发明内容
本发明的目的是提供一种网络系统及终端病毒查杀方法,用于解决现有技术中的技术问题。
一方面,为实现上述目的,本发明提供了一种终端病毒查杀方法。
该终端病毒查杀方法包括:响应于病毒查杀请求,客户端在终端的存储中查找病毒查杀请求对应的样本安全数据,其中,病毒查杀请求包括待查杀文件信息,样本安全数据包括样本文件信息和样本安全信息,样本安全信息用于表征样本文件信息的安全特征;当客户端在终端的存储中未查找到病毒查杀请求对应的样本安全数据时,确定终端的网络环境;当终端的网络环境为直连网时,客户端发送病毒查杀请求至云端,并接收云端反馈的对应病毒查杀请求的样本安全数据;当终端的网络环境为半隔离网时,客户端发送病毒查杀请求至控制中心;控制中心确定病毒查杀请求的时效类型,当病毒查杀请求的时效类型为第一时效类型时,发送病毒查杀请求至云端,并将云端反馈的对应病毒查杀请求的样本安全数据发送至客户端,当病毒查杀请求的时效类型为第二时效类型时,对接收到的多个第二时效类型的病毒查杀请求进行去重,以得到病毒查杀请求组,发送病毒查杀请求组至云端,并将云端反馈的对应病毒查杀请求组的样本安全数据在满足第一预定条件时发送至客户端;当终端的网络环境为全隔离网时,客户端发送病毒查杀请求至鉴定中心;鉴定中心查找本地是否存储有病毒查杀请求对应的样本安全数据,当鉴定中心本地存储有病毒查杀请求对应的样本安全数据时,发送病毒查杀请求对应的样本安全数据至客户端,当鉴定中心本地未存储有述病毒查杀请求对应的样本安全数据时,将病毒查杀请求记录至离线请求记录,发送离线请求记录至离线工具,接收并存储离线工具发送的对应离线请求记录的样本安全数据。
进一步地,病毒查杀请求还包括触发行为标识,触发行为标识用于表征触发病毒查杀请求产生的行为,控制中心确定病毒查杀请求的时效类型的步骤包括:控制中心根据触发行为标识确定病毒查杀请求的时效类型。
进一步地,当病毒查杀请求的时效类型为第二时效类型时,控制中心对接收到的多个第二时效类型的病毒查杀请求进行去重,以得到病毒查杀请求组的步骤包括:当病毒查杀请求的时效类型为第二时效类型时,判断存储的病毒查杀请求与当前接收到的病毒查杀请求的待查杀文件信息是否相同;若存储的病毒查杀请求与当前接收到的病毒查杀请求的待查杀文件信息相同,则丢弃当前接收到的病毒查杀请求;若存储的病毒查杀请求与当前接收到的病毒查杀请求的待查杀文件信息不同,则存储当前接收到的病毒查杀请求;当存储的病毒查杀请求满足预设规则时,将所有存储的病毒查杀请求构成病毒查杀请求组。
进一步地,终端的存储中存储有云端在第一预定时间段内接收到的病毒查杀请求对应的样本安全数据、终端的系统级文件所对应的样本安全数据、预定行业内软件对应的样本安全数据和/或在第二预定时间段内出现的木马和病毒所对应的样本安全数据。
进一步地,在鉴定中心接收并存储离线工具发送的对应离线请求记录的样本安全数据的步骤之后,终端病毒查杀方法还包括:鉴定中心在对应离线请求记录的样本安全数据中查找终端需要存储的样本安全数据;鉴定中心将终端需要存储的样本安全数据在满足第二预定条件时发送至客户端。
进一步地,控制中心将云端反馈的对应病毒查杀请求组的样本安全数据在满足第一预定条件时发送至客户端,或鉴定中心将终端需要存储的样本安全数据在满足第二预定条件时发送至客户端时,具体的步骤包括:接收客户端发送的心跳请求;解析心跳请求以得到终端的描述信息,其中,描述信息包括终端的重要性标识信息和/或终端的存储状态信息;根据描述信息向客户端发送数据获取令牌,其中,客户端还用于封装携带数据获取令牌的数据获取请求;响应于客户端发送的数据获取请求,发送样本安全数据至客户端。
进一步地,控制中心将云端反馈的对应病毒查杀请求组的样本安全数据在满足第一预定条件时发送至客户端,或鉴定中心将终端需要存储的样本安全数据在满足第二预定条件时发送至客户端时,具体的步骤包括:接收客户端发送的心跳请求;查询已发送的数据获取令牌的数据获取状态信息;根据数据获取状态信息向客户端发送数据获取令牌,其中,客户端还用于封装携带数据获取令牌的数据获取请求;响应于客户端发送的数据获取请求,发送样本安全数据至客户端,并更新数据获取请求对应的数据获取状态信息。
进一步地,鉴定中心将终端需要存储的样本安全数据在满足第二预定条件时发送至客户端的步骤之后,终端病毒查杀方法还包括:在鉴定中心的本地存储中删除已发送至客户端的样本安全数据。
进一步地,当鉴定中心本地未存储有述病毒查杀请求对应的样本安全数据时,在将病毒查杀请求记录至离线请求记录的步骤之前,终端病毒查杀方法还包括:鉴定中心判断离线请求记录中是否存在病毒查杀请求;若离线请求记录中存在病毒查杀请求,则鉴定中心丢弃病毒查杀请求;其中,若离线请求记录中不存在病毒查杀请求,则鉴定中心将病毒查杀请求记录至离线请求记录。
另一方面,为实现上述目的,本发明提供了一种网络系统。
该网络系统包括:控制中心、鉴定中心、离线工具和若干客户端,其中:客户端用于响应于病毒查杀请求,在终端的存储中查找病毒查杀请求对应的样本安全数据,其中,病毒查杀请求包括待查杀文件信息,样本安全数据包括样本文件信息和样本安全信息,样本安全信息用于表征样本文件信息的安全特征;客户端还用于在终端的存储中未查找到病毒查杀请求对应的样本安全数据时,确定终端的网络环境,并当终端的网络环境为直连网时,发送病毒查杀请求至云端,并接收云端反馈的对应病毒查杀请求的样本安全数据,当终端的网络环境为半隔离网时,发送病毒查杀请求至控制中心,当终端的网络环境为全隔离网时,发送病毒查杀请求至鉴定中心;控制中心用于确定病毒查杀请求的时效类型,当病毒查杀请求的时效类型为第一时效类型时,发送病毒查杀请求至云端,并将云端反馈的对应病毒查杀请求的样本安全数据发送至客户端,当病毒查杀请求的时效类型为第二时效类型时,对接收到的多个第二时效类型的病毒查杀请求进行去重,以得到病毒查杀请求组,发送病毒查杀请求组至云端,并将云端反馈的对应病毒查杀请求组的样本安全数据在满足第一预定条件时发送至客户端;鉴定中心用于查找本地是否存储有病毒查杀请求对应的样本安全数据,当鉴定中心本地存储有病毒查杀请求对应的样本安全数据时,发送病毒查杀请求对应的样本安全数据至客户端,当鉴定中心本地未存储有述病毒查杀请求对应的样本安全数据时,将病毒查杀请求记录至离线请求记录,发送离线请求记录至离线工具,接收并存储离线工具发送的对应离线请求记录的样本安全数据;离线工具用于在与云端断开连接的状态下接收离线请求记录和发送对应离线请求记录的样本安全数据至鉴定中心,并在与鉴定中心断开连接的状态下向云端获取对应离线请求记录的样本安全数据。
本发明提供的网络系统及终端病毒查杀方法,在响应病毒查杀请求时,客户端首先从终端的本地存储中查找病毒查杀请求对应的样本安全数据,如果查找不到,确定终端的网络环境。在终端的网络环境为直连网时,客户端可直接向云端发送病毒查杀请求,直接实现云查杀。在终端的网络环境为半隔离网时,客户端将病毒查杀请求反馈至控制中心,控制中心根据病毒查杀请求的时效类型来选择对病毒查杀请求的处理方式,当病毒查杀请求的时效类型为对实时性要求较高的第一时效类型时,控制中心直接将病毒查杀请求发送至云端,并且在云端反馈回病毒查杀请求对应的样本安全数据后,直接将样本安全数据发送至客户端,保证病毒查杀的实时性;当病毒查杀请求的时效类型为对实时性要求较低的第二时效类型时,控制中心累积多个病毒查杀请求形成病毒查杀请求组后发送至云端,并且在云端反馈回病毒查杀请求组对应的样本安全数据后,在满足预定条件时再将样本安全数据发送至客户端,通过异步云查杀减小大量云查杀请求对控制中心的压力。在终端的网络环境为全隔离网时,客户端将病毒查杀请求反馈至鉴定中心,鉴定中心在鉴定中心本地存储中查找病毒查杀请求对应的样本安全数据,如果仍然查找不到,则将病毒查杀请求记入离线请求记录,将离线请求记录传输至离线工具,离线工具在云端获取离线请求记录对应的样本安全数据后,再将其反馈给鉴定中心。通过本发明提供的终端病毒查杀方法,基于终端本地存储、控制中心对不同时效类型的病毒查杀请求设置不同的处理方式以及鉴定中心本地存储和通过离线工具访问云端的技术手段相结合,实现了在网络环境制约条件下的云查杀,无论终端直接连接公网,还是处理半隔离或全隔离状态,均能够进行云查杀,既满足实时性病毒查杀时对数据实时性的要求,又避免在半隔离网状态时通过控制中心转发病毒查杀请求对控制中心造成的压力,并且,不影响终端网络环境的特殊管控。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明提供了一种网络系统及终端病毒查杀方法。其中,网络系统包括控制中心、鉴定中心、离线工具和若干客户端,客户端所在的终端可能处于直连网状态,也可能处于半隔离网状态或全隔离网状态,其中,终端处于直连网状态时,终端可直接访问公网;终端处于半隔离网状态时,终端通过固定的数个出口访问公网;终端处于全隔离网状态时,不允许终端直接访问公网。
控制中心实现终端客户端安装的管控,包括终端数量的统计、各终端安装的客户端以及客户端版本等,相当于实现终端云查杀的管理中心,此外,控制中心可直接访问外部网络。
在现有技术的云查杀场景下,客户端将终端病毒查杀请求发送至云端,云端下发查杀结果。针对上述半隔离网状态的终端,发明人研究发现,若采用与现有技术相同的思路,客户端将终端病毒查杀请求全部转发至控制中心,需要由控制中心实时向云端进行请求,并在接收到云端的查杀结果后实时返回至客户端,使得控制中心要接收大量的请求、向云端转发大量的请求,再接收云端下发的相应的查杀结果,再转发查杀结果至客户端,使得控制中心受到非常大的数据处理压力,被消耗较多的资源,进而影响控制中心对终端半隔离网状态的管控。
针对上述全隔离网状态的终端,由于无法与云端通信,使得全隔离网状态下的终端无法实现云查杀。
因此,本发明提供一种终端的病毒查杀方法的思路。具体地,终端存储有样本安全数据,其中,样本安全数据包括样本文件信息和样本安全信息,该样本安全信息用于表征样本文件信息的安全特征,也即样本文件信息所代表的文件为安全文件或是病毒文件等。客户端响应于病毒查杀请求,首先在终端存储的样本安全数据中进行查找,其中,病毒查杀请求包括待查杀文件信息,客户端在终端存储进行查找时,具体为查找病毒查杀请求对应的样本安全数据,也即查找样本文件信息与待查杀文件信息相同的样本安全数据,查找到的样本安全数据中的样本安全信息也即待查杀文件信息代表的文件的安全特征。当终端未存储该病毒查杀请求对应的样本安全数据时,客户端确定终端的网络环境。
当终端的网络环境为直连网时,客户端发送病毒查杀请求至云端,并接收云端反馈的对应病毒查杀请求的样本安全数据,此处实现的是正常的云查杀。
当终端的网络环境为半隔离网时,客户端发送病毒查杀请求至控制中心。控制中心接收客户端发送的病毒查杀请求,并确定病毒查杀请求的时效类型,其中,病毒查杀请求的时效类型包括第一时效类型和第二时效类型,病毒查杀请求为第一时效类型时,该病毒查杀请求为对实时性的要求较高,病毒查杀请求为第二时效类型时,该病毒查杀请求对实时性的要求较低。因此,当病毒查杀请求的时效类型为第一时效类型时,直接发送病毒查杀请求至云端,并将云端反馈的对应病毒查杀请求的样本安全数据直接发送至客户端,能够快速将病毒查杀结果反馈至客户端;当病毒查杀请求的时效类型为第二时效类型时,并不直接将病毒查杀请求发送至云端,而是将多个第二时效类型的病毒查杀请求汇总,然后去重合并为病毒查杀请求组,将病毒查杀请求组发送至云端,当云端反馈对应病毒查杀请求组的样本安全数据后,再在满足预定条件时将这些样本安全数据发送至客户端。
当终端未存储该病毒查杀请求对应的样本安全数据时,客户端将该病毒查杀请求发送至鉴定中心。相对终端和控制中心,鉴定中心存储有数据量较大的样本安全数据,当鉴定中心接收到客户端发送的病毒查杀请求后,查找鉴定中心本地是否存储有病毒查杀请求对应的样本安全数据,当鉴定中心本地存储有病毒查杀请求对应的样本安全数据时,直接发送病毒查杀请求对应的样本安全数据至客户端,当鉴定中心本地未存储有述病毒查杀请求对应的样本安全数据时,将病毒查杀请求记录至离线请求记录。当需要将离线请求记录传输至离线工具时,为鉴定中心连接离线工具,此时离线工具也处于与外部网络断开的状态,鉴定中心发送离线请求记录至离线工具,离线工具在获取到该离线请求记录后,与鉴定中心断开并连接外部网络,以向云端发送离线请求记录中的病毒查杀请求,云端将对应离线请求记录中的病毒查杀请求的样本安全数据反馈回离线工具后,离线工具再与外部网络断开,连接鉴定中心,将对应离线请求记录的样本安全数据发送至鉴定中心,鉴定中心接收并存储离线工具发送的对应离线请求记录的样本安全数据。以便客户端在下次向鉴定中心发送病毒查杀请求时,鉴定中心能够查找到相应地样本安全数据。
从上述内容可以看出,在本发明提供的终端病毒查杀方法中,首先在终端本地进行查杀,当病毒查杀请求未命中本地存储时,需要确定终端的网络环境。对于直连网的情况,客户端直接访问云端实现云查杀;对于半隔离网的情况,客户端发送病毒查杀请求至控制中心,由控制中心将病毒查杀请求转发至云端,从而实现了半隔离网终端的病毒查杀,且控制中心在转发病毒查杀请求至云端时,对时效类型不同的病毒查杀请求采用不同的处理方式,既保证数据的时效性,同时也满足对半隔离网终端的网络环境的特殊管控。对于全隔离网的情况,客户端将病毒查杀请求发送至鉴定中心,鉴定中心在本地存储中查找病毒查杀请求对应的样本安全数据,且鉴定中心维护一个离线请求记录,当鉴定中心查找不到对应的样本安全数据时,先将病毒查杀请求记入离线请求记录,通过离线工具在云端获取离线请求记录对应的样本安全数据,既实现了全隔离网终端的病毒云查杀,同时也满足对全隔离网终端的网络环境的特殊管控。
关于本发明提供的网络系统及终端病毒查杀方法的具体实施例,将在下文中详细描述。
实施例一
本发明实施例提供了一种终端病毒查杀方法,其中,网络系统包括鉴定中心、控制中心、离线工具和若干客户端,通过该方法,能够实现终端在网络制约状态下的病毒查杀,也即实现半隔离网终端的病毒查杀,同时能够保证查杀结果的时效性和对半隔离网终端的网络环境的特殊管控;也能够实现全隔离网终端的病毒云查杀和对全隔离网终端的网络环境的特殊管控,具体地,图1为本发明实施例一提供的终端病毒查杀方法的流程图,如图1所示,该实施例提供的终端病毒查杀方法包括如下的步骤S101至步骤S107。
步骤S101:响应于病毒查杀请求,客户端在终端的存储中查找病毒查杀请求对应的样本安全数据。
其中,病毒查杀请求包括待查杀文件信息,可选地,待查杀文件信息为待查杀文件的文件指纹信息,待查杀文件可以为exe文件、dll文件以及js脚本文件等。
按照预定的存储策略,客户端所在的终端本地存储有若干样本安全数据,可选地,样本安全数据可存储在终端本地。其中,样本安全数据包括样本文件信息和样本安全信息,该样本安全信息用于表征样本文件信息的安全特征。可选地,控制中心和/或鉴定中心每间隔一段时间下发一些样本安全数据至客户端,然后客户端将接收到的样本安全数据存储至终端本地。
客户端响应于病毒查杀请求,首先在终端存储的样本安全数据中进行查找,查找样本文件信息与待查杀文件信息相同的样本安全数据。当查找到时,根据查找到的样本安全数据中的样本安全信息,即可获知待查杀文件的安全特征,也即基于终端本地的存储,客户端能够在终端本地实现病毒查杀。
步骤S102:当客户端在终端的存储中未查找到病毒查杀请求对应的样本安全数据时,确定终端的网络环境。
在本申请中,终端的网络环境包括直连网、半隔离网和全隔离网。
步骤S103:当终端的网络环境为直连网时,客户端发送病毒查杀请求至云端,并接收云端反馈的对应病毒查杀请求的样本安全数据。
步骤S104:当终端的网络环境为半隔离网时,客户端发送病毒查杀请求至控制中心。
客户端在终端未存储病毒查杀请求对应的样本安全数据且终端的网络环境为半隔离网时,发送病毒查杀请求至控制中心,控制中心接收客户端发送的病毒查杀请求。
步骤S105:控制中心确定病毒查杀请求的时效类型,当病毒查杀请求的时效类型为第一时效类型时,发送病毒查杀请求至云端,并将云端反馈的对应病毒查杀请求的样本安全数据发送至客户端,当病毒查杀请求的时效类型为第二时效类型时,对接收到的多个第二时效类型的病毒查杀请求进行去重,以得到病毒查杀请求组,发送病毒查杀请求组至云端,并将云端反馈的对应病毒查杀请求组的样本安全数据在满足第一预定条件时发送至客户端。
控制中心在接收到病毒查杀请求后,确定病毒查杀请求的时效类型。其中,可设置两种时效类型,具体为第一时效类型和第二时效类型,时效类型应用表征病毒查杀请求对实时性的要求,其中,第一时效类型表征的对实时性的要求高于第二时效类型。
可选地,病毒查杀请求可携带有能够确定时效类型的信息,从而控制中心获得该确定时效类型的信息后,即可确定病毒查杀请求的时效类型为第一时效类型或第二时效类型。
进一步可选地,根据终端对安全的重要性程度将终端划分为对应一般重要性程度的第一类型终端和对应较高重要性程度的第二类型终端,该时效类型的信息包括终端的类型信息,当终端的类型信息为第一类型终端时,确定病毒查杀请求的时效类型为第一时效类型,当终端的类型信息为第二类型终端时,确定病毒查杀请求的时效类型为第二时效类型。
进一步可选地,病毒查杀请求还包括触发行为标识,触发行为标识用于表征触发病毒查杀请求产生的行为,确定病毒查杀请求的时效类型的步骤包括:根据触发行为标识确定病毒查杀请求的时效类型。
具体而言,触发行为包括在主动防御类场景下的触发病毒查杀请求产生的行为和在扫描类场景下的触发病毒查杀请求产生的行为,其中,在主动防御类场景下的触发病毒查杀请求产生的行为,需要基于病毒查杀请求的结果来确定行为可行性,例如,下载新文件至终端的行为,打开存在安全隐患文件的行为等,需要基于病毒查杀请求的结果来确定是否可将新文件下载至终端,以及是否可打开文件等,因此,基于这类型行为触发产生的病毒查杀请求需要实时获得查杀结果,对实时性的要求较高。在扫描类场景下的触发病毒查杀请求产生的行为,属于对终端常规安全检测的行为,这类行为对实时性的要求较低。因此,在根据触发行为标识确定病毒查杀请求的时效类型时,触发行为标识表征的行为为主动防御类场景下触发病毒查杀请求产生的行为,病毒查杀请求的时效类型为第一时效类型,触发行为标识表征的行为为扫描类场景下触发病毒查杀请求产生的行为,病毒查杀请求的时效类型为第二时效类型。
当病毒查杀请求的时效类型为第一时效类型时,该病毒查杀请求对时效性要求较高,控制中心直接将病毒查杀请求发送至云端,云端在其样本安全数据库中查找样本文件信息与待查杀文件信息相同的样本安全数据,然后云端将查找到的样本安全数据反馈至控制中心,控制中心接收到该样本安全数据后,将其反馈至客户端,实现了半隔离网终端的病毒查杀。
当病毒查杀请求的时效类型为第二时效类型时,该病毒查杀请求对时效性要求较低,控制中心不会直接将病毒查杀请求发送至云端,而是在一定时间段内累积和汇聚多个时效类型为第二时效类型的病毒查杀请求,在达到预定的时间要求或达到预定的请求数量要求,再将包括多个病毒查杀请求的病毒查杀请求组发送至云端。其中,控制中心是对接收到的多个第二时效类型的病毒查杀请求进行去重后得到病毒查杀请求组。
针对病毒查杀请求组中的每个病毒查杀请求,云端在其样本安全数据库中查找样本文件信息与待查杀文件信息相同的样本安全数据,然后云端将查找到的对应病毒查杀请求组的样本安全数据反馈至控制中心,控制中心接收到该对应病毒查杀请求组的样本安全数据后,也可不直接反馈至客户端,而是在满足预定条件时发送至客户端,实现半隔离网终端的病毒查杀,其中,预定条件可以为时间条件、控制中心与客户端之间的网络状态条件以及控制中心资源消耗条件等。
步骤S106:当终端的网络环境为全隔离网时,客户端发送病毒查杀请求至鉴定中心。
客户端在终端未存储病毒查杀请求对应的样本安全数据且终端的网络环境为全隔离网时,发送病毒查杀请求至鉴定中心,鉴定中心接收客户端发送的病毒查杀请求。
步骤S107:鉴定中心查找本地是否存储有病毒查杀请求对应的样本安全数据,当鉴定中心本地存储有病毒查杀请求对应的样本安全数据时,发送病毒查杀请求对应的样本安全数据至客户端,当鉴定中心本地未存储有述病毒查杀请求对应的样本安全数据时,将病毒查杀请求记录至离线请求记录,发送离线请求记录至离线工具,接收并存储离线工具发送的对应离线请求记录的样本安全数据。
鉴定中心本地存储有样本安全数据,鉴定中心在接收到病毒查杀请求时,在本地存储的样本数据中进行查找。鉴定中心本地还维护有离线请求记录,该离线请求记录用于收集当前鉴定中心本地未存储有对应样本安全数据的病毒查杀请求。
当鉴定中心本地存储有病毒查杀请求对应的样本安全数据时,直接向客户端反馈病毒查杀请求对应的样本安全数据。当鉴定中心本地也未存储病毒查杀请求对应的样本安全数据时,将病毒查杀请求记录至离线请求记录,通过离线请求记录将本地无法命中的病毒查杀请求收集后,发送至离线工具。其中,离线工具与鉴定中心通信时,处于与外部网络断开的状态,在该状态下,接收鉴定中心发送的离线请求记录。然后与鉴定中心断开连接,在允许访问外网的网络环境下发送离线请求记录至云端,云端将对应的样本安全数据下发至离线工具,然后离线工具再在与外部网络断开的状态下将对应离线请求记录的样本安全数据传输至鉴定中心。鉴定中心接收到离线工具发送的对应离线请求记录的样本安全数据后,进行存储,以便下次接收到此离线请求记录中的病毒查杀请求时,能够在鉴定中心命中。
在该实施例提供的终端病毒查杀方法中,在响应病毒查杀请求时,客户端首先从终端的本地存储中查找病毒查杀请求对应的样本安全数据,如果查找不到,确定终端的网络环境。在终端的网络环境为直连网时,客户端可直接向云端发送病毒查杀请求,直接实现云查杀。在终端的网络环境为半隔离网时,客户端将病毒查杀请求反馈至控制中心,控制中心根据病毒查杀请求的时效类型来选择对病毒查杀请求的处理方式,当病毒查杀请求的时效类型为对实时性要求较高的第一时效类型时,控制中心直接将病毒查杀请求发送至云端,并且在云端反馈回病毒查杀请求对应的样本安全数据后,直接将样本安全数据发送至客户端,保证病毒查杀的实时性;当病毒查杀请求的时效类型为对实时性要求较低的第二时效类型时,控制中心累积多个病毒查杀请求形成病毒查杀请求组后发送至云端,并且在云端反馈回病毒查杀请求组对应的样本安全数据后,在满足预定条件时再将样本安全数据发送至客户端,通过异步云查杀减小大量云查杀请求对控制中心的压力。在终端的网络环境为全隔离网时,客户端将病毒查杀请求反馈至鉴定中心,鉴定中心在鉴定中心本地存储中查找病毒查杀请求对应的样本安全数据,如果仍然查找不到,则将病毒查杀请求记入离线请求记录,将离线请求记录传输至离线工具,离线工具在云端获取离线请求记录对应的样本安全数据后,再将其反馈给鉴定中心。采用该实施例提供的终端病毒查杀方法,通过终端本地存储、控制中心对不同时效类型的病毒查杀请求设置不同的处理方式以及鉴定中心本地存储和通过离线工具访问云端的技术手段相结合,实现了在网络环境制约条件下的云查杀,无论终端直接连接公网,还是处理半隔离或全隔离状态,均能够进行云查杀,既满足实时性病毒查杀时对数据实时性的要求,又避免在半隔离网状态时通过控制中心转发病毒查杀请求对控制中心造成的压力,并且,不影响终端网络环境的特殊管控。
可选地,在一种实施例中,当病毒查杀请求的时效类型为第二时效类型时,控制中心对接收到的多个第二时效类型的病毒查杀请求进行去重,以得到病毒查杀请求组的步骤包括:当病毒查杀请求的时效类型为第二时效类型时,判断存储的病毒查杀请求与当前接收到的病毒查杀请求的待查杀文件信息是否相同;若存储的病毒查杀请求与当前接收到的病毒查杀请求的待查杀文件信息相同,则丢弃当前接收到的病毒查杀请求;若存储的病毒查杀请求与当前接收到的病毒查杀请求的待查杀文件信息不同,则存储当前接收到的病毒查杀请求;当存储的病毒查杀请求满足预设规则时,将所有存储的病毒查杀请求构成病毒查杀请求组。
采用该实施例提供的终端病毒查杀方法,控制中心将读个对时效要求低的病毒查杀请求去重后发送至云端,减少冗余的数据请求和数据下发,其中,当存储的病毒查杀请求满足预设规则时,具体可以为满足病毒查杀请求的数量规则或满足累积病毒查杀请求时间的累积时间规则,再将存储的病毒查杀请求构成病毒查杀请求组。
可选地,在一种实施例中,终端的存储中存储有云端在第一预定时间段内接收到的病毒查杀请求对应的样本安全数据、终端的系统级文件所对应的样本安全数据、预定行业内软件对应的样本安全数据和/或在第二预定时间段内出现的木马和病毒所对应的样本安全数据。
具体而言,云端可统计第一预定时间段内接收到的病毒查杀请求,统计出数量较多的前N种病毒查杀请求,控制中心向云端获取该N种病毒查杀请求对应的样本安全数据下发至客户端,或者,离线工具向云端获取该N种病毒查杀请求对应的样本安全数据,再由鉴定中心下发至客户端。其中,N的大小可根据终端进行配置。将一段时间内的热门病毒查杀请求对应的样本安全数据在终端存储,能够提升在终端本地命中病毒查杀请求的概率,从而减少客户端向控制中心或鉴定中心发送病毒查杀请求,进一步减小控制中心和鉴定中心的压力。
控制中心或离线工具在向云端请求终端的系统级文件所对应的样本安全数据时,可携带终端操作系统的标识信息,从而云端从样本数据库中获取样本安全数据时,能够获取到反应终端操作系统的系统级文件安全特征的数据,进一步地,当不同终端的操作系统不同时,控制中心或鉴定中心在下发系统级文件所对应的样本安全数据时,可将对应操作系统的样本安全数据下发至对应的终端。获取终端操作系统的系统级文件所对应的样本安全数据发送至客户端使终端存储,能够保证终端本地命中有关系统级文件的病毒查杀请求,从而减少客户端向控制中心或鉴定中心发送病毒查杀请求,进一步减小控制中心和鉴定中心的压力。
控制中心或离线工具在向云端请求预定行业内软件对应的样本安全数据时,可携带行业标识信息,从而云端从样本数据库获取样本安全数据时,能够获取到该行业标识所表征的行业内软件对应的样本安全据。获取行业内软件对应的样本安全据发送至客户端使终端存储,使得终端本地存储的样本安全数据适配于终端所处的行业环境,能够提升在终端本地命中病毒查杀请求的概率,从而减少客户端向控制中心或鉴定中心发送病毒查杀请求,进一步减小控制中心和鉴定中心的压力。
控制中心或离线工具在向云端请求第二预定时间段内出现的木马和病毒所对应的样本安全数据,也即获取云端最近挖掘到的流行木马和病毒所对应的样本安全数据,能够保证终端存储到最近流行木马和病毒所对应的样本安全数据,在提升终端的安全性能的前提下,能够减少客户端向控制中心或鉴定中心发送病毒查杀请求,进一步减小控制中心和鉴定中心的压力。
可选地,在一种实施例中,在鉴定中心接收并存储离线工具发送的对应离线请求记录的样本安全数据的步骤之后,终端病毒查杀方法还包括:鉴定中心在对应离线请求记录的样本安全数据中查找终端需要存储的样本安全数据;鉴定中心将终端需要存储的样本安全数据在满足第二预定条件时发送至客户端。
采用该实施例提供的终端病毒查杀方法,鉴定中心在接收到离线工具的样本安全数据之后,获取终端需要存储的部分,并将该部分在满足第二预定条件时发送至客户端,能够增加病毒查杀请求命中终端本地的概率,减少客户端向控制中心或鉴定中心转发病毒查杀请求的概率。
进一步可选地,将预定数据在满足预定条件时发送至客户端的步骤之后,终端病毒查杀方法还包括:在鉴定中心的本地存储中删除已发送至客户端的预定数据,避免鉴定中心和终端同时存储有样本安全数据而造成不必要的数据冗余。
可选地,当鉴定中心本地未存储有病毒查杀请求对应的样本安全数据时,在将病毒查杀请求记录至离线请求记录的步骤之前,终端病毒查杀方法还包括:判断离线请求记录中是否存在病毒查杀请求;若离线请求记录中存在病毒查杀请求,则丢弃病毒查杀请求;其中,若离线请求记录中不存在病毒查杀请求,则执行将病毒查杀请求记录至离线请求记录的步骤,避免离线请求记录中存在重复的病毒查杀请求,增加鉴定中心与离线工具之间不必要的数据传输。
可选地,在一种实施例中,控制中心将云端反馈的对应病毒查杀请求组的样本安全数据在满足第一预定条件时发送至客户端,控制中心具体可执行以下步骤。或者,鉴定中心将终端需要存储的样本安全数据在满足第二预定条件时发送至客户端时,鉴定中心具体可执行以下步骤。下述部分将以控制中心向客户端发送样本安全数据的过程为例进行详细描述,鉴定中心向客户端发送样本安全数据的过程类似,此处不再重复描述。
具体的步骤包括:接收客户端发送的心跳请求;解析心跳请求以得到终端的描述信息,其中,描述信息包括终端的重要性标识信息和/或终端的存储状态信息;根据描述信息向客户端发送数据获取令牌,其中,客户端还用于封装携带数据获取令牌的数据获取请求;响应于客户端发送的数据获取请求,发送样本安全数据至客户端。
具体而言,客户端每隔一定的时间间隔向控制中心发起心跳请求,在心跳请求中携带终端的描述信息,以向控制中心报告终端的个性化情况。其中,描述信息包括终端的重要性标识信息和/或终端的存储状态信息。终端的重要性标识信息能够表征终端的重要程度,存储状态信息能够表征终端当前的存储空间大小以及已存储的样本安全数据量的大小等信息。在该步骤中,控制中心根据描述信息确定是否要向客户端颁发数据获取令牌,其中,该数据获取令牌为客户端向控制中心获取样本安全数据的牌照,客户端将数据获取令牌封装在数据获取请求中,控制中心在接收到携带数据获取令牌的数据获取请求时,才会下发样本安全数据至客户端。
当描述信息包括重要性标识信息时,控制中心根据描述信息确定是否要向客户端颁发数据获取令牌时,若重要性标识信息表征终端较重要时,对病毒查杀请求的实时性要求均较高,则控制中心向该终端所在的客户端颁发数据获取令牌,以使该客户端后续能够提升在终端本地命中病毒查杀请求的概率,提升病毒查杀请求的实时性;若重要性标识信息表征终端较普通时,对病毒查杀请求的实时性要求相对较低,则控制中心不向该终端所在的客户端颁发数据获取令牌,以节省控制中心的处理资源。
当描述信息包括终端的存储状态信息时,控制中心根据描述信息确定是否要向客户端颁发数据获取令牌时,若终端的存储状态信息表征终端的存储空间远大于存储空间阈值,或者终端存储的样本安全数据较少时,则控制中心向该终端所在的客户端颁发数据获取令牌,以增加终端存储的样本安全数据的数量,避免样本安全数据过少而使客户端较多的向控制中心发送病毒查杀请求,进而增加控制中心的压力;若终端的存储状态信息表征终端的存储空间远接近或小于存储空间阈值,或者终端存储的样本安全数据较多时,则控制中心不向该终端所在的客户端颁发数据获取令牌,避免过多的样本安全数据占用终端存储空间而影响终端的使用,同时能够平衡终端存储数据量与病毒查杀请求实时性。
可选地,在一种实施例中,控制中心将云端反馈的对应病毒查杀请求组的样本安全数据在满足第一预定条件时发送至客户端,控制中心具体可执行以下步骤。或者,鉴定中心将终端需要存储的样本安全数据在满足第二预定条件时发送至客户端时,鉴定中心具体可执行以下步骤。下述部分将以控制中心向客户端发送样本安全数据的过程为例进行详细描述,鉴定中心向客户端发送样本安全数据的过程类似,此处不再重复描述。
具体的步骤包括:接收客户端发送的心跳请求;查询已发送的数据获取令牌的数据获取状态信息;根据数据获取状态信息向客户端发送数据获取令牌,其中,客户端还用于封装携带数据获取令牌的数据获取请求;响应于客户端发送的数据获取请求,发送样本安全数据至客户端,并更新数据获取请求对应的数据获取状态信息。
具体而言,客户端每隔一定的时间间隔向控制中心发起心跳请求,控制中心在接收到心跳请求后,查询当前已发送的数据获取令牌的数据获取状态信息,包括已发送的数据获取令牌对应的样本安全数据已经被获取了多少,还需要获取多少等状态信息,该信息能够反馈未来一段时间内控制中心下发样本安全数据这种操作对资源的占用情况。控制中心根据数据获取状态信息确定是否要向客户端颁发数据获取令牌,其中,该数据获取令牌为客户端向控制中心获取样本安全数据的牌照,客户端将数据获取令牌封装在数据获取请求中,控制中心在接收到携带数据获取令牌的数据获取请求时,才会下发样本安全数据至客户端。当根据数据获取状态信息评估未来一段时间内控制中心下发样本安全数据这种操作对资源的占用超过阈值时,则控制中心不再向客户端颁发数据获取令牌,否则,控制中心可向客户端颁发数据获取令牌。
可选地,控制中心(或鉴定中心)在向客户端发送样本安全数据时,可分批发送。进一步可选地,控制中心(或鉴定中心)对云端反馈的样本安全数据按顺序进行编号,数据获取请求中携带终端当前已存储的样本安全数据的最大编号,从而控制中心(或鉴定中心)根据该最大编号和控制中心当前样本安全数据的编号,将还未下发至终端的样本安全数据进行发送,避免样本安全数据的遗漏/或重复。
可选地,数据获取令牌具有有效期,控制中心(或鉴定中心)在向客户端发送数据获取令牌时,记录该数据获取令牌的有效期,控制中心(或鉴定中心) 在接收到客户端发送的数据获取请求时,先判断数据获取请求携带的数据获取令牌是否还在有效期内,当数据获取令牌在有效期内时,发送样本安全数据至客户端,当数据获取令牌已经超出有效期时,向客户端反馈数据获取令牌超期的信息,从而能够控制客户端向控制中心(或鉴定中心)请求数据时机和有效时长,避免客户端得到数据获取令牌后长时间占用控制中心资源。进一步地,可对不同终端设置不同数据获取令牌的不同有效期,进一步提升控制中心(或鉴定中心)对样本数据下发控制的灵活性。
实施例二
对应于上述实施例一,本发明实施例二提供了一种网络系统,该实施例中的特征的具体描述可以参考上述对应的终端病毒查杀方法的实施例,此处不再赘述。图2为本发明实施例二提供的网络系统的框图,如图2所示,该网络系统包括:控制中心201、鉴定中心202、离线工具203和若干客户端204。
客户端204用于响应于病毒查杀请求,在终端的存储中查找病毒查杀请求对应的样本安全数据,其中,病毒查杀请求包括待查杀文件信息,样本安全数据包括样本文件信息和样本安全信息,样本安全信息用于表征样本文件信息的安全特征;客户端204还用于在终端的存储中未查找到病毒查杀请求对应的样本安全数据时,确定终端的网络环境,并当终端的网络环境为直连网时,发送病毒查杀请求至云端205,并接收云端205反馈的对应病毒查杀请求的样本安全数据,当终端的网络环境为半隔离网时,发送病毒查杀请求至控制中心201,当终端的网络环境为全隔离网时,发送病毒查杀请求至鉴定中心202;控制中心201用于确定病毒查杀请求的时效类型,当病毒查杀请求的时效类型为第一时效类型时,发送病毒查杀请求至云端205,并将云端205反馈的对应病毒查杀请求的样本安全数据发送至客户端204,当病毒查杀请求的时效类型为第二时效类型时,对接收到的多个第二时效类型的病毒查杀请求进行去重,以得到病毒查杀请求组,发送病毒查杀请求组至云端205,并将云端205反馈的对应病毒查杀请求组的样本安全数据在满足第一预定条件时发送至客户端204;鉴定中心202用于查找本地是否存储有病毒查杀请求对应的样本安全数据,当鉴定中心202本地存储有病毒查杀请求对应的样本安全数据时,发送病毒查杀请求对应的样本安全数据至客户端204,当鉴定中心202本地未存储有述病毒查杀请求对应的样本安全数据时,将病毒查杀请求记录至离线请求记录,发送离线请求记录至离线工具203,接收并存储离线工具203发送的对应离线请求记录的样本安全数据;离线工具203用于在与云端205断开连接的状态下接收离线请求记录和发送对应离线请求记录的样本安全数据至鉴定中心202,并在与鉴定中心202断开连接的状态下向云端205获取对应离线请求记录的样本安全数据。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。