上述步骤301和302是其中一个执行分支,即接收到扫描日志后的情况,在302之后执行步骤304。还有一个分支,即如果接收到客户端上报的病毒家族信息,即步骤303,则直接执行步骤304。
[0100]在步骤304中,根据病毒家族信息与病毒清除指令之间的对应关系,将病毒家族信息对应的病毒清除指令下发给客户端。上述病毒家族信息与病毒清除指令之间的对应关系是在云端服务平台预先加载的,针对各病毒家族分别设置对应的病毒清除指令以指导客户端进行病毒体的清除。
[0101]另外,还可能存在这样的情况,假设对于同一客户端,云端服务平台根据客户端上报的扫描日志确定出的病毒家族信息与该客户端上报的病毒家族信息不一致,也就是说,云端服务平台与客户端的鉴定结果不一致时,可以采用云端服务平台的鉴定结果为准,即将云端服务平台确定出的病毒家族信息对应的病毒清除指令下发给客户端。当然,也可以采用其他策略,例如当云端服务平台与客户端的鉴定结果不一致时,可以人为参与鉴定,将人为鉴定出的病毒家族信息对应的病毒清除指令下发给客户端。
[0102]下面对本发明提供的装置进行详细描述,图4为本发明实施例提供的第一种装置结构图,该装置设置于云端服务平台中,如图4所示,该装置可以包括:病毒确定单元41和指令下发单元42,还可以进一步包括联合分析单元43和库更新单元44。
[0103]其中病毒确定单元41负责确定客户端扫描的病毒体行为所对应的病毒家族信息。具体地,该病毒确定单元41可以采用以下两种方式中的至少一种确定病毒家族信息,图4中以同时采用以下两种方式时的结构为例。
[0104]第一种方式:病毒确定单元41根据客户端上报的扫描日志在云端服务平台进行病毒鉴定,此时病毒确定单元41可以具体包括:第一接收子单元401和匹配子单元402。
[0105]其中第一接收子单元401负责接收客户端上报的扫描日志,扫描日志包含客户端扫描的病毒体行为信息。匹配子单元402将病毒体行为信息与云端的行为链脚本库进行匹配,确定恶意病毒体行为信息对应的病毒家族信息,其中行为链脚本库包含病毒家族的恶意病毒体行为信息。
[0106]第二种方式:病毒确定单元41直接接收客户端上报的病毒家族信息,即在客户端进行病毒鉴定,此时病毒确定单元41具体包括:第二接收子单元411和获取子单元412。
[0107]第二接收子单元411接收客户端上报的鉴定结果。获取子单元412从鉴定结果中获取病毒家族信息,病毒家族信息是客户端将扫描的病毒体行为与客户端本地的行为链脚本库进行匹配后确定的,其中行为链脚本库包含病毒家族的恶意病毒体行为信息。
[0108]指令下发单元42,用于根据病毒家族信息与病毒清除指令之间的对应关系,将病毒确定单元41确定的病毒家族信息所对应的病毒清除指令下发给客户端,以供客户端执行病毒清除指令进行病毒体的清除。在云端服务平台中维护着病毒家族信息与病毒清除指令之间的对应关系,这些病毒清除指令用于指导客户端进行操作以对相应病毒家族的行为进行清除。这一对应关系可以采用人工设置的方式。
[0109]上述的病毒清除指令可以包括但不限于:锁定默认主页的指令、修改默认浏览器搜索主页的指令或者下载指定工具软件等。上述指定工具软件可以是诸如安全卫士软件、系统修复小工具、恶意插件清除工具、浏览器保护工具等。
[0110]上述病毒家族信息对应的病毒清除指令是云端可配置的,可以根据实时捕获的流行病毒行为分析,增加或调整对应病毒清除指令。
[0111]另外,有可能存在这样的情况,假设上述确定病毒家族信息的两种方式确定出的病毒家族信息不同,则可以将云端服务平台确定出的病毒家族信息对应的病毒清除指令下发给客户端。当然,也可以采用其他策略,例如当云端服务平台与客户端的鉴定结果不一致时,可以人为参与鉴定,将人为鉴定出的病毒家族信息对应的病毒清除指令下发给客户端。
[0112]上述的行为链脚本库是由各机器系统中客户端上报的扫描日志进行分析后得到的,也可以结合人工分析和设置的因素。随着病毒的不断更新,会持续出现新的病毒体行为,因此,云端服务平台需要及时对行为链脚本库进行更新。有鉴于此,联合分析单元43对客户端上报的扫描日志进行分析得到更新病毒体行为,然后库更新单元44利用更新病毒体行为更新云端的行为链脚本库。
[0113]图5为本发明实施例提供的另一种病毒处理装置的结构图,该装置设置于机器系统中的客户端,如图5中所示,该装置可以具体包括:日志上报单元52和病毒鉴定单元53中的至少一个(图5中以同时包含这两个单元的情况为例)、行为扫描单元51以及指令处理单元54,还可以进一步包括病毒清除单元55和库更新单元56。
[0114]其中,行为扫描单元51负责扫描病毒体行为信息,即扫描机器系统中恶意病毒体可能的所有行为内容,病毒体行为信息可以是对以下内容中的至少一种进行扫描后得到的行为信息:网络修复、进程、加载模块、驱动、服务、Rootkit、启动项、IE相关的项目、引导病毒、系统目录、桌面目录、开始菜单、常用软件、脚本、系统组件、登录部分、系统启动项等。
[0115]日志上报单元52负责将扫描日志上报云端服务平台,扫描日志中包含了行为扫描单元51扫描的病毒体行为信息,上报给云端服务平台供其进行分析鉴定。
[0116]病毒鉴定单元53利用本地的行为链脚本库,对病毒体行为进行鉴定,如果鉴定出恶意病毒体行为,则将恶意病毒体行为信息对应的病毒家族信息上报给云端服务平台,其中行为链脚本库包含病毒家族的恶意病毒体行为信息。
[0117]指令处理单元54接收并执行云端服务平台下发的病毒清除指令。具体地,病毒清除指令可以包括但不限于以下操作的指令:锁定默认主页、修改默认浏览器搜索主页、下载指定工具软件或清除恶意病毒体行为的关联内容。
[0118]更进一步地,如果病毒鉴定单元53鉴定出恶意病毒体行为,则病毒清除单元55清除恶意病毒体行为的关联内容。其中,清除恶意病毒体行为的关联内容可以包括但不限于:停止恶意病毒体的服务,删除恶意病毒体的文件、注册表项或相关活动项,修复浏览器默认主页。
[0119]客户端本地的行为链脚本库是加载云端服务平台的行为链脚本库后存储于本地得到的,客户端可以周期性地从云端服务平台加载行为链脚本库并对本地的行为链脚本库进行更新。此时,库更新单元56加载云端的行为链脚本库,利用云端的行为链脚本库更新本地的行为链脚本库。
[0120]由以上描述可以看出,本发明提供的方法、装置和系统具备以下优点:
[0121]I)本发明这种由云端针对病毒家族信息进行病毒清除指令下发的方式,相比较单纯由客户端进行行为分析和删除文件的方式,对病毒的处理更加个性化和精准,提高了机器系统的安全性。
[0122]2)本发明中云端服务平台针对病毒家族信息下发的病毒清除指令并不局限于清除恶意病毒体行为的关联内容,还可以是诸如锁定默认主页、修改默认浏览器搜索主页、下载指定工具软件等,对病毒的处理更加多样化,有助于彻底清除病毒,加强机器系统的安全性。
[0123]3)云端服务平台能够联合各机器系统的客户端上报的扫描日志进行行为链脚本库的更新,从而及时地满足互联网式病毒更新快的特征。
[0124]4)在云端服务平台中针对病毒家族信息的病毒清除指令能够灵活配置,并可以及时增加或调整,从而满足互联网时代的快速响应要求。
[0125]在本发明所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
[0126]所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
[0127]另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
[0128]上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory, ROM)、随机存取存储器(Random Access Memory, RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
[0129]以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何