一种全网终端的病毒查杀方法及装置与流程

本发明属于网络安全技术领域，尤其是涉及一种全网终端的病毒查杀方法及装置。

背景技术：

随着计算机技术的发展，计算机病毒也在日益影响着计算机用户的数据安全或使用体验。为此很多计算机安装了防毒软件(或称杀毒软件、防火墙等)以抵抗计算机病毒。目前防毒软件多采用特征码识别的方式来检测病毒，通过检测病毒的特征码来确认当前扫描的文件中包含病毒。因此一些计算机病毒的作者为了避免自己编写的病毒文件被防毒软件检测出来，通常会将一些无效的指令加入病毒文件以躲避杀毒软件的特征码检测，从而影响了防毒软件防御计算机病毒的效果。

目前的检测方法，是由终端从网络侧更新自身的病毒库，利用自身的病毒库进行数据的扫描和查杀，这种方式存在占用空间资源大，病毒库更新不及时的问题。

技术实现要素：

本发明的目的之一是提供一种全网终端的病毒查杀方法，以解决现有技术中占用空间资源大，病毒库更新不及时的问题。

在一些说明性实施例中，所述全网终端的病毒查杀方法，用于网络侧的云服务器，包括：调用基于病毒特征数据库的云查杀引擎扫描该终端设备；若扫描出疑似文件，则鉴定所述疑似文件，并根据鉴定结果，判断所述疑似文件是否为病毒文件；若是，则将判定结果发送至所述终端设备，并将所述病毒文件的病毒特征发布到所述病毒特征数据库中。

优选地，所述鉴定所述疑似文件，根据鉴定结果，判断所述疑似文件是否为病毒文件，具体包括：对所述疑似文件依次进行以下鉴定，根据所述鉴定结果确定所述疑似文件的最终分值；辅助鉴定、多引擎鉴定、静态鉴定和 动态鉴定；将所述最终分值与预先设定的病毒阈值进行比较，根据比较结果，判定所述疑似文件为病毒文件或非病毒文件。

优选地，所述辅助鉴定，具体包括：识别所述疑似文件的类型，并依据所述疑似文件的类型对其进行预处理，判定经预处理后的文件的数字签名是否有效，和/或，是否含有感染型代码；若判定结果为数字签名无效或含有感染型代码，则将所述疑似文件判定为所述病毒文件；否则，对所述疑似文件进行后续鉴定。

优选地，在所述识别所述疑似文件的类型，并依据所述疑似文件的类型对其进行预处理，包括：若为压缩文件，则依次解压，获取解压后的所有子文件；若为加壳文件，则依次脱壳，获取脱壳后的原始文件。

优选地，所述多引擎鉴定，具体包括：部署多套文件引擎，针对辅助鉴定过滤后的文件进行扫描，并根据扫描结果进行分配第一子分值；结合获得的所述第一子分值与所述静态鉴定和动态鉴定的鉴定结果，确定所述最终分值。

优选地，所述静态鉴定，具体包括：提取文件属性素材，在自我学习型素材库中进行素材匹配，判定素材是否异常，根据判定结果确定第二子分值；结合获得的所述第二子分值与所述多引擎鉴定和动态鉴定的鉴定结果，确定所述最终分值。

优选地，所述自我学习型素材库中包括一下至少之一的标准素材：系统API、导入导出表、关键组合字符串、文件图标、文件版本号、文件编译器类型、PE文件节表、二进制分块、指令跳转块、指令序列。

优选地，所述动态鉴定，具体包括：通过虚拟机监控所述疑似文件是否存在危险行为，则根据危险行为的种类确定第三子分值；所述攻击行为和所述感染行为，包括：各类注入、互斥体、内联挂钩、启动宿主进程、镜像劫持、添加延迟重命名项、输入法机制、修改指令寄存器及远程线程上下文、设置全局消息钩子、常见的漏洞溢出攻击；结合获得的所述第三子分值与所述多引擎鉴定和静态鉴定的鉴定结果，确定所述最终分值。

优选地，在所述调用基于病毒特征数据库的云查杀引擎扫描该终端设备之后，还包括：若扫描出病毒文件，则利用所述云查杀引擎去除从所述终端设备上去除该病毒文件。

本发明的另一个目的在于提供一种全网终端的病毒查杀装置。

在一些说明性实施例中，所述全网终端的病毒查杀装置，包括：调用模块，用于调用基于病毒特征数据库的云查杀引擎扫描该终端设备；解析模块，用于若扫描出疑似文件，则鉴定所述疑似文件，并根据鉴定结果，判断所述疑似文件是否为病毒文件；发送模块，用于将判定结果发送至所述终端设备，并将所述病毒文件的病毒特征发布到所述病毒特征数据库中。

与现有技术相比，本发明的说明性实施例包括以下优点：

终端侧不再需用设立病毒库，利用网络侧上的云查杀引擎进行病毒的查杀，节省空间资源的浪费；并且利用病毒特征实时更新的病毒库，进一步保证的设备的安全性。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1是按照本发明的说明性实施例的流程图；

图2是按照本发明的说明性实施例的结构框图。

具体实施方式

在以下详细描述中，提出大量特定细节，以便于提供对本发明的透彻理解。但是，本领域的技术人员会理解，即使没有这些特定细节也可实施本发明。在其它情况下，没有详细描述众所周知的方法、过程、组件和电路，以免影响对本发明的理解。

如图1所示，公开了一种全网终端的病毒查杀方法，用于网络侧的云服务器，包括：

S11、调用基于病毒特征数据库的云查杀引擎扫描该终端设备；

S12、若扫描出疑似文件，则对其进行鉴定，并根据鉴定结果，判断所述疑似文件是否为病毒文件；

S13、若是，则将判定结果发送至所述终端设备，并将所述病毒文件的病毒特征发布到所述病毒特征数据库中。

终端调用云查杀引擎扫描该终端文件，若存在疑似文件，则获取该疑似文件，进行放入待检测数据库中，在鉴定该疑似文件为病毒文件后，将该病毒文件的病毒特征放到病毒特征数据库中。

本发明中终端侧不再需用设立病毒库，利用网络侧上的云查杀引擎进行病毒的查杀，节省空间资源的浪费；并且利用病毒特征实时更新的病毒库，进一步保证的设备的安全性。

在一些说明性实施例中，所述鉴定所述疑似文件，根据鉴定结果，判断所述疑似文件是否为病毒文件，具体包括：对所述疑似文件依次进行以下鉴定，根据所述鉴定结果确定所述疑似文件的最终分值；辅助鉴定、多引擎鉴定、静态鉴定和动态鉴定；将所述最终分值与预先设定的病毒阈值进行比较，根据比较结果，判定所述疑似文件为病毒文件或非病毒文件。

在一些说明性实施例中，所述辅助鉴定，具体包括：识别所述疑似文件的类型，并依据所述疑似文件的类型对其进行预处理；判定经预处理后文件的数字签名是否有效，和/或，判定经预处理后文件是否含有感染型代码；若判定结果为数字签名无效或含有感染型文件，则将所述疑似文件判定为所述病毒文件；否则，对所述疑似文件进行后续鉴定。

在一些说明性实施例中，在所述识别所述疑似文件的类型，并依据所述疑似文件的类型对其进行预处理，包括：(1)若为压缩文件，则依次解压，获取解压后的所有子文件；(2)若为加壳文件，则依次脱壳，获取脱壳后的原始文件。

在一些说明性实施例中，所述多引擎鉴定，具体包括：部署多套文件引擎，针对辅助鉴定过滤后的文件进行扫描，并根据扫描结果进行分配第一子 分值；结合获得的所述第一子分值与所述静态鉴定和动态鉴定的鉴定结果，确定所述最终分值。

在一些说明性实施例中，所述静态鉴定，具体包括：提取文件属性素材，在自我学习型素材库中进行素材匹配，判定素材是否异常，根据判定结果确定第二子分值；结合获得的所述第二子分值与所述多引擎鉴定和动态鉴定的鉴定结果，确定所述最终分值。

在一些说明性实施例中，所述自我学习型素材库中包括一下至少之一的标准素材：系统API、导入导出表、关键组合字符串、文件图标、文件版本号、文件编译器类型、PE文件节表、二进制分块、指令跳转块、指令序列。

在一些说明性实施例中，所述动态鉴定，具体包括：通过虚拟机监控所述疑似文件是否存在危险行为，则根据危险行为的种类确定第三子分值；所述攻击行为和所述感染行为，包括：各类注入、互斥体、内联挂钩、启动宿主进程、镜像劫持、添加延迟重命名项、输入法机制、修改指令寄存器及远程线程上下文、设置全局消息钩子、常见的漏洞溢出攻击；结合获得的所述第三子分值与所述多引擎鉴定和静态鉴定的鉴定结果，确定所述最终分值。

在一些说明性实施例中，在所述调用基于病毒特征数据库的云查杀引擎扫描该终端设备之后，还包括：若扫描出病毒文件，则利用所述云查杀引擎去除从所述终端设备上去除该病毒文件。

在一些说明性实施例中，所述多引擎鉴定、静态鉴定和动态鉴定鉴定出的第一子分值、第二子分值和第三子分值通过预先设置的权重值进行结果的结合。

例如：

I＝aX+bY+cZ

其中，I为最终分值，X、Y、Z分别为第一子分值、第二子分值和第三子分值，a、b、c分别为第一子分值、第二子分值和第三子分值的权重系数，

a+b+c＝1。

在一些说明性实施例中，鉴定还可以包括：

特殊鉴定δ：特指一类评分规则，该规则依赖一批特殊外部因素辅助计算分值，如文件大小、文件广度、文件路径、扫描渠道等。

例如：

I＝aX+bY+cZ+δ

其中，I为最终分值，X、Y、Z分别为第一子分值、第二子分值和第三子分值，a、b、c分别为第一子分值、第二子分值和第三子分值的权重系数，a+b+c＝1。

如图2所示，公开了一种全网终端的病毒查杀装置100，包括：调用基于病毒特征数据库的云查杀引擎扫描该终端设备的调用模块101；若扫描出疑似文件，则鉴定所述疑似文件，并根据鉴定结果，判断所述疑似文件是否为病毒文件的解析模块102；将判定结果发送至所述终端设备，并将所述病毒文件的病毒特征发布到所述病毒特征数据库中的发送模块103。

在一些说明性实施例中，所述解析模块102中包括：对所述疑似文件依次进行以下鉴定的鉴定模块1021：辅助鉴定、多引擎鉴定、静态鉴定和动态鉴定；根据所述鉴定结果确定所述疑似文件的最终分值的解析子模块1022；将所述最终分值与预先设定的病毒阈值进行比较，根据比较结果，判定所述疑似文件为病毒文件或非病毒文件的判断模块1023。

在一些说明性实施例中，所述鉴定模块1021中包括：第一鉴定子模块10211，用于识别所述疑似文件的类型，并依据所述疑似文件的类型对其进行预处理，判定经预处理后的文件的数字签名是否有效，和/或，是否含有感染型代码；若判定结果为数字签名无效或含有感染型代码，则将所述疑似文件判定为所述病毒文件；否则，对所述疑似文件进行后续鉴定。

在一些说明性实施例中，在所述识别所述疑似文件的类型，并依据所述疑似文件的类型对其进行预处理，包括：若为压缩文件，则依次解压，获取解压后的所有子文件；若为加壳文件，则依次脱壳，获取脱壳后的原始文件。

在一些说明性实施例中，所述鉴定模块1022中包括：第二鉴定子模块10212，用于部署多套文件引擎，针对辅助鉴定过滤后的文件进行扫描，并 根据扫描结果进行分配第一子分值；结合获得的所述第一子分值与所述静态鉴定和动态鉴定的鉴定结果，确定所述最终分值。

在一些说明性实施例中，所述鉴定模块1022中包括：第三鉴定子模块10213，用于提取文件属性素材，在自我学习型素材库中进行素材匹配，判定素材是否异常，根据判定结果确定第二子分值；结合获得的所述第二子分值与所述多引擎鉴定和动态鉴定的鉴定结果，确定所述最终分值。

优选地，所述自我学习型素材库中包括一下至少之一的标准素材：系统API、导入导出表、关键组合字符串、文件图标、文件版本号、文件编译器类型、PE文件节表、二进制分块、指令跳转块、指令序列。

在一些说明性实施例中，所述鉴定模块1022中包括：第四鉴定子模块10214，用于通过虚拟机监控所述疑似文件是否存在危险行为，则根据危险行为的种类确定第三子分值；所述攻击行为和所述感染行为，包括：各类注入、互斥体、内联挂钩、启动宿主进程、镜像劫持、添加延迟重命名项、输入法机制、修改指令寄存器及远程线程上下文、设置全局消息钩子、常见的漏洞溢出攻击；结合获得的所述第三子分值与所述多引擎鉴定和静态鉴定的鉴定结果，确定所述最终分值。

在一些说明性实施例中，所述病毒查杀模块还包括：查杀模块，用于若扫描出病毒文件，则利用所述云查杀引擎去除从所述终端设备上去除该病毒文件。

以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。