专利名称:搜索引擎结果数据库病毒自动预警方法
技术领域:
本发明属于计算机防病毒技术领域,特别是针对搜索引擎得到的搜索结果数据库提供了 检査、扫描和预笼的方法。
背景技术:
随着因特网的规模不断扩大,越来越多的计算机联接到网络中。但是因特网用户连接信 息源越多,受到邮件病毒、宏病毒、脚本病毒、特洛伊木马、蠕虫、逻辑炸弹等病毒的威胁 也越多。一些病毒危害性较小,但相当一部分病毒对计算机和用户常常带来比较严重的后果, 比如窃取数据、删除数据或者导致计算机系统被完全破坏,甚至被黑客远程控制来进行其他 恶意攻击行为。通常病毒隐藏在其他正常的计算机程序里面(称该程序为宿主程序),当被 感染的计算机程序被执行时,病毒就被激活。病毒最典型的特征是可以复制和传播自己到其他程序或其他计算机,根据实际测试某些蠕虫病毒可以每秒钟发出80Mbp/s的数据流,完全 可以导致网络带宽拥塞、计算机CPL'占用率达到10(m。为了对付病毒带来的威胁,防病毒软 件被很快发展起来,用来检测和删除那些企图感染计算机的病毒。保证本地电脑安全的基本 方法有定期为系统打补丁,设置并定期更新符合安全要求的帐号和口令,关闭不必要的服 务,安装防病毒软件、防火墙等。大多数传统的防病毒程序只能对被接收并保存在计算机里 的受病毒感染可疑文件进行扫描检査,不管是个人电脑还是提供web服务的站点,都只针对 本地主机上的文件进行防病毒检査。因此,在因特网上亿台个人电脑与web站点之间,只要 任意一台感染病毒,就很容易通过网络相互快速复制传播。随着网络用户越来越多地使用各种搜'索引擎来寻找自己感兴趣的内容,对大量信息的査 询需求导致了搜索引擎的出现。为了提高搜索速度和命中度,大多数搜索引擎的服务器上都 具有保存搜索结果的数据库,例如保持基于索引或基于目录的计算机数据库,对因特网上的 内容进行排序或归类编目录,以便为用户提供该用户输入关键字的相应的web网页或其他文 件。通常返回给搜索引擎用户的结果是入口 (记录)和超级链接形式的列表,各个入口 (记 录)和超级链接通常与响应搜索请求的web网页相关联。用户可以通过点击超级链接来访问 相关联站点的网页,但是搜索引擎的提供者并不能对该网页是否含有病毒为用户作出判断, 大多数搜索引擎对为用户提供的搜索结果没有提供病毒预警机制,并且由于搜索引擎之间对 竞价排名客户的争夺,也会疏忽对客户站点上的内容进行病毒过滤,从而导致用户在使用搜 索引擎提供的搜索结果也同样冒着被病毒感染的风险,特别是那些没有安装有效的防病毒软
件的个人电脑被病毒感染的机会更大。 发明内容为了解决目前搜索引擎不能为用户提供搜索结果病毒警告防护的不足,本发明为搜索引 擎数据库集成了病毒检査功能和搜索结果病毒自动预警和反馈机制。将病毒检査功能集成到搜索引擎的数据库检索中,显示给用户的搜索结果包括了入口信 息、文字描述信息、超级链接以及该结果的病毒状态信息。如果该搜索结果的病毒状态表示 有毒,则用户可以不点击该搜索结果。如果病毒状态表示无毒,则用户可以访问该搜索结果。 但是当用户访问该未报警的搜索结果,用户自己的防病毒软件对该搜索结果链接的网页或下 载的内容报警,则用户可以将该搜索结果关联的站点URL提交给搜索引擎服务器,将该URL 登记在服务器的本地病毒数据库中,同时为保存原始URL的数据库中的同一URL的病毒状态 信息置为有毒状态。为用户提供病毒预警信息,避免用户在访问通过搜索引擎得到的搜索结果时受到病毒的 感染,并将用户访问搜索结果所链接含病毒网站的URL登记注册,也为其他用户提供该搜 索结果的病毒预警。
具体实施方式
可以将完成搜索过程的所有参与方看成一个"巨系统",整个系统架构如下接受用户输入查询的瘦客户端,搜索引擎服务器,第三方web站点和将三者连接起来的网络。其中, 瘦客户端由接入因特网的主机、操作系统、web浏览器、驻留内存的防病毒程序构成,被用 户用來产生搜索请求和接收响应请求的搜索结果。搜索引擎服务器包括了操作系统、前台 web服务器、数据库全文检索程序、数据库服务器(保存爬行结果的数据库、病毒特征数据 库)、病毒检査控制程序和一直运行的网络爬行器构成。第三方web站点表示搜索结果指向 的站点,包括大量的web内容服务、软件下载等。连接这三者的网络可以是因特网、局域网、 无线网络或其他形式的网络。瘦客户墦与搜索引擎服务器之间完成搜索过程的具体实现如下(1) 在瘦客户端的用户通过浏览器进入搜索引擎服务器的客户端界面,用户输入搜索 关键字,并远程提交给搜索引擎前台web服务器。(2) 搜索引擎前台web服务器接收到用户提交的搜索关键字后,通过全文检索程序对 保存网络爬行器(或称网络机器人)爬行结果数据库进行检索,在客户端界面显示给用户的 搜索结果包括了入口信息、文字描述信息、URL地址以及该结果的病毒状态信息("危险" 或"安全")。(3) 如果病毒状态信息显示为"危险",相应的搜索结果可以用各种方式来引擎用户
注意,比如文字加亮、加粗、改变颜色等,当用户点击该搜索结果时,弹出询问是否继续访 问的对话框供用户选择,用户选择"是"则自动链接到第三方web站点;用户选择"否", 则退出该对话框。(4) 如果病毒状态信息显示为"安全",当用户链接到第三方web站点时,用户个人 安装的防病毒软件发现该web站点相关内容(如网页或下载软件)有病毒,则用户可以通过 搜索引擎客户端提交病毒报告(包括用户自身信息、病毒名称、代号、关联站点的URL等) 给搜索引擎web服务端。(5) 搜索引擎web服务端接收到病毒报告信息后自动弹出新病毒报警信息,提醒搜索 引擎服务器维护人员进行病毒核对,维护人员核实后,通过病毒检査控制程序将病毒信息添 加到搜索引擎病毒特征数据库中,更新爬行结果数据库中的与病毒报告中URL关联记录中 的病毒状态信息字段值,将"安全"更改为"危险",并对本地防病毒软件进行更新。(5)自动记录用户提交病毒报告的次数,建立用户报告病毒自动积分奖励系统。 在进一步的实现中,还可以在搜索引擎爬行结果数据库中对病毒状态信息字段进行扩充,加入表示病毒更多信息的字段,对爬行结果进行病毒安全分级,比如分为四级"高度 危险"、"中度危险"、"轻度危险"、"安全"。从而在客户端界面上输出与搜索结果相 关的病毒分级信息以及最后的病毒检査时间给用户,使用户能更清楚所要访问的搜索结果的 病毒安全状况,从而做出最佳选择。搜索引擎服务器后台爬行结果数据库的病毒检査控制方法的具体实现如下(1) 设置运行效率较高的爬行策略,在后台自动运行基于自由软件GNU的网络爬行器 或自己编写的网络爬行器,不停地根据已知web网页上的超级链接关系对URL进行爬行, 不断获得新的URL。(2) 判断URL自从最后一次查毒以來是否被更新过,通常的URL是否被更新的方法 是提取该URL的循环冗余校验码(CRC),与己保存在搜索结果数据库中同一 URL的CRC进 行比对,或者采用其他诸如时间戳、扫描比对内容的方法检査是否被更新, 一般推荐采用效 率比较高的CRC方法。如果已经被更新,则转第(4)歩进行与URL关联文件的病毒检査。 否则,转下一歩。(3) 访问与该URL关联的爬柠结果数据库中的结果的病毒检查字段,若显示未被检査 (包括与该URL关联的爬行结果为空的情况),则转第(4)步进行与URL关联文件的病毒检査。否则,转第(6)步。(4) 病毒检查控制程序集成了最新的病毒特征数据库、査杀病毒软件和URL关联文件 的下载、杀毒功能和自动更新病毒特征数据库、爬行结果数据库的功能。分歩骤如下(i)
通过用户提交病毒报告和在线自动更新结合的方式更新病毒特征数据库,对与URL相关联 的每个文件进行杀毒;(ii)下载与URL关联的文件;(iii)对下载文件进行自动排队(先进先出队列),转第(i)步。每个URL关联文件相关联的所有文件扫描杀毒完成后,转下一步。(5) 病毒检査控制程序在爬行结果数据库中创建或者更新包括病毒状态、病毒是否被 检査CRC码或病毒扫描检査时间等字段的URL记录。(6) 接收web服务器转交给后台的用户病毒报告信息,并与爬行器得到的URL队列进 行最长前缀比较,若URL爬行队列与用户病毒报告中的URL匹配,则直接访问与该URL 关联的网络站点文件,进行病毒扫描,若URL关联的文件含有病毒,则转第(8)步。否则, 转下一步。(7) 判断安全的不含病毒的URL是否已经过了预先设定的失效时间,如果己经过了失 效时间,则转第(4)步。否则,转第(9)步。(8) 判断不安全的含病毒的URL是否己经过了预先设定的失效时间,则同样转第(4) 步。否则,转第(9)步。 -(9) 启动网络爬行器进行预先设定策略的爬行操作。转第(1)步。
权利要求
1. 一种搜索引擎结果数据库病毒自动预警方法,其特征在于,将病毒检查功能集成到搜索引擎的数据库检索中,显示给用户的搜索结果包括了入口信息、文字描述信息、超级链接以及该结果的病毒状态信息;如果该搜索结果的病毒状态表示有毒,则用户可以不点击该搜索结果;如果病毒状态表示无毒,则用户可以访问该搜索结果;但当用户访问该未报警的搜索结果,用户自己的防病毒软件对该搜索结果链接的网页或下载的内容报警,则用户可以将该搜索结果关联的站点URL提交给搜索引擎服务器,将该URL登记在服务器的本地病毒数据库中,同时为保存原始URL的数据库中的同一URL的病毒状态信息置为有毒状态。
2、 按照权利要求l所述的一种搜索引擎结果数据库病毒自动预警方法,其特征在于, 瘦客户端与搜索引擎服务器之间完成搜索过程的具体如下(1) 在瘦客户端的用户通过浏览器进入搜索引擎服务器的客户端界面,用户输入搜索 关键字,并远程提交给搜索引擎前台web服务器;(2) 搜索引擎前台web服务器接收到用户提交的搜索关键字后,通过全文检索程序对 保存网络爬行器爬行结果数据库进行检索,在客户端界面显示给用户的搜索结果包括了入口 信息、文字描述信息、URL地址以及该结果的病毒状态信息;(3) 如果病毒状态信息显示为"危险",相应的搜索结果可以用各种方式来引擎用户 注意,比如文字加亮、加粗、改变颜色等,当用户点击该搜索结果时,弹出询问是否继续访 问的对话框供用户选择,用户选择"是"则自动链接到第三方web站点;用户选择"否", 则退出该对话框;(4) 如果病毒状态信息显示为"安全",当用户链接到第三方web站点时,用户个人 安装的防病毒软件发现该web站点相关内容有病毒,则用户可以通过搜索引擎客户端提交病 毒报告给搜索引擎web服务端(5) 搜索引擎web服务端接收到病毒报告信息后自动弹出新病毒报警信息,提醒搜索 引擎服务器维护人员进行病毒核对,维护人员核实后,通过病毒检査控制程序将病毒信息添 加到搜索引擎病毒特征数据库中,更新爬行结果数据库中的与病毒报告中URL关联记录中 的病毒状态信息字段值,将"安全"更改为"危险",并对本地防病毒软件进行更新(5)自动记录用户提交病毒报告的次数,建立用户报告病毒自动积分奖励系统; 在进一步的实现中,还可以在搜索引擎爬行结果数据库中对病毒状态信息字段进行扩充,加入表示病毒更多信息的字段,对爬行结果进行病毒安全分级,比如分为四级"高度危险"、"中度危险"、"轻度危险"、"安全";从而在客户端界面上输出与搜索结果相 关的病毒分级信息以及最后的病毒检査时间给用户,使用户能更清楚所要访问的搜索结果的 病毒安全状况,从而做出最佳选择;搜索引擎服务器后台爬行结果数据库的病毒检査控制方法如下(1) 设置运行效率较高的爬行策略,在后台自动运行基于自由软件GNU的网络爬行器 或自己编写的网络爬行器,不停地根据已知web网页上的超级链接关系对URL进行爬行, 不断获得新的URL;(2) 判断URL自从最后一次査毒以来是否被更新过,通常的URL是否被更新的方法 是提取该URL的循环冗余校验码(CRC),与已保存在搜索结果数据库中同一 URL的CRC进 行比对,或者采用其他诸如时间戳、扫描t匕对内容的方法检查是否被更新, 一般推荐采用效 率比较高的CRC方法;如果已经被更新,则转第(4)步进行与URL关联文件的病毒检査; 否则,转下一步;(3) 访问与该URL关联的爬行结果数据库中的结果的病毒检査字段,若显示未被检査 (包括与该URL关联的爬行结果为空的情况),则转第(4)歩进行与URL关联文件的病毒检查;否则,转第(6)步;(4) 病毒检査控制程序集成最新的病毒特征数据库、査杀病毒软件和URL关联文件的 下载、杀毒功能和自动更新病毒特征数据库、爬行结果数据库的功能;分步骤如下(i)通过 用户提交病毒报告和在线自动更新结合的方式更新病毒特征数据库,对与URL相关联的每 个文件进行杀毒;(ii)下载与URL关联的文件;(iii)对下载文件进行自动排队(先进先 出队列),转第(i)步;每个URL关联文件相关联的所有文件扫描杀毒完成后,,转下一歩;(5) 病毒检査控制程序在爬行结果数据库中创建或者更新包括病毒状态、病毒是否被 检査CRC码或病毒扫描检査时间等字段的URL记录;(6) 接收web服务器转交给后台的用户病毒报告信息,并与爬行器得到的URL队列进 行最长前缀比较,若URL爬行队列与用户病毒报告中的URL匹配,则直接访问与该URL 关联的网络站点文件,进行病毒扫描,若URL关联的文件含有病毒,则转第(8)步;否则, 转下一步;(7) 判断安全的不含病毒的URL是否已经过了预先设定的失效时间,如果已经过了失 效时间,则转第(4)步;否则,转第(9)步;(8) 判断不安全的含病毒的URL是否已经过了预先设定的失效时间,则同样转第(4) 步;否则,转第(9)步;(9) 启动网络爬行器进行预先设定策略的爬行操作;转第(1)步。
全文摘要
搜索引擎结果数据库病毒自动预警方法,将病毒检查功能集成到搜索引擎的数据库检索中,显示给用户的搜索结果包括了入口信息、文字描述信息、超级链接以及该结果的病毒状态信息。如果该搜索结果的病毒状态表示有毒,则用户可以不点击该搜索结果。如果病毒状态表示无毒,则用户可以访问该搜索结果。但是当用户访问该未报警的搜索结果,用户自己的防病毒软件对该搜索结果链接的网页或下载的内容报警,则用户可以将该搜索结果关联的站点URL提交给搜索引擎服务器,将该URL登记在服务器的本地病毒数据库中,同时为保存原始URL的数据库中的同一URL的病毒状态信息置为有毒状态。本方法为用户提供病毒预警信息。
文档编号G06F17/30GK101211343SQ20061014834
公开日2008年7月2日 申请日期2006年12月29日 优先权日2006年12月29日
发明者蔡阳波, 勇 陈 申请人:上海芯盛电子科技有限公司