KR20160125960A - 바이러스 처리 방법, 장치, 시스템 및 기기, 및 컴퓨터 저장 매체 - Google Patents

바이러스 처리 방법, 장치, 시스템 및 기기, 및 컴퓨터 저장 매체 Download PDF

Info

Publication number
KR20160125960A
KR20160125960A KR1020167022493A KR20167022493A KR20160125960A KR 20160125960 A KR20160125960 A KR 20160125960A KR 1020167022493 A KR1020167022493 A KR 1020167022493A KR 20167022493 A KR20167022493 A KR 20167022493A KR 20160125960 A KR20160125960 A KR 20160125960A
Authority
KR
South Korea
Prior art keywords
virus
client
behavior
information
unit
Prior art date
Application number
KR1020167022493A
Other languages
English (en)
Inventor
롱신 주
인밍 메이
주 샹
한종 후
Original Assignee
바이두 온라인 네트웍 테크놀러지 (베이징) 캄파니 리미티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 바이두 온라인 네트웍 테크놀러지 (베이징) 캄파니 리미티드 filed Critical 바이두 온라인 네트웍 테크놀러지 (베이징) 캄파니 리미티드
Publication of KR20160125960A publication Critical patent/KR20160125960A/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/568Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/561Virus type analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/564Static detection by virus signature recognition
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3041Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system component is an input/output interface
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Quality & Reliability (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Information Transfer Between Computers (AREA)
  • Debugging And Monitoring (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 바이러스 처리 방법, 장치, 시스템, 기기 및 컴퓨터 저장 매체를 제공하고, 클라이언트는 스캔 로그를 클라우드 서비스 플랫폼에 보고하고, 및/또는 스캔 로그에 의해 바이러스 계열정보가 감정된 후 바이러스 계열정보를 클라우드 서비스 플랫폼에 보고한다. 클라우드 서비스 플랫폼은 스캔 로그를 감정하여 바이러스 계열정보를 획득하고, 및/또는 클라이언트로부터 바이러스 계열정보를 획득한 다음, 바이러스 계열정보에 대응되는 바이러스 제거 명령어를 클라이언트에 발송하여 클라이언트가 바이러스 제거 명령어를 실행하도록 한다. 본 발명과 같이 클라우드에서 바이러스 계열정보에 대해 바이러스 제거 명령어의 발송을 진행하는 방식은 단순히 클라이언트에서 행위분석 및 파일삭제를 진행하는 방식에 대비하여 바이러스의 처리에 대해 더욱 개성화되고 정확하며, 기계 시스템의 안전성을 향상시킨다.

Description

바이러스 처리 방법, 장치, 시스템 및 기기, 및 컴퓨터 저장 매체 {VIRUS PROCESSING METHOD, APPARATUS, SYSTEM AND DEVICE, AND COMPUTER STORAGE MEDIUM}
본원 발명은 출원일자가 2014년 12월 19일이고, 출원번호가 201410802502.6이며 발명의 명칭이 "바이러스 처리 방법, 장치 및 시스템"인 중국특허출원의 우선권을 주장한다.
본 발명은 컴퓨터 어플리케이션 기술분야에 관한 것으로, 특히 바이러스 처리 방법, 장치, 시스템, 기기 및 컴퓨터 저장 매체에 관한 것이다.
인터넷이 신속히 발전함에 따라, 이미 바이러스 모드에 기반하여 웹사이트 트래픽을 집중시키고 트래픽을 통해 광고를 현금화하는 회색 산업 이익 사슬이 형성되었다. 매일 새로 증가하는 악성 프로그램의 수는 수백에 달하고, 각종 비열한 기술을 사용하여 프로세스, 레지스트리, 파일 등 방식으로 서로 바인딩하거나 보호하며, 바이러스 본체의 행위특징을 끊임없이 업데이트함으로써 바이러스 방어 프로그램이 바이러스를 검색하여 제거하는 것을 방지한다.
현재 인터넷 유형의 바이러스 파일이 유행하고 있는 방식으로, 클라우드 제어 명령어를 통해 기계 시스템에서 사용자의 기본 브라우저 홈페이지 및 검색 엔진을 변경하고, 키워드 검색순위를 변경하며, 브라우저를 납치하여 광고를 팝업시키고, 데스크톱 바로가기의 연관을 악의적으로 변경하며, 사용자에게 불필요한 브라우저 플러그인 악성 프로그램을 설치하고, 사용자 사적인 내용을 절취하는 등이 있다. 그러나, 종래의 바이러스 방어 프로그램들은 주로 파일의 악의적 행위를 검색하고 제거하며, 악의적 행위가 발견될 경우 해당 파일을 삭제한다. 이러한 유형의 인터넷 바이러스 파일을 봉착할 경우, 오로지 기계 시스템의 클라이언트에서만 행위분석 및 파일삭제를 진행하는 것으로는 바이러스 본체를 완전히 제거할 수 없으므로 기계 시스템의 안전성은 상대적으로 떨어진다.
상기 배경부분에서 언급된 문제들을 감안하여, 본 발명은 기계 시스템의 안전성을 향상시키고자 바이러스 처리 방법, 장치, 시스템, 기기 및 컴퓨터 저장 매체를 제공한다.
본 발명은 바이러스 처리 방법을 제공하고, 해당 방법은 클라이언트가 스캔한 바이러스 본체 행위에 대응되는 바이러스 계열정보를 확정하는 단계와, 바이러스 계열정보와 바이러스 제거 명령어 사이의 대응관계에 따라, 확정된 바이러스 계열정보에 대응되는 바이러스 제거 명령어를 상기 클라이언트에 발송하여, 상기 클라이언트가 상기 바이러스 제거 명령어에 대해 바이러스 본체 제거를 진행하도록 하는 단계를 포함한다.
본 발명의 일 바람직한 실시예에 따라, 상기 클라이언트가 스캔한 바이러스 본체 행위에 대응되는 바이러스 계열정보를 확정하는 단계는, 상기 클라이언트가 보고한 상기 클라이언트가 스캔한 바이러스 본체 행위정보를 포함하는 스캔 로그를 수신하는 단계와, 상기 바이러스 본체 행위정보를 클라우드의 행위 체인 스크립트 라이브러리와 매칭시켜 악의적 바이러스 본체 행위에 대응되는 바이러스 계열정보를 확정하는 단계를 포함하고, 상기 행위 체인 스크립트 라이브러리는 바이러스 계열의 악의적 바이러스 본체 행위정보를 포함한다.
본 발명의 일 바람직한 실시예에 따라, 상기 클라이언트가 스캔한 바이러스 본체 행위에 대응되는 바이러스 계열정보를 확정하는 단계는, 상기 클라이언트가 보고한 감정결과를 수신하는 단계와, 상기 감정결과로부터 바이러스 계열정보를 획득하는 단계를 포함하고, 상기 바이러스 계열정보는 상기 클라이언트가 스캔한 바이러스 본체 행위정보를 클라이언트의 로컬 행위 체인 스크립트 라이브러리와 매칭시켜 확정된 것이고, 상기 행위 체인 스크립트 라이브러리는 바이러스 계열의 악의적 바이러스 본체 행위정보를 포함한다.
본 발명의 일 바람직한 실시예에 따라, 해당 방법은 클라이언트가 보고한 스캔 로그를 분석하여 업데이트된 바이러스 본체 행위정보를 획득하는 단계와, 업데이트된 바이러스 본체 행위정보를 이용하여 클라우드의 행위 체인 스크립트 라이브러리를 업데이트하는 단계를 더 포함한다.
본 발명의 일 바람직한 실시예에 따라, 스캔 로그에 포함된 바이러스 본체 행위정보를 클라우드의 행위 체인 스크립트 라이브러리와 매칭시켜 확정된 바이러스 계열정보가 상기 감정결과로부터 획득한 바이러스 계열정보와 일치하지 않을 경우, 스캔 로그에 포함된 바이러스 본체 행위정보를 클라우드의 행위 체인 스크립트 라이브러리와 매칭시켜 확정된 바이러스 계열정보를 이용하여 발송할 바이러스 제거 명령어를 확정하거나, 인위적으로 감정한 바이러스 계열정보를 이용하여 발송할 바이러스 제거 명령어를 확정한다.
본 발명의 일 바람직한 실시예에 따라, 상기 바이러스 본체 행위정보는 프로세스, 로딩 모듈(loading module), 구동, 서비스, Rootkit, 시작 항목, IE 관련 항목, 부트 바이러스, 시스템 디렉터리, 데스크톱 디렉터리, 시작 메뉴, 일반적으로 사용되는 소프트웨어, 스크립트, 시스템 모듈, 로그인 부분, 시스템 시작 항목 등 내용 중 적어도 하나를 스캔하여 획득한 행위정보이다.
본 발명의 일 바람직한 실시예에 따라, 상기 바이러스 제거 명령어는 기본 홈페이지를 고정시키는 조작, 브라우저의 기본 검색 페이지를 변경하는 조작, 지정 툴 소프트웨어를 다운로드하는 조작, 또는 바이러스 본체 행위의 관련 내용을 제거하는 조작의 명령어를 포함한다.
본 발명의 일 바람직한 실시예에 따라, 해당 방법은, 바이러스 본체 행위를 스캔하는 단계; 스캔 로그를 클라우드 서비스 플랫폼에 보고하는 단계 및/또는 로컬 행위 체인 스크립트 라이브러리를 이용하여 상기 바이러스 본체 행위를 감정하고, 악의적 바이러스 본체 행위가 감정되면, 악의적 바이러스 본체 행위에 대응되는 바이러스 계열정보를 클라우드 서비스 플랫폼에 보고하는 단계; 상기 클라우드 서비스 플랫폼으로부터 발송된 바이러스 제거 명령어를 수신하여 실행하는 단계; 를 포함하고, 상기 행위 체인 스크립트 라이브러리는 바이러스 계열의 악의적 바이러스 본체 행위정보를 포함한다.
본 발명의 일 바람직한 실시예에 따라, 해당 방법은 악의적 바이러스 본체 행위가 감정될 경우, 악의적 바이러스 본체 행위의 관련 내용을 제거하는 단계를 더 포함한다.
본 발명의 일 바람직한 실시예에 따라, 해당 방법은 클라우드의 행위 체인 스크립트 라이브러리를 로딩하고, 클라우드의 행위 체인 스크립트 라이브러리를 이용하여 상기 로컬 행위 체인 스크립트 라이브러리를 업데이트하는 단계를 더 포함한다.
본 발명의 일 바람직한 실시예에 따라, 상기 바이러스 제거 명령어는 기본 홈페이지를 고정시키는 조작, 브라우저의 기본 검색 페이지를 변경하는 조작, 지정 툴 소프트웨어를 다운로드하는 조작 또는 바이러스 본체 행위의 관련 내용을 제거하는 조작의 명령어를 포함한다.
본 발명은 바이러스 처리 장치를 더 제공하고, 해당 장치는 클라이언트가 스캔한 바이러스 본체 행위에 대응되는 바이러스 계열정보를 확정하는 바이러스 확정 유닛과, 바이러스 계열정보와 바이러스 제거 명령어 사이의 대응관계에 따라, 상기 바이러스 확정 유닛이 확정한 바이러스 계열정보에 대응되는 바이러스 제거 명령어를 상기 클라이언트에 발송하여, 상기 클라이언트가 상기 바이러스 제거 명령어를 실행하여 바이러스 본체의 제거를 진행하도록 하는 명령 발송 유닛을 포함한다.
본 발명의 일 바람직한 실시예에 따라, 상기 바이러스 확정 유닛은 상기 클라이언트가 보고한 상기 클라이언트가 스캔한 바이러스 본체 행위정보를 포함하는 스캔 로그를 수신하는 제1 수신 서브 유닛과, 상기 바이러스 본체 행위정보를 클라우드의 행위 체인 스크립트 라이브러리와 매칭시켜 악의적 바이러스 본체 행위정보에 대응되는 바이러스 계열정보를 확정하는 매칭 서브 유닛을 포함하고, 상기 행위 체인 스크립트 라이브러리는 바이러스 계열의 악의적 바이러스 본체 행위정보를 포함한다.
본 발명의 일 바람직한 실시예에 따라, 상기 바이러스 확정 유닛은 상기 클라이언트가 보고한 감정결과를 수신하는 제2 수신 서브 유닛과 상기 감정결과로부터 바이러스 계열정보를 획득하는 획득 서브 유닛을 포함하고, 상기 바이러스 계열정보는 상기 클라이언트가 스캔한 바이러스 본체 행위정보를 클라이언트의 로컬 행위 체인 스크립트 라이브러리와 매칭시켜 확정된 것이며, 상기 행위 체인 스크립트 라이브러리는 바이러스 계열의 악의적 바이러스 본체 행위정보를 포함한다.
본 발명의 일 바람직한 실시예에 따라, 해당 장치는 클라이언트가 보고한 스캔 로그를 분석하여 업데이트된 바이러스 본체 행위정보를 획득하는 연합 분석 유닛과, 업데이트된 바이러스 본체 행위정보를 이용하여 클라우드의 행위 체인 스크립트 라이브러리를 업데이트하는 라이브러리 업데이트 유닛을 더 포함한다.
본 발명의 일 바람직한 실시예에 따라, 상기 매칭 서브 유닛이 확정한 바이러스 계열정보와 상기 획득 서브 유닛에서 획득한 바이러스 계열정보가 일치하지 않을 경우, 상기 명령 발송 유닛은 상기 매칭 서브 유닛이 확정한 바이러스 계열정보를 이용하여 발송할 바이러스 제거 명령어를 확정하거나, 인위적으로 감정한 바이러스 계열정보를 이용하여 발송할 바이러스 제거 명령어를 확정한다.
본 발명의 일 바람직한 실시예에 따라, 상기 바이러스 본체 행위정보는 프로세스, 로딩 모듈(loading module), 구동, 서비스, Rootkit, 시작 항목, IE 관련 항목, 부트 바이러스, 시스템 디렉터리, 데스크톱 디렉터리, 시작 메뉴, 일반적으로 사용되는 소프트웨어, 스크립트, 시스템 모듈, 로그인 부분, 시스템 시작 항목 등 내용 중 적어도 하나를 스캔하여 획득한 행위정보이다.
본 발명의 일 바람직한 실시예에 따라, 상기 바이러스 제거 명령어는 기본 홈페이지를 고정시키는 조작, 브라우저의 기본 검색 페이지를 변경하는 조작, 지정 툴 소프트웨어를 다운로드하는 조작 또는 바이러스 본체 행위의 관련 내용을 제거하는 조작의 명령어를 포함한다.
본 발명의 일 바람직한 실시예에 따라, 해당 장치는 로그 보고 유닛 및 바이러스 감정 유닛 중 적어도 하나, 행위 스캔 유닛 및 명령어 처리 유닛을 포함하고, 상기 행위 스캔 유닛은 바이러스 본체 행위를 스캔하고; 상기 로그 보고 유닛은 스캔 로그를 클라우드 서비스 플랫폼에 보고하고; 상기 바이러스 감정 유닛은 로컬 행위 체인 스크립트 라이브러리를 이용하여 상기 바이러스 본체 행위를 감정하고, 악의적 바이러스 본체 행위가 감정되면, 악의적 바이러스 본체 행위정보에 대응되는 바이러스 계열정보를 클라우드 서비스 플랫폼에 보고하고, 상기 행위 체인 스크립트 라이브러리는 바이러스 계열의 악의적 바이러스 본체 행위정보를 포함하며; 상기 명령어 처리 유닛은 상기 클라우드 서비스 플랫폼으로부터 발송된 바이러스 제거 명령어를 수신하여 실행한다.
본 발명의 일 바람직한 실시예에 따라, 해당 장치는 상기 바이러스 감정 유닛에서 악의적 바이러스 본체 행위가 감정될 경우, 악의적 바이러스 본체 행위의 관련 내용을 제거하는 바이러스 제거 유닛를 더 포함한다.
본 발명의 일 바람직한 실시예에 따라, 해당 장치는 클라우드의 행위 체인 스크립트 라이브러리를 로딩하고, 클라우드의 행위 체인 스크립트 라이브러리를 이용하여 상기 로컬 행위 체인 스크립트 라이브러리를 업데이트하는 라이브러리 업데이트 유닛을 더 포함한다.
본 발명의 일 바람직한 실시예에 따라, 상기 바이러스 제거 명령어는 기본 홈페이지를 고정시키는 조작, 브라우저의 기본 검색 페이지를 변경하는 조작, 지정 툴 소프트웨어를 다운로드하는 조작 또는 바이러스 본체 행위의 관련 내용을 제거하는 조작의 명령어를 포함한다.
본 발명은 바이러스 처리 시스템을 더 제공하고, 해당 시스템은 클라이언트 및 클라우드 처리 플랫폼을 포함하고, 상기 클라우드 처리 플랫폼은 상기 제1 장치를 포함하고, 상기 클라이언트는 상기 두번째 장치를 포함한다.
이상의 기술적 방안으로부터 알 수 있는 바와 같이, 본 발명에서 클라이언트가 스캔 로그를 클라우드 서비스 플랫폼에 보고하고, 및/또는 스캔 로그에 의해 바이러스 계열정보가 감정된 후, 바이러스 계열정보를 클라우드 서비스 플랫폼에 보고한다. 클라우드 서비스 플랫폼은 스캔 로그에 대해 감정하여 바이러스 계열정보를 획득하고, 및/또는 클라이언트로부터 바이러스 계열정보를 획득한 다음, 바이러스 계열정보에 대응되는 바이러스 제거 명령어를 클라이언트에 발송하여 클라이언트가 바이러스 제거 명령어를 실행하도록 한다. 본 발명과 같이 클라우드에서 바이러스 계열정보에 대해 바이러스 제거 명령어를 발송하는 방식은, 단순히 클라이언트에서 행위분석 및 파일삭제를 진행하는 방식에 대비하여 바이러스의 처리에 대해 더욱 개성화되고 정확하며, 기계 시스템의 안전성을 향상시킨다.
도 1은 본 발명의 실시예에 제공된 시스템 구성도이다.
도 2는 본 발명의 실시예에 제공된 클라이언트로 실행되는 바이러스 처리 방법의 흐름도이다.
도 3은 본 발명의 실시예에 제공된 클라우드 서비스 플랫폼으로 실행되는 바이러스 처리 방법의 흐름도이다.
도 4는 본 발명의 실시예에 제공된 일 장치의 구성도이다.
도 5는 본 발명의 실시예에 제공된 다른 일 장치의 구성도이다.
이하, 본 발명의 목적, 기술 방안 및 장점이 더욱 명확해지도록 첨부된 도면 및 구체적인 실시예에 결합하여 본 발명에 대한 상세한 설명을 진행하기로 한다.
본 발명의 실시예는 주로 도 1에 도시된 클라이언트 및 클라우드 서비스 플랫폼을 포함하는 시스템을 기반으로 하고, 클라이언트는 예를 들어 PC, 핸드폰, 태블릿 컴퓨터 등 기계 시스템에 설치되어 해당 기계 시스템의 보안을 담당할 수 있다.
본 발명의 실시예에 있어서, 클라이언트는 아래와 같은 기능을 구비할 수 있다.
1) 클라이언트의 가장 기본적인 기능으로서 바이러스 본체 행위를 스캔한다. 여기서 본 발명의 실시예에 언급되는 몇몇 개념들에 대해 설명하면, "바이러스 본체"는 바이러스 모체, 즉 바이러스가 전파되는 초기 파일을 가리키고, 모체가 실행되면 각종 서브 파일 및 그에 관련된 행위들이 생성되며, 바이러스 모체 자체의 파일은 모두 악의적인 것만은 아니다. "악의적 바이러스 본체"는 악의적 바이러스 모체, 즉 자체가 악의적 서브 파일을 방출할 수 있거나 악의적인 네트워크 행위를 가리킨다. "바이러스 본체 행위"는 바이러스 모체가 진행할 수 있는 모든 행위들을 포함하며, 예를 들어 바이러스 본체 행위는 프로세스, 로딩 모듈(loading module), 구동, 서비스, Rootkit(Rootkit는 주로 기타 프로그램 프로세스를 은폐하는 기능을 수행하는 소프트웨어이고, 하나 또는 하나 이상의 소프트웨어들의 조합일 수 있음), 시작 항목, IE 관련 항목, 부트 바이러스, 시스템 디렉터리, 데스크톱 디렉터리, 시작 메뉴, 일반적으로 사용되는 소프트웨어, 스크립트, 시스템 모듈, 로그인 부분, 시스템 시작 항목 등 내용을 스캔하여 획득한 행위정보일 수 있다. "악의적 바이러스 본체 행위"는 악의적 바이러스 모체의 행위이다.
2) 스캔 로그를 클라우드 서비스 플랫폼에 보고하되, 상기 스캔 로그는 해당 클라이언트가 스캔한 바이러스 본체 행위정보를 포함하고, 이를 클라우드 서비스 플랫폼에 보고하여 분석을 진행하도록 한다.
3) 로컬 행위 체인 스크립트 라이브러리를 이용하여, 바이러스 본체 행위를 감정한다. 행위 체인 스크립트 라이브러리는 바이러스 계열의 악의적 바이러스 본체 행위정보를 포함하고, 클라이언트가 스캔한 바이러스 본체 행위정보를 행위 체인 스크립트 라이브러리와 매칭시켜, 스캔한 바이러스 본체 행위가 악의적 바이러스 본체 행위인지 확정하고, 나아가 바이러스 계열정보를 확정할 수 있다. 여기서, "바이러스 계열"은 유사한 행위를 구비한 일 세트의 악의적 바이러스 본체의 총칭이고, 동일한 바이러스 계열에 속하는 악의적 바이러스 본체는 일반적으로 동일한 제작자에 속하거나 동일한 바이러스 소스 파일로부터 파생된 것이다(예를 들어, 동일한 바이러스 소스 파일을 변경하여 획득함). 예를 들어, 행위 체인 스크립트 라이브러리에서, 동일한 바이러스 계열에 속하는 악의적 바이러스 본체 행위정보를 통합함으로써, 악의적 바이러스 본체 행위를 통해 그에 대응되는 바이러스 계열정보를 확정할 수 있다.
한편, 클라이언트의 로컬 행위 체인 스크립트 라이브러리는 클라우드 서비스 플랫폼의 행위 체인 스크립트 라이브러리를 로딩한 다음 로컬에 저장하여 획득한 것일 수 있다. 예를 들어, 클라이언트는 클라우드 서비스 플랫폼으로부터 행위 체인 스크립트 라이브러리를 주기적으로 로딩하고, 로컬 행위 체인 스크립트 라이브러리를 업데이트할 수 있는 기능, 즉, 후술할 기능 6)을 실행할 수 있다.
4) 악의적 바이러스 본체 행위가 감정되면, 악의적 바이러스 본체 행위에 대응되는 바이러스 계열정보를 클라우드 서비스 플랫폼에 보고한다. 상기 바이러스 계열정보는 예를 들어 바이러스 계열 ID(식별자)등 정보일 수 있다. 즉, 클라이언트 로컬에서 바이러스 계열 ID가 이미 감정되었을 경우, 바이러스 계열 ID를 클라우드 서비스 플랫폼에 직접 보고한다.
5) 악의적 바이러스 본체 행위가 감정될 경우, 해당 클라이언트가 위치한 기계 시스템 내의 악의적 바이러스 본체 행위의 관련 내용을 제거한다. 바이러스 계열정보를 보고하는 것 외에, 클라이언트 로컬에 바이러스 제거 메커니즘이 존재함으로써 클라이언트가 위치한 기계 시스템 내의 악의적 바이러스 본체 행위의 관련 내용을 제거할 수 있는바, 예를 들어, 악의적 바이러스 본체의 서비스를 중지하고, 악의적 바이러스 본체의 파일을 삭제하며, 악의적 바이러스 본체의 레지스트리 항목 또는 관련 활성 항목을 삭제하며, 브라우저의 기본 홈페이지를 복구한다. 상술한 제거 처리를 진행한 다음, 나아가 기계 시스템의 운행에 영향을 줄 수 있는 파일에 대해 초기화 복구 처리를 진행하는 즉, 해당 파일을 초기화 상태로 원복시킴으로써 기계 시스템의 정상적 작동을 확보한다.
6) 클라우드의 행위 체인 스크립트 라이브러리를 로딩하고, 클라우드의 행위 체인 스크립트 라이브러리를 이용하여 로컬 행위 체인 스크립트 라이브러리를 업데이트한다.
클라우드 서비스 플랫폼은 아래와 같은 기능을 구비할 수 있다.
1) 클라이언트가 스캔한 바이러스 본체 행위에 대응되는 바이러스 계열정보를 확정한다. 여기서, 해당 기능의 실현은 아래와 같은 2가지 방식을 이용할 수 있다.
첫번째 방식: 클라이언트가 스캔한 바이러스 본체 행위정보를 포함하는 클라이언트가 보고한 스캔 로그를 수신하고, 상기 바이러스 본체 행위정보를 클라우드의 행위 체인 스크립트 라이브러리와 매칭시켜 악의적 바이러스 본체 행위정보에 대응되는 바이러스 계열정보를 확정한다. 마찬가지로, 해당 행위 체인 스크립트 라이브러리 중에 바이러스 계열의 악의적 바이러스 본체 행위정보도 포함된다. 해당 행위 체인 스크립트 라이브러리는 각 기계 시스템 중 클라이언트가 보고한 스캔 로그를 분석하여 획득한 것이거나, 인위적 분석 및 설정 요소를 결합할 수도 있다.
두번째 방식: 클라이언트가 보고한 감정결과를 직접 수신하고, 해당 감정결과에는 클라이언트가 스캔된 바이러스 본체 행위정보를 클라이언트의 로컬 행위 체인 스크립트 라이브러리와 매칭시켜 확정된 바이러스 계열정보가 포함된다.
2) 바이러스 계열정보와 바이러스 제거 명령어 사이의 대응관계에 따라, 바이러스 계열정보에 대응되는 바이러스 제거 명령어를 클라이언트에 발송한다. 클라우드 서비스 플랫폼에서 바이러스 계열정보와 바이러스 제거 명령어 사이의 대응관계를 유지하고, 이러한 바이러스 제거 명령어는 클라이언트가 조작을 진행하여 상응한 바이러스 계열의 행위를 제거하도록 가이드한다. 해당 대응관계는 인위적 설정의 방식을 이용할 수 있다.
상술한 바이러스 제거 명령어는 기본 홈페이지를 고정시키는 명령어, 브라우저의 기본 검색 페이지를 변경하는 명령어 또는 지정 툴 소프트웨어를 다운로드하는 명령어 등을 포함할 수 있으나 이에 한정되지 않는다. 상기 지정 툴 소프트웨어는 예를 들어 세이프가드(safeguard) 소프트웨어, 시스템 복원 가젯(gadget), 악의적 플러그인 제거 툴, 브라우저 보호 툴 등일 수 있다.
상기 바이러스 계열정보에 대응되는 바이러스 제거 명령어는 클라우드로 설정할 수 있는 것이고, 실시간으로 캡처한 유행성 바이러스 본체 행위 분석에 의해 상응한 바이러스 제거 명령어를 추가하거나 조정할 수 있다.
다시 말하면, 클라우드 서비스 플랫폼은 구체적인 타깃에 대응하여 특정 부류의 바이러스를 제거하도록 클라이언트에 지도적인 건의를 제공할 수 있으므로, 클라이언트로 단순히 파일을 삭제함으로 인한 바이러스 본체를 완전히 제거하지 못하는 문제를 피면할 수 있다.
3) 각 기계 시스템의 클라이언트가 보고한 스캔 로그에 대해 연합적으로 분석함으로써 업데이트된 바이러스 본체 행위를 획득하고, 업데이트된 바이러스 본체 행위를 이용하여 클라우드의 행위 체인 스크립트 라이브러리를 업데이트한다.
이하, 구체적인 실시예에 결합하여 클라이언트 및 클라우드 서비스 플랫폼에서 실행되는 방법 흐름에 대해 설명하기로 한다. 도 2는 본 발명의 실시예에 제공된 클라이언트로 실행되는 바이러스 처리 방법의 흐름도이고, 도 2에 도시된 바와 같이, 해당 흐름은 주로 아래와 같은 단계들을 포함한다.
단계(201)에서, 클라이언트는 기계 시스템 내의 바이러스 본체 행위, 예를 들어, 프로세스, 로딩 모듈(loading module), 구동, 서비스, Rootkit, 시작 항목, IE 관련 항목, 부트 바이러스, 시스템 디렉터리, 데스크톱 디렉터리, 시작 메뉴, 일반적으로 사용되는 소프트웨어, 스크립트, 시스템 모듈, 로그인 부분, 시스템 시작 항목 등을 스캔한다.
단계(202)에서, 클라이언트는 스캔 로그를 클라우드 서비스 플랫폼에 보고한다.
단계(203)에서, 클라이언트는 로컬 행위 체인 스크립트 라이브러리를 이용하여 스캔한 바이러스 본체 행위를 감정하고, 악의적 바이러스 본체 행위가 감정되면, 단계(204)를 실행하며 도 2에는 상기 경우만 도시되어 있는 바, 악의적 바이러스 본체 행위가 감정되지 않을 경우, 클라이언트와 클라우드 서비스 플랫폼이 통신하는 인터페이스를 모니터링한다. 클라이언트와 클라우드 서비스 플랫폼이 통신하는 인터페이스는 반드시 악의적 바이러스 본체 행위가 감정되지 않을 경우에 실행되는 조작은 아니며, 지속적인 모니티링을 유지할 수도 있음을 자명하여야 한다.
상기 단계(202) 및 단계(203)는 임의의 순서에 따라 실행되거나 동시에 실행될 수도 있다. 도 2는 그중 한가지 실행순서일 뿐이다.
행위 체인 스크립트 라이브러리에 바이러스 계열의 악의적 바이러스 본체 행위정보가 포함되어 있으므로 클라이언트가 스캔한 바이러스 본체 행위를 행위 체인 스크립트 라이브러리와 매칭시킬 수 있고, 여기서 매칭은 행위 특징의 매칭일 수도 있고 스크립트의 매칭 등일 수도 있는 바, 일치한 행위 특징 또는 스크립트가 존재할 경우, 악의적 바이러스 본체 행위가 감정됨을 확정하고, 해당 악의적 바이러스 본체 행위에 대응되는 바이러스 계열정보를 확정한다.
단계(204)에서, 악의적 바이러스 본체 행위에 대응되는 바이러스 계열정보를 클라우드 서비스 플랫폼에 보고한다. 클라이언트가 바이러스 계열정보를 보고할 때, 그가 위치한 기계 시스템의 정보, 예를 들어 GUID(Globally Unique Identifier; 전역 고유 식별자)를 동시에 보고하여, 클라우드 서비스 플랫폼이 정보를 보고한 기계 시스템들을 구분할 수 있도록 한다.
단계(205)에서, 악의적 바이러스 본체 행위가 감정되었으므로 클라이언트가 악의적 바이러스 본체 행위의 관련 내용을 제거할 수 있다. 상기 단계(204) 및 단계(205)는 임의의 순서에 따라 실행되거나 동시에 실행될 수도 있으며, 도 2는 그중의 한가지 실행순서일 뿐이다. 단계(204) 이후, 클라이언트는 클라이언트와 클라우드 서비스 플랫폼이 통신하는 인터페이스를 모니터링하기 시작하고, 클라우드 서비스 플랫폼으로부터 발송된 바이러스 제거 명령어가 검출될 경우, 단계(206)인 즉, 클라우드 서비스 플랫폼으로부터 발송된 바이러스 제거 명령어를 수신하여 실행한다.
도 3은 본 발명의 실시예에 제공된 클라우드 서비스 플랫폼으로 실행되는 바이러스 처리 방법의 흐름도이고, 도 3에 도시된 바와 같이, 해당 흐름은 아래와 같은 단계들을 포함할 수 있다.
단계(301)에서, 클라우드 서비스 플랫폼은 클라이언트가 보고한 스캔 로그를 수신하고, 해당 스캔 로그는 클라이언트가 스캔한 바이러스 본체 행위정보를 포함한다.
단계(302)에서, 스캔 로그 중의 바이러스 본체 행위정보를 클라우드의 행위 체인 스크립트 라이브러리와 매칭시켜 악의적 바이러스 본체 행위정보에 대응되는 바이러스 계열정보를 확정한다. 클라우드의 행위 체인 스크립트 라이브러리가 각 기계 시스템의 클라이언트가 보고한 스캔 로그를 종합하고 분석하여 획득한 것이므로 하나의 클라이언트에 대해 바이러스 본체 행위의 감별을 진행할 경우, 실제적으로 기타 기계 시스템의 스캔 로그에 연관시켜 분석한 것이기도 하다.
상기 단계(301) 및 단계(302)는 그중 하나의 실행 브랜치인 즉, 스캔 로그를 수신한 다음의 경우이고, 단계(302) 이후 단계(304)를 실행한다. 다른 하나의 브랜치, 즉 단계(303)에서 클라이언트가 보고한 바이러스 계열정보를 수신할 경우, 단계(304)를 직접 실행한다.
단계(304)에서, 바이러스 계열정보와 바이러스 제거 명령어 사이의 대응관계에 따라 바이러스 계열정보에 대응되는 바이러스 제거 명령어를 클라이언트에 발송한다. 상기 바이러스 계열정보와 바이러스 제거 명령어 사이의 대응관계는 클라우드 서비스 플랫폼에서 사전에 로딩된 것으로, 각 바이러스 계열에 대해 각각 상응한 바이러스 제거 명령어를 설정함으로써 클라이언트가 바이러스 본체의 제거를 진행하도록 가이드한다.
한편, 아래와 같은 경우가 존재할 수도 있다. 즉, 동일할 클라이언트에 대해, 클라우드 서비스 플랫폼이 클라이언트가 보고한 스캔 로그에 따라 확정된 바이러스 계열정보와 해당 클라이언트가 보고한 바이러스 계열정보가 일치하지 않을 경우, 즉, 클라우드 서비스 플랫폼과 클라이언트의 감정결과가 일치하지 않을 경우, 클라우드 서비스 플랫폼의 감정결과를 기준으로 이용할수 있는 바, 클라우드 서비스 플랫폼이 확정된 바이러스 계열정보에 대응되는 바이러스 제거 명령어를 클라이언트에 발송한다. 물론, 기타 책략을 이용할 수도 있고, 예를 들어 클라우드 서비스 플랫폼과 클라이언트의 감정결과가 일치하지 않을 경우, 인위적으로 감정에 참여하여 인위적으로 감정한 바이러스 계열정보에 대응되는 바이러스 제거 명령어를 클라이언트에 발송할 수 있다.
이하, 본 발명에 제공된 장치에 대해 상세한 설명을 진행하기로 한다. 도 4는 본 발명의 실시예에 제공된 제1 장치의 구성도이고, 해당 장치는 클라우드 서비스 플랫폼에 설치되며, 도 4에 도시된 바와 같이, 해당 장치는 바이러스 확정 유닛(41) 및 명령어 발송 유닛(42)을 포함할 수 있고, 나아가 연합 분석 유닛(43) 및 라이브러리 업데이트 유닛(44)을 더 포함할 수 있다.
여기서, 바이러스 확정 유닛(41)은 클라이언트가 스캔한 바이러스 본체 행위에 대응되는 바이러스 계열정보를 확정한다. 구체적으로, 해당 바이러스 확정 유닛(41)은 아래와 같은 2가지 방식 중 적어도 하나를 이용하여 바이러스 계열정보를 확정할 수 있고, 도 4는 이하 2가지 방식을 동시에 이용한 구성을 예로 들었다.
첫번째 방식: 바이러스 확정 유닛(41)은 클라이언트가 보고한 스캔 로그에 따라 클라우드 서비스 플랫폼에서 바이러스 감정을 진행하고, 이때 바이러스 확정 유닛(41)은 구체적으로 제1 수신 서브 유닛(401) 및 매칭 서브 유닛(402)을 포함할 수 있다.
제1 수신 서브 유닛(401)은 클라이언트가 보고한 스캔 로그를 수신하고, 스캔 로그는 클라이언트가 스캔한 바이러스 본체 행위정보를 포함한다. 매칭 서브 유닛(402)은 바이러스 본체 행위정보를 클라우드의 행위 체인 스크립트 라이브러리와 매칭시켜 악의적 바이러스 본체 행위정보에 대응되는 바이러스 계열정보를 확정하며, 행위 체인 스크립트 라이브러리는 바이러스 계열의 악의적 바이러스 본체 행위정보를 포함한다.
두번째 방식: 바이러스 확정 유닛(41)은 클라이언트가 보고한 바이러스 계열정보를 직접 수신하고, 즉 클라이언트에서 바이러스 감정을 진행하고, 이때, 바이러스 확정 유닛(41)은 구체적으로 제2 수신 서브 유닛(411) 및 획득 서브 유닛(412)을 포함한다.
제2 수신 서브 유닛(411)은 클라이언트가 보고한 감정결과를 수신한다. 획득 서브 유닛(412)은 감정결과로부터 바이러스 계열정보를 획득하고, 바이러스 계열정보는 클라이언트가 스캔한 바이러스 본체 행위를 클라이언트의 로컬 행위 체인 스크립트 라이브러리와 매칭시켜 확정된 것이며, 행위 체인 스크립트 라이브러리는 바이러스 계열의 악의적 바이러스 본체 행위정보를 포함한다.
명령어 발송 유닛(42)은 클라이언트가 바이러스 제거 명령어를 실행하여 바이러스 본체의 제거를 진행하도록 바이러스 계열정보와 바이러스 제거 명령어 사이의 대응관계에 따라 바이러스 확정 유닛(41)이 확정된 바이러스 계열정보에 대응되는 바이러스 제거 명령어를 클라이언트에 발송한다. 클라우드 서비스 플랫폼에서 바이러스 계열정보와 바이러스 제거 명령어 사이의 대응관계를 유지하고, 이들 바이러스 제거 명령어들은 클라이언트가 조작을 진행하여 상응한 바이러스 계열의 행위를 제거하도록 가이드한다. 해당 대응관계는 인위적으로 설정하는 방식을 이용할 수 있다.
상술한 바이러스 제거 명령어는 기본 홈페이지를 고정시키는 명령어, 브라우저의 기본 검색 페이지를 변경하는 명령어 또는 지정 툴 소프트웨어를 다운로드하는 명령어 등을 포함할 수 있으나 이에 한정되지 않는다. 상기 지정 툴 소프트웨어는 예를 들어 세이프가드(safeguard) 소프트웨어, 시스템 복원 가젯(gadget), 악의적 플러그인 제거 툴, 브라우저 보호 툴 등일 수 있다.
상기 바이러스 계열정보에 대응되는 바이러스 제거 명령어는 클라우드에서 설정할 수 있는 것이고, 실시간으로 캡처한 유행성 바이러스 본체 행위 분석에 의해 상응한 바이러스 제거 명령어를 추가하거나 조정할 수 있다.
한편, 아래와 같은 경우가 존재할 수도 있다. 즉, 상기 바이러스 계열정보를 확정하는 2가지 방식으로 확정된 바이러스 계열정보가 상이하다고 가정할 경우, 클라우드 서비스 플랫폼에서 확정된 바이러스 계열정보에 대응되는 바이러스 제거 명령어를 클라이언트에 발송할 수 있다. 물론, 기타 책략을 이용할 수도 있다. 예를 들어, 클라우드 서비스 플랫폼과 클라이언트의 감정결과가 일치하지 않을 경우, 인위적으로 감정에 참여하여 인위적으로 감정한 바이러스 계열정보에 대응되는 바이러스 제거 명령어를 클라이언트에 발송할 수 있다.
상술한 행위 체인 스크립트 라이브러리는 각 기계 시스템 중의 클라이언트가 보고한 스캔 로그를 분석하여 획득한 것이고, 인위적 분석 및 설정의 요소를 결합할 수도 있다. 바이러스가 끊임없이 업데이트됨에 따라 새로운 바이러스 본체 행위가 지속적으로 나타나므로, 클라우드 서비스 플랫폼은 행위 체인 스크립트 라이브러리에 대해 신속한 업데이트를 필요로 한다. 이에 따라, 연합 분석 유닛(43)은 클라이언트가 보고한 스캔 로그를 분석하여 업데이트된 바이러스 본체 행위를 획득하고, 그 다음 라이브러리 업데이트 유닛(44)이 업데이트된 바이러스 본체 행위를 이용하여 클라우드의 행위 체인 스크립트 라이브러리를 업데이트한다.
도 5는 본 발명의 실시예에 제공된 다른 일 바이러스 처리 장치의 구성도이고, 해당 장치는 기계 시스템 중의 클라이언트에 설치되며, 도 5에 도시된 바와 같이, 해당 장치는 구체적으로 로그 보고 유닛(52) 및 바이러스 감정 유닛(53) 중 적어도 하나(도 5에는 상기 두개 유닛을 동시에 포함한 경우를 예로 들었음), 행위 스캔 유닛(51) 및 명령어 처리 유닛(54)을 포함할 수 있고, 나아가 바이러스 제거 유닛(55) 및 라이브러리 업데이트 유닛(56)을 더 포함할 수 있다.
여기서, 행위 스캔 유닛(51)은 바이러스 본체 행위정보를 스캔하고, 즉 기계 시스템 중 악의적 바이러스 본체가 가능한 모든 행위 내용에 대해 스캔하고, 바이러스 본체 행위정보는 네트워크 복구, 프로세스, 로딩 모듈(loading module), 구동, 서비스, Rootkit, 시작 항목, IE 관련 항목, 부트 바이러스, 시스템 디렉터리, 데스크톱 디렉터리, 시작 메뉴, 일반적으로 사용되는 소프트웨어, 스크립트, 시스템 모듈, 로그인 부분, 시스템 시작 항목 등 내용 중 적어도 하나를 스캔하여 획득한 행위정보일 수 있다.
로그 보고 유닛(52)은 스캔 로그를 클라우드 서비스 플랫폼에 보고하고, 스캔 로그에는 행위 스캔 유닛(51)이 스캔한 바이러스 본체 행위정보가 포함되며, 이를 클라우드 서비스 플랫폼에 보고하여 분석 및 감정을 진행하도록 한다.
바이러스 감정 유닛(53)은 로컬 행위 체인 스크립트 라이브러리를 이용하여 바이러스 본체 행위를 감정하고 악의적 바이러스 본체 행위가 감정되면, 악의적 바이러스 본체 행위정보에 대응되는 바이러스 계열정보를 클라우드 서비스 플랫폼에 보고하고, 행위 체인 스크립트 라이브러리는 바이러스 계열의 악의적 바이러스 본체 행위정보를 포함한다.
명령어 처리 유닛(54)은 클라우드 서비스 플랫폼으로부터 발송된 바이러스 제거 명령어를 수신하여 실행한다. 구체적으로, 바이러스 제거 명령어는 기본 홈페이지를 고정시키고, 브라우저의 기본 검색 페이지를 변경하고, 지정 툴 소프트웨어를 다운로드하거나 악의적 바이러스 본체 행위의 관련 내용을 제거하도록 하는 조작의 명령어를 포함할 수 있으나 이에 한정되지 않는다.
더 나아가, 바이러스 감정 유닛(53)에서 악의적 바이러스 본체 행위가 감정되면, 바이러스 제거 유닛(55)은 악의적 바이러스 본체 행위의 관련 내용을 제거한다. 악의적 바이러스 본체 행위의 관련 내용을 제거하는 것은 악의적 바이러스 본체의 서비스를 중지하고, 악의적 바이러스 본체의 파일, 악의적 바이러스 본체의 레지스트리 항목 또는 관련 활성 항목을 삭제하며, 브라우저의 기본 홈페이지를 복구하는 것을 포함할 수 있으나 이에 한정되지 않는다.
클라이언트의 로컬 행위 체인 스크립트 라이브러리는 클라우드 서비스 플랫폼의 행위 체인 스크립트 라이브러리를 로딩하여 로컬에 저장하여 획득한 것이고, 클라이언트는 클라우드 서비스 플랫폼으로부터 행위 체인 스크립트 라이브러리를 주기적으로 로딩하여 로컬 행위 체인 스크립트 라이브러리를 업데이트한다. 이때, 라이브러리 업데이트 유닛(56)은 클라우드의 행위 체인 스크립트 라이브러리를 로딩하고, 클라우드의 행위 체인 스크립트 라이브러리를 이용하여 로컬 행위 체인 스크립트 라이브러리를 업데이트한다.
이상의 설명으로부터 알 수 있는 바와 같이, 본 발명에 제공된 방법, 장치 및 시스템은 아래와 같은 장점들을 구비한다.
1) 본 발명과 같은 클라우드에서 바이러스 계열정보에 따른 바이러스 제거 명령어의 발송을 진행하는 방식은 단순히 클라이언트에서 행위분석 및 파일삭제를 진행하는 방식에 대비하여 바이러스를 더욱 개성화되고 정확하게 처리하며, 기계 시스템의 안전성을 향상시킨다.
2) 본 발명 중의 클라우드 서비스 플랫폼으로부터 발송된 바이러스 계열정보에 대한 바이러스 제거 명령어는 악의적 바이러스 본체 행위의 관련 내용을 제거하는 것에만 한정되지 않으며, 예를 들어 기본 홈페이지를 고정시키거나, 브라우저의 기본 검색 페이지를 변경하거나, 지정 툴 소프트웨어를 다운로드하는 등과 같이 바이러스 처리가 더욱 다양화되고, 바이러스를 철저히 제거하고 기계 시스템의 안전성을 강화함에 도움이 된다.
3) 클라우드 서비스 플랫폼은 각 기계 시스템의 클라이언트가 보고한 스캔 로그들을 관련시켜 행위 체인 스크립트 라이브러리의 업데이트를 진행함으로써 인터넷 바이러스의 업데이트가 빠른 특성을 제때에 만족한다.
4) 클라우드 서비스 플랫폼에서 바이러스 계열정보에 따른 바이러스 제거 명령어를 원활하게 설정할 수 있고, 제때에 증가하거나 조정할 수 있으므로 인터넷 시대의 쾌속응답에 대한 요구를 만족한다.
본 발명에 제공된 몇몇 실시예에 있어서, 개시된 시스템, 장치 및 방법은 기타 방식으로 실현될 수 있음을 자명할 것이다. 예를 들어, 상기 기재된 장치 실시예는 오직 예시적인 것으로서, 예를 들어 상기 유닛의 분할은 오직 논리적 기능의 분할일 뿐, 실제 구현시 기타 분할방식이 존재할 수 있다.
상기 분리된 부재로 설명된 유닛들은 물리적으로 분리된 것이거나 물리적으로 분리된 것이 아닐 수도 있으며, 유닛으로 표시된 부재는 물리적인 유닛이거나 물리적인 유닛이 아닐 수도 있다. 즉, 한 지점에 있을 수 있거나 다수의 네트워크 유닛들 상에 분포될 수도 있다. 본 실시예 방안의 목적은 실제 수요에 따라, 그중의 부분 또는 전부 유닛들을 선택하여 실현할 수 있다.
한편, 본 발명의 각 실시예 중의 각 기능 유닛들은 하나의 처리 유닛에 통합될 수 있거나, 각 유닛들이 단독적인 물리적인 존재일 수도 있으며, 두개 또는 두개 이상의 유닛들이 하나의 유닛에 통합될 수도 있다. 상기 통합된 유닛은 하드웨어 형식으로 실현될 수도 있고, 하드웨어에 소프트웨어 기능 유닛을 결합한 형식으로 실현될 수도 있다.
상기 소프트웨어 기능 유닛의 형식으로 실현되는 통합된 유닛은 컴퓨터 판독 가능한 저장 매체에 저장될 수 있다. 상기 소프트웨어 기능 유닛은 저장 매체에 저장되고, 다수의 명령어들을 포함하여 컴퓨터 기기(개인 컴퓨터, 서버 또는 네트워크 기기 등일 수 있음) 또는 프로세서(processor)로 하여금 본 발명의 각 실시예에 기재된 방법의 부분적 단계들을 실행하도록 한다. 상술한 저장 매체는 USB 메모리, 외장 하드디스크, 읽기 전용 메모리 장치(Read-Only Memory; ROM), 랜덤 액세스 메모리 장치(Random Access Memory; RAM), 자기 디스크 또는 광 디스크 등 프로그램 코드를 저장할 수 있는 다양한 매체를 포함한다.
이상의 설명은 오직 본 발명의 비교적 바람직한 실시예일 뿐, 본 발명을 한정하기 위한 것이 아니다. 본 발명의 사상 및 원칙을 벗어나지 않고서 진행한 임의의 수정, 균등치환, 개선 등은 모두 본 발명의 보호범위 내에 포함되어야 한다.

Claims (29)

  1. 바이러스 처리 방법에 있어서,
    클라이언트가 스캔한 바이러스 본체 행위에 대응되는 바이러스 계열정보를 확정하는 단계; 및
    상기 클라이언트가 바이러스 제거 명령어를 실행하여 바이러스 본체 제거를 진행하도록 바이러스 계열정보와 바이러스 제거 명령어 사이의 대응관계에 따라 확정된 바이러스 계열정보에 대응되는 바이러스 제거 명령어를 상기 클라이언트에 발송하는 단계; 를 포함하는 것을 특징으로 하는 바이러스 처리 방법.
  2. 제1항에 있어서,
    상기 클라이언트가 스캔한 바이러스 본체 행위에 대응되는 바이러스 계열정보를 확정하는 단계는,
    상기 클라이언트가 스캔한 바이러스 본체 행위정보를 포함하는 상기 클라이언트가 보고한 스캔 로그를 수신하는 단계; 및
    상기 바이러스 본체 행위정보를 클라우드의 행위 체인 스크립트 라이브러리와 매칭시켜 악의적 바이러스 본체 행위에 대응되는 바이러스 계열정보를 확정하는 단계; 를 포함하되,
    상기 행위 체인 스크립트 라이브러리는 바이러스 계열의 악의적 바이러스 본체 행위정보를 포함하는 것을 특징으로 하는 바이러스 처리 방법.
  3. 제1항에 있어서,
    상기 클라이언트가 스캔한 바이러스 본체 행위에 대응되는 바이러스 계열정보를 확정하는 단계는,
    상기 클라이언트가 보고한 감정결과를 수신하는 단계;
    상기 감정결과로부터 바이러스 계열정보를 획득하는 단계를 포함하되,
    상기 바이러스 계열정보는 상기 클라이언트가 스캔한 바이러스 본체 행위정보를 클라이언트의 로컬 행위 체인 스크립트 라이브러리와 매칭시켜 확정된 것이고, 상기 행위 체인 스크립트 라이브러리는 바이러스 계열의 악의적 바이러스 본체 행위정보를 포함하는 것을 특징으로 하는 바이러스 처리 방법.
  4. 제2항에 있어서,
    클라이언트가 보고한 스캔 로그를 분석하여 업데이트된 바이러스 본체 행위정보를 획득하는 단계; 및
    업데이트된 바이러스 본체 행위정보를 이용하여 클라우드의 행위 체인 스크립트 라이브러리를 업데이트하는 단계;를 더 포함하는 것을 특징으로 하는 바이러스 처리 방법.
  5. 제2항에 있어서,
    상기 클라이언트가 스캔한 바이러스 본체 행위에 대응되는 바이러스 계열정보를 확정하는 단계는,
    상기 클라이언트가 보고한 감정결과를 수신하는 단계; 및
    상기 감정결과로부터 바이러스 계열정보를 획득하는 단계;를 더 포함하되,
    상기 바이러스 계열정보는 상기 클라이언트가 스캔한 바이러스 본체 행위정보를 클라이언트의 로컬 행위 체인 스크립트 라이브러리와 매칭시켜 확정된 것이고, 상기 행위 체인 스크립트 라이브러리는 바이러스 계열의 악의적 바이러스 본체 행위정보를 포함하는 것을 특징으로 하는 바이러스 처리 방법.
  6. 제5항에 있어서,
    스캔 로그에 포함된 바이러스 본체 행위정보를 클라우드의 행위 체인 스크립트 라이브러리와 매칭시켜 확정된 바이러스 계열정보가 상기 감정결과로부터 획득한 바이러스 계열정보와 일치하지 않을 경우, 스캔 로그에 포함된 바이러스 본체 행위정보를 클라우드의 행위 체인 스크립트 라이브러리와 매칭시켜 확정된 바이러스 계열정보를 이용하여 발송할 바이러스 제거 명령어를 확정하거나, 인위적으로 감정한 바이러스 계열정보를 이용하여 발송할 바이러스 제거 명령어를 확정하는 단계;를 더 포함하는 것을 특징으로 하는 바이러스 처리 방법.
  7. 제1항 내지 제6항 중 임의의 한 항에 있어서,
    상기 바이러스 본체 행위정보는 프로세스, 로딩 모듈, 구동, 서비스, Rootkit, 시작 항목, IE 관련 항목, 부트 바이러스, 시스템 디렉터리, 데스크톱 디렉터리, 시작 메뉴, 일반적으로 사용되는 소프트웨어, 스크립트, 시스템 모듈, 로그인 부분, 시스템 시작 항목 등 내용 중 적어도 하나를 스캔하여 획득한 행위정보인 것을 특징으로 하는 바이러스 처리 방법.
  8. 제1항 내지 제6항 중 임의의 한 항에 있어서,
    상기 바이러스 제거 명령어는,
    기본 홈페이지를 고정시키는 조작, 브라우저의 기본 검색 페이지를 변경하는 조작, 지정 툴 소프트웨어를 다운로드하는 조작, 또는 바이러스 본체 행위의 관련 내용을 제거하는 조작의 명령어를 포함하는 것을 특징으로 하는 바이러스 처리 방법.
  9. 바이러스 처리 방법에 있어서,
    바이러스 본체 행위를 스캔하는 단계;
    스캔 로그를 클라우드 서비스 플랫폼에 보고하는 단계; 및/또는
    로컬 행위 체인 스크립트 라이브러리를 이용하여 상기 바이러스 행위를 감정하고, 악의적 바이러스 본체 행위가 감정되면, 악의적 바이러스 본체 행위에 대응되는 바이러스 계열정보를 클라우드 서비스 플랫폼에 보고하는 단계;
    상기 클라우드 서비스 플랫폼으로부터 발송된 바이러스 제거 명령어를 수신하여 실행하는 단계;를 포함하되,
    상기 행위 체인 스크립트 라이브러리는 바이러스 계열의 악의적 바이러스 본체 행위정보를 포함하는 것을 특징으로 하는 바이러스 처리 방법.
  10. 제9항에 있어서,
    악의적 바이러스 본체 행위가 감정될 경우, 악의적 바이러스 본체 행위의 관련 내용을 제거하는 단계;를 더 포함하는 것을 특징으로 하는 바이러스 처리 방법.
  11. 제9항에 있어서,
    클라우드의 행위 체인 스크립트 라이브러리를 로딩하고, 클라우드의 행위 체인 스크립트 라이브러리를 이용하여 상기 로컬 행위 체인 스크립트 라이브러리를 업데이트하는 단계;를 더 포함하는 것을 특징으로 하는 바이러스 처리 방법.
  12. 제9항 내지 제11항 중 임의의 한 항에 있어서,
    상기 바이러스 제거 명령어는,
    기본 홈페이지를 고정시키는 조작, 브라우저의 기본 검색 페이지를 변경하는 조작, 지정 툴 소프트웨어를 다운로드하는 조작 또는 바이러스 본체 행위의 관련 내용을 제거하는 조작의 명령어를 포함하는 것을 특징으로 하는 바이러스 처리 방법.
  13. 바이러스 처리 장치에 있어서,
    클라이언트가 스캔한 바이러스 본체 행위에 대응되는 바이러스 계열정보를 확정하는 바이러스 확정 유닛; 및
    상기 클라이언트가 바이러스 제거 명령어를 실행하여 바이러스 본체의 제거를 진행하도록 바이러스 계열정보와 바이러스 제거 명령어 사이의 대응관계에 따라 상기 바이러스 확정 유닛이 확정한 바이러스 계열정보에 대응되는 바이러스 제거 명령어를 상기 클라이언트에 발송하는 명령 발송 유닛;을 포함하는 것을 특징으로 하는 바이러스 처리 장치.
  14. 제13항에 있어서,
    상기 바이러스 확정 유닛은,
    상기 클라이언트가 보고한 상기 클라이언트가 스캔한 바이러스 본체 행위정보를 포함하는 스캔 로그를 수신하는 제1 수신 서브 유닛; 및
    상기 바이러스 본체 행위정보를 클라우드의 행위 체인 스크립트 라이브러리와 매칭시켜 악의적 바이러스 본체 행위정보에 대응되는 바이러스 계열정보를 확정하는 매칭 서브 유닛;을 포함하되,
    상기 행위 체인 스크립트 라이브러리는 바이러스 계열의 악의적 바이러스 본체 행위정보를 포함하는 것을 특징으로 하는 바이러스 처리 장치.
  15. 제13항에 있어서,
    상기 바이러스 확정 유닛은,
    상기 클라이언트가 보고한 감정결과를 수신하는 제2 수신 서브 유닛;
    상기 감정결과로부터 바이러스 계열정보를 획득하는 획득 서브 유닛; 을 포함하되,
    상기 바이러스 계열정보는 상기 클라이언트가 스캔한 바이러스 본체 행위정보를 클라이언트 로컬 행위 체인 스크립트 라이브러리와 매칭시켜 확정된 것이며, 상기 행위 체인 스크립트 라이브러리는 바이러스 계열의 악의적 바이러스 본체 행위정보를 포함하는 것을 특징으로 하는 바이러스 처리 장치.
  16. 제14항에 있어서,
    클라이언트가 보고한 스캔 로그를 분석하여 업데이트된 바이러스 본체 행위정보를 획득하는 연합 분석 유닛; 및
    업데이트된 바이러스 본체 행위정보를 이용하여 클라우드의 행위 체인 스크립트 라이브러리를 업데이트하는 라이브러리 업데이트 유닛;을 더 포함하는 것을 특징으로 하는 바이러스 처리 장치.
  17. 제14항에 있어서,
    상기 바이러스 확정 유닛은,
    상기 클라이언트가 보고한 감정결과를 수신하는 제2 수신 서브 유닛; 및
    상기 감정결과로부터 바이러스 계열정보를 획득하는 획득 서브 유닛;을 더 포함하되,
    상기 바이러스 계열정보는 상기 클라이언트가 스캔한 바이러스 본체 행위정보를 클라이언트의 로컬 행위 체인 스크립트 라이브러리와 매칭시켜 확정된 것이며, 상기 행위 체인 스크립트 라이브러리는 바이러스 계열의 악의적 바이러스 본체 행위정보를 포함하는 것을 특징으로 하는 바이러스 처리 장치.
  18. 제17항에 있어서,
    상기 매칭 서브 유닛이 확정한 바이러스 계열정보와 상기 획득 서브 유닛에서 획득한 바이러스 계열정보가 일치하지 않을 경우, 상기 명령 발송 유닛은 상기 매칭 서브 유닛이 확정한 바이러스 계열정보를 이용하여 발송할 바이러스 제거 명령어를 확정하거나, 인위적으로 감정한 바이러스 계열정보를 이용하여 발송할 바이러스 제거 명령어를 확정하는 것을 특징으로 하는 장치.
  19. 제13항 내지 제18항 중 임의의 한 항에 있어서,
    상기 바이러스 본체 행위정보는 프로세스, 로딩 모듈, 구동, 서비스, Rootkit, 시작 항목, IE 관련 항목, 부트 바이러스, 시스템 디렉터리, 데스크톱 디렉터리, 시작 메뉴, 일반적으로 사용되는 소프트웨어, 스크립트, 시스템 모듈, 로그인 부분, 시스템 시작 항목 등 내용 중 적어도 하나를 스캔하여 획득한 행위정보인 것을 특징으로 하는 바이러스 처리 장치.
  20. 제13항 내지 제18항 중 임의의 한 항에 있어서,
    상기 바이러스 제거 명령어는,
    기본 홈페이지를 고정시키는 조작, 브라우저의 기본 검색 페이지를 변경하는 조작, 지정 툴 소프트웨어를 다운로드하는 조작 또는 바이러스 본체 행위의 관련 내용을 제거하는 조작의 명령어를 포함하는 것을 특징으로 하는 바이러스 처리 장치.
  21. 바이러스 처리 장치에 있어서,
    로그 보고 유닛 및 바이러스 감정 유닛 중 적어도 하나, 행위 스캔 유닛 및 명령어 처리 유닛을 포함하되,
    상기 행위 스캔 유닛은 바이러스 본체 행위를 스캔하고;
    상기 로그 보고 유닛은 스캔 로그를 클라우드 서비스 플랫폼에 보고하고;
    상기 바이러스 감정 유닛은 바이러스 계열의 악의적 바이러스 본체 행위정보를 포함하는 로컬 행위 체인 스크립트 라이브러리를 이용하여 상기 바이러스 본체 행위를 감정하고, 악의적 바이러스 본체 행위가 감정되면, 악의적 바이러스 본체 행위정보에 대응되는 바이러스 계열정보를 클라우드 서비스 플랫폼에 보고하며;
    상기 명령어 처리 유닛은 상기 클라우드 서비스 플랫폼으로부터 발송된 바이러스 제거 명령어를 수신하여 실행하는 것을 특징으로 하는 바이러스 처리 장치.
  22. 제21항에 있어서,
    상기 바이러스 감정 유닛에서 악의적 바이러스 본체 행위가 감정될 경우, 악의적 바이러스 본체 행위의 관련 내용을 제거하는 바이러스 제거 유닛을 더 포함하는 것을 특징으로 하는 바이러스 처리 장치.
  23. 제21항에 있어서,
    클라우드의 행위 체인 스크립트 라이브러리를 로딩하고, 클라우드의 행위 체인 스크립트 라이브러리를 이용하여 상기 로컬 행위 체인 스크립트 라이브러리를 업데이트하는 라이브러리 업데이트 유닛;을 더 포함하는 것을 특징으로 하는 바이러스 처리 장치.
  24. 제21항 내지 제23항 중 임의의 한 항에 있어서,
    상기 바이러스 제거 명령어는,
    기본 홈페이지를 고정시키는 조작, 브라우저의 기본 검색 페이지를 변경하는 조작, 지정 툴 소프트웨어를 다운로드하는 조작 또는 바이러스 본체 행위의 관련 내용을 제거하는 조작의 명령어를 포함하는 것을 특징으로 하는 바이러스 처리 장치.
  25. 바이러스 처리 시스템에 있어서,
    클라이언트 및 클라우드 처리 플랫폼을 포함하되,
    상기 클라우드 처리 플랫폼은 제13항 내지 제18항 중 임의의 한 항에 따른 장치를 포함하고,
    상기 클라이언트는 제21항 내지 제23항 중 임의의 한 항에 따른 장치를 포함하는 것을 특징으로 하는 바이러스 처리 시스템.
  26. 기기에 있어서,
    하나 또는 다수의 프로세서;
    메모리 장치; 및
    상기 메모리 장치 내에 저장되는 하나 또는 다수의 프로그램;을 포함하되,
    상기 하나 또는 다수의 프로그램이 상기 하나 또는 다수의 프로세서에 의해 실행될 경우,
    클라이언트가 스캔한 바이러스 본체 행위에 대응되는 바이러스 계열정보를 확정하고,
    상기 클라이언트가 바이러스 제거 명령어에 대해 바이러스 본체 제거를 진행하도록 바이러스 계열정보와 바이러스 제거 명령어 사이의 대응관계에 따라 확정된 바이러스 계열정보에 대응되는 바이러스 제거 명령어를 상기 클라이언트에 발송하는 것을 특징으로 하는 기기.
  27. 기기에 있어서,
    하나 또는 다수의 프로세서;
    메모리 장치; 및
    상기 메모리 장치 내에 저장되는 하나 또는 다수의 프로그램;을 포함하되,
    상기 하나 또는 다수의 프로그램이 상기 하나 또는 다수의 프로세서에 의해 실행될 경우,
    바이러스 본체 행위를 스캔하고,
    스캔 로그를 클라우드 서비스 플랫폼에 보고하고, 및/또는
    바이러스 계열의 악의적 바이러스 본체 행위정보를 포함하는 로컬 행위 체인 스크립트 라이브러리를 이용하여 상기 바이러스 본체 행위를 감정하고, 악의적 바이러스 본체 행위가 감정되면, 악의적 바이러스 본체 행위에 대응되는 바이러스 계열정보를 클라우드 서비스 플랫폼에 보고하고,
    상기 클라우드 서비스 플랫폼으로부터 발송된 바이러스 제거 명령어를 수신하여 실행하는 것을 특징으로 하는 기기.
  28. 비휘발성 컴퓨터 저장 매체에 있어서,
    하나 또는 다수의 프로그램을 저장하고, 상기 하나 또는 다수의 프로그램이 하나의 기기로 실행될 경우, 상기 기기로 하여금,
    클라이언트가 스캔한 바이러스 본체 행위에 대응되는 바이러스 계열정보를 확정하고,
    상기 클라이언트가 바이러스 제거 명령어에 대해 바이러스 본체 제거를 진행하도록 바이러스 계열정보와 바이러스 제거 명령어 사이의 대응관계에 따라 확정된 바이러스 계열정보에 대응되는 바이러스 제거 명령어를 상기 클라이언트에 발송하는 것을 특징으로 하는 비휘발성 컴퓨터 저장 매체.
  29. 비휘발성 컴퓨터 저장 매체에 있어서,
    하나 또는 다수의 프로그램을 저장하고, 상기 하나 또는 다수의 프로그램이 하나의 기기로 실행될 경우, 상기 기기로 하여금,
    바이러스 본체 행위를 스캔하고,
    스캔 로그를 클라우드 서비스 플랫폼에 보고하고, 및/또는
    바이러스 계열의 악의적 바이러스 본체 행위정보를 포함하는 로컬 행위 체인 스크립트 라이브러리를 이용하여 상기 바이러스 본체 행위를 감정하고, 악의적 바이러스 본체 행위가 감정되면, 악의적 바이러스 본체 행위에 대응되는 바이러스 계열정보를 클라우드 서비스 플랫폼에 보고하고,
    상기 클라우드 서비스 플랫폼으로부터 발송된 바이러스 제거 명령어를 수신하여 실행하는 것을 특징으로 하는 비휘발성 컴퓨터 저장 매체.
KR1020167022493A 2014-12-19 2015-06-29 바이러스 처리 방법, 장치, 시스템 및 기기, 및 컴퓨터 저장 매체 KR20160125960A (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201410802502.6A CN104573515A (zh) 2014-12-19 2014-12-19 一种病毒处理方法、装置和系统
CN201410802502.6 2014-12-19
PCT/CN2015/082604 WO2016095479A1 (zh) 2014-12-19 2015-06-29 一种病毒处理方法、装置、系统、设备和计算机存储介质

Publications (1)

Publication Number Publication Date
KR20160125960A true KR20160125960A (ko) 2016-11-01

Family

ID=53089553

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020167022493A KR20160125960A (ko) 2014-12-19 2015-06-29 바이러스 처리 방법, 장치, 시스템 및 기기, 및 컴퓨터 저장 매체

Country Status (6)

Country Link
US (1) US10192053B2 (ko)
EP (1) EP3236381B1 (ko)
JP (1) JP6644001B2 (ko)
KR (1) KR20160125960A (ko)
CN (1) CN104573515A (ko)
WO (1) WO2016095479A1 (ko)

Families Citing this family (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104573515A (zh) * 2014-12-19 2015-04-29 百度在线网络技术(北京)有限公司 一种病毒处理方法、装置和系统
CN105991595B (zh) * 2015-02-15 2020-08-07 华为技术有限公司 网络安全防护方法及装置
CN105512557A (zh) * 2015-12-22 2016-04-20 北京奇虎科技有限公司 病毒处理方法、装置、系统及移动终端
CN105528543A (zh) * 2015-12-23 2016-04-27 北京奇虎科技有限公司 远程杀毒的方法、客户端、控制台及系统
CN106934288B (zh) * 2015-12-31 2021-04-16 北京金山安全软件有限公司 一种root病毒清理方法、装置及电子设备
CN106934287B (zh) * 2015-12-31 2020-02-11 北京金山安全软件有限公司 一种root病毒清理方法、装置及电子设备
US10826933B1 (en) * 2016-03-31 2020-11-03 Fireeye, Inc. Technique for verifying exploit/malware at malware detection appliance through correlation with endpoints
US10893059B1 (en) 2016-03-31 2021-01-12 Fireeye, Inc. Verification and enhancement using detection systems located at the network periphery and endpoint devices
CN106446685A (zh) * 2016-09-30 2017-02-22 北京奇虎科技有限公司 恶意文档的检测方法及装置
TW201901514A (zh) * 2017-05-19 2019-01-01 關貿網路股份有限公司 程式異動監控與應變系統及方法
CN107231360A (zh) * 2017-06-08 2017-10-03 上海斐讯数据通信技术有限公司 基于云网络的网络病毒防护方法、安全无线路由器和系统
CN107885995A (zh) * 2017-10-09 2018-04-06 阿里巴巴集团控股有限公司 小程序的安全扫描方法、装置以及电子设备
US10867039B2 (en) * 2017-10-19 2020-12-15 AO Kaspersky Lab System and method of detecting a malicious file
CN109871689A (zh) * 2018-05-04 2019-06-11 360企业安全技术(珠海)有限公司 操作行为的拦截方法及装置、存储介质、电子装置
CN108898014B (zh) * 2018-06-22 2022-09-27 珠海豹趣科技有限公司 一种病毒查杀方法、服务器及电子设备
CN112084504A (zh) * 2020-09-21 2020-12-15 腾讯科技(深圳)有限公司 病毒文件的处理方法、装置、电子设备及可读存储介质
CN112364395A (zh) * 2020-11-11 2021-02-12 中国信息安全测评中心 一种固态硬盘的安全防护方法及装置
CN112989349B (zh) * 2021-04-19 2021-08-13 腾讯科技(深圳)有限公司 病毒检测方法、装置、设备及存储介质
CN113378161A (zh) * 2021-06-23 2021-09-10 深信服科技股份有限公司 一种安全检测方法、装置、设备及存储介质
CN113722705B (zh) * 2021-11-02 2022-02-08 北京微步在线科技有限公司 一种恶意程序清除方法及装置

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6802028B1 (en) * 1996-11-11 2004-10-05 Powerquest Corporation Computer virus detection and removal
US7210041B1 (en) * 2001-04-30 2007-04-24 Mcafee, Inc. System and method for identifying a macro virus family using a macro virus definitions database
US7913305B2 (en) 2004-01-30 2011-03-22 Microsoft Corporation System and method for detecting malware in an executable code module according to the code module's exhibited behavior
CN100437614C (zh) 2005-11-16 2008-11-26 白杰 未知病毒程序的识别及清除方法
US20070180525A1 (en) * 2006-01-30 2007-08-02 Bagnall Robert J Security system and method
CN101098226B (zh) * 2006-06-27 2011-02-09 飞塔公司 一种病毒在线实时处理系统及其方法
US8201244B2 (en) 2006-09-19 2012-06-12 Microsoft Corporation Automated malware signature generation
US20100031093A1 (en) * 2008-01-29 2010-02-04 Inventec Corporation Internal tracing method for network attack detection
JP5144488B2 (ja) * 2008-12-22 2013-02-13 Kddi株式会社 情報処理システムおよびプログラム
US8479286B2 (en) * 2009-12-15 2013-07-02 Mcafee, Inc. Systems and methods for behavioral sandboxing
US8464345B2 (en) * 2010-04-28 2013-06-11 Symantec Corporation Behavioral signature generation using clustering
US9323928B2 (en) * 2011-06-01 2016-04-26 Mcafee, Inc. System and method for non-signature based detection of malicious processes
US8677493B2 (en) 2011-09-07 2014-03-18 Mcafee, Inc. Dynamic cleaning for malware using cloud technology
CN102281540B (zh) 2011-09-08 2013-11-27 广东华仝九方科技有限公司 手机恶意软件查杀方法及系统
US9832211B2 (en) 2012-03-19 2017-11-28 Qualcomm, Incorporated Computing device to detect malware
CN102664875B (zh) * 2012-03-31 2014-12-17 华中科技大学 基于云模式的恶意代码类别检测方法
US9521156B2 (en) 2013-02-10 2016-12-13 Paypal, Inc. Method and product for providing a predictive security product and evaluating existing security products
CN104077525A (zh) * 2014-06-13 2014-10-01 北京纳特比特科技有限公司 一种对终端数据信息进行处理的方法
CN104298920A (zh) * 2014-10-14 2015-01-21 百度在线网络技术(北京)有限公司 一种病毒文件的处理方法、系统及设备
CN104573515A (zh) 2014-12-19 2015-04-29 百度在线网络技术(北京)有限公司 一种病毒处理方法、装置和系统
CN105989283B (zh) * 2015-02-06 2019-08-09 阿里巴巴集团控股有限公司 一种识别病毒变种的方法及装置

Also Published As

Publication number Publication date
EP3236381A4 (en) 2018-05-30
JP6644001B2 (ja) 2020-02-12
WO2016095479A1 (zh) 2016-06-23
EP3236381A1 (en) 2017-10-25
US20170316206A1 (en) 2017-11-02
CN104573515A (zh) 2015-04-29
US10192053B2 (en) 2019-01-29
EP3236381B1 (en) 2022-05-11
JP2017511923A (ja) 2017-04-27

Similar Documents

Publication Publication Date Title
KR20160125960A (ko) 바이러스 처리 방법, 장치, 시스템 및 기기, 및 컴퓨터 저장 매체
US10210332B2 (en) Identifying an evasive malicious object based on a behavior delta
US10474817B2 (en) Dynamically optimizing performance of a security appliance
RU2613535C1 (ru) Способ обнаружения вредоносных программ и элементов
JP5976020B2 (ja) アンチマルウェアメタデータのルックアップを行うためのシステム及び方法
US8667583B2 (en) Collecting and analyzing malware data
US9294486B1 (en) Malware detection and analysis
JP5963008B2 (ja) コンピュータシステムの分析方法および装置
CN103390130B (zh) 基于云安全的恶意程序查杀的方法、装置和服务器
US20130167236A1 (en) Method and system for automatically generating virus descriptions
US10440036B2 (en) Method and system for modeling all operations and executions of an attack and malicious process entry
CN107203717B (zh) 在虚拟机上执行文件的防病毒扫描的系统和方法
CN107896219B (zh) 一种网站脆弱性的检测方法、系统及相关装置
US8627404B2 (en) Detecting addition of a file to a computer system and initiating remote analysis of the file for malware
JP5752642B2 (ja) 監視装置および監視方法
US8448243B1 (en) Systems and methods for detecting unknown malware in an executable file
CN103473501A (zh) 一种基于云安全的恶意软件追踪方法
Barakat et al. Scarecrow: Scalable malware reporting, detection and analysis
CN104618427A (zh) 一种用于通过网络来进行文件监控的方法和装置
Nasman Malware Detection Based on Permissions on Android Platform Using Data Mining

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
X091 Application refused [patent]
AMND Amendment
E902 Notification of reason for refusal
J201 Request for trial against refusal decision
J301 Trial decision

Free format text: TRIAL NUMBER: 2018101004442; TRIAL DECISION FOR APPEAL AGAINST DECISION TO DECLINE REFUSAL REQUESTED 20181029

Effective date: 20191209