JP6644001B2 - ウイルス処理方法、装置、システム、機器及びコンピュータ記憶媒体 - Google Patents

ウイルス処理方法、装置、システム、機器及びコンピュータ記憶媒体 Download PDF

Info

Publication number
JP6644001B2
JP6644001B2 JP2016552611A JP2016552611A JP6644001B2 JP 6644001 B2 JP6644001 B2 JP 6644001B2 JP 2016552611 A JP2016552611 A JP 2016552611A JP 2016552611 A JP2016552611 A JP 2016552611A JP 6644001 B2 JP6644001 B2 JP 6644001B2
Authority
JP
Japan
Prior art keywords
virus
behavior
information
client
body behavior
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016552611A
Other languages
English (en)
Other versions
JP2017511923A (ja
Inventor
ゾウ、ランクンシン
メイ、リンリン
シャン、チュー
フー、ハンチョン
Original Assignee
バイドゥ オンライン ネットワーク テクノロジー (ベイジン) カンパニー リミテッド
バイドゥ オンライン ネットワーク テクノロジー (ベイジン) カンパニー リミテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by バイドゥ オンライン ネットワーク テクノロジー (ベイジン) カンパニー リミテッド, バイドゥ オンライン ネットワーク テクノロジー (ベイジン) カンパニー リミテッド filed Critical バイドゥ オンライン ネットワーク テクノロジー (ベイジン) カンパニー リミテッド
Publication of JP2017511923A publication Critical patent/JP2017511923A/ja
Application granted granted Critical
Publication of JP6644001B2 publication Critical patent/JP6644001B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/564Static detection by virus signature recognition
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/568Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/561Virus type analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3041Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system component is an input/output interface
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Quality & Reliability (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Transfer Between Computers (AREA)
  • Debugging And Monitoring (AREA)
  • Storage Device Security (AREA)

Description

優先権主張
本願は、出願日が2014年12月19日であり、出願番号が201410802502.6であり、発明の名称が「ウイルス処理方法、装置及びシステム」である中国特許出願の優先権を主張する。
本発明は、コンピュータ応用技術分野に関し、特にウイルス処理方法、装置、システム、機器及びコンピュータ記憶媒体に関する。
インターネットの急速な発展に伴い、ウイルスモードに基づきサイトのトラフィックを集め、且つ広告トラフィックによって経済的利益を得るグレー産業利益チェーンが形成された。毎日、新たに増加される不正なソフトウェアが何百もあり、各種の不正な技術を用いて、プロセス、レジストリ、ファイル等の方式によって互いにバンドルしたり守護したりし、ウイルス本体の挙動特徴を絶えずに更新し、ウイルス対策ソフトによる除去を防止する。
現在、インターネット型ウイルスファイルの伝播方式は、クラウド制御命令によってマシンシステムでユーザのデフォルトブラウザホーム及び検索エンジンを変更し、キーワード検索ランキングを変更し、ブラウザをハイジャックして広告をポップアップし、デスクトップショートカットのリンク先を不正に改竄し、ユーザに対して不要なブラウザプラグイン等の悪意のあるソフトウェアをインストールし、ユーザのプライバシーを盗み取る等である。従来のウイルス対策ソフトは主にファイルの悪意のある挙動を監視し、悪意のある挙動を発見すると対応するファイルを削除する。このようなインターネット型ウイルスファイルを発見する場合、単にマシンシステムのクライアントで挙動分析及びファイル削除を行うことによってウイルス本体を完全に除去することができず、マシンシステムのセキュリティーが悪い。
これに鑑みて、本発明はウイルス処理方法、装置、システム、機器及びコンピュータ記憶媒体を提供して、マシンシステムのセキュリティーを向上させる。
具体的な解決手段は以下のとおりである。
本発明はウイルス処理方法を提供し、この方法は、
クライアントによりスキャンされたウイルス本体挙動に対応するウイルスファミリー情報を決定するステップと、
ウイルスファミリー情報とウイルス除去命令との対応関係に基づいて、決定されたウイルスファミリー情報に対応するウイルス除去命令を前記クライアントに送信し、これによって、前記クライアントが前記ウイルス除去命令を実行してウイルス本体の除去を行うステップと、を含む。
本発明の好ましい実施形態によれば、前記のクライアントによりスキャンされたウイルス本体挙動に対応するウイルスファミリー情報を決定するステップにおいては、
前記クライアントにより報告された、前記クライアントによりスキャンされたウイルス本体挙動情報を含むスキャンログを受信するステップと、
前記ウイルス本体挙動情報と、ウイルスファミリーの悪意のあるウイルス本体挙動情報を含むクラウドの挙動チェーンスクリプトライブラリとをマッチングし、悪意のあるウイルス本体挙動に対応するウイルスファミリー情報を決定するステップと、を含む。
本発明の好ましい実施形態によれば、前記のクライアントによりスキャンされたウイルス本体挙動に対応するウイルスファミリー情報を決定するステップにおいては、
前記クライアントにより報告された識別結果を受信するステップと、
前記クライアントがスキャンされたウイルス本体挙動情報と、ウイルスファミリーの悪意のあるウイルス本体挙動情報を含むクライアントローカルの挙動チェーンスクリプトライブラリとをマッチングして決定したウイルスファミリー情報を前記識別結果から取得するステップと、を含む。
本発明の好ましい実施形態によれば、この方法は、
クライアントにより報告されたスキャンログを分析して更新されたウイルス本体挙動情報を取得するステップと、
更新されたウイルス本体挙動情報を利用してクラウドの挙動チェーンスクリプトライブラリを更新するステップと、をさらに含む。
本発明の好ましい実施形態によれば、スキャンログに含まれるウイルス本体挙動情報と、クラウドの挙動チェーンスクリプトライブラリとをマッチングして決定されたウイルスファミリー情報が前記識別結果から取得されたウイルスファミリー情報と一致しない場合、スキャンログに含まれるウイルス本体挙動情報と、クラウドの挙動チェーンスクリプトライブラリとをマッチングして決定されたウイルスファミリー情報によって、送信するウイルス除去命令を決定し、又は人為的に識別されたウイルスファミリー情報によって、送信するウイルス除去命令を決定する。
本発明の好ましい実施形態によれば、前記ウイルス本体挙動情報は、
プロセス、ロードモジュール、ドライバ、サービス、Rootkit、スタートアップ項目、IE関連項目、ブートウイルス、システムディレクトリ、デスクトップディレクトリ、スタートメニュー、一般的なソフトウェア、スクリプト、システムコンポーネント、ログインセクション、システムスタートアップ項目等の少なくとも1つをスキャンして取得された挙動情報である。
本発明の好ましい実施形態によれば、前記ウイルス除去命令は、
デフォルトのホームページをロックする命令、デフォルトブラウザの検索ホームを変更する命令、指定されたツールソフトウェアをダウンロードする命令又は悪意のあるウイルス本体挙動の関連コンテンツを除去する命令を含む。
本発明はさらにウイルス処理方法を提供し、この方法は、
ウイルス本体挙動をスキャンするステップと、
スキャンログをクラウドサービスプラットフォームに報告するステップと、及び/又は、
ウイルスファミリーの悪意のあるウイルス本体挙動情報を含むローカルの挙動チェーンスクリプトライブラリを利用して、前記ウイルス本体挙動を識別し、悪意のあるウイルス本体挙動と識別された場合、悪意のあるウイルス本体挙動に対応するウイルスファミリー情報をクラウドサービスプラットフォームに報告するステップと、
前記クラウドサービスプラットフォームにより送信されたウイルス除去命令を受信して実行するステップと、を含む。
本発明の好ましい実施形態によれば、この方法は、悪意のあるウイルス本体挙動と識別された場合、悪意のあるウイルス本体挙動の関連コンテンツを除去するステップをさらに含む。
本発明の好ましい実施形態によれば、この方法は、
クラウドの挙動チェーンスクリプトライブラリをロードし、クラウドの挙動チェーンスクリプトライブラリを利用して前記ローカルの挙動チェーンスクリプトライブラリを更新するステップをさらに含む。
本発明の好ましい実施形態によれば、前記ウイルス除去命令は、
デフォルトのホームページをロックする命令、デフォルトブラウザの検索ホームを変更する命令、指定されたツールソフトウェアをダウンロードする命令又は悪意のあるウイルス本体挙動の関連コンテンツを除去する命令を含む。
本発明はさらにウイルス処理装置を提供し、この装置は、
クライアントによりスキャンされたウイルス本体挙動に対応するウイルスファミリー情報を決定するためのウイルス決定ユニットと、
ウイルスファミリー情報とウイルス除去命令との対応関係に基づいて、前記ウイルス決定ユニットにより決定されたウイルスファミリー情報に対応するウイルス除去命令を前記クライアントに送信し、これにより、前記クライアントが前記ウイルス除去命令を実行してウイルス本体の除去を行うための命令送信ユニットと、を備える。
本発明の好ましい実施形態によれば、前記ウイルス決定ユニットは、
前記クライアントにより報告された、前記クライアントによりスキャンされたウイルス本体挙動情報を含むスキャンログを受信するための第1受信サブユニットと、
前記ウイルス本体挙動情報と、ウイルスファミリーの悪意のあるウイルス本体挙動情報を含むクラウドの挙動チェーンスクリプトライブラリとをマッチングし、悪意のあるウイルス本体挙動に対応するウイルスファミリー情報を決定するためのマッチングサブユニットと、を備える。
本発明の好ましい実施形態によれば、前記ウイルス決定ユニットは、
前記クライアントにより報告された識別結果を受信するための第2受信サブユニットと、
前記クライアントがスキャンされたウイルス本体挙動情報と、ウイルスファミリーの悪意のあるウイルス本体挙動情報を含むクライアントローカルの挙動チェーンスクリプトライブラリとをマッチングして決定したウイルスファミリー情報を前記識別結果から取得するための取得サブユニットと、を備える。
本発明の好ましい実施形態によれば、当該装置は、
クライアントにより報告されたスキャンログを分析して更新されたウイルス本体挙動情報を取得するための結合分析ユニットと、
更新されたウイルス本体挙動情報を利用してクラウドの挙動チェーンスクリプトライブラリを更新するためのライブラリ更新ユニットと、をさらに備える。
本発明の好ましい実施形態によれば、前記マッチングサブユニットにより決定されたウイルスファミリー情報が前記取得サブユニットにより取得されたウイルスファミリー情報と一致しない場合、前記命令送信ユニットが、前記マッチングサブユニットにより決定されたウイルスファミリー情報によって、送信するウイルス除去命令を決定し、又は人為的に識別されたウイルスファミリー情報によって、送信するウイルス除去命令を決定する。
本発明の好ましい実施形態によれば、前記ウイルス本体挙動情報は、
プロセス、ロードモジュール、ドライバ、サービス、Rootkit、スタートアップ項目、IE関連項目、ブートウイルス、システムディレクトリ、デスクトップディレクトリ、スタートメニュー、一般的なソフトウェア、スクリプト、システムコンポーネント、ログインセクション、システムスタートアップ項目等の少なくとも1つをスキャンして取得された挙動情報である。
本発明の好ましい実施形態によれば、前記ウイルス除去命令は、
デフォルトのホームページをロックする命令、デフォルトブラウザの検索ホームを変更する命令、指定されたツールソフトウェアをダウンロードする命令又は悪意のあるウイルス本体挙動の関連コンテンツを除去する命令を含む。
本発明はさらにウイルス処理装置を提供し、当該装置は、ログ報告ユニットとウイルス識別ユニットの少なくとも1つと、挙動スキャンユニットと、命令処理ユニットと、を備え、
前記挙動スキャンユニットは、ウイルス本体挙動をスキャンすることに用いられ、
前記ログ報告ユニットは、スキャンログをクラウドサービスプラットフォームに報告することに用いられ、
前記ウイルス識別ユニットは、ウイルスファミリーの悪意のあるウイルス本体挙動情報を含むローカルの挙動チェーンスクリプトライブラリを利用して、前記ウイルス本体挙動を識別し、悪意のあるウイルス本体挙動が識別された場合、悪意のあるウイルス本体挙動に対応するウイルスファミリー情報をクラウドサービスプラットフォームに報告することに用いられ、
前記命令処理ユニットは、前記クラウドサービスプラットフォームにより送信されたウイルス除去命令を受信して実行することに用いられる。
本発明の好ましい実施形態によれば、当該装置は、
前記ウイルス識別ユニットにより悪意のあるウイルス本体挙動が識別された場合、悪意のあるウイルス本体挙動の関連コンテンツを除去するためのウイルス除去ユニットをさらに備える。
本発明の好ましい実施形態によれば、当該装置は、
クラウドの挙動チェーンスクリプトライブラリをロードし、クラウドの挙動チェーンスクリプトライブラリを利用して前記ローカルの挙動チェーンスクリプトライブラリを更新するためのライブラリ更新ユニットをさらに備える。
本発明の好ましい実施形態によれば、前記ウイルス除去命令は、
デフォルトのホームページをロックする命令、デフォルトブラウザの検索ホームを変更する命令、指定されたツールソフトウェアをダウンロードする命令又は悪意のあるウイルス本体挙動の関連コンテンツを除去する命令を含む。
本発明はさらにウイルス処理システムを提供し、このシステムは、
上記第1種の装置を含むクラウド処理プラットフォームと、
上記第2種の装置を含むクライアントと、を備える。
以上の解決手段から分かるように、本発明において、クライアントは、スキャンログをクラウドサービスプラットフォームに報告し、及び/又はスキャンログに基づいてウイルスファミリー情報を識別した後にウイルスファミリー情報をクラウドサービスプラットフォームに報告する。クラウドサービスプラットフォームは、スキャンログを識別してウイルスファミリー情報を取得し、及び/又はクライアントからのウイルスファミリー情報を受信した場合、ウイルスファミリー情報に対応するウイルス除去命令をクライアントに送信し、こてにより、クライアントがウイルス除去命令を実行する。本発明によるクラウドがウイルスファミリー情報に対してウイルス除去命令の送信を行う方式は、単にクライアントが挙動分析及びファイル削除を行う方式に比べて、ウイルスに対する処理がより個性化で正確であり、マシンシステムのセキュリティーを向上させる。
本発明の実施例に係るシステム構造図である。 本発明の実施例に係るクライアントにより実行されるウイルス処理方法のフローチャートである。 本発明の実施例に係るクラウドサービスプラットフォームにより実行されるウイルス処理方法のフローチャートである。 本発明の実施例に係る装置構造図である。 本発明の実施例に係る別の装置構造図である。
本発明の目的、解決手段及び利点をより明確にするために、以下、図面及び具体的な実施例を参照しながら本発明を詳しく説明する。
本発明の実施例は主に図1に示されるシステムに基づくものであり、当該システムはクライアントとクラウドサービスプラットフォームを備え、クライアントがPC、携帯電話、タブレットパソコン等のマシンシステムに設置され、当該マシンシステムのセキュリティーを担当する。
本発明の実施例において、クライアントは以下の機能を有してもよい。
1)ウイルス本体挙動をスキャンし、これはクライアントの最も基本的な機能である。ここで本発明の実施例にかかるいくつかの概念を説明する。「ウイルス本体」とは、ウイルスの母体を指し、即ちウイルス伝播の最初のファイルであり、母体ファイルが実行されると各種のサブファイル及びその関連挙動を生じ、親ウイルス自体のファイルが必ずしも悪意のあるものではない。「悪意のあるウイルス本体」とは、悪意のある親ウイルスを指し、即ち自体が悪意のあるサブファイルをリリースし又は悪意のあるネットワーク挙動を行うことができる。「ウイルス本体挙動」は親ウイルスのすべての可能な挙動を含み、例えば、ウイルス本体挙動は、プロセス、ロードモジュール、ドライバ、サービス、Rootkit(Rootkitとは、主な機能が他のプログラムプロセスを隠すソフトウェアを指し、1つのソフトウェア又は1つ以上のソフトウェアの組み合わせである可能性がある)、スタートアップ項目、IE関連項目、ブートウイルス、システムディレクトリ、デスクトップディレクトリ、スタートメニュー、一般的なソフトウェア、スクリプト、システムコンポーネント、ログインセクション、システムスタートアップ項目等をスキャンして取得された挙動情報である。「悪意のあるウイルス本体挙動」は悪意のある親ウイルスの挙動である。
2)当該クライアントによりスキャンされたウイルス本体挙動情報を含むスキャンログをクラウドサービスプラットフォームに報告し、これにより、クラウドサービスプラットフォームが分析を行う。
3)ローカルの挙動チェーンスクリプトライブラリを利用して、ウイルス本体挙動を識別する。挙動チェーンスクリプトライブラリがウイルスファミリーの悪意のあるウイルス本体挙動情報を含み、クライアントによりスキャンされたウイルス本体挙動情報と挙動チェーンスクリプトライブラリとをマッチングして、スキャンされたウイルス本体挙動が悪意のあるウイルス本体挙動であるか否かを決定し、さらにウイルスファミリー情報を決定することができる。「ウイルスファミリー」とは、挙動が類似する1組の悪意のあるウイルス本体の総称であり、同一のウイルスファミリーに属する悪意のあるウイルス本体が一般的に同一の作成者に属し又は同一のウイルスソースファイルからのものである(例えば、同一のウイルスソースファイルから変更して得られる)。例えば、挙動チェーンスクリプトライブラリにおいて、同一のウイルスファミリーに属する悪意のあるウイルス本体挙動情報を整合し、悪意のあるウイルス本体挙動によってそれに対応するウイルスファミリー情報を決定することができる。
さらに、クライアントローカルの挙動チェーンスクリプトライブラリはクラウドサービスプラットフォームの挙動チェーンスクリプトライブラリをロードしてローカルに記憶して得られるものであってもよい。例えば、クライアントは周期的にクラウドサービスプラットフォームから挙動チェーンスクリプトライブラリをロードしてローカルの挙動チェーンスクリプトライブラリを更新することができ、即ち下記の機能6)である。
4)悪意のあるウイルス本体挙動が識別された場合、悪意のあるウイルス本体挙動に対応するウイルスファミリー情報をクラウドサービスプラットフォームに報告する。ここでのウイルスファミリー情報は例えばウイルスファミリーID(識別子)等の情報であってもよい。つまり、クライアントローカルによってウイルスファミリーIDが識別された場合、ウイルスファミリーIDをクラウドサービスプラットフォームに直接報告する。
5)悪意のあるウイルス本体挙動が識別された場合、当該クライアントが所在するマシンシステムにおける悪意のあるウイルス本体挙動の関連コンテンツを除去する。ウイルスファミリー情報を報告する以外に、クライアントローカルにウイルス除去メカニズムが存在してもよく、クライアントが所在するマシンシステムにおける悪意のあるウイルス本体挙動の関連コンテンツを除去し、例えば、悪意のあるウイルス本体のサービスを停止し、悪意のあるウイルス本体のファイルを削除し、悪意のあるウイルス本体のレジストリエントリ又は関連活動項目を削除し、ブラウザデフォルトのホームページを修復する。上記除去処理が実行された後に、さらにマシンシステムの実行に影響を与える可能性があるファイルに対して初期化修復処理を行うことができ、即ち、それを初期状態に回復させることにより、マシンシステムの正常な作動を確保する。
6)クラウドの挙動チェーンスクリプトライブラリをロードし、クラウドの挙動チェーンスクリプトライブラリを利用してローカルの挙動チェーンスクリプトライブラリを更新する。
クラウドサービスプラットフォームは以下の機能を有してもよい。
1)クライアントによりスキャンされたウイルス本体挙動に対応するウイルスファミリー情報を決定する。ここで、以下の2つの方式によって本機能を実現することができる。
第1の方式は、クライアントにより報告された、クライアントによりスキャンされたウイルス本体挙動情報を含むスキャンログを受信し、当該ウイルス本体挙動情報とクラウドの挙動チェーンスクリプトライブラリとをマッチングし、悪意のあるウイルス本体挙動情報に対応するウイルスファミリー情報を決定する。同様に、当該挙動チェーンスクリプトライブラリにウイルスファミリーの悪意のあるウイルス本体挙動情報も含む。当該挙動チェーンスクリプトライブラリは各マシンシステムのクライアントにより報告されたスキャンログを分析して得られたものであり、人工分析と設定された要素とを結合して得られてもよい。
第2の方式は、クライアントにより報告された識別結果を直接受信し、当該識別結果にはクライアントがスキャンされたウイルス本体挙動情報と、クライアントローカルの挙動チェーンスクリプトライブラリとをマッチングして決定したウイルスファミリー情報を含む。
2)ウイルスファミリー情報とウイルス除去命令との対応関係に基づいて、ウイルスファミリー情報に対応するウイルス除去命令をクライアントに送信する。クラウドサービスプラットフォームにウイルスファミリー情報とウイルス除去命令との対応関係が維持され、これらのウイルス除去命令は対応するウイルスファミリーの挙動を除去するようにクライアントの操作を指導することに用いられる。この対応関係は手動で設定してもよい。
上記のウイルス除去命令は、デフォルトのホームページをロックする命令、デフォルトブラウザの検索ホームを変更する命令又は指定されたツールソフトウェアをダウンロードする命令等を含むが、それらに限定されない。上記指定されたツールソフトウェアは、例えばセキュリティーガードソフトウェア、システム修復ツール、悪意のあるプラグインの除去ツール、ブラウザ保護ツール等であってもよい。
上記ウイルスファミリー情報に対応するウイルス除去命令はクラウドによって設定可能であり、リアルタイムに捕捉される流行ウイルス挙動分析に基づいて、対応するウイルス除去命令を増加又は調整することができる。
つまり、クラウドサービスプラットフォームは的を射て一種類のウイルスを除去する指導意見をクライアントに提供することができ、クライアントが単にファイルを削除する原因でウイルス本体を完全に除去できない問題を避ける。
3)各マシンシステムのクライアントにより報告されたスキャンログを結合分析して更新ウイルス本体挙動を取得し、更新ウイルス本体挙動を利用してクラウドの挙動チェーンスクリプトライブラリを更新する。
以下、具体的な実施例を参照してクライアントとクラウドサービスプラットフォームにより実行される方法のフローを説明する。図2は本発明の実施例に係るクライアントにより実行されるウイルス処理方法のフローチャートであり、図2に示すように、当該フローは主に以下のステップを含む。
ステップ201では、クライアントはマシンシステムにおけるウイルス本体挙動をスキャンし、例えばプロセス、ロードモジュール、ドライバ、サービス、Rootkit、スタートアップ項目、IE関連項目、ブートウイルス、システムディレクトリ、デスクトップディレクトリ、スタートメニュー、一般的なソフトウェア、スクリプト、システムコンポーネント、ログインセクション、システムスタートアップ項目等をスキャンする。
ステップ202では、クライアントはスキャンログをクラウドサービスプラットフォームに報告する。
ステップ203では、クライアントはローカルの挙動チェーンスクリプトライブラリを利用してスキャンされたウイルス本体挙動を識別し、悪意のあるウイルス本体挙動が識別された場合、ステップ204を実行し、図2にこの場合のみが示され、悪意のあるウイルス本体挙動が識別されていない場合、クライアントとクラウドサービスプラットフォームとが通信するインターフェースを監視する。なお、クライアントとクラウドサービスプラットフォームとが通信するインターフェースを監視することは、必ずしも悪意のあるウイルス本体挙動が識別されていない場合に実行する操作ではなく、持続的に監視してもよい。
なお、上記ステップ202とステップ203は任意の順序で実行してもよく、同時に実行してもよい。図2はそのうちの1つの実行順序に過ぎない。
挙動チェーンスクリプトライブラリに含まれるのはウイルスファミリーの悪意のあるウイルス本体挙動情報であるため、クライアントによりスキャンされたウイルス本体挙動と、挙動チェーンスクリプトライブラリとをマッチングすることができ、ここでのマッチングは挙動特徴のマッチングであってもよく、スクリプトのマッチング等であってもよい。一致する挙動特徴又はスクリプトが存在する場合に、悪意のあるウイルス本体挙動が識別されたと決定し、当該悪意のあるウイルス本体挙動に対応するウイルスファミリー情報を決定する。
ステップ204では、悪意のあるウイルス本体挙動に対応するウイルスファミリー情報をクラウドサービスプラットフォームに報告する。クライアントはウイルスファミリー情報を報告するとともに、所在するマシンシステムの情報、例えばGUID(Globally Unique Identifier、グローバル一意識別子)を報告することができ、それによりクラウドサービスプラットフォームが情報を報告するマシンシステムを区別することができる。
ステップ205では、悪意のあるウイルス本体挙動が識別されたため、クライアントで悪意のあるウイルス本体挙動の関連コンテンツを除去することができる。上記ステップ204及びステップ205は任意の順序で実行してもよく、同時に実行してもよく、図2はそのうちの1つの実行順序に過ぎない。ステップ204の後、クライアントはクライアントとクラウドサービスプラットフォームとが通信するインターフェースを監視し、クラウドサービスプラットフォームにより送信されたウイルス除去命令を監視したと、ステップ206を実行し、即ち、クラウドサービスプラットフォームにより送信されたウイルス除去命令を受信して実行する。
図3は本発明の実施例に係るクラウドサービスプラットフォームにより実行されるウイルス処理方法のフローチャートであり、図3に示すように、当該フローは以下のステップを含む。
ステップ301では、クラウドサービスプラットフォームは、クライアントにより報告された、クライアントによりスキャンされたウイルス本体挙動情報を含むスキャンログを受信する。
ステップ302では、スキャンログにおけるウイルス本体挙動情報と、クラウドの挙動チェーンスクリプトライブラリとをマッチングし、悪意のあるウイルス本体挙動情報に対応するウイルスファミリー情報を決定する。クラウドの挙動チェーンスクリプトライブラリが各マシンシステムのクライアントにより報告されたスキャンログをまとめて分析することによって取得されるため、1つのクライアントに対してウイルス本体挙動の識別を行う時に、実際に他のマシンシステムのスキャンログを結合分析する。
上記ステップ301及びステップ302はそのうちの1つの実行分岐であり、即ち、スキャンログが受信された後の場合であり、ステップ302の後にステップ304を実行する。もう一つの分岐があり、即ち、クライアントにより報告されたウイルスファミリー情報が受信された場合、即ちステップ303であり、ステップ304を直接実行する。
ステップ304では、ウイルスファミリー情報とウイルス除去命令との対応関係に基づいて、ウイルスファミリー情報に対応するウイルス除去命令をクライアントに送信する。上記ウイルスファミリー情報とウイルス除去命令との対応関係はクラウドサービスプラットフォームで予めロードされ、各ウイルスファミリーに対してそれぞれ対応するウイルス除去命令を設定してクライアントによるウイルス本体の除去を指導する。
さらに、以下の場合が存在する可能性がある。仮に、同一のクライアントに対して、クラウドサービスプラットフォームがクライアントにより報告されたスキャンログに基づいて決定したウイルスファミリー情報と当該クライアントにより報告されたウイルスファミリー情報とが一致しない場合、つまり、クラウドサービスプラットフォームの識別結果とクライアントの識別結果が一致しない場合、クラウドサービスプラットフォームの識別結果を基準としてもよく、即ち、クラウドサービスプラットフォームにより決定されたウイルスファミリー情報に対応するウイルス除去命令をクライアントに送信する。勿論、他のポリシーを採用してもよく、例えばクラウドサービスプラットフォームとクライアントの識別結果が一致しない場合、人為的に識別することができ、人為的に識別されたウイルスファミリー情報に対応するウイルス除去命令をクライアントに送信する。
以下、本発明に係る装置を詳しく説明し、図4は本発明の実施例に係る第1の装置の構造図であり、当該装置はクラウドサービスプラットフォームに設けられ、図4に示すように、当該装置は、ウイルス決定ユニット41と命令送信ユニット42を備えてもよく、さらに結合分析ユニット43とライブラリ更新ユニット44を備えてもよい。
ウイルス決定ユニット41は、クライアントによりスキャンされたウイルス本体挙動に対応するウイルスファミリー情報を決定することに用いられる。具体的に、当該ウイルス決定ユニット41は、以下の2つの方式のうちの少なくとも1つを採用してウイルスファミリー情報を決定することができ、図4は同時に以下の2つの方式を採用する場合の構造を例とする。
第1の方式において、ウイルス決定ユニット41はクライアントにより報告されたスキャンログに基づいてクラウドサービスプラットフォームでウイルス識別を行い、この場合、ウイルス決定ユニット41は具体的に第1受信サブユニット401とマッチングサブユニット402を備えてもよい。
第1受信サブユニット401は、クライアントにより報告された、クライアントによりスキャンされたウイルス本体挙動情報を含むスキャンログを受信することに用いられる。マッチングサブユニット402は、ウイルス本体挙動情報と、ウイルスファミリーの悪意のあるウイルス本体挙動情報を含むクラウドの挙動チェーンスクリプトライブラリとをマッチングし、悪意のあるウイルス本体挙動情報に対応するウイルスファミリー情報を決定する。
第2の方式において、ウイルス決定ユニット41は、クライアントにより報告されたウイルスファミリー情報を直接受信し、即ち、クライアントでウイルス識別を行い、この場合、ウイルス決定ユニット41は具体的に第2受信サブユニット411と取得サブユニット412を備えてもよい。
第2受信サブユニット411はクライアントにより報告された識別結果を受信する。取得サブユニット412は、クライアントがスキャンされたウイルス本体挙動と、ウイルスファミリーの悪意のあるウイルス本体挙動情報を含むクライアントローカルの挙動チェーンスクリプトライブラリとをマッチングして決定されたウイルスファミリー情報を識別結果から取得する。
命令送信ユニット42は、ウイルスファミリー情報とウイルス除去命令との対応関係に基づいて、ウイルス決定ユニット41により決定されたウイルスファミリー情報に対応するウイルス除去命令をクライアントに送信し、これにより、クライアントがウイルス除去命令を実行にしてウイルス本体の除去を行う。クラウドサービスプラットフォームにウイルスファミリー情報とウイルス除去命令との対応関係が維持され、これらのウイルス除去命令は対応するウイルスファミリーの挙動を除去するようにクライアントの操作を指導することに用いられる。この対応関係は手動で設定してもよい。
上記のウイルス除去命令は、デフォルトのホームページをロックする命令、デフォルトブラウザの検索ホームを変更する命令又は指定されたツールソフトウェアをダウンロードする命令等を含むが、それらに限定されない。上記指定されたツールソフトウェアは、例えばセキュリティーガードソフトウェア、システム修復ツール、悪意のあるプラグインの除去ツール、ブラウザ保護ツール等であってもよい。
上記ウイルスファミリー情報に対応するウイルス除去命令はクラウドよって設定可能であり、リアルタイムに捕捉される流行ウイルス挙動分析に基づいて、対応するウイルス除去命令を増加又は調整することができる。
さらに、以下の場合が存在する可能性がある。ウイルスファミリー情報を決定する上記2つの方式で決定されたウイルスファミリー情報が異なると仮定すると、クラウドサービスプラットフォームにより決定されたウイルスファミリー情報に対応するウイルス除去命令をクライアントに送信することができる。勿論、他のポリシーを採用してもよく、例えばクラウドサービスプラットフォームの識別結果とクライアントの識別結果が一致しない場合、人為的に識別することができ、人為的に識別されたウイルスファミリー情報に対応するウイルス除去命令をクライアントに送信する。
上記挙動チェーンスクリプトライブラリは各マシンシステムにおけるクライアントにより報告されたスキャンログを分析して得られてもよく、人工分析と設定された要素を結合して得られてもよい。ウイルスが絶えずに更新するに伴って、新たなウイルス本体挙動が持続的に現れ、従って、クラウドサービスプラットフォームは挙動チェーンスクリプトライブラリをタイムリーに更新する必要がある。これに鑑みて、結合分析ユニット43はクライアントにより報告されたスキャンログを分析して更新ウイルス本体挙動を取得し、次に、ライブラリ更新ユニット44は更新ウイルス本体挙動を利用してクラウドの挙動チェーンスクリプトライブラリを更新する。
図5は本発明の実施例に係る別のウイルス処理装置の構造図であり、当該装置はマシンシステムにおけるクライアントに設けられ、図5に示すように、当該装置は具体的にログ報告ユニット52とウイルス識別ユニット53の少なくとも1つ(図5はこの2つのユニットを同時に備える場合を例とする)、挙動スキャンユニット51及び命令処理ユニット54を備えてもよく、さらにウイルス除去ユニット55とライブラリ更新ユニット56を備えてもよい。
挙動スキャンユニット51は、ウイルス本体挙動情報をスキャンし、即ち、マシンシステムにおける悪意のあるウイルス本体のすべての可能な挙動コンテンツをスキャンすることに用いられ、ウイルス本体挙動情報は、ネットワーク修復、プロセス、ロードモジュール、ドライバ、サービス、Rootkit、スタートアップ項目、IE関連項目、ブートウイルス、システムディレクトリ、デスクトップディレクトリ、スタートメニュー、一般的なソフトウェア、スクリプト、システムコンポーネント、ログインセクション、システムスタートアップ項目等の少なくとも1つをスキャンして取得された挙動情報であってもよい。
ログ報告ユニット52は、挙動スキャンユニット51によりスキャンされたウイルス本体挙動情報を含むスキャンログをクラウドサービスプラットフォームに報告し、これにより、クラウドサービスプラットフォームが分析識別を行う。
ウイルス識別ユニット53は、ウイルスファミリーの悪意のあるウイルス本体挙動情報を含むローカルの挙動チェーンスクリプトライブラリを利用して、ウイルス本体挙動を識別し、悪意のあるウイルス本体挙動が識別された場合、悪意のあるウイルス本体挙動情報に対応するウイルスファミリー情報をクラウドサービスプラットフォームに報告する。
命令処理ユニット54はクラウドサービスプラットフォームにより送信されたウイルス除去命令を受信して実行する。具体的に、ウイルス除去命令は、デフォルトのホームページをロックする命令、デフォルトブラウザの検索ホームを変更する命令、指定されたツールソフトウェアをダウンロードする命令又は悪意のあるウイルス本体挙動の関連コンテンツを除去する命令を含むが、それらに限定されない。
さらに、ウイルス識別ユニット53が悪意のあるウイルス本体挙動が識別された場合、ウイルス除去ユニット55は悪意のあるウイルス本体挙動の関連コンテンツを除去する。悪意のあるウイルス本体挙動の関連コンテンツを除去することは、悪意のあるウイルス本体のサービスを停止し、悪意のあるウイルス本体のファイル、レジストリエントリ又は関連活動項目を削除し、ブラウザデフォルトのホームページを修復することを含むが、それらに限定されない。
クライアントのローカルの挙動チェーンスクリプトライブラリはクラウドサービスプラットフォームの挙動チェーンスクリプトライブラリをロードしてローカルに記憶されて得られるものであり、クライアントは周期的にクラウドサービスプラットフォームから挙動チェーンスクリプトライブラリをロードしてローカルの挙動チェーンスクリプトライブラリを更新することができる。この時、ライブラリ更新ユニット56はクラウドの挙動チェーンスクリプトライブラリをロードし、クラウドの挙動チェーンスクリプトライブラリを利用してローカルの挙動チェーンスクリプトライブラリを更新する。
以上の説明から分かるように、本発明に係る方法、装置及びシステムは以下の利点を有する。
1)本発明によるクラウドがウイルスファミリー情報に対してウイルス除去命令の送信を行う方式は、単にクライアントが挙動分析及びファイル削除を行う方式に比べて、ウイルスに対する処理がより個性化で正確であり、マシンシステムのセキュリティーを向上させる。
2)本発明において、クラウドサービスプラットフォームがウイルスファミリー情報に対して送信するウイルス除去命令は、悪意のあるウイルス本体挙動の関連コンテンツの除去に限定せず、例えばデフォルトのホームページをロックする命令、デフォルトブラウザの検索ホームを変更する命令、指定されたツールソフトウェアをダウンロードする命令等であってもよく、ウイルスに対する処理が多様化され、ウイルスを完全に除去することに寄与し、マシンシステムのセキュリティーを向上させる。
3)クラウドサービスプラットフォームが各マシンシステムのクライアントにより報告されたスキャンログを結合して挙動チェーンスクリプトライブラリの更新を行うことができ、それによりインターネット型ウイルスの更新が速いという特徴にタイムリーに適応する。
4)クラウドサービスプラットフォームでウイルスファミリー情報に対するウイルス除去命令を柔軟に設定でき、且つタイムリーに増加又は調整でき、それによりインターネット時代の迅速な応答需要を満たす。
本発明で提供されるいくつかの実施例では、開示されたシステム、装置及び方法は、他のやり方で実施され得ることを理解すべきである。例えば、以上に説明された装置の実施例は例示的なものに過ぎず、例えば、前記ユニットの分割は、論理的機能の分割に過ぎず、実際の実装形態では他の分割であってもよい。
分離部材として説明されたユニットは、物理的に分離しているものであってもよいし、物理的に分離しているものでなくてもよく、ユニットとして示された部材は、物理的ユニットであってもよいし、物理的ユニットでなくてもよく、即ち、1つの位置に配置されてもよく、複数のネットワークユニットに分散していてもよい。本実施例の解決手段の目的を達成するための実際の需要に応じて、ユニットの一部又は全体を選択してもよい。
さらに、本発明の各実施例における各機能ユニットは、1つの処理ユニットに集積されてもよく、又はユニットのそれぞれが単独で物理的に存在してもよく、又は2つ以上のユニットが1つのユニットに集積されてもよい。上記集積されたユニットは、ハードウェアの形態によって実現されてもよく、又はハードウェアプラスソフトウェア機能ユニットの形態で実現されてもよい。
ソフトウェア機能ユニットの形態で実現された上記集積ユニットは、コンピュータ可読記憶媒体に記憶されてもよい。上記ソフトウェア機能ユニットは、記憶媒体に記憶され、コンピュータ機器(例えばパーソナルコンピュータ、サーバ、又はネットワーク装置等であってもよい)またはプロセッサ(processor)が本発明の各実施例による前記方法の一部のステップを実行するように用いられるいくつかの命令を含んでいる。前述の記憶媒体には、USBフラッシュディスク、ポータブルハードディスク、読取り専用メモリ(Read−Only Memory、ROM)、ランダムアクセスメモリ(Random Access Memory、RAM)、磁気ディスク、又は光ディスクなどの、プログラムコードを記憶することができる任意の媒体が含まれる。
以上は本発明の好ましい実施例に過ぎず、本発明を制限するものではなく、本発明の精神及び原則以内に行ったいかなる変更、等価な置換、改良等は、いずれも本発明の保護範囲に含まれる。

Claims (25)

  1. ウイルス処理装置により実行されるウイルス処理方法であって、
    ウイルス決定ユニットが、クライアントによりスキャンされたウイルス本体挙動に対応するウイルスファミリー情報を決定するステップと、
    命令送信ユニットが、前記ウイルスファミリー情報とウイルス除去命令との対応関係に基づいて、決定されたウイルスファミリー情報に対応するウイルス除去命令を前記クライアントに送信し、これにより、前記クライアントが前記ウイルス除去命令を実行してウイルス本体の除去を行うステップと、
    を含み、
    前記ウイルスファミリーは、挙動が類似する一群のウイルス本体からなり
    前記ウイルス決定ユニットがクライアントによりスキャンされたウイルス本体挙動に対応するウイルスファミリー情報を決定するステップは
    第1受信サブユニットが、前記クライアントにより報告された、前記クライアントによりスキャンされたウイルス本体挙動を示すウイルス本体挙動情報を含むスキャンログを受信するステップと、
    マッチングサブユニットが、前記ウイルス本体挙動情報と、クラウドの挙動チェーンスクリプトライブラリとをマッチングすることで、悪意のあるウイルス本体挙動に対応するウイルスファミリー情報を決定するステップであって、前記挙動チェーンスクリプトライブラリは、悪意のあるウイルス挙動情報と、挙動が類似するウイルス群であるウイルスファミリーのウイルスファミリー情報とが互いに関連付けられたライブラリである、ステップと、
    を含むこと
    を特徴とするウイルス処理方法。
  2. 前記ウイルス決定ユニットがクライアントによりスキャンされたウイルス本体挙動に対応するウイルスファミリー情報を決定するステップは
    第2受信サブユニットが、前記クライアントにより報告された識別結果を受信するステップと、
    取得サブユニットが、前記クライアントがスキャンされたウイルス本体挙動情報と、クライアントローカルの挙動チェーンスクリプトライブラリとをマッチングして決定したウイルスファミリー情報を前記識別結果から取得するステップと、
    を含むこと
    を特徴とする請求項1に記載の方法。
  3. 結合分析ユニットが、クライアントにより報告されたスキャンログを分析して更新されたウイルス本体挙動情報を取得するステップと、
    ライブラリ更新ユニットが、更新されたウイルス本体挙動情報を利用して前記クラウドの挙動チェーンスクリプトライブラリを更新するステップと、
    をさらに含むこと
    を特徴とする請求項1に記載の方法。
  4. 前記マッチングサブユニットにより前記スキャンログに含まれるウイルス本体挙動情報と、前記クラウドの挙動チェーンスクリプトライブラリとをマッチングして決定した前記ウイルスファミリー情報が前記識別結果から取得されたウイルスファミリー情報と一致しない場合、前記命令送信ユニットは、前記スキャンログに含まれるウイルス本体挙動情報と、前記クラウドの挙動チェーンスクリプトライブラリとをマッチングして決定した前記ウイルスファミリー情報によって、送信するウイルス除去命令を決定し、又は人為的に識別されたウイルスファミリー情報によって、送信するウイルス除去命令を決定するステップをさらに含むこと
    を特徴とする請求項に記載の方法。
  5. 前記ウイルス本体挙動情報は、
    プロセス、ロードモジュール、ドライバ、サービス、Rootkit、スタートアップ項目、IE関連項目、ブートウイルス、システムディレクトリ、デスクトップディレクトリ、スタートメニュー、一般的なソフトウェア、スクリプト、システムコンポーネント、ログインセクション、システムスタートアップ項目等の少なくとも1つをスキャンして取得された挙動情報であること
    を特徴とする請求項1〜のいずれか一項に記載の方法。
  6. 前記ウイルス除去命令は、
    デフォルトのホームページをロックする命令、デフォルトブラウザの検索ホームを変更する命令、指定されたツールソフトウェアをダウンロードする命令又は悪意のあるウイルス本体挙動の関連コンテンツを除去する命令を含むこと
    を特徴とする請求項1〜のいずれか一項に記載の方法。
  7. 挙動スキャンユニットが、ウイルス本体挙動をスキャンするステップと、
    ログ報告ユニットが、スキャンログをクラウドサービスプラットフォームに報告するステップと、及び/又は、
    ウイルス識別ユニットが、ローカルの挙動チェーンスクリプトライブラリを利用して、前記ウイルス本体挙動を識別し、悪意のあるウイルス本体挙動が識別された場合、前記悪意のあるウイルス本体挙動に対応するウイルスファミリー情報をクラウドサービスプラットフォームに報告するステップであって、前記挙動チェーンスクリプトライブラリは、悪意のあるウイルス挙動情報と、挙動が類似するウイルス群であるウイルスファミリーのウイルスファミリー情報とが互いに関連付けられたライブラリである、ステップと、
    命令処理ユニットが、前記クラウドサービスプラットフォームにより送信されたウイルス除去命令を受信して実行するステップと、
    を含み、
    前記ウイルスファミリーは、挙動が類似する一群のウイルス本体からなる
    ことを特徴とするウイルス処理方法。
  8. ウイルス識別ユニットにより悪意のあるウイルス本体挙動が識別された場合、ウイルス除去ユニットが前記悪意のあるウイルス本体挙動関連するコンテンツを除去するステップをさらに含むこと
    を特徴とする請求項に記載の方法。
  9. ライブラリ更新ユニットが、クラウドの挙動チェーンスクリプトライブラリをロードし、クラウドの挙動チェーンスクリプトライブラリを利用して前記ローカルの挙動チェーンスクリプトライブラリを更新するステップをさらに含むこと
    を特徴とする請求項に記載の方法。
  10. 前記ウイルス除去命令は、
    デフォルトのホームページをロックする命令、デフォルトブラウザの検索ホームを変更する命令、指定されたツールソフトウェアをダウンロードする命令又は悪意のあるウイルス本体挙動の関連コンテンツを除去する命令を含むこと
    を特徴とする請求項のいずれか一項に記載の方法。
  11. クライアントによりスキャンされたウイルス本体挙動に対応するウイルスファミリー情報を決定するためのウイルス決定ユニットと、
    前記ウイルスファミリー情報とウイルス除去命令との対応関係に基づいて、前記ウイルス決定ユニットにより決定されたウイルスファミリー情報に対応するウイルス除去命令を前記クライアントに送信し、これにより、前記クライアントが前記ウイルス除去命令を実行してウイルス本体の除去を行うための命令送信ユニットと、
    を備え、
    前記ウイルスファミリーは、挙動が類似する一群のウイルス本体からなり
    前記ウイルス決定ユニットは、
    前記クライアントにより報告された、前記クライアントによりスキャンされたウイルス本体挙動を示すウイルス本体挙動情報を含むスキャンログを受信するための第1受信サブユニットと、
    前記ウイルス本体挙動情報と、クラウドの挙動チェーンスクリプトライブラリとをマッチングすることで、悪意のあるウイルス本体挙動に対応するウイルスファミリー情報を決定するためのマッチングサブユニットであって、前記挙動チェーンスクリプトライブラリは、悪意のあるウイルス挙動情報と、挙動が類似するウイルス群であるウイルスファミリーのウイルスファミリー情報とが互いに関連付けられたライブラリである、マッチングサブユニットと、
    を備えること
    を特徴とするウイルス処理装置。
  12. 前記ウイルス決定ユニットは、
    前記クライアントにより報告された識別結果を受信するための第2受信サブユニットと、
    前記クライアントがスキャンされたウイルス本体挙動情報と、クライアントローカルの挙動チェーンスクリプトライブラリとをマッチングして決定したウイルスファミリー情報を前記識別結果から取得するための取得サブユニットと、
    を備えること
    を特徴とする請求項11に記載の装置。
  13. 前記クライアントにより報告されたスキャンログを分析して更新されたウイルス本体挙動情報を取得するための結合分析ユニットと、
    更新されたウイルス本体挙動情報を利用して前記クラウドの挙動チェーンスクリプトライブラリを更新するためのライブラリ更新ユニットと、
    をさらに備えること
    を特徴とする請求項11に記載の装置。
  14. 前記マッチングサブユニットにより決定されたウイルスファミリー情報が前記取得サブユニットにより取得されたウイルスファミリー情報と一致しない場合、前記命令送信ユニットが、前記マッチングサブユニットにより決定されたウイルスファミリー情報によって、送信するウイルス除去命令を決定し、又は人為的に識別されたウイルスファミリー情報によって、送信するウイルス除去命令を決定すること
    を特徴とする請求項12に記載の装置。
  15. 前記ウイルス本体挙動情報は、
    プロセス、ロードモジュール、ドライバ、サービス、Rootkit、スタートアップ項目、IE関連項目、ブートウイルス、システムディレクトリ、デスクトップディレクトリ、スタートメニュー、一般的なソフトウェア、スクリプト、システムコンポーネント、ログインセクション、システムスタートアップ項目等の少なくとも1つをスキャンして取得された挙動情報であること
    を特徴とする請求項1114のいずれか一項に記載の装置。
  16. 前記ウイルス除去命令は、
    デフォルトのホームページをロックする命令、デフォルトブラウザの検索ホームを変更する命令、指定されたツールソフトウェアをダウンロードする命令又は悪意のあるウイルス本体挙動の関連コンテンツを除去する命令を含むこと
    を特徴とする請求項1114のいずれか一項に記載の装置。
  17. ログ報告ユニットとウイルス識別ユニットの少なくとも1つと、挙動スキャンユニットと、命令処理ユニットとを備えており、
    前記挙動スキャンユニットは、ウイルス本体挙動をスキャンすることに用いられ、
    前記ログ報告ユニットは、スキャンログをクラウドサービスプラットフォームに報告することに用いられ、
    前記ウイルス識別ユニットは、ローカルの挙動チェーンスクリプトライブラリを利用して、前記ウイルス本体挙動を識別し、悪意のあるウイルス本体挙動が識別された場合、前記悪意のあるウイルス本体挙動に対応するウイルスファミリー情報を前記クラウドサービスプラットフォームに報告することに用いられ、前記挙動チェーンスクリプトライブラリは、悪意のあるウイルス挙動情報と、挙動が類似するウイルス群であるウイルスファミリーのウイルスファミリー情報とが互いに関連付けられたライブラリであり、
    前記命令処理ユニットは、前記クラウドサービスプラットフォームにより送信されたウイルス除去命令を受信して前記ウイルス除去命令を実行することに用いられ、
    前記ウイルスファミリーは、挙動が類似する一群のウイルス本体からなり
    ことを特徴とするウイルス処理装置。
  18. 前記ウイルス識別ユニットにより悪意のあるウイルス本体挙動が識別された場合、前記悪意のあるウイルス本体挙動関連するコンテンツを除去するためのウイルス除去ユニットをさらに備えることを特徴とする請求項17に記載の装置。
  19. クラウドの挙動チェーンスクリプトライブラリをロードし、クラウドの挙動チェーンスクリプトライブラリを利用して前記ローカルの挙動チェーンスクリプトライブラリを更新するためのライブラリ更新ユニットをさらに備えること
    を特徴とする請求項17に記載の装置。
  20. 前記ウイルス除去命令は、
    デフォルトのホームページをロックする命令、デフォルトブラウザの検索ホームを変更する命令、指定されたツールソフトウェアをダウンロードする命令又は悪意のあるウイルス本体挙動の関連コンテンツを除去する命令を含むこと
    を特徴とする請求項1719のいずれか一項に記載の装置。
  21. 請求項1114のいずれか一項に記載の装置を備えるクラウド処理プラットフォームと、
    請求項1719のいずれか一項に記載の装置を備えるクライアントと、
    備えること
    を特徴とするウイルス処理システム。
  22. 1つ以上のプロセッサと、
    メモリと、
    前記メモリに記憶され、前記1つ以上のプロセッサにより実行される時に、
    クライアントによりスキャンされたウイルス本体挙動に対応するウイルスファミリー情報を決定し、
    前記ウイルスファミリー情報とウイルス除去命令との対応関係に基づいて、決定されたウイルスファミリー情報に対応するウイルス除去命令を前記クライアントに送信し、これにより、前記クライアントが前記ウイルス除去命令を実行してウイルス本体の除去を行い、
    前記クライアントにより報告された、前記クライアントによりスキャンされたウイルス本体挙動情報を含むスキャンログを受信し、
    前記ウイルス本体挙動情報と、クラウドの挙動チェーンスクリプトライブラリとをマッチングすることで、悪意のあるウイルス本体挙動に対応するウイルスファミリー情報を決定する1つ以上のプログラムと、
    を備え、
    前記挙動チェーンスクリプトライブラリは、悪意のあるウイルス挙動情報と、挙動が類似するウイルス群であるウイルスファミリーのウイルスファミリー情報とが互いに関連付けられたライブラリであり、
    前記ウイルスファミリーは、挙動が類似する一群のウイルス本体からなる
    ことを特徴とする機器。
  23. 1つ以上のプロセッサと、
    メモリと、
    前記メモリに記憶され、前記1つ以上のプロセッサにより実行される時に、
    ウイルス本体挙動をスキャンし、
    スキャンログをクラウドサービスプラットフォームに報告し、及び/又は
    ーカルの挙動チェーンスクリプトライブラリを利用して、前記ウイルス本体挙動を識別し、悪意のあるウイルス本体挙動が識別された場合、前記悪意のあるウイルス本体挙動に対応するウイルスファミリー情報をクラウドサービスプラットフォームに報告し、
    前記クラウドサービスプラットフォームにより送信されたウイルス除去命令を受信して前記ウイルス除去命令を実行する1つ以上のプログラムと、
    を備え、
    前記ウイルスファミリーは、挙動が類似する一群のウイルスからなり、
    前記挙動チェーンスクリプトライブラリは、悪意のあるウイルス挙動情報と、挙動が類似するウイルス群であるウイルスファミリーのウイルスファミリー情報とが互いに関連付けられたライブラリである、
    ことを特徴とする機器。
  24. 不揮発性コンピュータ記憶媒体であって、1つ以上のプログラムが記憶され、前記1つ以上のプログラムが1つの機器により実行される時に、前記機器は、
    クライアントによりスキャンされたウイルス本体挙動に対応するウイルスファミリー情報を決定し、
    前記ウイルスファミリー情報とウイルス除去命令との対応関係に基づいて、決定されたウイルスファミリー情報に対応するウイルス除去命令を前記クライアントに送信し、これにより、前記クライアントが前記ウイルス除去命令を実行してウイルス本体の除去を行い、
    前記クライアントにより報告された、前記クライアントによりスキャンされたウイルス本体挙動情報を含むスキャンログを受信し、
    前記ウイルス本体挙動情報と、クラウドの挙動チェーンスクリプトライブラリとをマッチングすることで、悪意のあるウイルス本体挙動に対応するウイルスファミリー情報を決定し、
    前記挙動チェーンスクリプトライブラリは、悪意のあるウイルス挙動情報と、挙動が類似するウイルス群であるウイルスファミリーのウイルスファミリー情報とが互いに関連付けられたライブラリであり、
    前記ウイルスファミリーは、挙動が類似する一群のウイルス本体からなる
    ことを特徴とする不揮発性コンピュータ記憶媒体。
  25. 不揮発性コンピュータ記憶媒体であって、1つ以上のプログラムが記憶され、前記1つ以上のプログラムが1つの機器により実行される時、前記機器は、
    ウイルス本体挙動をスキャンし、
    スキャンログをクラウドサービスプラットフォームに報告し、及び/又は
    ーカルの挙動チェーンスクリプトライブラリを利用して、前記ウイルス本体挙動を識別し、悪意のあるウイルス本体挙動が識別された場合、前記悪意のあるウイルス本体挙動に対応するウイルスファミリー情報をクラウドサービスプラットフォームに報告し、
    前記クラウドサービスプラットフォームにより送信されたウイルス除去命令を受信して前記ウイルス除去命令を実行し、
    前記ウイルスファミリーは、挙動が類似する一群のウイルス本体からなり
    前記挙動チェーンスクリプトライブラリは、悪意のあるウイルス挙動情報と、挙動が類似するウイルス群であるウイルスファミリーのウイルスファミリー情報とが互いに関連付けられたライブラリである、
    ことを特徴とする不揮発性コンピュータ記憶媒体。
JP2016552611A 2014-12-19 2015-06-29 ウイルス処理方法、装置、システム、機器及びコンピュータ記憶媒体 Active JP6644001B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201410802502.6 2014-12-19
CN201410802502.6A CN104573515A (zh) 2014-12-19 2014-12-19 一种病毒处理方法、装置和系统
PCT/CN2015/082604 WO2016095479A1 (zh) 2014-12-19 2015-06-29 一种病毒处理方法、装置、系统、设备和计算机存储介质

Publications (2)

Publication Number Publication Date
JP2017511923A JP2017511923A (ja) 2017-04-27
JP6644001B2 true JP6644001B2 (ja) 2020-02-12

Family

ID=53089553

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016552611A Active JP6644001B2 (ja) 2014-12-19 2015-06-29 ウイルス処理方法、装置、システム、機器及びコンピュータ記憶媒体

Country Status (6)

Country Link
US (1) US10192053B2 (ja)
EP (1) EP3236381B1 (ja)
JP (1) JP6644001B2 (ja)
KR (1) KR20160125960A (ja)
CN (1) CN104573515A (ja)
WO (1) WO2016095479A1 (ja)

Families Citing this family (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104573515A (zh) 2014-12-19 2015-04-29 百度在线网络技术(北京)有限公司 一种病毒处理方法、装置和系统
CN105991595B (zh) 2015-02-15 2020-08-07 华为技术有限公司 网络安全防护方法及装置
CN105512557A (zh) * 2015-12-22 2016-04-20 北京奇虎科技有限公司 病毒处理方法、装置、系统及移动终端
CN105528543A (zh) * 2015-12-23 2016-04-27 北京奇虎科技有限公司 远程杀毒的方法、客户端、控制台及系统
CN106934287B (zh) * 2015-12-31 2020-02-11 北京金山安全软件有限公司 一种root病毒清理方法、装置及电子设备
CN106934288B (zh) * 2015-12-31 2021-04-16 北京金山安全软件有限公司 一种root病毒清理方法、装置及电子设备
US10826933B1 (en) * 2016-03-31 2020-11-03 Fireeye, Inc. Technique for verifying exploit/malware at malware detection appliance through correlation with endpoints
US10893059B1 (en) 2016-03-31 2021-01-12 Fireeye, Inc. Verification and enhancement using detection systems located at the network periphery and endpoint devices
CN106446685A (zh) * 2016-09-30 2017-02-22 北京奇虎科技有限公司 恶意文档的检测方法及装置
TW201901514A (zh) * 2017-05-19 2019-01-01 關貿網路股份有限公司 程式異動監控與應變系統及方法
CN107231360A (zh) * 2017-06-08 2017-10-03 上海斐讯数据通信技术有限公司 基于云网络的网络病毒防护方法、安全无线路由器和系统
CN107885995A (zh) * 2017-10-09 2018-04-06 阿里巴巴集团控股有限公司 小程序的安全扫描方法、装置以及电子设备
US10867039B2 (en) * 2017-10-19 2020-12-15 AO Kaspersky Lab System and method of detecting a malicious file
CN109766696B (zh) * 2018-05-04 2021-01-15 360企业安全技术(珠海)有限公司 软件权限的设置方法及装置、存储介质、电子装置
CN108898014B (zh) * 2018-06-22 2022-09-27 珠海豹趣科技有限公司 一种病毒查杀方法、服务器及电子设备
CN112084504A (zh) * 2020-09-21 2020-12-15 腾讯科技(深圳)有限公司 病毒文件的处理方法、装置、电子设备及可读存储介质
CN112364395A (zh) * 2020-11-11 2021-02-12 中国信息安全测评中心 一种固态硬盘的安全防护方法及装置
CN112989349B (zh) * 2021-04-19 2021-08-13 腾讯科技(深圳)有限公司 病毒检测方法、装置、设备及存储介质
CN113378161A (zh) * 2021-06-23 2021-09-10 深信服科技股份有限公司 一种安全检测方法、装置、设备及存储介质
CN113722705B (zh) * 2021-11-02 2022-02-08 北京微步在线科技有限公司 一种恶意程序清除方法及装置

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6802028B1 (en) * 1996-11-11 2004-10-05 Powerquest Corporation Computer virus detection and removal
US7210041B1 (en) 2001-04-30 2007-04-24 Mcafee, Inc. System and method for identifying a macro virus family using a macro virus definitions database
US7913305B2 (en) 2004-01-30 2011-03-22 Microsoft Corporation System and method for detecting malware in an executable code module according to the code module's exhibited behavior
CN100437614C (zh) 2005-11-16 2008-11-26 白杰 未知病毒程序的识别及清除方法
US20070180525A1 (en) * 2006-01-30 2007-08-02 Bagnall Robert J Security system and method
CN101098226B (zh) * 2006-06-27 2011-02-09 飞塔公司 一种病毒在线实时处理系统及其方法
US8201244B2 (en) * 2006-09-19 2012-06-12 Microsoft Corporation Automated malware signature generation
US20100031093A1 (en) * 2008-01-29 2010-02-04 Inventec Corporation Internal tracing method for network attack detection
JP5144488B2 (ja) * 2008-12-22 2013-02-13 Kddi株式会社 情報処理システムおよびプログラム
US8479286B2 (en) * 2009-12-15 2013-07-02 Mcafee, Inc. Systems and methods for behavioral sandboxing
US8464345B2 (en) 2010-04-28 2013-06-11 Symantec Corporation Behavioral signature generation using clustering
US9323928B2 (en) * 2011-06-01 2016-04-26 Mcafee, Inc. System and method for non-signature based detection of malicious processes
US8677493B2 (en) * 2011-09-07 2014-03-18 Mcafee, Inc. Dynamic cleaning for malware using cloud technology
CN102281540B (zh) 2011-09-08 2013-11-27 广东华仝九方科技有限公司 手机恶意软件查杀方法及系统
US9832211B2 (en) 2012-03-19 2017-11-28 Qualcomm, Incorporated Computing device to detect malware
CN102664875B (zh) * 2012-03-31 2014-12-17 华中科技大学 基于云模式的恶意代码类别检测方法
CN105144187B (zh) 2013-02-10 2019-01-22 配拨股份有限公司 提供预测的安全产品以及评分现有安全产品的方法与产品
CN104077525A (zh) * 2014-06-13 2014-10-01 北京纳特比特科技有限公司 一种对终端数据信息进行处理的方法
CN104298920A (zh) 2014-10-14 2015-01-21 百度在线网络技术(北京)有限公司 一种病毒文件的处理方法、系统及设备
CN104573515A (zh) 2014-12-19 2015-04-29 百度在线网络技术(北京)有限公司 一种病毒处理方法、装置和系统
CN105989283B (zh) * 2015-02-06 2019-08-09 阿里巴巴集团控股有限公司 一种识别病毒变种的方法及装置

Also Published As

Publication number Publication date
CN104573515A (zh) 2015-04-29
US10192053B2 (en) 2019-01-29
KR20160125960A (ko) 2016-11-01
JP2017511923A (ja) 2017-04-27
EP3236381A4 (en) 2018-05-30
EP3236381A1 (en) 2017-10-25
EP3236381B1 (en) 2022-05-11
US20170316206A1 (en) 2017-11-02
WO2016095479A1 (zh) 2016-06-23

Similar Documents

Publication Publication Date Title
JP6644001B2 (ja) ウイルス処理方法、装置、システム、機器及びコンピュータ記憶媒体
US10511616B2 (en) Method and system for detecting and remediating polymorphic attacks across an enterprise
US10102372B2 (en) Behavior profiling for malware detection
US10972488B2 (en) Method and system for modeling all operations and executions of an attack and malicious process entry
AU2011317734B2 (en) Computer system analysis method and apparatus
US8667583B2 (en) Collecting and analyzing malware data
US10027704B2 (en) Malicious program finding and killing device, method and server based on cloud security
US20130167236A1 (en) Method and system for automatically generating virus descriptions
US11775636B1 (en) Systems and methods of detecting malicious powershell scripts
WO2012107255A1 (en) Detecting a trojan horse
JP2009500706A (ja) マルウェアに対処する方法及び装置
US9740865B2 (en) System and method for configuring antivirus scans
CN103473501A (zh) 一种基于云安全的恶意软件追踪方法
US20170286684A1 (en) Method for Identifying and Removing Malicious Software
JP5752642B2 (ja) 監視装置および監視方法
US11188644B2 (en) Application behaviour control
JP2013232146A (ja) アプリケーション解析装置、アプリケーション解析システム、およびプログラム
Moreb Malware Forensics for Volatile and Nonvolatile Memory in Mobile Devices
Nasman Malware Detection Based on Permissions on Android Platform Using Data Mining

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160817

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170818

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170905

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20171130

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20180508

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180907

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20181012

A912 Re-examination (zenchi) completed and case transferred to appeal board

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20181026

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190904

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200107

R150 Certificate of patent or registration of utility model

Ref document number: 6644001

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250