WO2015062541A1

WO2015062541A1 - 对抗免杀测试的云查杀方法、装置及系统

Info

Publication number: WO2015062541A1
Application number: PCT/CN2014/090030
Authority: WO
Inventors: 张旭
Original assignee: 北京奇虎科技有限公司; 奇智软件（北京）有限公司
Priority date: 2013-11-01
Filing date: 2014-10-31
Publication date: 2015-05-07
Also published as: US9876817B2; CN103581185B; US10257222B2; WO2015062328A1; US20160285909A1; CN103581185A; US20180124103A1

Abstract

本发明公开了一种对抗免杀测试的云查杀方法、装置及系统。其中的方法包括：云端接收客户端发送的对样本进行病毒查杀的云查杀请求；云端解析所述云查杀请求，判断所述云查杀请求是否为免杀测试的云查杀请求；如果所述云查杀请求是免杀测试的云查杀请求，所述云端向客户端返回所述样本未携带病毒的云查杀结果；如果所述云查杀请求不是免杀测试的云查杀请求，将样本与云端的病毒库进行比对，确定样本是否携带病毒并进行相应的病毒查杀。通过本发明，"免杀测试"时，云查杀不会返回病毒信息，从而让免杀测试通过；而当木马真正在互联网上流传时，云查杀就会返回正确的结果，让杀毒软件将木马杀灭。

Description

对抗免杀测试的云查杀方法、装置及系统

技术领域

本发明涉及网络安全技术领域，具体涉及一种对抗免杀测试的云查杀方法、装置及系统。

背景技术

如今的木马，在经济利益的驱使下，已经呈产业化运作趋势，不少木马，由专业的“公司”制作，形成了完整的开发->测试->市场推广的完整组织链条。而随着用户上网安全意识的提高，如今大多数用户都已经安装了杀毒软件，木马一旦被杀毒软件捕获，即被删除，木马“公司”为了维护自己的经济利益，就会想尽一切办法来逃避杀毒软件的查杀。其中一种手段就是“免杀测试”，也就是说，木马由“公司”的开发团队开发出来以后，通常会由测试团队负责，用主流的杀毒软件进行扫描，如果扫描提示病毒，那么测试不通过，开发团队会重新对木马进行修改，直到杀毒软件都不提示为止。

在这种情况下，传统杀毒软件的病毒识别方法就遇到了挑战。无论设计多么精巧的杀毒软件，其对特定软件的扫描结果都是固定的——要么是病毒，要么不是病毒。这样，木马的制作“公司”只要经过多次尝试，总能找到绕过杀毒软件检测的方法，制作出任何杀毒软件都不能识别的木马，并在互联网上传播。

因此，亟待提出一套与免杀测试对抗的方案，使免杀测试无效。

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的对抗免杀测试的云查杀方法、装置及系统。

依据本发明的一个方面，提供一种对抗免杀测试的云查杀方法，其中云查杀系统包括云端和客户端，所述方法包括：云端接收客户端发送的对样本进行病毒查杀的云查杀请求；云端解析所述云查杀请求，判断所述云查杀请求是否为免杀测试的云查杀请求；如果所述云查杀请求是免杀测试的云查杀请求，所述云端向客户端返回所述样本未携带病毒的云查杀结果；如果所述云查杀请求不是免杀测试的云查杀请求，将样本与云端的病毒库进行比对，确定样本是否携带病毒并进行相应的病毒查杀。

依据本发明的另一个方面，提供一种对抗免杀测试的云查杀装置，云查杀系统包括云端和客户端，所述装置位于所述云端，包括识别引擎和病毒库，所述装置还包括免杀测试识别模块；所述免杀测试识别模块解析所述客户端发来的对样本进行病毒查杀的云查杀请求，判断所述云查杀请求是否为免杀测试的云查杀请求；如果确定所述云查杀请求是免杀测试的云查杀请求，向客户端返回所述样本未携带病毒的云查杀结果；如果确定所述云查杀请求不是免杀测试的云查杀请求，将非免杀测试的云查杀请求传递给所述识别引擎；所述识别引擎将样本与云端的病毒库进行比对，确定样本是否携带病毒并进行相应的病毒查杀。

依据本发明的另一个方面，提供一种对抗免杀测试的云查杀系统，所述云查杀系统包括云端和客户端，所述云端包括识别引擎和病毒库，所述云端还包括免杀测试识别模块；所述免杀测试识别模块解析所述客户端发来的对样本进行病毒查杀的云查杀请求，判断所述云查杀请求是否为免杀测试的云查杀请求；如果确定所述云查杀请求是免杀测试的云查杀请求，向客户端返回所述样本未携带病毒的云查杀结果；如果确定所述云查杀请求不是免杀测试的云查杀请求，将非免杀测试的云查杀请求传递给所述识别引擎；所述识别引擎将样本与云端的病毒库进行比对，确定样本是否携带病毒并进行相应的病毒查杀。

可见，通过本发明，如果识别到是正在进行“免杀测试”的云查杀请求，则直接返回所述样本未携带病毒的云查杀结果，使得云查杀的结果不识别为病毒；如果是正常的用户请求，则传递给识别引擎，返回识别引擎通过病毒库确定的云查杀结果。由此，对于“免杀测试”的云查杀请求，通过返回的未携带病毒的云查杀结果，使得木马等病毒测试人员误以为免杀测试通过，继而发布。而当后续该病毒被普通用户客户端携带而进行查杀时，云查杀系统可正常查杀。通过本发明的方法，“免杀测试”时，云查杀不会返回病毒信息，从而让免杀测试通过；而当木马真正在互联网上流传时，云查杀就会返回正确的结果，让杀毒软件将木马杀灭。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1示出了免杀测试的示意图；

图2示出了根据本发明一个实施例的对抗免杀测试的云查杀系统框图；以及

图3示出了根据本发明一个实施例的对抗免杀测试的云查杀方法的流程图；

图4示出了用于执行根据本发明的方法的智能电子设备的框图；以及

图5示出了用于保持或者携带实现根据本发明的方法的程序代码的存储单元示意图。

具体实施方式

下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。

一个完整的特洛伊木马套装程序含了两部分：服务端(服务器部分)和客户端(控制器部分)。植入对方电脑的是服务端，而黑客正是利用客户端进入运行了服务端的电脑。运行了木马程序的服务端以后，会产生一个有着容易迷惑用户的名称的进程，暗中打开端口，向指定地点发送数据(如网络游戏的密码，即时通信软件密码和用户上网密码等)，黑客甚至可以利用这些打开的端口进入电脑系统。

参见图1，为免杀测试流程示意图。传统杀毒软件，识别病毒都是毫秒级的，也就是说，利用制作好的木马，“用杀毒软件测试是否提示病毒”几乎立即就可以得到结果；然后木马开发者修改木马，修改完之后立即可以重新测试，这样反复试几次的时间成本并不高。

基于上述分析，本发明发明人发现，如果能合理延长“用杀毒软件测试是否提示病毒”环节的时间，就使得整个“免杀测试”流程的时间非常长，极大提高其时间成本，减少木马的经济利益。但是，对普通用户而言，则要求杀毒软件提示病毒的时间越快越好。所以本专利的关键，就在于，对普通的用户，需要立即返回结果；而对于木马制作“公司”，则应大幅延长其测试时间。

所谓云查杀，是指将病毒样本放入服务器，通过成千上百的服务器智能检测，自动判断文件是否病毒。可见，云查杀系统包括云端和客户端，。云查杀必须联网才有效，，因为只有联网后才能与杀毒软件的服务器相连接，从而达到快速查杀而减低误杀。

传统的云查杀系统中，云端与客户端通过网络连接通信，在云端，又进一步主要包括识别引擎以及病毒库，识别引擎通过将目标文件(也称为：样本) 与病毒库进行比对判断，确定目标文件是否携带病毒。

本发明中，在云查杀系统的云端的“识别引擎”前增加一个免杀测试识别模块。参见图2，为根据本发明一个实施例的对抗免杀测试的云查杀系统框图。云查杀系统包括客户端201和云端202，客户端201与云端202通过网络连接。其中，客户端是指用户终端，例如智能手机终端、PC机终端等等。云端202包括免杀测试识别模块2021、识别引擎2022和病毒库2023。

免杀测试识别模块2021主要用于识别云查杀请求是否是免杀测试的云查杀请求，如果是，则直接通过网络向客户端201返回“未知”或“安全”等表明目标文件非病毒的查杀结果；如果免杀测试识别模块2021识别出云查杀请求不是免杀测试的云查杀请求，而是普通用户发来的查杀请求，则将查杀请求进一步传递给识别引擎2022，识别引擎2022按照原有流程通过查询病毒库2023而确定目标文件是否携带病毒并将查杀结果返回给客户端201.

可见，通过本发明，如果识别到是正在进行“免杀测试”的云查杀请求，则直接返回“未知”“安全”等值，使得云查杀的结果不识别为病毒；如果是正常的用户请求，则传递给识别引擎，返回识别引擎本身的值。

由此，对于“免杀测试”的云查杀请求，通过返回的“未知”“安全”等值，使得木马等病毒测试人员误以为免杀测试通过，继而发布。而当后续该病毒被普通用户客户端携带而进行查杀时，云查杀系统可正常查杀。

免杀测试识别模块2021识别云查杀请求是否是免杀测试的云查杀请求的方式有多种。

下面详细介绍如何判断正在进行的是“免杀测试”云查杀请求。

(1)IP黑名单

免杀测试识别模块2021可以统计单位时间(例如1天内)某IP、IP段、IP所对应的区域所请求的次数，如果超过合理的次数，有可能是专业的测试人员正在对云查杀接口进行测试，所以自动将IP加入黑名单，其所有的请求结果都不返回病毒信息；

(2)设备识别号黑名单

云查杀是由杀毒软件客户端发起的，杀毒软件客户端通常可以收集用户设备的识别号(例如PC的MAC地址，手机的IMEI号等)，与IP黑名单类似，如果相同的设备识别号在单位时间内请求超过了合理的次数，也将其自动加入黑名单。

(3)请求样本的请求次数和分布特征

一款正在测试中的软件，还没有对外大规模发布，所以统计到的请求总次数会比较小。例如，正在测试的木马，可能也就只有几个测试人员在测，所以统计到该样本的请求次数可能只有几次。而真正对外发布的应用，其请求应该分布在全国各地(通过请求IP可以查到)，而且请求的次数也要多得多。具体做法：免杀测试识别模块2021对于每个请求的样本，记录样本的唯一识别特征(例如文件MD5)和请求的IP；定期分析上述记录，根据请求IP的个数、分布，筛除小于设定值的样本。例如，对于一个新木马的测试，往往只有几个IP分布邻近的终端发来的有限数目的云查杀请求，假如针对一个特定样本(唯一识别特征识别该特定样本)，其云查杀的请求IP在设定条件内，比如设定条件是：各IP分布邻近以及总请求的IP个数小于或等于10，那么可认定针对该特定样本的云查杀请求是免杀测试的云查杀请求。

通过上面的方式，“免杀测试”时，云查杀都不会返回病毒信息，从而让免杀测试通过；而当木马真正在互联网上流传时，云查杀就会返回正确的结果，让杀毒软件将木马杀灭。

参见图3，为本发明一个实施例提供的一种对抗免杀测试的云查杀方法的流程图。如前所述，云查杀系统包括云端和客户端，该方法包括以下步骤：

S301：云端接收客户端发送的对样本进行病毒查杀的云查杀请求；

S302：云端解析云查杀请求，判断云查杀请求是否为免杀测试的云查杀请求，若是免杀测试的云查杀请求，则执行S303，否则执行S304；

S303：如果云查杀请求是免杀测试的云查杀请求，云端向客户端返回样本未携带病毒的云查杀结果；

S304：如果云查杀请求不是免杀测试的云查杀请求，将样本与云端的病毒库进行比对，确定样本是否携带病毒并进行相应的病毒查杀。

其中，判断所述云查杀请求是否为免杀测试的云查杀请求的方式有多种。

例如，一种方式是，通过记录发送云查杀请求的IP，并判断云查杀请求的IP是否在预置的IP黑名单中，如果是，则确定云查杀请求是免杀测试的云查杀请求。其中，IP黑名单是预置的，其预置方法为，先建立一个空的名单，通过统计判断，将符合“黑IP”添加进去。具体的，统计单位时间内某IP发送的云查杀请求的次数；如果单位时间内该IP发送的云查杀请求的次数大于预置的请求阈值，则将该IP添加到IP黑名单中。

又如，又一种方式是，通过记录发送云查杀请求的客户端识别号；再判断云查杀请求的IP是否在预置的设备识别号黑名单中，如果是，则确定云查杀请求是免杀测试的云查杀请求。其中，设备识别号黑名单是预置的，其预置方法为，先建立一个空的名单，通过统计判断，将符合“黑客户端识别号”添加进去。具体的，统计单位时间内某设备识别号对应的客户端发送的云查杀请求的次数；如果单位时间内该设备识别号对应的客户端发送的云查杀请求的次数大于预置的请求阈值，则将该设备识别号添加到设备识别号黑名单中。

再如，另一种方式是，通过记录样本的唯一识别特征，并监测针对所述唯一识别特征发送的云查杀请求，统计针对该唯一识别特征而发送的云查杀请求的IP的个数及分布，如果统计结果落在预置条件内，则确定所述云查杀请求是免杀测试的云查杀请求。

通过本发明的方法，“免杀测试”时，云查杀都不会返回病毒信息，从而让免杀测试通过；而当木马真正在互联网上流传时，云查杀就会返回正确的结果，让杀毒软件将木马杀灭。

与上述方法相对应，本发明还提供一种对抗免杀测试的云查杀装置。如前所述，云查杀系统包括云端和客户端，本发明提供的装置位于所述云端，包括识别引擎和病毒库，特别的，还包括免杀测试识别模块。

其中：

免杀测试识别模块，用于解析客户端发来的对样本进行病毒查杀的云查杀请求，判断云查杀请求是否为免杀测试的云查杀请求；如果确定云查杀请求是免杀测试的云查杀请求，向客户端返回所述样本未携带病毒的云查杀结果；如果确定所述云查杀请求不是免杀测试的云查杀请求，将非免杀测试的云查杀请求传递给所述识别引擎；

识别引擎，将样本与云端的病毒库进行比对，确定样本是否携带病毒并进行相应的病毒查杀。

优选的，免杀测试识别模块判断云查杀请求是否为免杀测试的云查杀请求的方式有多种。

一种方式是，通过IP黑名单判断出免杀测试的云查杀请求。此时，免杀测试识别模块包括：IP黑名单设置单元，用于设置并保存IP黑名单；记录单元，用于记录发送所述云查杀请求的IP；判断单元，用于判断所述云查杀请求的IP是否在IP黑名单中，如果是，则确定所述云查杀请求是免杀测试的云查杀请求。其中，IP黑名单设置单元，用于统计单位时间内某IP发送的云查杀请求的次数；如果单位时间内该IP发送的云查杀请求的次数大于预置的请求阈值，则将该IP添加到IP黑名单中。

又一种方式是，通过设备识别号黑名单判断出免杀测试的云查杀请求。此时，免杀测试识别模块包括：设备识别号黑名单设置单元，用于设置并保存设备识别号黑名单；记录单元，用于记录发送所述云查杀请求的客户端识别号；判断单元，用于判断所述云查杀请求的IP是否在设备识别号黑名单中，如果是，则确定所述云查杀请求是免杀测试的云查杀请求。其中，所述设备识别号黑名单的设置单元，用于统计单位时间内某设备识别号对应的客户端发送的云查杀请求的次数；如果单位时间内该设备识别号对应的客户端发送的云查杀请求的次数大于预置的请求阈值，则将该设备识别号添加到设备识别号黑名单中。

另一种方式是，通过样本唯一识别特征及统计IP个数及分布判断出免杀测试的云查杀请求。此时，免杀测试识别模块包括：记录单元，用于记录所述样本的唯一识别特征；监测及统计单元，用于监测针对所述唯一识别特征发送的云查杀请求，统计针对该唯一识别特征而发送的云查杀请求的IP的个数及分布；判断单元，如果所述监测及统计单元得到的IP的个数及分布统计结果落在预置条件内，则确定所述云查杀请求是免杀测试的云查杀请求。

可见，通过本发明，如果识别到是正在进行“免杀测试”的云查杀请求，则直接返回所述样本未携带病毒的云查杀结果，使得云查杀的结果不识别为病毒；如果是正常的用户请求，则传递给识别引擎，返回识别引擎通过病毒库确定的云查杀结果。由此，对于“免杀测试”的云查杀请求，通过返回的未携带病毒的云查杀结果，使得木马等病毒测试人员误以为免杀测试通过，继而发布。而当后续该病毒被普通用户客户端携带而进行查杀时，云查杀系统可正常查杀。

在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述，构造这类系统所要求的结构是显而易见的。此外，本发明也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

类似地，应当理解，为了精简本公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。

本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。

此外，本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在下面的权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。

本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的对抗免杀测试的云查杀装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。

例如，图4示出了可以实现根据本发明的实现对抗免杀测试的云查杀的方法的智能电子设备。该智能电子设备传统上包括处理器410和以存储器420形式的计算机程序产品或者计算机可读介质。存储器420可以是诸如闪存、EEPROM(电可擦除可编程只读存储器)、EPROM、硬盘或者ROM之类的电子存储器。存储器420具有用于执行上述方法中的任何方法步骤的程序代码431的存储空间430。例如，用于程序代码的存储空间430可以包括分别用于实现上面的方法中的各种步骤的各个程序代码431。这些程序代码可以从一个或者多个计算机程序产品中读出或者写入到这一个或者多个计算机程序产品中。这些计算机程序产品包括诸如硬盘，紧致盘(CD)、存储卡或者软盘之类的程序代码载体。这样的计算机程序产品通常为如参考图5所述的便携式或者固定存储单元。该存储单元可以具有与图4的智能电子设备中的存储器420类似布置的存储段或者存储空间等。程序代码可以例如以适当形式进行压缩。通常，存储单元包括用于执行根据本发明的方法步骤的程序431’，即可以由例如诸如410之类的处理器读取的代码，这些代码当由智能电子设备运行时，导致该智能电子设备执行上面所描述的方法中的各个步骤。

应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。

Claims

一种对抗免杀测试的云查杀方法，其特征在于，云查杀系统包括云端和客户端，所述方法包括：

云端接收客户端发送的对样本进行病毒查杀的云查杀请求；

云端解析所述云查杀请求，判断所述云查杀请求是否为免杀测试的云查杀请求；

如果所述云查杀请求是免杀测试的云查杀请求，所述云端向客户端返回所述样本未携带病毒的云查杀结果；

如果所述云查杀请求不是免杀测试的云查杀请求，将样本与云端的病毒库进行比对，确定样本是否携带病毒并进行相应的病毒查杀。
如权利要求1所述的方法，其特征在于，所述判断所述云查杀请求是否为免杀测试的云查杀请求包括：

记录发送所述云查杀请求的IP；

判断所述云查杀请求的IP是否在预置的IP黑名单中，如果是，则确定所述云查杀请求是免杀测试的云查杀请求。
如权利要求2所述的方法，其特征在于，所述IP黑名单的设置方法包括：

统计单位时间内某IP发送的云查杀请求的次数；

如果单位时间内该IP发送的云查杀请求的次数大于预置的请求阈值，则将该IP添加到IP黑名单中。
如权利要求1所述的方法，其特征在于，所述判断所述云查杀请求是否为免杀测试的云查杀请求包括：

记录发送所述云查杀请求的客户端识别号；

判断所述云查杀请求的IP是否在预置的设备识别号黑名单中，如果是，则确定所述云查杀请求是免杀测试的云查杀请求。
如权利要求4所述的方法，其特征在于，所述设备识别号黑名单的设置方法包括：

统计单位时间内某设备识别号对应的客户端发送的云查杀请求的次数；

如果单位时间内该设备识别号对应的客户端发送的云查杀请求的次数大于预置的请求阈值，则将该设备识别号添加到设备识别号黑名单中。
如权利要求1所述的方法，其特征在于，所述判断所述云查杀请求是否为免杀测试的云查杀请求包括：

记录所述样本的唯一识别特征；

监测针对所述唯一识别特征发送的云查杀请求，统计针对该唯一识别特征而发送的云查杀请求的IP的个数及分布；

如果统计结果落在预置条件内，则确定所述云查杀请求是免杀测试的云查杀请求。
一种对抗免杀测试的云查杀装置，云查杀系统包括云端和客户端，所述装置位于所述云端，包括识别引擎和病毒库，其特征在于，所述装置还包括免杀测试识别模块；

所述免杀测试识别模块解析所述客户端发来的对样本进行病毒查杀的云查杀请求，判断所述云查杀请求是否为免杀测试的云查杀请求；如果确定所述云查杀请求是免杀测试的云查杀请求，向客户端返回所述样本未携带病毒的云查杀结果；如果确定所述云查杀请求不是免杀测试的云查杀请求，将非免杀测试的云查杀请求传递给所述识别引擎；

所述识别引擎将样本与云端的病毒库进行比对，确定样本是否携带病毒并进行相应的病毒查杀。
如权利要求7所述的装置，其特征在于，所述免杀测试识别模块包括：

IP黑名单设置单元，用于设置并保存IP黑名单；

记录单元，用于记录发送所述云查杀请求的IP；

判断单元，用于判断所述云查杀请求的IP是否在IP黑名单中，如果是，则确定所述云查杀请求是免杀测试的云查杀请求。
如权利要求8所述的装置，其特征在于，所述IP黑名单设置单元，用于统计单位时间内某IP发送的云查杀请求的次数；如果单位时间内该IP发送的云查杀请求的次数大于预置的请求阈值，则将该IP添加到IP黑名单中。
如权利要求7所述的装置，其特征在于，所述免杀测试识别模块包括：

设备识别号黑名单设置单元，用于设置并保存设备识别号黑名单；

记录单元，用于记录发送所述云查杀请求的客户端识别号；

判断单元，用于判断所述云查杀请求的IP是否在设备识别号黑名单中，如果是，则确定所述云查杀请求是免杀测试的云查杀请求。
如权利要求10所述的装置，其特征在于，所述设备识别号黑名单的设置单元，用于统计单位时间内某设备识别号对应的客户端发送的云查杀请求的次数；如果单位时间内该设备识别号对应的客户端发送的云查杀请求的次数大于预置的请求阈值，则将该设备识别号添加到设备识别号黑名单中。
如权利要求7所述的装置，其特征在于，所述免杀测试识别模块包括：

记录单元，用于记录所述样本的唯一识别特征；

监测及统计单元，用于监测针对所述唯一识别特征发送的云查杀请求，统计针对该唯一识别特征而发送的云查杀请求的IP的个数及分布；

判断单元，如果所述监测及统计单元得到的IP的个数及分布统计结果落在预置条件内，则确定所述云查杀请求是免杀测试的云查杀请求。
一种对抗免杀测试的云查杀系统，所述云查杀系统包括云端和客户端，所述云端包括识别引擎和病毒库，其特征在于，所述云端还包括免杀测试识别模块；

所述免杀测试识别模块解析所述客户端发来的对样本进行病毒查杀的云查杀请求，判断所述云查杀请求是否为免杀测试的云查杀请求；如果确定所述云查杀请求是免杀测试的云查杀请求，向客户端返回所述样本未携带病毒的云查杀结果；如果确定所述云查杀请求不是免杀测试的云查杀请求，将非免杀测试的云查杀请求传递给所述识别引擎；

所述识别引擎将样本与云端的病毒库进行比对，确定样本是否携带病毒并进行相应的病毒查杀。
如权利要求13所述的系统，其特征在于，所述免杀测试识别模块包括：

IP黑名单设置单元，用于设置并保存IP黑名单；

记录单元，用于记录发送所述云查杀请求的IP；

判断单元，用于判断所述云查杀请求的IP是否在IP黑名单中，如果是，则确定所述云查杀请求是免杀测试的云查杀请求。
如权利要求14所述的系统，其特征在于，所述IP黑名单设置单元，用于统计单位时间内某IP发送的云查杀请求的次数；如果单位时间内该IP发送的云查杀请求的次数大于预置的请求阈值，则将该IP添加到IP黑名单中。
如权利要求13所述的系统，其特征在于，所述免杀测试识别模块包括：

设备识别号黑名单设置单元，用于设置并保存设备识别号黑名单；

记录单元，用于记录发送所述云查杀请求的客户端识别号；

判断单元，用于判断所述云查杀请求的IP是否在设备识别号黑名单中，如果是，则确定所述云查杀请求是免杀测试的云查杀请求。
如权利要求16所述的系统，其特征在于，所述设备识别号黑名单的设置单元，用于统计单位时间内某设备识别号对应的客户端发送的云查杀请求的次数；如果单位时间内该设备识别号对应的客户端发送的云查杀请求的次数大于预置的请求阈值，则将该设备识别号添加到设备识别号黑名单中。
如权利要求13所述的系统，其特征在于，所述免杀测试识别模块包括：

记录单元，用于记录所述样本的唯一识别特征；

监测及统计单元，用于监测针对所述唯一识别特征发送的云查杀请求，统计针对该唯一识别特征而发送的云查杀请求的IP的个数及分布；

判断单元，如果所述监测及统计单元得到的IP的个数及分布统计结果落在预置条件内，则确定所述云查杀请求是免杀测试的云查杀请求。
一种计算机程序，包括计算机可读代码，当智能电子设备运行所述计算机可读代码运行时，导致权利要求1-6中的任一项权利要求所述的方法被执行。
一种计算机可读介质，其中存储了如权利要求19所述的计算机程序。