CN107317799A - 病毒预警处理方法及装置 - Google Patents
病毒预警处理方法及装置 Download PDFInfo
- Publication number
- CN107317799A CN107317799A CN201710386075.1A CN201710386075A CN107317799A CN 107317799 A CN107317799 A CN 107317799A CN 201710386075 A CN201710386075 A CN 201710386075A CN 107317799 A CN107317799 A CN 107317799A
- Authority
- CN
- China
- Prior art keywords
- early warning
- viral
- viral early
- triggering
- file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000003612 virological effect Effects 0.000 title claims abstract description 238
- 238000003672 processing method Methods 0.000 title claims abstract description 29
- 241000700605 Viruses Species 0.000 claims abstract description 87
- 238000012545 processing Methods 0.000 claims abstract description 83
- 238000000034 method Methods 0.000 claims abstract description 32
- 239000000725 suspension Substances 0.000 claims description 16
- 208000015181 infectious disease Diseases 0.000 claims description 11
- 201000010099 disease Diseases 0.000 claims description 10
- 208000037265 diseases, disorders, signs and symptoms Diseases 0.000 claims description 10
- 235000013399 edible fruits Nutrition 0.000 claims description 4
- 230000001960 triggered effect Effects 0.000 abstract description 12
- 238000004458 analytical method Methods 0.000 abstract description 8
- 230000008859 change Effects 0.000 description 9
- 230000006399 behavior Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000012217 deletion Methods 0.000 description 3
- 230000037430 deletion Effects 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 238000011084 recovery Methods 0.000 description 3
- 230000004913 activation Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000008878 coupling Effects 0.000 description 2
- 238000009792 diffusion process Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 239000002574 poison Substances 0.000 description 2
- 231100000614 poison Toxicity 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000002411 adverse Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000009385 viral infection Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种病毒预警处理方法及装置。其中,该方法包括:统计客户端上报的触发病毒预警的触发次数,其中,病毒预警是由病毒造成的后果触发的;判断统计的触发次数是否超过预定阈值;在判断结果为是的情况下,控制客户端执行病毒预警处理。本发明解决了相关技术中安全预警系统需要对病毒进行特征细致分析后才能对病毒进行预警,导致预警效率低下的问题,而采用病毒造成的后果直接触发预警,有效提高了预警效率问题,提升了用户体验。
Description
技术领域
本发明涉及安全预警领域,具体而言,涉及一种病毒预警处理方法及装置。
背景技术
目前,安全预警系统存在功能过于死板的弊端,这些安全预警系统通常都是由软件开发厂商设定相应的触发阀值,然后在触发后仅仅是通过发邮件进行警告,需要后期的人工干预进行处理。
针对上述问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种病毒预警处理方法及装置,以至少解决决了相关技术中安全预警系统需要对病毒进行特征细致分析后才能对病毒进行预警,导致预警效率低下的问题,而采用病毒造成的后果直接触发预警,有效提高了预警效率问题,提升了用户体的技术问题。
为了实现上述目的,根据本发明实施例的一个方面,提供了一种病毒预警处理方法,包括:统计客户端上报的触发病毒预警的触发次数,其中,病毒预警是由病毒造成的后果触发的;判断统计的触发次数是否超过预定阈值;在判断结果为是的情况下,控制客户端执行病毒预警处理。
可选地,控制客户端执行病毒预警处理包括:判断病毒预警是否为文件病毒预警;在判断结果为是的情况下,控制客户端对与文件病毒预警对应的文件执行病毒预警处理。
可选地,控制客户端对与文件病毒预警对应的文件执行病毒预警处理包括以下至少之一:在病毒预警的内容为Office文件的文件类型发生变化的情况下,控制客户端对Office文件进行备份;在病毒预警的内容为工控机器上的文本文件的文件内容发生变化的情况下,控制客户端对文本文件感染病毒进行上报操作;在病毒预警的内容为动态链接库文件的文件内容发生变化的情况下,控制客户端执行断网操作;在病毒预警的内容为删除预定文件的情况下,控制客户端执行恢复删除的预定文件的操作。
可选地,在统计客户端上报的触发病毒预警的触发次数之前,该病毒预警处理方法还包括:接收在服务器上设置的用于触发病毒预警的预警规则,并导出预警规则。
为了实现上述目的,根据本发明实施例的另外一个方面,还提供了一种病毒预警处理方法,包括:接收服务器下发的用于触发病毒预警的预警规则;根据预警规则,在检测到病毒造成的后果的情况下,向服务器上报触发病毒预警;在服务器在接收到的触发病毒预警的触发次数超过预定阈值的情况下,接收服务器下发的用于指示进行病毒预警处理的指令;根据接收到的指令,执行病毒预警处理。
可选地,执行病毒预警处理包括以下至少之一:在病毒预警的内容为Office文件的文件类型发生变化的情况下,对Office文件进行备份;在病毒预警的内容为工控机器上的文本文件的文件内容发生变化的情况下,对文本文件感染病毒进行上报操作;在病毒预警的内容为动态链接库文件的文件内容发生变化的情况下,执行断网操作;在病毒预警的内容为删除预定文件的情况下,执行恢复删除的预定文件的操作。
为了实现上述目的,根据本发明实施例的另外一个方面,还提供了一种病毒预警处理装置,包括:统计单元,用于统计客户端上报的触发病毒预警的触发次数,其中,病毒预警是由病毒造成的后果触发的;判断单元,用于判断统计的触发次数是否超过预定阈值;控制单元,用于在判断结果为是的情况下,控制客户端执行病毒预警处理。
可选地,控制单元包括:判断模块,用于判断病毒预警是否为文件病毒预警;控制模块,用于在判断结果为是的情况下,控制客户端对与文件病毒预警对应的文件执行病毒预警处理。
可选地,控制模块包括以下至少之一:第一控制子模块,用于在病毒预警的内容为Office文件的文件类型发生变化的情况下,控制客户端对Office文件进行备份;第二控制子模块,用于在病毒预警的内容为工控机器上的文本文件的文件内容发生变化的情况下,控制客户端对文本文件感染病毒进行上报操作;第三控制子模块,用于在病毒预警的内容为动态链接库文件的文件内容发生变化的情况下,控制客户端执行断网操作;第四控制子模块,用于在病毒预警的内容为删除预定文件的情况下,控制客户端执行恢复删除的预定文件的操作。
可选地,该病毒预警装置还包括:第一接收单元,在统计客户端上报的触发病毒预警的触发次数之前,用于接收在服务器上设置的用于触发病毒预警的预警规则,并导出预警规则。
为了实现上述目的,根据本发明实施例的另外一个方面,还提供了一种病毒预警处理装置,包括:第二接收单元,用于接收服务器下发的用于触发病毒预警的预警规则;上报单元,用于根据预警规则,在检测到病毒造成的后果的情况下,向服务器上报触发病毒预警;第三接收单元,用于在服务器在接收到的触发病毒预警的触发次数超过预定阈值的情况下,接收服务器下发的用于指示进行病毒预警处理的指令;执行单元,用于根据接收到的指令,执行病毒预警处理。
可选地,执行单元包括以下至少之一:备份模块,用于在病毒预警的内容为Office文件的文件类型发生变化的情况下,对Office文件进行备份;报送模块,用于在病毒预警的内容为工控机器上的文本文件的文件内容发生变化的情况下,对文本文件感染病毒进行上报操作;断网模块,用于在病毒预警的内容为动态链接库文件的文件内容发生变化的情况下,执行断网操作;恢复模块,用于在病毒预警的内容为删除预定文件的情况下,执行恢复删除的预定文件的操作。
为了实现上述目的,根据本发明实施例的林外一个方面,还提供了一种存储介质,存储介质包括存储的程序,其中,在程序运行时控制存储介质所在设备执行上述任意一项的病毒预警处理方法。
为了实现上述目的,根据本发明实施例的林外一个方面,还提供了一种处理器,处理器用于运行程序,其中,程序运行时执行上述任意一项的病毒预警处理方法。
为了实现上述目的,根据本发明实施例的林外一个方面,还提供了一种终端,包括:病毒预警处理装置;处理器,处理器运行程序,其中,程序运行时对于从病毒预警处理装置输出的数据执行如下处理步骤:统计客户端上报的触发病毒预警的触发次数,其中,病毒预警是由病毒造成的后果触发的;判断统计的触发次数是否超过预定阈值;在判断结果为是的情况下,控制客户端执行病毒预警处理。
为了实现上述目的,根据本发明实施例的林外一个方面,还提供了一种终端,还包括:病毒预警处理装置;处理器,处理器运行程序,其中,程序运行时对于从病毒预警处理装置输出的数据执行如下处理步骤:接收服务器下发的用于触发病毒预警的预警规则;根据预警规则,在检测到病毒造成的后果的情况下,向服务器上报触发病毒预警;在服务器在接收到的触发病毒预警的触发次数超过预定阈值的情况下,接收服务器下发的用于指示进行病毒预警处理的指令;根据接收到的指令,执行病毒预警处理。
为了实现上述目的,根据本发明实施例的林外一个方面,还提供了一种终端,包括:病毒预警处理装置;存储介质,用于存储程序,其中,程序在运行时对于从病毒预警处理装置输出的数据执行如下处理步骤:统计客户端上报的触发病毒预警的触发次数,其中,病毒预警是由病毒造成的后果触发的;判断统计的触发次数是否超过预定阈值;在判断结果为是的情况下,控制客户端执行病毒预警处理。
为了实现上述目的,根据本发明实施例的林外一个方面,还提供了一种终端,包括:病毒预警处理装置;存储介质,用于存储程序,其中,程序在运行时对于从病毒预警处理装置输出的数据执行如下处理步骤:接收服务器下发的用于触发病毒预警的预警规则;根据预警规则,在检测到病毒造成的后果的情况下,向服务器上报触发病毒预警;在服务器在接收到的触发病毒预警的触发次数超过预定阈值的情况下,接收服务器下发的用于指示进行病毒预警处理的指令;根据接收到的指令,执行病毒预警处理。
在本发明实施例中,可以实现统计客户端上报的触发病毒预警的触发次数,然后对统计的触发次数进行判断,在判断结果为统计的触发次数超过预定阈值的情况下,控制客户端执行病毒预警处理,解决了相关技术中安全预警系统需要对病毒进行特征细致分析后才能对病毒进行预警,导致预警效率低下的问题,而采用病毒造成的后果直接触发预警,有效提高了预警效率问题,提升了用户体验。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的病毒预警处理方法的流程图;
图2是根据本发明实施例的可选的病毒预警处理方法的流程图;
图3是根据本发明实施例的可选的病毒预警处理方法的流程图;
图4是根据本发明实施例的病毒预警处理装置的示意图;以及
图5是根据本发明实施例的可选的病毒预警处理装置的示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
为了便于描述,以下对本申请实施例涉及的部分名词或术语进行说明:
可移植的执行体(PortableExecutable,简称PE):常见的exe、dll、ocx、sys、com都是PE文件,它是微软Windows操作系统上的程序文件(可能是间接被执行,例如,dll)。
针对上述问题,本发明实施例采用统计客户端上报的触发病毒预警的触发次数,然后判断统计的触发次数是否超过预定阈值,再在判断结果为是的情况下,控制客户端执行病毒预警处理。下面进行详细说明。
根据本发明实施例,提供了一种病毒预警处理方法的方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
图1是根据本发明实施例的病毒预警处理方法的流程图,如图1所示,该病毒预警处理方法包括如下步骤:
步骤S102,统计客户端上报的触发病毒预警的触发次数,其中,病毒预警是由病毒造成的后果触发的。
步骤S104,判断统计的触发次数是否超过预定阈值。
步骤S106,在判断结果为是的情况下,控制客户端执行病毒预警处理。
通过上述步骤,可以实现统计客户端上报的触发病毒预警的触发次数,然后对统计的触发次数进行判断,在判断结果为统计的触发次数超过预定阈值的情况下,控制客户端执行病毒预警处理,解决了相关技术中安全预警系统需要对病毒进行特征细致分析后才能对病毒进行预警,导致预警效率低下的问题,而采用病毒造成的后果直接触发预警,有效提高了预警效率问题,提升了用户体验。
在上述步骤S102至步骤S106中,对由客户端上报的触发次数进行统计,其中,这里的病毒预警是由病毒造成的后果所触发的。在判断上述统计次数是否超过设定阈值,,在判断结果为是的情况下,控制客户端执行病毒预警处理,而不是相关技术中的在后期还需要人工进行处理。
相对于相关技术中,由软件开发商设定相应的触发阈值,并在触发后仅仅是发邮件进行警告,在后期还需要人工进行处理,本发明实施例可以由用户自行在服务器端设置预警规则,并且可以设置自动化处理手段,能够实现在第一时间进行处理,不需要人工进行干预,同时设置的预警规则可以导出,从而其他的服务器就可以直接导入使用。另外,客户端会定时更新服务器上的预警规则,如果发现存在符合规则的情况发生就会向控制中心报警,控制中心可以根据报警情况检查预警规则中设定的触发阀值,决定是否执行对应的处理,例如,对指定计算机断网,对资料文件进行恢复以及对高危文件进行删除等。
在本发明一个可选的实施例中,控制客户端执行病毒预警处理可以包括:判断病毒预警是否为文件病毒预警;在判断结果为是的情况下,控制客户端对与文件病毒预警对应的文件执行病毒预警处理。
其中,控制客户端对与文件病毒预警对应的文件执行病毒预警处理可以包括以下至少之一:在病毒预警的内容为Office文件的文件类型发生变化的情况下,控制客户端对Office文件进行备份;具体地,可以设置规则1为:"type":"*.doc"表示一个关于office文档的规则;"content":"type_change"表示检查doc文件的文件类型是否发生变化,例如:工资报表.doc变成工资报表.exe,说明有office文档变成了PE文件,说明文件类型发生变化。并且全网检测到规则触发的数量超过“warningLimit”设定的5时,当规则再次触发时将执行“run”中设定的“backup”,具体到客户端机器的表现就是,如果发现任何对文档内容改变的命令,包括修改,删除等等,将对文档进行备份,这对目前流行的勒索者病毒是一种非常好的防范措施。在病毒预警的内容为工控机器上的文本文件的文件内容发生变化的情况下,控制客户端对文本文件感染病毒进行上报操作,具体地,可以通过设置规则2:"type":"*.exe",表示一个对于所有EXE文件的规则"content":"content_change",检查文件内容是否发生变化?"warningLimit":"5",如果规则触发的阀值超过了5,说明全网中有五次EXE文件内容变化"run":"report",如果变化的阀值超过了5,当规则再次被触发后将执行上报动作对于工控机器上的文件是不应该发生变化的,如果变化说明有病毒入侵。在病毒预警的内容为动态链接库文件的文件内容发生变化的情况下,控制客户端执行断网操作,具体地,可以设置规则3:"type":"*.dll",表示一个对于所有DLL文件的规则"content":"content_change",检查文件内容是否发生变化?"warningLimit":"5",如果规则触发的阀值超过了5,说明全网中有五次DLL文件内容变化"run":"broken_network",如果变化的阀值超过了5,当再有机器触发了该条规则后将该机器断网,防止危险扩散,对于一些网内的文件共享服务器,如果发生大量DLL文件发生改变,说明受到病毒破坏,防止危险扩散将执行断网操作。在病毒预警的内容为删除预定文件的情况下,控制客户端执行恢复删除的预定文件的操作,具体地,设置规则4为:"type":"qq.exe",表示只针对网络中qq.exe文件的监控规则"content":"del",检查文件是否被删除?"warningLimit":"5",如果规则触发的阀值超过了5,说明全网中有五次qq.exe文件被删除的情况发生。"run":"recover",如果规则触发的阀值超过了5,当再次有qq.exe文件被删除时,将自动恢复qq.exe,防止病毒进行破坏;对于网内的一些重要文件,如果被破坏会影响正常的生产工作,所以必须对其进行极其严密的保护,所以当文本发生破坏后,要立即进行恢复,将病毒的危害降低到最小。
在本发明一个可选的实施例中,在统计客户端上报的触发病毒预警的触发次数之前,该病毒预警处理方法还可以包括:接收在服务器上设置的用于触发病毒预警的预警规则,并导出预警规则。
为了实现上述目的,根据本发明实施例的另外一个方面,还提供了一种病毒预警处理方法,图2是根据本发明实施例的可选的病毒预警处理方法的流程图,如图2所示,该病毒预警处理方法包括如下步骤:
步骤S202,接收服务器下发的用于触发病毒预警的预警规则。
其中,预警规则包括:规则ID、规则类型、规则内容、规则阈值以及触发阈值后的响应命令,例如:
步骤S204,根据预警规则,在检测到病毒造成的后果的情况下,向服务器上报触发病毒预警。
步骤S206,在服务器在接收到的触发病毒预警的触发次数超过预定阈值的情况下,接收服务器下发的用于指示进行病毒预警处理的指令。
步骤S208,根据接收到的指令,执行病毒预警处理。
通过上述步骤,可以实现接收服务器下发的用于触发病毒预警的预警规则,然后根据预警规则,在检测到病毒造成的后果的情况下,向服务器上报触发病毒预警,再在服务器在接收到的触发病毒预警的触发次数超过预定阈值的情况下,接收服务器下发的用于指示进行病毒预警处理的指令,最后根据接收到的指令,执行病毒预警处理,从而有效减少了相关技术中人为干预的次数,从而解决了相关技术中安全预警系统后期需要人为干预,而导致的智能性较低的技术问题,提升了用户体验。
在上述步骤S202至步骤S208中,接收服务器下发的用于触发病毒预警的预警规则,然后,根据预警规则,在检测到病毒造成的后果的情况下,向服务器上报触发病毒预警,再在服务器在接收到的触发病毒预警的触发次数超过预定阈值的情况下,接收服务器下发的用于指示进行病毒预警处理的指令,最后根据接收到的指令,执行病毒预警处理。
为了使本申请的病毒预警处理方法更加具有适应性,例如,在不同的情况下能够采取相对应的措施,执行病毒预警处理可以包括以下至少之一:在病毒预警的内容为Office文件的文件类型发生变化的情况下,对Office文件进行备份;在病毒预警的内容为工控机器上的文本文件的文件内容发生变化的情况下,对文本文件感染病毒进行上报操作;在病毒预警的内容为动态链接库文件的文件内容发生变化的情况下,执行断网操作;在病毒预警的内容为删除预定文件的情况下,执行恢复删除的预定文件的操作。
下面结合附图对本申请一个优选的实施例进行详细说明。
图3是根据本发明实施例的可选的病毒预警处理方法的流程图,如图3所示,该病毒预警处理方法包括如下步骤:
步骤S301,开始。
步骤S302,控制中心指定预警规则。
步骤S303,将预警规则下发到客户端。
步骤S304,统计客户端上报的触发病毒预警的触发次数。
步骤S305,判断统计的触发次数是否超过预定阈值;在是的情况下,执行步骤S306,在否的情况下,执行步骤S304
步骤S306,控制客户端执行病毒预警处理。
步骤S307,结束。
在上述实施例中,通过控制中心设置预警规则,其中,预警规则可以是不同的,例如,该规则可以是针对在病毒预警的内容为Office文件的文件类型发生变化的情况下,控制客户端对Office文件进行备份;在病毒预警的内容为工控机器上的文本文件的文件内容发生变化的情况下,控制客户端对文本文件感染病毒进行上报操作;在病毒预警的内容为动态链接库文件的文件内容发生变化的情况下,控制客户端执行断网操作;在病毒预警的内容为删除预定文件的情况下,控制客户端执行恢复删除的预定文件的操作。然后,由控制中心下发预警规则到客户端,再由客户端执行预警规则,并将每次触发均发给服务器,服务器会对规则的触发情况进行记录,例如,可以调用{"rulLog":[{"ID":"1"}]}来实现对触发情况进行记录。接下来,利用服务器检测客户端统计的触发情况是否触发设定阈值,如果触发设定阈值就在服务器端报警,发送邮件给管理员,并通知客户端执行规则中设定的处理方法进行相对应的处理,例如,可以执行{"rulExecute":[{"ID":"1"}]};当用户在服务器上撤销了一个规则后,客户端会更新规则列表,并删除相关规则的检查。
上述实施例及优选实施方式,不同于传统的病毒特征码和病毒行为的判断方式,本申请可以根据病毒造成的后果进行病毒预警,所以并不需要依赖特征库和病毒分析人员对病毒的分析就阈值病毒感染情况的发生,及时发现网络中即将发生的病毒风暴,有效减少了病毒对网络的不利影响。
本申请实施例还提供了一种病毒预警处理装置,需要说明的是,本申请实施例的病毒预警处理装置可以用于执行本申请实施例所提供的用于病毒预警处理方法。以下对本申请实施例提供的病毒预警处理装置进行介绍。
图4是根据本发明实施例的病毒预警处理装置的示意图,如图4所示,该病毒预警处理装置包括:统计单元41、判断单元43以及控制单元45。下面进行详细说明。
统计单元41,用于统计客户端上报的触发病毒预警的触发次数,其中,病毒预警是由病毒造成的后果触发的。
判断单元43,用于判断统计的触发次数是否超过预定阈值。
控制单元45,用于在判断结果为是的情况下,控制客户端执行病毒预警处理。
本申请实施例提供的病毒预警处理装置,通过统计单元41统计客户端上报的触发病毒预警的触发次数,其中,病毒预警是由病毒造成的后果触发的;判断单元43判断统计的触发次数是否超过预定阈值;控制单元45在判断结果为是的情况下,控制客户端执行病毒预警处理,从而解决了相关技术中安全预警系统需要对病毒进行特征细致分析后才能对病毒进行预警,导致预警效率低下的问题,而采用病毒造成的后果直接触发预警,有效提高了预警效率问题,提升了用户体验。
可选地,在本申请实施例提供的病毒预警处理装置中,控制单元包括:判断模块,用于判断病毒预警是否为文件病毒预警;控制模块,用于在判断结果为是的情况下,控制客户端对与文件病毒预警对应的文件执行病毒预警处理。
可选地,在本申请实施例提供的病毒预警处理装置中,控制模块包括以下至少之一:第一控制子模块,用于在病毒预警的内容为Office文件的文件类型发生变化的情况下,控制客户端对Office文件进行备份;第二控制子模块,用于在病毒预警的内容为工控机器上的文本文件的文件内容发生变化的情况下,控制客户端对文本文件感染病毒进行上报操作;第三控制子模块,用于在病毒预警的内容为动态链接库文件的文件内容发生变化的情况下,控制客户端执行断网操作;第四控制子模块,用于在病毒预警的内容为删除预定文件的情况下,控制客户端执行恢复删除的预定文件的操作。
可选地,在本申请实施例提供的病毒预警处理装置中,该病毒预警装置还包括:第一接收单元,在统计客户端上报的触发病毒预警的触发次数之前,用于接收在服务器上设置的用于触发病毒预警的预警规则,并导出预警规则。
本申请实施例还提供了一种病毒预警处理装置,需要说明的是,本申请实施例的病毒预警处理装置可以用于执行本申请实施例所提供的用于病毒预警处理方法。以下对本申请实施例提供的病毒预警处理装置进行介绍。
图5是根据本发明实施例的可选的病毒预警处理装置的示意图,如图5所示,该病毒预警处理装置包括:第二接收单元51、上报单元53、第三接收单元55以及执行单元57。下面进行详细说明。
第二接收单元51,用于接收服务器下发的用于触发病毒预警的预警规则。
上报单元53,用于根据预警规则,在检测到病毒造成的后果的情况下,向服务器上报触发病毒预警。
第三接收单元55,用于在服务器在接收到的触发病毒预警的触发次数超过预定阈值的情况下,接收服务器下发的用于指示进行病毒预警处理的指令。
执行单元57,用于根据接收到的指令,执行病毒预警处理。
在本申请提供的病毒预警处理装置中,通过第二接收单元51接收服务器下发的用于触发病毒预警的预警规则;上报单元53根据预警规则,在检测到病毒造成的后果的情况下,向服务器上报触发病毒预警;第三接收单元55在服务器在接收到的触发病毒预警的触发次数超过预定阈值的情况下,接收服务器下发的用于指示进行病毒预警处理的指令;执行单元57根据接收到的指令,执行病毒预警处理,从而解决了相关技术中安全预警系统需要对病毒进行特征细致分析后才能对病毒进行预警,导致预警效率低下的问题,而采用病毒造成的后果直接触发预警,有效提高了预警效率问题,提升了用户体验。
可选地,在本申请实施例提供的病毒预警处理装置中,执行单元包括以下至少之一:备份模块,用于在病毒预警的内容为Office文件的文件类型发生变化的情况下,对Office文件进行备份;报送模块,用于在病毒预警的内容为工控机器上的文本文件的文件内容发生变化的情况下,对文本文件感染病毒进行上报操作;断网模块,用于在病毒预警的内容为动态链接库文件的文件内容发生变化的情况下,执行断网操作;恢复模块,用于在病毒预警的内容为删除预定文件的情况下,执行恢复删除的预定文件的操作。
为了实现上述目的,根据本发明实施例的林外一个方面,还提供了一种存储介质,存储介质包括存储的程序,其中,在程序运行时控制存储介质所在设备执行上述任意一项的病毒预警处理方法。
为了实现上述目的,根据本发明实施例的林外一个方面,还提供了一种处理器,处理器用于运行程序,其中,程序运行时执行上述任意一项的病毒预警处理方法。
为了实现上述目的,根据本发明实施例的林外一个方面,还提供了一种终端,包括:病毒预警处理装置;处理器,处理器运行程序,其中,程序运行时对于从病毒预警处理装置输出的数据执行如下处理步骤:统计客户端上报的触发病毒预警的触发次数,其中,病毒预警是由病毒造成的后果触发的;判断统计的触发次数是否超过预定阈值;在判断结果为是的情况下,控制客户端执行病毒预警处理。
为了实现上述目的,根据本发明实施例的林外一个方面,还提供了一种终端,还包括:病毒预警处理装置;处理器,处理器运行程序,其中,程序运行时对于从病毒预警处理装置输出的数据执行如下处理步骤:接收服务器下发的用于触发病毒预警的预警规则;根据预警规则,在检测到病毒造成的后果的情况下,向服务器上报触发病毒预警;在服务器在接收到的触发病毒预警的触发次数超过预定阈值的情况下,接收服务器下发的用于指示进行病毒预警处理的指令;根据接收到的指令,执行病毒预警处理。
为了实现上述目的,根据本发明实施例的林外一个方面,还提供了一种终端,包括:病毒预警处理装置;存储介质,用于存储程序,其中,程序在运行时对于从病毒预警处理装置输出的数据执行如下处理步骤:统计客户端上报的触发病毒预警的触发次数,其中,病毒预警是由病毒造成的后果触发的;判断统计的触发次数是否超过预定阈值;在判断结果为是的情况下,控制客户端执行病毒预警处理。
为了实现上述目的,根据本发明实施例的林外一个方面,还提供了一种终端,包括:病毒预警处理装置;存储介质,用于存储程序,其中,程序在运行时对于从病毒预警处理装置输出的数据执行如下处理步骤:接收服务器下发的用于触发病毒预警的预警规则;根据预警规则,在检测到病毒造成的后果的情况下,向服务器上报触发病毒预警;在服务器在接收到的触发病毒预警的触发次数超过预定阈值的情况下,接收服务器下发的用于指示进行病毒预警处理的指令;根据接收到的指令,执行病毒预警处理。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,可以为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (10)
1.一种病毒预警处理方法,其特征在于,包括:
统计客户端上报的触发病毒预警的触发次数,其中,所述病毒预警是由病毒造成的后果触发的;
判断统计的所述触发次数是否超过预定阈值;
在判断结果为是的情况下,控制所述客户端执行病毒预警处理。
2.根据权利要求1所述的方法,其特征在于,控制所述客户端执行病毒预警处理包括:
判断所述病毒预警是否为文件病毒预警;
在判断结果为是的情况下,控制所述客户端对与所述文件病毒预警对应的文件执行病毒预警处理。
3.根据权利要求2所述的方法,其特征在于,控制所述客户端对与所述文件病毒预警对应的文件执行病毒预警处理包括以下至少之一:
在所述病毒预警的内容为Office文件的文件类型发生变化的情况下,控制所述客户端对所述Office文件进行备份;
在所述病毒预警的内容为工控机器上的文本文件的文件内容发生变化的情况下,控制所述客户端对所述文本文件感染病毒进行上报操作;
在所述病毒预警的内容为动态链接库文件的文件内容发生变化的情况下,控制所述客户端执行断网操作;
在所述病毒预警的内容为删除预定文件的情况下,控制所述客户端执行恢复删除的所述预定文件的操作。
4.根据权利要求1至3中任一项所述的方法,其特征在于,在统计所述客户端上报的触发病毒预警的所述触发次数之前,还包括:
接收在服务器上设置的用于触发病毒预警的预警规则,并导出所述预警规则。
5.一种病毒预警处理方法,其特征在于,包括:
接收服务器下发的用于触发病毒预警的预警规则;
根据所述预警规则,在检测到病毒造成的后果的情况下,向所述服务器上报触发病毒预警;
在所述服务器在接收到的触发病毒预警的触发次数超过预定阈值的情况下,接收所述服务器下发的用于指示进行病毒预警处理的指令;
根据接收到的所述指令,执行病毒预警处理。
6.根据权利要求5所述的方法,其特征在于,执行病毒预警处理包括以下至少之一:
在所述病毒预警的内容为Office文件的文件类型发生变化的情况下,对所述Office文件进行备份;
在所述病毒预警的内容为工控机器上的文本文件的文件内容发生变化的情况下,对所述文本文件感染病毒进行上报操作;
在所述病毒预警的内容为动态链接库文件的文件内容发生变化的情况下,执行断网操作;
在所述病毒预警的内容为删除预定文件的情况下,执行恢复删除的所述预定文件的操作。
7.一种病毒预警处理装置,其特征在于,包括:
统计单元,用于统计客户端上报的触发病毒预警的触发次数,其中,所述病毒预警是由病毒造成的后果触发的;
判断单元,用于判断统计的所述触发次数是否超过预定阈值;
控制单元,用于在判断结果为是的情况下,控制所述客户端执行病毒预警处理。
8.一种病毒预警处理装置,其特征在于,包括:
第二接收单元,用于接收服务器下发的用于触发病毒预警的预警规则;
上报单元,用于根据所述预警规则,在检测到病毒造成的后果的情况下,向所述服务器上报触发病毒预警;
第三接收单元,用于在所述服务器在接收到的触发病毒预警的触发次数超过预定阈值的情况下,接收所述服务器下发的用于指示进行病毒预警处理的指令;
执行单元,用于根据接收到的所述指令,执行病毒预警处理。
9.一种存储介质,其特征在于,所述存储介质包括存储的程序,其中,在所述程序运行时控制所述存储介质所在设备执行权利要求1至6中任意一项所述的病毒预警处理方法。
10.一种处理器,其特征在于,所述处理器用于运行程序,其中,所述程序运行时执行权利要求1至6中任意一项所述的病毒预警处理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710386075.1A CN107317799B (zh) | 2017-05-26 | 2017-05-26 | 病毒预警处理方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710386075.1A CN107317799B (zh) | 2017-05-26 | 2017-05-26 | 病毒预警处理方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107317799A true CN107317799A (zh) | 2017-11-03 |
| CN107317799B CN107317799B (zh) | 2020-09-11 |
Family
ID=60181560
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710386075.1A Active CN107317799B (zh) | 2017-05-26 | 2017-05-26 | 病毒预警处理方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107317799B (zh) |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060005244A1 (en) * | 2004-06-10 | 2006-01-05 | International Business Machines Corporation | Virus detection in a network |
| CN101211343A (zh) * | 2006-12-29 | 2008-07-02 | 上海芯盛电子科技有限公司 | 搜索引擎结果数据库病毒自动预警方法 |
| CN102012982A (zh) * | 2010-11-17 | 2011-04-13 | 许丽涛 | 一种保护智能设备安全运行的方法及装置 |
| CN102375951A (zh) * | 2011-10-18 | 2012-03-14 | 北龙中网(北京)科技有限责任公司 | 网页安全检测方法和系统 |
| EP2469445A1 (en) * | 2010-12-24 | 2012-06-27 | Kaspersky Lab Zao | Optimization of anti-malware processing by automated correction of detection rules |
| CN103824017A (zh) * | 2012-11-19 | 2014-05-28 | 腾讯科技(深圳)有限公司 | 监控恶意程序的方法和监控平台 |
| CN103853977A (zh) * | 2012-11-30 | 2014-06-11 | 大连宏宇科技有限公司 | 一种防病毒的电子邮件处理系统及方法 |
| CN104123494A (zh) * | 2013-04-24 | 2014-10-29 | 贝壳网际(北京)安全技术有限公司 | 恶意软件动态行为分析系统的预警方法及装置 |
| CN104134039A (zh) * | 2014-07-24 | 2014-11-05 | 北京奇虎科技有限公司 | 病毒查杀方法、客户端、服务器以及病毒查杀系统 |
| CN104598820A (zh) * | 2015-01-14 | 2015-05-06 | 国家电网公司 | 一种基于特征行为分析的木马病检测方法 |
-
2017
- 2017-05-26 CN CN201710386075.1A patent/CN107317799B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060005244A1 (en) * | 2004-06-10 | 2006-01-05 | International Business Machines Corporation | Virus detection in a network |
| CN101211343A (zh) * | 2006-12-29 | 2008-07-02 | 上海芯盛电子科技有限公司 | 搜索引擎结果数据库病毒自动预警方法 |
| CN102012982A (zh) * | 2010-11-17 | 2011-04-13 | 许丽涛 | 一种保护智能设备安全运行的方法及装置 |
| EP2469445A1 (en) * | 2010-12-24 | 2012-06-27 | Kaspersky Lab Zao | Optimization of anti-malware processing by automated correction of detection rules |
| CN102375951A (zh) * | 2011-10-18 | 2012-03-14 | 北龙中网(北京)科技有限责任公司 | 网页安全检测方法和系统 |
| CN103824017A (zh) * | 2012-11-19 | 2014-05-28 | 腾讯科技(深圳)有限公司 | 监控恶意程序的方法和监控平台 |
| CN103853977A (zh) * | 2012-11-30 | 2014-06-11 | 大连宏宇科技有限公司 | 一种防病毒的电子邮件处理系统及方法 |
| CN104123494A (zh) * | 2013-04-24 | 2014-10-29 | 贝壳网际(北京)安全技术有限公司 | 恶意软件动态行为分析系统的预警方法及装置 |
| CN104134039A (zh) * | 2014-07-24 | 2014-11-05 | 北京奇虎科技有限公司 | 病毒查杀方法、客户端、服务器以及病毒查杀系统 |
| CN104598820A (zh) * | 2015-01-14 | 2015-05-06 | 国家电网公司 | 一种基于特征行为分析的木马病检测方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107317799B (zh) | 2020-09-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Kephart et al. | Measuring and modeling computer virus prevalence | |
| US20180300481A1 (en) | Elimination of false positives in antivirus records | |
| CN107800684B (zh) | 一种低频爬虫识别方法及装置 | |
| US20160357966A1 (en) | Detection and prevention for malicious threats | |
| CN108933785A (zh) | 网络风险监控方法、装置、计算机设备及存储介质 | |
| US20170091461A1 (en) | Malicious code analysis method and system, data processing apparatus, and electronic apparatus | |
| US8544097B2 (en) | Attachment chain tracing scheme for email virus detection and control | |
| US20030065926A1 (en) | System and methods for detection of new malicious executables | |
| CN110519150A (zh) | 邮件检测方法、装置、设备、系统及计算机可读存储介质 | |
| CN110134876B (zh) | 一种基于群智传感器的网络空间群体性事件感知与检测方法 | |
| US10558810B2 (en) | Device monitoring policy | |
| CN101013461A (zh) | 基于程序行为分析的计算机防护方法 | |
| CN107395461A (zh) | 一种基于访问关系的安全状态表示方法及系统 | |
| CN116303290B (zh) | 一种office文档检测方法及装置、设备及介质 | |
| CN109214908A (zh) | 一种监控方法和相关装置 | |
| CN112003920A (zh) | 一种信息共享系统 | |
| CN106936688A (zh) | 通知发送方法和装置 | |
| CN106095638A (zh) | 一种服务器资源告警的方法、装置及系统 | |
| CN109800571A (zh) | 事件处理方法和装置、以及存储介质和电子装置 | |
| CN108134745A (zh) | 分布式数据采集方法及装置 | |
| CN110149303A (zh) | 一种党校的网络安全预警方法及预警系统 | |
| CN107766737B (zh) | 一种数据库审计方法 | |
| CN107317799A (zh) | 病毒预警处理方法及装置 | |
| CN110972086A (zh) | 短信息处理方法、装置、电子设备及计算机可读存储介质 | |
| CN106385413A (zh) | 入侵报文流的处理方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 100041 room a-0003, 2 / F, building 3, yard 30, Shixing street, Shijingshan District, Beijing Patentee after: Beijing Falcon Safety Technology Co.,Ltd. Address before: 12 / F, block B, new office building of China Academy of Building Sciences, No. 30, Beisanhuan East Road, Chaoyang District, Beijing 100013 Patentee before: BEIJING KINGSOFT SECURITY MANAGEMENT SYSTEM TECHNOLOGY Co.,Ltd. |
|
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 3502B, 3rd Floor, Building 4, No. 49 Badachu Road, Shijingshan District, Beijing 100144 Patentee after: Beijing Falcon Safety Technology Co.,Ltd. Country or region after: China Address before: 100041 room a-0003, 2 / F, building 3, yard 30, Shixing street, Shijingshan District, Beijing Patentee before: Beijing Falcon Safety Technology Co.,Ltd. Country or region before: China |