库中存储的包括病毒及其病毒变种和新型病毒在内的至少一个病毒信息相匹配,则以主动通知的方式将所述比对结果实时推送给终端进行显示。
一个示例为:本步骤也是通过安装的一个应用在本地与云端的交互过程中实现的。该应用可以是病毒查杀类应用,也可以是集中有病毒查杀功能的管理类应用。当终端为手机时,病毒查杀类应用或集中有病毒查杀功能的管理类应用的云端检测到应用信息列表中一个或多个应用的应用信息与病毒库中存储的包括病毒及其病毒变种和新型病毒在内的至少一个病毒信息相匹配,则认为该手机端感染了病毒,然后会通过主动通知的方式,将中毒的软件信息,下发到这些手机上,从而让手机通过本地安装的病毒查杀类应用或集中有病毒查杀功能的管理类应用能进行后续的病毒查杀处理。
采用本发明实施例,每当终端上的应用发送变化,如安装应用,应用更新或卸载应用,则将应用信息通过应用信息同步操作上报给服务器,在服务器形成一个应用profile。其中,对于应用profile来说,它是表示终端上的所有应用信息。每条应用信息包含该应用的包名(例如com.tencent.qqpim)、应用名称(例如手机管家但不限于手机管家)、证书、安装包大小、文件散列值、代码特征值等。这些应用信息会在用户安装、更新、卸载软件时实时同步到服务器(或称云端),或者采用一些定时机制或用户手动同步到服务器(或称云端)。这样服务器(或称云端)就相当于有了用户终端上应用环境的镜像,这个镜像就被称为应用profile。之后,在服务器(或称云端)可以利用应用profile,进行一些分析或处理,就相当于对终端本身进行分析或处理。分析或处理的过程中,将在本地保存的镜像格式的应用信息列表,与预先已经识别好的包括病毒及其病毒变种和新型病毒在内的至少一个病毒信息进行病毒比对的处理逻辑,如果匹配,则以主动通知的方式将所述比对结果实时推送给终端进行显示,提醒用户终端上有应用已经染毒,提醒用户需立即处理,否则用户信息安全得不到保障。
实施例三:
本发明实施例的一种病毒查杀的通知方法,如图4所示,所述方法包括:
步骤301、在第一应用的云端与第一应用的本端间建立信息交互通道。
这里,该信息交互通道是基于网络所构建的信息通道,后续步骤中的应用信息同步操作所携带的应用信息列表、及主动通知方式推送给终端的比对结果(如应用染毒通知)都是通过该信息通道进行传输。
步骤302、根据所述信息交互通道传输第一应用的云端发给第一应用的本端的实时检测指令,使第一应用的本端对终端上已安装的至少一个应用进行实时扫描,扫描得到终端上已安装的至少一个应用的应用状态。
这里,第一应用的本端指位于终端本地的第一应用,也可以称为病毒查杀类应用,也可以是集中有病毒查杀功能的管理类应用(如手机管家,但不限于手机管家)的本地客户端。则病毒查杀类应用或具备病毒查杀功能的管理类应用,其通过本地客户端先对终端上已安装的至少一个应用进行实时扫描,扫描得到终端上已安装的至少一个应用的应用状态,以便后续通过上述信息交互通道,本地客户端与病毒查杀类应用或具备病毒查杀功能的管理类应用的云端进行信息交互。
步骤303、当所述应用状态为应用的安装、应用的更新、应用的卸载中至少一种时,符合所述预设条件的变化,根据所述信息交互通道接收到在触发应用信息同步操作后由第一应用的本端所实时上报的所述终端的应用信息列表。
这里,因为终端存在定时查杀机制,可以默认终端上现有的应用都已经通过定时查杀,没有被染毒。那么,服务器对终端上应用的应用状态进行实时检测,如果发现应用状态为应用的安装、应用的更新、应用的卸载中至少一种时,则判断为符合预设条件的变化。由于执行一个新应用的安装、应用更新或应用卸载都属于应用状态更新的场景,对更新后的应用,服务器需要对其进行是否染毒的病毒检测,因此,终端执行一个新应用的安装、应用更新或应用卸载后,应用状态发生变化,会触发应用信息同步操作,从而使得服务器获取到终端的应用信息列表。
一个示例为:本步骤的检测是通过安装的一个应用在本地与云端的交互过程中实现的。该应用可以是病毒查杀类应用,也可以是集中有病毒查杀功能的管理类应用(如手机管家,但不限于手机管家)。终端为手机时,当手机上安装、更新、卸载一个应用后,病毒查杀类应用或集中有病毒查杀功能的管理类应用的本端会检测到相关操作(安装应用的操作、应用更新的操作会卸载应用的操作),然后将该应用的应用信息同步到云端进行存储成应用profile。profile是针对每个应用的数据存储,可以称为镜像或者应用信息备份。镜象通俗点说就是,镜子里照出来的样子,举个例子,用户有张光盘,怕弄丢该光盘,就把光盘上所有的文件压缩复制到用户桌面上,保存为1.zip的数据格式,那么1.zip数据格式的文件就是这个光盘的镜象文件。所述将该应用的应用信息同步到云端进行存储成应用profile,也是类似的意思,是将手机端的应用在后台服务器(或称为云端)做一个镜像文件,这样云端相当于有一个手机端的应用列表信息的镜像,其作为终端应用的备份在后台服务器(或称为云端)进行保存后,就可以执行服务器进行病毒比对的处理逻辑了。
步骤304、每当实时检测到包括病毒及其病毒变种和新型病毒在内的至少一个病毒信息,从所述至少一个病毒信息中提取病毒信息的第一特征参数,所述第一特征参数用于表征与病毒身份信息相关的特征信息。
步骤305、获取所述应用信息列表,将所述第一特征参数与应用信息列表中应用的对应参数进行比对,得到比对结果。
这里,后台服务器(或称为云端)根据作为终端应用的备份在本地保存的镜像格式的应用信息列表,与预先已经识别好的包括病毒及其病毒变种和新型病毒在内的至少一个病毒信息进行病毒比对的处理逻辑。其中,预先已经识别好的包括病毒及其病毒变种和新型病毒在内的至少一个病毒信息,也是实时检测的过程,将通过实时检测并进行识别得到的病毒存入病毒库中,以便后续进行病毒比对的处理逻辑。
第一特征参数包括软件包名、软件名、软件证书、软件大小、代码特征值等,该第一特征参数类似于一个人的身高,体重等特征。
一个示例为:当检测出一个病毒后,会将病毒信息(病毒信息和应用profile类似,主要包括病毒软件的软件包名、软件名、软件证书、软件大小、代码特征值等)同步给通知云端,收到通知后会扫描所有终端的应用profile(存储在云端的所有文件对应的镜像或称文件副本)。如果发现某些终端的应用profile信息,与检出病毒的信息匹配,如对比软件包名、软件证书、软件大小三者是否完全一致(当然也可以采用一些其他的对比逻辑,并不限于这里的示例),从而能够认定终端上的应用就是中毒的应用,该应用感染了病毒。病毒查杀类应用或集中有病毒查杀功能的管理类应用的云端通过主动通知的方式,将中毒的软件信息,下发到这些终端上,从而让病毒查杀类应用或集中有病毒查杀功能的管理类应用的本端(不限于手机管家)能进行后续的病毒查杀处理。
步骤306、当所述比对结果为所述至少一个病毒信息与所述应用信息列表中的至少一个应用信息匹配时,以主动通知的方式将所述比对结果实时推送给终端进行显示。
这里,后台服务器(或称为云端)检测到作为终端应用的备份在本地保存的镜像格式的应用信息列表中,如果一个或多个应用的应用信息与病毒库中存储的包括病毒及其病毒变种和新型病毒在内的至少一个病毒信息相匹配,则以主动通知的方式将所述比对结果实时推送给终端进行显示。
一个示例为:本步骤也是通过安装的一个应用在本地与云端的交互过程中实现的。该应用可以是病毒查杀类应用,也可以是集中有病毒查杀功能的管理类应用。当终端为手机时,病毒查杀类应用或集中有病毒查杀功能的管理类应用的云端检测到应用信息列表中一个或多个应用的应用信息与病毒库中存储的包括病毒及其病毒变种和新型病毒在内的至少一个病毒信息相匹配,则认为该手机端感染了病毒,然后会通过主动通知的方式,将中毒的软件信息,下发到这些手机上,从而让手机通过本地安装的病毒查杀类应用或集中有病毒查杀功能的管理类应用能进行后续的病毒查杀处理。
采用本发明实施例,每当终端上的应用发送变化,如安装应用,应用更新或卸载应用,则将应用信息通过应用信息同步操作上报给服务器,在服务器形成一个应用profile。其中,对于应用profile来说,它是表示终端上的所有应用信息。每条应用信息包含该应用的包名(例如com.tencent.qqpim)、应用名称(例如手机管家但不限于手机管家)、证书、安装包大小、文件散列值、代码特征值等。这些应用信息会在用户安装、更新、卸载软件时实时同步到服务器(或称云端),或者采用一些定时机制或用户手动同步到服务器(或称云端)。这样服务器(或称云端)就相当于有了用户终端上应用环境的镜像,这个镜像就被称为应用profile。之后,在服务器(或称云端)可以利用应用profile,进行一些分析或处理,就相当于对终端本身进行分析或处理。分析或处理的过程中,将在本地保存的镜像格式的应用信息列表,与预先已经识别好的包括病毒及其病毒变种和新型病毒在内的至少一个病毒信息进行病毒比对的处理逻辑,如果匹配,则以主动通知的方式将所述比对结果实时推送给终端进行显示,提醒用户终端上有应用已经染毒,提醒用户需立即处理,否则用户信息安全得不到保障。
实施例四:
本发明实施例的一种病毒查杀的通知方法,如图5所示,所述方法包括:
步骤401、在第一应用的云端与第一应用的本端间建立信息交互通道。
这里,该信息交互通道是基于网络所构建的信息通道,后续步骤中的应用信息同步操作所携带的应用信息列表、及主动通知方式推送给终端的比对结果(如应用染毒通知)都是通过该信息通道进行传输。
步骤402、根据所述信息交互通道传输第一应用的云端发给第一应用的本端的实时检测指令,使第一应用的本端对终端上已安装的至少一个应用进行实时扫描,扫描得到终端上已安装的至少一个应用的应用状态。
这里,第一应用的本端指位于终端本地的第一应用,也可以称为病毒查杀类应用,也可以是集中有病毒查杀功能的管理类应用(如手机管家,但不限于手机管家)的本地客户端。则病毒查杀类应用或具备病毒查杀功能的管理类应用,其通过本地客户端先对终端上已安装的至少一个应用进行实时扫描,扫描得到终端上已安装的至少一个应用的应用状态,以便后续通过上述信息交互通道,本地客户端与病毒查杀类应用或具备病毒查杀功能的管理类应用的云端进行信息交互。
步骤403、当所述应用状态为应用的安装、应用的更新、应用的卸载中至少一种时,符合所述预设条件的变化,根据所述信息交互通道接收到在触发应用信息同步操作后由第一应用的本端所实时上报的所述终端的应用信息列表。
这里,因为终端存在定时查杀机制,可以默认终端上现有的应用都已经通过定时查杀,没有被染毒。那么,服务器对终端上应用的应用状态进行实时检测,如果发现应用状态为应用的安装、应用的更新、应用的卸载中至少一种时,则判断为符合预设条件的变化。由于执行一个新应用的安装、应用更新或应用卸载都属于应用状态更新的场景,对更新后的应用,服务器需要对其进行是否染毒的病毒检测,因此,终端执行一个新应用的安装、应用更新或应用卸载后,应用状态发生变化,会触发应用信息同步操作,从而使得服务器获取到终端的应用信息列表。
一个示例为:本步骤的检测是通过安装的一个应用在本地与云端的交互过程中实现的。该应用可以是病毒查杀类应用,也可以是集中有病毒查杀功能的管理类应用(如手机管家,但不限于手机管家)。终端为手机时,当手机上安装、更新、卸载一个应用后,病毒查杀类应用或集中有病毒查杀功能的管理类应用的本端会检测到相关操作(安装应用的操作、应用更新的操作会卸载应用的操作),然后将该应用的应用信息同步到云端进行存储成应用profile。profile是针对每个应用的数据存储,可以称为镜像或者应用信息备份。镜象通俗点说就是,镜子里照出来的样子,举个例子,用户有张光盘,怕弄丢该光盘,就把光盘上所有的文件压缩复制到用户桌面上,保存为1.zip的数据格式,那么1.zip数据格式的文件就是这个光盘的镜象文件。所述将该应用的应用信息同步到云端进行存储成应用profile,也是类似的意思,是将手机端的应用在后台服务器(或称为云端)做一个镜像文件,这样云端相当于有一个手机端的应用列表信息的镜像,其作为终端应用的备份在后台服务器(或称为云端)进行保存后,就可以执行服务器进行病毒比对的处理逻辑了。
步骤404、每当实时检测到包括病毒及其病毒变种和新型病毒在内的至少一个病毒信息,从所述至少一个病毒信息中提取病毒信息的第二特征参数,所述第二特征参数用于表征病毒身份信息;
步骤405、获取所述应用信息列表,将所述第一特征参数与应用信息列表中应用的对应参数进行比对,得到比对结果。
这里,后台服务器(或称为云端)根据作为终端应用的备份在本地保存的镜像格式的应用信息列表,与预先已经识别好的包括病毒及其病毒变种和新型病毒在内的至少一个病毒信息进行病毒比对的处理逻辑。其中,预先已经识别好的包括病毒及其病毒变种和新型病毒在内的至少一个病毒信息,也是实时检测的过程,将通过实时检测并进行识别得到的病毒存入病毒库中,以便后续进行病毒比对的处理逻辑。
第二特征参数包括文件散列值(MD5)等,该第二特征参数类似于一个人的身份证等特征。
一个示例为:当检测出一个病毒后,会将病毒信息(病毒信息和应用profile类似,主要包括MD5等)同步给通知云端,收到通知后会扫描所有终端的应用profile(存储在云端的所有文件对应的镜像或称文件副本)。如果发现某些终端的应用profile信息,与检出病毒的信息匹配,如对比MD5是否完全一致(当然也可以采用一些其他的对比逻辑,并不限于这里的示例),从而能够认定终端上的应用就是中毒的应用,该应用感染了病毒。病毒查杀类应用或集中有病毒查杀功能的管理类应用的云端通过主动通知的方式,将中毒的软件信息,下发到这些终端上,从而让病毒查杀类应用或集中有病毒查杀功能的管理类应用的本端(不限于手机管家)能进行后续的病毒查杀处理。
步骤406、当所述比对结果为所述至少一个病毒信息与所述应用信息列表中的至少一个应用信息匹配时,以主动通知的方式将所述比对结果实时推送给终端进行显示。
这里,后台服务器(或称为云端)检测到作为终端应用的备份在本地保存的镜像格式的应用信息列表中,如果一个或多个应用的应用信息与病毒库中存储的包括病毒及其病毒变种和新型病毒在内的至少一个病毒信息相匹配,则以主动通知的方式将所述比对结果实时推送给终端进行显示。
一个示例为:本步骤也是通过安装的一个应用在本地与云端的交互过程中实现的。该应用可以是病毒查杀类应用,也可以是集中有病毒查杀功能的管理类应用。当终端为手机时,病毒查杀类应用或集中有病毒查杀功能的管理类应用的云端检测到应用信息列表中一个或多个应用的应用信息与病毒库中存储的包括病毒及其病毒变种和新型病毒在内的至少一个病毒信息相匹配,则认为该手机端感染了病毒,然后会通过主动通知的方式,将中毒的软件信息,下发到这些手机上,从而让手机通过本地安装的病毒查杀类应用或集中有病毒查杀功能的管理类应用能进行后续的病毒查杀处理。
采用本发明实施例,每当终端上的应用发送变化,如安装应用,应用更新或卸载应用,则将应用信息通过应用信息同步操作上报给服务器,在服务器形成一个应用profile。其中,对于应用profile来说,它是表示终端上的所有应用信息。每条应用信息包含该应用的包名(例如com.tencent.qqpim)、应用名称(例如手机管家但不限于手机管家)、证书、安装包大小、文件散列值、代码特征值等。这些应用信息会在用户安装、更新、卸载软件时实时同步到服务器(或称云端),或者采用一些定时机制或用户手动同步到服务器(或称云端)。这样服务器(或称云端)就相当于有了用户终端上应用环境的镜像,这个镜像就被称为应用profile。之后,在服务器(或称云端)可以利用应用profile,进行一些分析或处理,就相当于对终端本身进行分析或处理。分析或处理的过程中,将在本地保存的镜像格式的应用信息列表,与预先已经识别好的包括病毒及其病毒变种和新型病毒在内的至少一个病毒信息进行病毒比对的处理逻辑,如果匹配,则以主动通知的方式将所述比对结果实时推送给终端进行显示,提醒用户终端上有应用已经染毒,提醒用户需立即处理,否则用户信息安全得不到保障。
实施例五:
本发明实施例的一种病毒查杀的通知系统,如图6所示,该病毒查杀的通知系统包括终端41和服务器42;其中,终端41用于每当执行一个新应用的安装、应用更新或应用卸载后,应用状态发生变化,会触发应用信息同步操作,从而使得服务器获取到终端的应用信息列表。服务器42包括:检测单元421,用于实时检测终端上已安装的至少一个应用的应用状态,当所述应用状态发生符合预设条件的变化时触发应用信息同步操作,获取到终端的应用信息列表;比对单元422,用于每当实时检测到包括病毒及其病毒变种和新型病毒在内的至少一个病毒信息,将所述至少一个病毒信息与所述应用信息列表进行比对,得到比对结果;主动通知单元423,用于当所述比对结果为所述至少一个病毒信息与所述应用信息列表中的至少一个应用信息匹配时,以主动通知的方式将所述比对结果实时推送给终端进行显示。
在一个实际应用中,因为终端存在定时查杀机制,可以默认终端上现有的应用都已经通过定时查杀,没有被染毒。那么,服务器对终端上应用的应用状态进行实时检测,如果发现应用状态为应用的安装、应用的更新、应用的卸载中至少一种时,则判断为符合预设条件的变化。由于执行一个新应用的安装、应用更新或应用卸载都属于应用状态更新的场景,对更新后的应用,服务器需要对其进行是否染毒的病毒检测,因此,终端执行一个新应用的安装、应用更新或应用卸载后,应用状态发生变化,会触发应用信息同步操作,从而使得服务器获取到终端的应用信息列表。
一个示例为:通过检测单元421实现检测,是通过安装的一个应用在本地与云端的交互过程中实现的。该应用可以是病毒查杀类应用,也可以是集中有病毒查杀功能的管理类应用(如手机管家,但不限于手机管家)。终端为手机时,当手机上安装、更新、卸载一个应用后,病毒查杀类应用或集中有病毒查杀功能的管理类应用的本端会检测到相关操作(安装应用的操作、应用更新的操作会卸载应用的操作),然后将该应用的应用信息同步到云端进行存储成应用profile。profile是针对每个应用的数据存储,可以称为镜像或者应用信息备份。镜象通俗点说就是,镜子里照出来的样子,举个例子,用户有张光盘,怕弄丢该光盘,就把光盘上所有的文件压缩复制到用户桌面上,保存为1.zip的数据格式,那么1.zip数据格式的文件就是这个光盘的镜象文件。所述将该应用的应用信息同步到云端进行存储成应用profile,也是类似的意思,是将手机端的应用在后台服务器(或称为云端)做一个镜像文件,这样云端相当于有一个手机端的应用列表信息的镜像,其作为终端应用的备份在后台服务器(或称为云端)进行保存后,就可以执行服务器进行病毒比对的处理逻辑了。
通过比对单元422进行比对,是后台服务器(或称为云端)根据作为终端应用的备份在本地保存的镜像格式的应用信息列表,与预先已经识别好的包括病毒及其病毒变种和新型病毒在内的至少一个病毒信息进行病毒比对的处理逻辑。其中,预先已经识别好的包括病毒及其病毒变种和新型病毒在内的至少一个病毒信息,也是实时检测的过程,将通过实时检测并进行识别得到的病毒存入病毒库中,以便后续进行病毒比对的处理逻辑。后台服务器(或称为云端)检测到作为终端应用的备份在本地保存的镜像格式的应用信息列表中,如果一个或多个应用的应用信息与病毒库中存储的包括病毒及其病毒变种和新型病毒在内的至少一个病毒信息相匹配,则通过主动通知单元423以主动通知的方式将所述比对结果实时推送给终端进行显示。一个示例为:通过安装的一个应用在本地与云端的交互过程中实现的。该应用可以是病毒查杀类应用,也可以是集中有病毒查杀功能的管理类应用。当终端为手机时,病毒查杀类应用或集中有病毒查杀功能的管理类应用的云端检测到应用信息列表中一个或多个应用的应用信息与病毒库中存储的包括病毒及其病毒变种和新型病毒在内的至少一个病毒信息相匹配,则认为该手机端感染了病毒,然后会通过主动通知的方式,将中毒的软件信息,下发到这些手机上,从而让手机通过本地安装的病毒查杀类应用或集中有病毒查杀功能的管理类应用能进行后续的病毒查杀处理。
采用本发明实施例,每当终端上的应用发送变化,如安装应用,应用更新或卸载应用,则将应用信息通过应用信息同步操作上报给服务器,在服务器形成一个应用profile。其中,对于应用profile来说,它是表示终端上的所有应用信息。每条应用信息包含该应用的包名(例如com.tencent.qqpim)、应用名称(例如手机管家但不限于手机管家)、证书、安装包大小、文件散列值、代码特征值等。这些应用信息会在用户安装、更新、卸载软件时实时同步到服务器(或称云端),或者采用一些定时机制或用户手动同步到服务器(或称云端)。这样服务器(或称云端)就相当于有了用户终端上应用环境的镜像,这个镜像就被称为应用profile。之后,在服务器(或称云端)可以利用应用profile,进行一些分析或处理,就相当于对终端本身进行分析或处理。分析或处理的过程中,将在本地保存的镜像格式的应用信息列表,与预先已经识别好的包括病毒及其病毒变种和新型病毒在内的至少一个病毒信息进行病毒比对的处理逻辑,如果匹配,则以主动通知的方式将所述比对结果实时推送给终端进行显示,提醒用户终端上有应用已经染毒,提醒用户需立即处理,否则用户信息安全得不到保障。
在本发明实施例一实施方式中,所述检测单元,进一步用于:在第一应用的云端与第一应用的本端间建立信息交互通道,根据所述信息交互通道传输第一应用的云端发给第一应用的本端的实时检测指令,使第一应用的本端对终端上已安装的至少一个应用进行实时扫描,扫描得到终端上已安装的至少一个应用的应用状态。
在本发明实施例一实施方式中,所所述检测单元,进一步用于:当所述应用状态为应用的安装、应用的更新、应用的卸载中至少一种时,符合所述预设条件的变化;根据所述信息交互通道接收到在触发应用信息同步操作后由第一应用的本端所实时上报的所述终端的应用信息列表。
在本发明实施例一实施方式中,所所述比对单元,进一步用于:从所述至少一个病毒信息中提取病毒信息的第一特征参数,所述第一特征参数用于表征与病毒身份信息相关的特征信息;获取所述应用信息列表,将所述第一特征参数与应用信息列表中应用的对应参数进行比对,得到比对结果。
在本发明实施例一实施方式中,所所述比对单元,进一步用于:从所述至少一个病毒信息中提取病毒信息的第二特征参数,所述第二特征参数用于表征病毒身份信息;获取所述应用信息列表,将所述第一特征参数与应用信息列表中应用的对应参数进行比对,得到比对结果。
其中,对于用于数据处理的处理器而言,在执行处理时,可以采用微处理器、中央处理器(CPU,Central Processing Unit)、数字信号处理器(DSP,Digital SingnalProcessor)或可编程逻辑阵列(FPGA,Field-Programmable Gate Array)实现;对于存储介质来说,包含操作指令,该操作指令可以为计算机可执行代码,通过所述操作指令来实现上述本发明实施例信息处理方法流程中的各个步骤。
这里需要指出的是:以上涉及终端和服务器项的描述,与上述方法描述是类似的,同方法的有益效果描述,不做赘述。对于本发明终端和服务器实施例中未披露的技术细节,请参照本发明方法流程描述的实施例所描述内容。
以一个现实应用场景为例对本发明实施例阐述如下:
在病毒查杀的场景中,应用本发明实施例,可以实现对新检出病毒快速、准确并且主动通知受感染用户的方案。在病毒查杀的场景中,对软件进行检测和分析,以认定其是否包含恶意行为。如果认定包含恶意行为,则认为对该软件是检出了病毒。然后会对该软件进行标记,标识其相关病毒属性,即建立软件信息(通常包含软件包名、软件名、证书、安装包大小、文件散列值、代码特征值等)到病毒(通常包含分类、描述、级别、处理方式等)的一个映射关联。通过网络来请求云端进行病毒云查杀,在这个请求过程中,需要上报自己的手机里的信息,通常至少包含软件信息或者能够代表该信息的标识,由云端来判断手机是否中毒。病毒库需要定时更新,病毒库更新后,云端会将病毒识别信息下载到手机上,以便让手机能够扫描出软件是否有病毒。
在病毒查杀的场景中有一个盲查期,即:对一个软件检出病毒后,还需要将该病毒信息从云端下发到手机。通常情况下,是由手机通过病毒云查或者更新病毒库来获知最新检出的病毒,而这个都是由定时或者人主动触发来完成,所以时间上具有一定的滞后性。从云端检出到下发到手机的这个时间间隔,称为盲查期,盲查期平均1至3天左右。换言之,病毒查杀通常是由用户手动启动查杀,或者按照预设的周期进行定时查杀,这些都是存在时延的,且由于存在病毒变种和有待甄别的新型病毒,病毒库的更新也需要时间。综合这些因素,通过病毒查杀发现了病毒,也不能及时通知到用户,在盲查期的平均1至3天左右的时间间隔内,如果诱发病毒,则会对用户的信息安全造成威胁。
现有方案的几个示例具体描述如下:
现有方案之一:手机通过定时的机制来获取最新的病毒信息,例如定时病毒云查、定时更新病毒库。通常来说,定时的时间间隔会比较长,通常在1至3天左右,因为更频繁的定时机制会大幅增加手机的cpu和网络资源消耗。
现有方案之二:通过一些策略优化定时方案(例如:在wifi/移动数据网络下采用不同的定时间隔,或者在充电或者电量充足的时候缩短定时间隔,或者在白天/夜晚、工作日/节假日采取不同的定时间隔),可以降低手机的资源消耗。但是因为新的病毒只会影响少量用户,绝大部分用户并没有感染,所以即使采用不同的定时间隔,对绝大部分用户来说,仍然会有资源的浪费,是一种效率较低的做法。
一个检测病毒及病毒查杀的现有流程图如图7所示,包括:
步骤501、当新的病毒被检出后,将新的病毒存入病毒库61中。
这里,检出病毒后,将病毒信息同步到病毒库61中,病毒查杀类的应用或具备病毒查杀功能的管理应用(包括但不限于手机管家)在下次更新病毒库时(通常采用定时机制,也可由人手动触发),将病毒信息由云端同步到本地。于是就可以对病毒软件(如果有安装的话)进行识别和处理。
步骤502、病毒库61中的病毒库会定期更新,并将更新结果定期反馈给手机端。
步骤503、通过检测服务模块62定期对病毒及其病毒变种和有待甄别的新型病毒进行检测。
步骤504、通过检测服务模块62在云端和手机端交互,进行定时的病毒云查杀。
这里,病毒查杀类的应用或具备病毒查杀功能的管理应用(包括但不限于手机管家)在下次病毒云查时(通常采用定时机制,也可由人手动触发),提交软件信息到检测服务模块62以实现检测服务。如果含有该病毒软件,则检测服务模块62会返回相关信息给病毒查杀类的应用或具备病毒查杀功能的管理应用(包括但不限于手机管家),能进行后续的处理。
总而言之,现有技术中,针对上述应用场景,当新的病毒被检出后,用户感知到这些病毒,都是通过一些定时的机制(例如定时病毒云查、定时更新病毒库)来完成的。如果一个用户手机上的软件恰好是新检出病毒,并且距离下一次定时的时间间隔较长,也会导致盲查期也相应的较长,而较长的盲查期,意味着用户暴露在风险中的时间更长,受到损失的可能性更高。
本发明实施例针对缩短盲查期的问题,实现了主动通知的方案。使得盲查期从平均1至3天左右,缩短到30分钟以内。并且主动通知只涉及中了该病毒的用户,对未安装此软件的用户,则不会收到通知,从而其他未安装此软件的用户就无需浪费流量、cpu等资源。可见,能同时满足了快速和准确这两点能力。
本应用场景采用本发明实施例,一个检测病毒及病毒查杀的流程图如图8所示,包括:
步骤601、将应用信息同步到云端。
这里,当手机上安装、更新、卸载一个软件后,病毒查杀类的应用或具备病毒查杀功能的管理应用(包括但不限于手机管家)会检测到相关操作,然后将该软件的信息同步到云端进行存储成软件profile71。这样云端相当于有一个手机端的软件列表信息的镜像。
这里,就软件profile而言,它表示用户手机上的,所有的软件信息。通常每条软件信息包含该软件的包名(例如com.tencent.qqpim)、软件名(例如手机管家)、证书、安装包大小、文件散列值、代码特征值等。这些信息会在用户安装、更新、卸载软件时,或者采用一些定时机制,同步到云端。这样云端就相当于有了用户手机上软件环境的镜像,这个镜像就被称为软件profile。于是在云端可以利用软件profile,进行一些分析或处理,就相当于对用户手机本身进行分析或处理。
步骤602、将新检查出的病毒报给云端。
这里,当检测系统检出一个病毒后,会将信息(和软件profile类似,主要包括病毒软件的软件包名、软件名、软件证书、软件大小、文件散列值、代码特征值等)同步给通知判断模块72。
步骤603-604、云端扫描软件profile信息,将其与病毒库中的病毒信息进行比对,如果比对中发现有匹配(有交集),则将中毒信息主动通知给终端。
这里,通知判断模块72收到通知后会扫描所有手机的软件profile信息,如果发现某些手机的软件profile信息,与检出病毒的信息匹配(通常对比文件散列值是否一致,或者对比软件包名、软件证书、软件大小三者是否完全一致,或者采用一些其他的对比逻辑,能够认定用户手机上的软件就是中毒的软件),则认为该手机感染了病毒。然后会通过主动通知的方式,将中毒的软件信息,下发到这些手机上,从而让病毒查杀类的应用或具备病毒查杀功能的管理应用(包括但不限于手机管家)能进行后续的处理。
这里,就主动通知而言,它是一种让用户知道自己中毒的方式。通过定时的检测来判断自己是否中毒,在这种模式下,云端是被动接收检测命令的一方;而“主动通知”是以云端为主,通过推送的方式来告知用户中毒。
4、技术方案所产生的有益效果
本技术方案解决了以往检出病毒后盲查期较长的问题。提出了主动通知的方案,使得用户暴露在病毒的时间大大降低,从通常情况下的1到3天,缩短到30分钟以内,从而减小受损失的概率。并且该方案除了具有快速的能力以外,还具有准确的能力,也就是只有中毒的用户会收到通知,不依赖于手机的病毒检测定时策略,从而大大减小了资源的消耗。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元,即可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本发明各实施例中的各功能单元可以全部集成在一个处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本发明上述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (10)
1.一种病毒查杀的通知方法,其特征在于,所述方法包括:
实时检测终端上已安装的至少一个应用的应用状态,当所述应用状态发生符合预设条件的变化时触发应用信息同步操作,获取到终端的应用信息列表;
每当实时检测到包括病毒及其病毒变种和新型病毒在内的至少一个病毒信息,将所述至少一个病毒信息与所述应用信息列表进行比对,得到比对结果;
当所述比对结果为所述至少一个病毒信息与所述应用信息列表中的至少一个应用信息匹配时,以主动通知的方式将所述比对结果实时推送给终端进行显示。
2.根据权利要求1所述的方法,其特征在于,所述实时检测终端上已安装的至少一个应用的应用状态,包括:
在第一应用的云端与第一应用的本端间建立信息交互通道,根据所述信息交互通道传输第一应用的云端发给第一应用的本端的实时检测指令,使第一应用的本端对终端上已安装的至少一个应用进行实时扫描,扫描得到终端上已安装的至少一个应用的应用状态。
3.根据权利要求2所述的方法,其特征在于,所述当所述应用状态发生符合预设条件的变化时触发应用信息同步操作,获取到终端的应用信息列表,包括:
当所述应用状态为应用的安装、应用的更新、应用的卸载中至少一种时,符合所述预设条件的变化;
根据所述信息交互通道接收到在触发应用信息同步操作后由第一应用的本端所实时上报的所述终端的应用信息列表。
4.根据权利要求1至3任一项所述的方法,其特征在于,将所述至少一个病毒信息与所述应用信息列表进行比对,得到比对结果,包括:
从所述至少一个病毒信息中提取病毒信息的第一特征参数,所述第一特征参数用于表征与病毒身份信息相关的特征信息;
获取所述应用信息列表,将所述第一特征参数与应用信息列表中应用的对应参数进行比对,得到比对结果。
5.根据权利要求1至3任一项所述的方法,其特征在于,将所述至少一个病毒信息与所述应用信息列表进行比对,得到比对结果,包括:
从所述至少一个病毒信息中提取病毒信息的第二特征参数,所述第二特征参数用于表征病毒身份信息;
获取所述应用信息列表,将所述第一特征参数与应用信息列表中应用的对应参数进行比对,得到比对结果。
6.一种服务器,其特征在于,所述服务器包括:
检测单元,用于实时检测终端上已安装的至少一个应用的应用状态,当所述应用状态发生符合预设条件的变化时触发应用信息同步操作,获取到终端的应用信息列表;
比对单元,用于每当实时检测到包括病毒及其病毒变种和新型病毒在内的至少一个病毒信息,将所述至少一个病毒信息与所述应用信息列表进行比对,得到比对结果;
主动通知单元,用于当所述比对结果为所述至少一个病毒信息与所述应用信息列表中的至少一个应用信息匹配时,以主动通知的方式将所述比对结果实时推送给终端进行显示。
7.根据权利要求6所述的服务器,其特征在于,所述检测单元,进一步用于:
在第一应用的云端与第一应用的本端间建立信息交互通道,根据所述信息交互通道传输第一应用的云端发给第一应用的本端的实时检测指令,使第一应用的本端对终端上已安装的至少一个应用进行实时扫描,扫描得到终端上已安装的至少一个应用的应用状态。
8.根据权利要求7所述的服务器,其特征在于,所述检测单元,进一步用于:
当所述应用状态为应用的安装、应用的更新、应用的卸载中至少一种时,符合所述预设条件的变化;
根据所述信息交互通道接收到在触发应用信息同步操作后由第一应用的本端所实时上报的所述终端的应用信息列表。
9.根据权利要求6至8任一项所述的服务器,其特征在于,所述比对单元,进一步用于:
从所述至少一个病毒信息中提取病毒信息的第一特征参数,所述第一特征参数用于表征与病毒身份信息相关的特征信息;
获取所述应用信息列表,将所述第一特征参数与应用信息列表中应用的对应参数进行比对,得到比对结果。
10.根据权利要求6至8任一项所述的服务器,其特征在于,所述比对单元,进一步用于:
从所述至少一个病毒信息中提取病毒信息的第二特征参数,所述第二特征参数用于表征病毒身份信息;
获取所述应用信息列表,将所述第一特征参数与应用信息列表中应用的对应参数进行比对,得到比对结果。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610651243.0A CN106709344B (zh) | 2016-08-09 | 2016-08-09 | 一种病毒查杀的通知方法及服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610651243.0A CN106709344B (zh) | 2016-08-09 | 2016-08-09 | 一种病毒查杀的通知方法及服务器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106709344A true CN106709344A (zh) | 2017-05-24 |
| CN106709344B CN106709344B (zh) | 2019-12-13 |
Family
ID=58940644
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610651243.0A Active CN106709344B (zh) | 2016-08-09 | 2016-08-09 | 一种病毒查杀的通知方法及服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106709344B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111107152A (zh) * | 2019-12-19 | 2020-05-05 | 浙江军盾信息科技有限公司 | 一种车联网终端入侵处理方法、装置、设备及存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1514964A (zh) * | 2001-04-10 | 2004-07-21 | �Ҵ���˾ | 使用诱饵服务器检测网络上的计算机病毒的方法及装置 |
| US20070245418A1 (en) * | 2002-02-15 | 2007-10-18 | Kabushiki Kaisha Toshiba | Computer virus generation detection apparatus and method |
| CN101339593A (zh) * | 2007-07-04 | 2009-01-07 | 联想(北京)有限公司 | 软件安全性评估系统、用户能力和信任度评估系统和方法 |
| CN102204210A (zh) * | 2011-05-18 | 2011-09-28 | 华为技术有限公司 | 启动应用的方法、服务器和系统 |
| CN103310154A (zh) * | 2013-06-04 | 2013-09-18 | 腾讯科技(深圳)有限公司 | 信息安全处理的方法、设备和系统 |
| CN103491064A (zh) * | 2012-06-14 | 2014-01-01 | 腾讯科技(深圳)有限公司 | 终端软件维护方法、业务客户端及业务服务器 |
| CN103679029A (zh) * | 2013-12-11 | 2014-03-26 | 北京奇虎科技有限公司 | 一种修复山寨应用程序的方法及装置 |
-
2016
- 2016-08-09 CN CN201610651243.0A patent/CN106709344B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1514964A (zh) * | 2001-04-10 | 2004-07-21 | �Ҵ���˾ | 使用诱饵服务器检测网络上的计算机病毒的方法及装置 |
| US20070245418A1 (en) * | 2002-02-15 | 2007-10-18 | Kabushiki Kaisha Toshiba | Computer virus generation detection apparatus and method |
| CN101339593A (zh) * | 2007-07-04 | 2009-01-07 | 联想(北京)有限公司 | 软件安全性评估系统、用户能力和信任度评估系统和方法 |
| CN102204210A (zh) * | 2011-05-18 | 2011-09-28 | 华为技术有限公司 | 启动应用的方法、服务器和系统 |
| CN103491064A (zh) * | 2012-06-14 | 2014-01-01 | 腾讯科技(深圳)有限公司 | 终端软件维护方法、业务客户端及业务服务器 |
| CN103310154A (zh) * | 2013-06-04 | 2013-09-18 | 腾讯科技(深圳)有限公司 | 信息安全处理的方法、设备和系统 |
| CN103679029A (zh) * | 2013-12-11 | 2014-03-26 | 北京奇虎科技有限公司 | 一种修复山寨应用程序的方法及装置 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111107152A (zh) * | 2019-12-19 | 2020-05-05 | 浙江军盾信息科技有限公司 | 一种车联网终端入侵处理方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106709344B (zh) | 2019-12-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10055582B1 (en) | Automated detection and remediation of ransomware attacks involving a storage device of a computer network | |
| US10873597B1 (en) | Cyber attack early warning system | |
| US11811796B2 (en) | Indicator of compromise calculation system | |
| US9542555B2 (en) | Malware detection system and method for compressed data on mobile platforms | |
| US10581879B1 (en) | Enhanced malware detection for generated objects | |
| US10121000B1 (en) | System and method to detect premium attacks on electronic networks and electronic devices | |
| US9225729B1 (en) | Blind hash compression | |
| US9965630B2 (en) | Method and apparatus for anti-virus scanning of file system | |
| US8726387B2 (en) | Detecting a trojan horse | |
| US7269851B2 (en) | Managing malware protection upon a computer network | |
| US20190132273A1 (en) | Analysis and reporting of suspicious email | |
| US11431662B2 (en) | Techniques for message deduplication | |
| EP3430560A1 (en) | Using private threat intelligence in public cloud | |
| US20120266208A1 (en) | Methods and apparatus for malware threat research | |
| US8341746B2 (en) | Identifying malware | |
| CN104021141B (zh) | 数据处理和云服务的方法、装置及系统 | |
| RU2723665C1 (ru) | Динамический индикатор репутации для оптимизации операций по обеспечению компьютерной безопасности | |
| US11122143B2 (en) | Comparison of behavioral populations for security and compliance monitoring | |
| KR20130066901A (ko) | 데이터 분석 시스템에서 맬웨어를 분석하기 위한 장치 및 방법 | |
| CN105468975A (zh) | 恶意代码误报的追踪方法、装置及系统 | |
| WO2020167552A1 (en) | System and method for forensic artifact analysis and visualization | |
| US10860730B1 (en) | Backend data classifier for facilitating data loss prevention in storage devices of a computer network | |
| CN106709344A (zh) | 一种病毒查杀的通知方法及服务器 | |
| Li et al. | Smartphone strategic sampling in defending enterprise network security | |
| US11934515B2 (en) | Malware deterrence using computer environment indicators |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20230630 Address after: 518057 Tencent Building, No. 1 High-tech Zone, Nanshan District, Shenzhen City, Guangdong Province, 35 floors Patentee after: TENCENT TECHNOLOGY (SHENZHEN) Co.,Ltd. Patentee after: TENCENT CLOUD COMPUTING (BEIJING) Co.,Ltd. Address before: 2, 518000, East 403 room, SEG science and Technology Park, Zhenxing Road, Shenzhen, Guangdong, Futian District Patentee before: TENCENT TECHNOLOGY (SHENZHEN) Co.,Ltd. |
|
| TR01 | Transfer of patent right |