描日志鉴定出病毒家族信息后将病毒家族信息上报给云端服务平台。云端服务平台对扫描日志进行鉴定后得到的病毒家族信息,和/或接收到来自客户端的病毒家族信息后,将病毒家族信息对应的病毒清除指令下发给客户端,供客户端执行病毒清除指令。本发明这种由云端针对病毒家族信息进行病毒清除指令下发的方式,相比较单纯由客户端进行行为分析和删除文件的方式,对病毒的处理更加个性化和精准,提高了机器系统的安全性。
【【附图说明】】
[0064]图1为本发明实施例提供的系统结构图;
[0065]图2为本发明实施例提供的客户端执行的病毒处理方法流程图;
[0066]图3为本发明实施例提供的云端服务平台执行的病毒处理方法流程图;
[0067]图4为本发明实施例提供的一种装置结构图;
[0068]图5为本发明实施例提供的另一种装置结构图。
【【具体实施方式】】
[0069]为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本发明进行详细描述。
[0070]本发明实施例主要基于如图1中所示的系统,该系统中包括客户端和云端服务平台,其中客户端可以设置于诸如PC、手机、平板电脑等机器系统中,负责该机器系统的安全。
[0071]其中在本发明实施例中,客户端可以具备以下功能:
[0072]I)扫描病毒体行为,这是客户端最基本的功能。在此说明本发明实施例中涉及的几个概念:“病毒体”指的是病毒母体,即病毒传播的初始文件,母体执行后会产生各种子文件及其相关行为,病毒母体本身的文件并不一定都是恶意的。“恶意病毒体”指的是恶意病毒母体,即本身能释放出恶意子文件或恶意的网络行为。“病毒体行为”包括病毒母体可能的所有行为,例如病毒体行为可以是对以下内容进行扫描后得到的行为信息:进程、加载模块、驱动、服务、Rootkit (Rootkit是指其主要功能为隐藏其他程式进程的软件,可能是一个或一个以上的软件组合)、启动项、IE相关的项目、引导病毒、系统目录、桌面目录、开始菜单、常用软件、脚本、系统组件、登录部分、系统启动项等。“恶意病毒体行为”为恶意病毒母体的行为。
[0073]2)将扫描日志上报云端服务平台,该扫描日志包含该客户端扫描的病毒体行为信息,上报给云端服务平台供其进行分析。
[0074]3)利用本地的行为链脚本库,对病毒体行为进行鉴定。其中行为链脚本库包含病毒家族的恶意病毒体行为信息,将客户端扫描的病毒体行为信息与行为链脚本库进行匹配,以确定扫描的病毒体行为是否为恶意病毒体行为,并可以进一步确定出病毒家族信息。其中,“病毒家族”指的是一组行为相似的恶意病毒体的统称,属于同一病毒家族的恶意病毒体通常属于同一制作者或者来源于同一病毒源文件(例如由同一病毒源文件修改得到)O例如,在行为链脚本库中,将属于同一病毒家族的恶意病毒体行为信息进行了整合,通过恶意病毒体行为能够确定出其对应的病毒家族信息。
[0075]另外,客户端本地的行为链脚本库可以是加载云端服务平台的行为链脚本库后存储于本地得到的。举例来说,客户端可以周期性地从云端服务平台加载行为链脚本库并对本地的行为链脚本库进行更新,即下述的功能6)。
[0076]4)如果鉴定出恶意病毒体行为,则将恶意病毒体行为对应的病毒家族信息上报给云端服务平台。这里的病毒家族信息可以是诸如病毒家族ID(标识)等信息。也就是说,如果客户端本地已经鉴定得到病毒家族ID,则将病毒家族ID直接上报给云端服务平台。
[0077]5)如果鉴定出恶意病毒体行为,则清除该客户端所在机器系统中的恶意病毒体行为的关联内容。除了上报病毒家族信息之外,在客户端本地可以存在病毒清除的机制,清除客户端所在机器系统中恶意病毒体行为的关联内容,诸如:停止恶意病毒体的服务,删除恶意病毒体的文件,删除恶意病毒体的注册表项或相关活动项,修复浏览器默认主页。在进行上述清除处理之后,还可以进一步对可能影响机器系统运行的文件进行初始化修复处理,即将其恢复至初始状态,从而确保机器系统能够正常工作。
[0078]6)加载云端的行为链脚本库,利用云端的行为链脚本库更新本地的行为链脚本库。
[0079]云端服务平台可以具备以下功能:
[0080]I)确定客户端扫描的病毒体行为所对应的病毒家族信息。在此,本功能的实现可以采用以下两种方式:
[0081]第一种方式、接收客户端上报的扫描日志,该扫描日志包含了客户端扫描的病毒体行为信息,将该病毒体行为信息与云端的行为链脚本库进行匹配,确定恶意病毒体行为信息对应的病毒家族信息。同样,该行为链脚本库中也包含病毒家族的恶意病毒体行为信息。该行为链脚本库是由各机器系统中客户端上报的扫描日志进行分析后得到的,也可以结合人工分析和设置的因素。
[0082]第二种方式、直接接收客户端上报的鉴定结果,该鉴定结果中包含客户端将扫描的病毒体行为信息与客户端本地的行为链脚本库进行匹配后确定的病毒家族信息。
[0083]2)根据病毒家族信息与病毒清除指令之间的对应关系,将病毒家族信息所对应的病毒清除指令下发给客户端。在云端服务平台中维护着病毒家族信息与病毒清除指令之间的对应关系,这些病毒清除指令用于指导客户端进行操作以对相应病毒家族的行为进行清除。这一对应关系可以采用人工设置的方式。
[0084]上述的病毒清除指令可以包括但不限于:锁定默认主页的指令、修改默认浏览器搜索主页的指令或者下载指定工具软件等。上述指定工具软件可以是诸如安全卫士软件、系统修复小工具、恶意插件清除工具、浏览器保护工具等。
[0085]上述病毒家族信息对应的病毒清除指令是云端可配置的,可以根据实时捕获的流行病毒行为分析,增加或调整对应病毒清除指令。
[0086]也就是说,云端服务平台能够有针对性地给予客户端以清除一类病毒的指导意见,避免了客户端只有单纯地删除文件所带来的无法完全清除病毒体的问题。
[0087]3)对各机器系统的客户端上报的扫描日志进行联合分析得到更新病毒体行为,利用更新病毒体行为更新云端的行为链脚本库。
[0088]下面结合具体实施例对客户端和云端服务平台所执行的方法流程进行描述。图2为本发明实施例提供的客户端执行的病毒处理方法流程图,如图2中所示,该流程主要包括以下步骤:
[0089]在201中,客户端扫描机器系统中的病毒体行为,例如扫描进程、加载模块、驱动、服务、Rootkit、启动项、IE相关的项目、引导病毒、系统目录、桌面目录、开始菜单、常用软件、脚本、系统组件、登录部分、系统启动项等。
[0090]在202中,客户端将扫描日志上报给云端服务平台。
[0091]在203中客户端利用本地的行为链脚本库对扫描的病毒体行为进行鉴定,如果鉴定出恶意病毒体行为,则执行204,图2中仅示出该种情况,如果未鉴定出恶意病毒体行为,则监听客户端与云端服务平台进行通信的接口。需要说明的是,监听客户端与云端服务平台进行通信的接口并不一定是未鉴定出恶意病毒体行为后才执行的操作,也可以保持持续监听。
[0092]需要说明的是,上述步骤202和203可以以任意的顺序先后执彳丁,也可以同时执行。图2仅是其中一种执行顺序。
[0093]由于行为链脚本库中包含的是病毒家族的恶意病毒体行为信息,因此可以将客户端扫描的病毒体行为与行为链脚本库进行匹配,这里的匹配可以是行为特征的匹配,也可以是脚本的匹配等,如果存在一致的行为特征或脚本,则确定鉴定出恶意病毒体行为,确定该恶意病毒体行为对应的病毒家族信息。
[0094]在204中,将恶意病毒体行为对应的病毒家族信息上报给云端服务平台。客户端在上报病毒家族信息时,可以同时上报所在机器系统的信息,例如⑶ID (Globally UniqueIdentifier,全局唯一标识符),以便云端服务平台能够区分上报信息的机器系统。
[0095]在205中,由于鉴定出了恶意病毒体行为,因此在客户端可以对恶意病毒体行为的关联内容进行清除。上述204和205可以按照任意的顺序先后执行,也可以同时执行,图2仅为其中一种执行顺序。在204之后,客户端开始监听客户端与云端服务平台进行通信的接口,一旦监听到云端服务平台下发的病毒清除指令,则执行206,即接收并执行云端服务平台下发的病毒清除指令。
[0096]图3为本发明实施例提供的云端服务平台执行的病毒处理方法流程图,如图3中所示,该流程可以包括以下步骤:
[0097]在301中,云端服务平台接收客户端上报的扫描日志,该扫描日志包含客户端扫描的病毒体行为信息。
[0098]在302中,将扫描日志中的病毒体行为信息与云端的行为链脚本库进行匹配,确定恶意病毒体行为信息对应的病毒家族信息。由于云端的行为链脚本库是综合各机器系统的客户端上报的扫描日志进行分析后得到的,因此在针对一个客户端进行病毒体行为的鉴别时,实际上也是关联分析了其他机器系统的扫描日志。
[0099]