一种病毒处理方法、装置和系统的制作方法

文档序号:8259385阅读:437来源:国知局
一种病毒处理方法、装置和系统的制作方法
【专利说明】
【技术领域】
[0001]本发明涉及计算机应用技术领域,特别涉及一种病毒处理方法、装置和系统。【【背景技术】】
[0002]随着互联网的快速发展,基于病毒模式聚集网站流量,并通过流量广告变现的灰色产业利益链已经形成。每日新增的流氓软件已经数以百计,使用各种猥琐的技术,通过进程、注册表、文件等方式相互捆绑或守护,不断更新病毒体的行为特征,防止杀毒软件进行查杀。
[0003]目前互联网式病毒文件流行的方式是:通过云端控制指令在机器系统修改用户默认的浏览器主页以及搜索引擎,修改关键词搜索排名,劫持浏览器弹出广告,恶意篡改桌面快捷方式关联,安装用户不需要的浏览器插件恶意软件,窃取用户的隐私内容等。而传统的杀毒软件主要查杀文件的恶意行为,发现恶意行为时删除相应的文件。当遇到这类互联网式病毒文件时,单纯在机器系统的客户端进行行为分析和删除文件往往无法完全清除病毒体,机器系统安全性较差。

【发明内容】

[0004]有鉴于此,本发明提供了一种病毒处理方法、装置和系统,以便于提高机器系统的安全性。
[0005]具体技术方案如下:
[0006]本发明提供了一种病毒处理方法,该方法包括:
[0007]确定客户端扫描的病毒体行为所对应的病毒家族信息;
[0008]根据病毒家族信息与病毒清除指令之间的对应关系,将确定的病毒家族信息所对应的病毒清除指令下发给所述客户端,以供所述客户端执行所述病毒清除指令进行病毒体的清除。
[0009]根据本发明一优选实施方式,所述确定客户端扫描的病毒体行为所对应的病毒家族信息包括:
[0010]接收所述客户端上报的扫描日志,所述扫描日志包含所述客户端扫描的病毒体行为信息;
[0011]将所述病毒体行为信息与云端的行为链脚本库进行匹配,确定恶意病毒体行为对应的病毒家族信息,其中所述行为链脚本库包含病毒家族的恶意病毒体行为信息。
[0012]根据本发明一优选实施方式,所述确定客户端扫描的病毒体行为所对应的病毒家族信息包括:
[0013]接收所述客户端上报的鉴定结果;
[0014]从所述鉴定结果中获取病毒家族信息,所述病毒家族信息是所述客户端将扫描的病毒体行为信息与客户端本地的行为链脚本库进行匹配后确定的,其中所述行为链脚本库包含病毒家族的恶意病毒体行为信息。
[0015]根据本发明一优选实施方式,该方法还包括:
[0016]对客户端上报的扫描日志进行分析得到更新病毒体行为信息;
[0017]利用更新病毒体行为信息更新云端的行为链脚本库。
[0018]根据本发明一优选实施方式,如果将扫描日志包含的病毒体行为信息与云端的行为链脚本库进行匹配确定出的病毒家族信息与从所述鉴定结果中获取的病毒家族信息不一致,则采用将扫描日志包含的病毒体行为信息与云端的行为链脚本库进行匹配确定出的病毒家族信息来确定下发的病毒清除指令,或者采用人为鉴定出的病毒家族信息来确定下发的病毒清除指令
[0019]根据本发明一优选实施方式,所述病毒体行为信息为对以下内容中的至少一种进行扫描后得到的行为信息:
[0020]进程、加载模块、驱动、服务、Rootkit、启动项、IE相关的项目、引导病毒、系统目录、桌面目录、开始菜单、常用软件、脚本、系统组件、登录部分、系统启动项等。
[0021]根据本发明一优选实施方式,所述病毒清除指令包括以下操作的指令:
[0022]锁定默认主页、修改默认浏览器搜索主页、下载指定工具软件或清除恶意病毒体行为的关联内容。
[0023]本发明还提供了一种病毒处理方法,该方法包括:
[0024]扫描病毒体行为;
[0025]将扫描日志上报云端服务平台;和/或,利用本地的行为链脚本库,对所述病毒体行为进行鉴定,如果鉴定出恶意病毒体行为,则将恶意病毒体行为对应的病毒家族信息上报给云端服务平台,其中所述行为链脚本库包含病毒家族的恶意病毒体行为信息;
[0026]接收并执行所述云端服务平台下发的病毒清除指令。
[0027]根据本发明一优选实施方式,该方法还包括:如果鉴定出恶意病毒体行为,则清除恶意病毒体行为的关联内容。
[0028]根据本发明一优选实施方式,该方法还包括:
[0029]加载云端的行为链脚本库,利用云端的行为链脚本库更新所述本地的行为链脚本库。
[0030]根据本发明一优选实施方式,所述病毒清除指令包括以下操作的指令:
[0031]锁定默认主页、修改默认浏览器搜索主页、下载指定工具软件或清除恶意病毒体行为的关联内容。
[0032]本发明还提供了一种病毒处理装置,该装置包括:
[0033]病毒确定单元,用于确定客户端扫描的病毒体行为所对应的病毒家族信息;
[0034]指令下发单元,用于根据病毒家族信息与病毒清除指令之间的对应关系,将所述病毒确定单元确定的病毒家族信息所对应的病毒清除指令下发给所述客户端,以供所述客户端执行所述病毒清除指令进行病毒体的清除。
[0035]根据本发明一优选实施方式,所述病毒确定单元包括:
[0036]第一接收子单元,用于接收所述客户端上报的扫描日志,所述扫描日志包含所述客户端扫描的病毒体行为信息;
[0037]匹配子单元,用于将所述病毒体行为信息与云端的行为链脚本库进行匹配,确定恶意病毒体行为对应的病毒家族信息,其中所述行为链脚本库包含病毒家族的恶意病毒体行为信息。
[0038]根据本发明一优选实施方式,所述病毒确定单元包括:
[0039]第二接收子单元,用于接收所述客户端上报的鉴定结果;
[0040]获取子单元,用于从所述鉴定结果中获取病毒家族信息,所述病毒家族信息是所述客户端将扫描的病毒体行为信息与客户端本地的行为链脚本库进行匹配后确定的,其中所述行为链脚本库包含病毒家族的恶意病毒体行为信息。
[0041]根据本发明一优选实施方式,该装置还包括:
[0042]联合分析单元,用于对客户端上报的扫描日志进行分析得到更新病毒体行为信息;
[0043]库更新单元,用于利用更新病毒体行为信息更新云端的行为链脚本库。
[0044]根据本发明一优选实施方式,如果所述匹配子单元确定出的病毒家族信息与所述获取子单元获取的病毒家族信息不一致,则所述指令下发单元采用所述匹配子单元确定出的病毒家族信息来确定下发的病毒清楚指令,或者采用人为鉴定出的病毒家族信息来确定下发的病毒清除指令。
[0045]根据本发明一优选实施方式,所述病毒体行为信息为对以下内容中的至少一种进行扫描后得到的行为信息:
[0046]进程、加载模块、驱动、服务、Rootkit、启动项、IE相关的项目、引导病毒、系统目录、桌面目录、开始菜单、常用软件、脚本、系统组件、登录部分、系统启动项等。
[0047]根据本发明一优选实施方式,所述病毒清除指令包括以下操作的指令:
[0048]锁定默认主页、修改默认浏览器搜索主页、下载指定工具软件或清除恶意病毒体行为的关联内容。
[0049]本发明还提供了一种病毒处理装置,该装置包括:日志上报单元和病毒鉴定单元中的至少一个、行为扫描单元以及指令处理单元;
[0050]所述行为扫描单元,用于扫描病毒体行为;
[0051]所述日志上报单元,用于将扫描日志上报云端服务平台;
[0052]所述病毒鉴定单元,用于利用本地的行为链脚本库,对所述病毒体行为进行鉴定,如果鉴定出恶意病毒体行为,则将恶意病毒体行为对应的病毒家族信息上报给云端服务平台,其中所述行为链脚本库包含病毒家族的恶意病毒体行为信息;
[0053]所述指令处理单元,用于接收并执行所述云端服务平台下发的病毒清除指令。
[0054]根据本发明一优选实施方式,该装置还包括:
[0055]病毒清除单元,用于如果所述病毒鉴定单元鉴定出恶意病毒体行为,则清除恶意病毒体行为的关联内容。
[0056]根据本发明一优选实施方式,该装置还包括:
[0057]库更新单元,用于加载云端的行为链脚本库,利用云端的行为链脚本库更新所述本地的行为链脚本库。
[0058]根据本发明一优选实施方式,所述病毒清除指令包括以下操作的指令:
[0059]锁定默认主页、修改默认浏览器搜索主页、下载指定工具软件或清除恶意病毒体行为的关联内容。
[0060]本发明还提供了一种病毒处理的系统,该系统包括:客户端和云端处理平台;
[0061]所述云端处理平台包括上述第一种装置;
[0062]所述客户端包括上述第二种装置。
[0063]由以上技术方案可以看出,在本发明中客户端将扫描日志上报给云端服务平台,和/或在根据扫
当前第1页1 2 3 4 
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1