修改、等同替换、改进等,均应包含在本发明保护的范围之内。
【主权项】
1.一种病毒处理方法,其特征在于,该方法包括: 确定客户端扫描的病毒体行为所对应的病毒家族信息; 根据病毒家族信息与病毒清除指令之间的对应关系,将确定的病毒家族信息所对应的病毒清除指令下发给所述客户端,以供所述客户端执行所述病毒清除指令进行病毒体的清除。
2.根据权利要求1所述的方法,其特征在于,所述确定客户端扫描的病毒体行为所对应的病毒家族信息包括: 接收所述客户端上报的扫描日志,所述扫描日志包含所述客户端扫描的病毒体行为信息; 将所述病毒体行为信息与云端的行为链脚本库进行匹配,确定恶意病毒体行为对应的病毒家族信息,其中所述行为链脚本库包含病毒家族的恶意病毒体行为信息。
3.根据权利要求1所述的方法,其特征在于,所述确定客户端扫描的病毒体行为所对应的病毒家族信息包括: 接收所述客户端上报的鉴定结果; 从所述鉴定结果中获取病毒家族信息,所述病毒家族信息是所述客户端将扫描的病毒体行为信息与客户端本地的行为链脚本库进行匹配后确定的,其中所述行为链脚本库包含病毒家族的恶意病毒体行为信息。
4.根据权利要求2所述方法,其特征在于,该方法还包括: 对客户端上报的扫描日志进行分析得到更新病毒体行为信息; 利用更新病毒体行为信息更新云端的行为链脚本库。
5.根据权利要求2所述的方法,其特征在于,所述确定客户端扫描的病毒体行为所对应的病毒家族信息还包括: 接收所述客户端上报的鉴定结果; 从所述鉴定结果中获取病毒家族信息,所述病毒家族信息是所述客户端将扫描的病毒体行为信息与客户端本地的行为链脚本库进行匹配后确定的,其中所述行为链脚本库包含病毒家族的恶意病毒体行为信息。
6.根据权利要求5所述的方法,其特征在于,该方法还包括: 如果将扫描日志包含的病毒体行为信息与云端的行为链脚本库进行匹配确定出的病毒家族信息与从所述鉴定结果中获取的病毒家族信息不一致,则采用将扫描日志包含的病毒体行为信息与云端的行为链脚本库进行匹配确定出的病毒家族信息来确定下发的病毒清除指令,或者采用人为鉴定出的病毒家族信息来确定下发的病毒清除指令。
7.根据权利要求1至6任一权项所述的方法,其特征在于,所述病毒体行为信息为对以下内容中的至少一种进行扫描后得到的行为信息: 进程、加载模块、驱动、服务、Rootkit、启动项、IE相关的项目、引导病毒、系统目录、桌面目录、开始菜单、常用软件、脚本、系统组件、登录部分、系统启动项等。
8.根据权利要求1至6任一权项所述的方法,其特征在于,所述病毒清除指令包括以下操作的指令: 锁定默认主页、修改默认浏览器搜索主页、下载指定工具软件或清除恶意病毒体行为的关联内容。
9.一种病毒处理方法,其特征在于,该方法包括: 扫描病毒体行为; 将扫描日志上报云端服务平台;和/或,利用本地的行为链脚本库,对所述病毒体行为进行鉴定,如果鉴定出恶意病毒体行为,则将恶意病毒体行为对应的病毒家族信息上报给云端服务平台,其中所述行为链脚本库包含病毒家族的恶意病毒体行为信息; 接收并执行所述云端服务平台下发的病毒清除指令。
10.根据权利要求9所述的方法,其特征在于,该方法还包括:如果鉴定出恶意病毒体行为,则清除恶意病毒体行为的关联内容。
11.根据权利要求9所述的方法,其特征在于,该方法还包括: 加载云端的行为链脚本库,利用云端的行为链脚本库更新所述本地的行为链脚本库。
12.根据权利要求9至11任一权项所述的方法,其特征在于,所述病毒清除指令包括以下操作的指令: 锁定默认主页、修改默认浏览器搜索主页、下载指定工具软件或清除恶意病毒体行为的关联内容。
13.一种病毒处理装置,其特征在于,该装置包括: 病毒确定单元,用于确定客户端扫描的病毒体行为所对应的病毒家族信息; 指令下发单元,用于根据病毒家族信息与病毒清除指令之间的对应关系,将所述病毒确定单元确定的病毒家族信息所对应的病毒清除指令下发给所述客户端,以供所述客户端执行所述病毒清除指令进行病毒体的清除。
14.根据权利要求13所述的装置,其特征在于,所述病毒确定单元包括: 第一接收子单元,用于接收所述客户端上报的扫描日志,所述扫描日志包含所述客户端扫描的病毒体行为信息; 匹配子单元,用于将所述病毒体行为信息与云端的行为链脚本库进行匹配,确定恶意病毒体行为对应的病毒家族信息,其中所述行为链脚本库包含病毒家族的恶意病毒体行为信息。
15.根据权利要求13所述的装置,其特征在于,所述病毒确定单元包括: 第二接收子单元,用于接收所述客户端上报的鉴定结果; 获取子单元,用于从所述鉴定结果中获取病毒家族信息,所述病毒家族信息是所述客户端将扫描的病毒体行为信息与客户端本地的行为链脚本库进行匹配后确定的,其中所述行为链脚本库包含病毒家族的恶意病毒体行为信息。
16.根据权利要求14所述的装置,其特征在于,该装置还包括: 联合分析单元,用于对客户端上报的扫描日志进行分析得到更新病毒体行为信息; 库更新单元,用于利用更新病毒体行为信息更新云端的行为链脚本库。
17.根据权利要求14所述的装置,其特征在于,所述病毒确定单元还包括: 第二接收子单元,用于接收所述客户端上报的鉴定结果; 获取子单元,用于从所述鉴定结果中获取病毒家族信息,所述病毒家族信息是所述客户端将扫描的病毒体行为信息与客户端本地的行为链脚本库进行匹配后确定的,其中所述行为链脚本库包含病毒家族的恶意病毒体行为信息。
18.根据权利要求17所述的装置,其特征在于,如果所述匹配子单元确定出的病毒家族信息与所述获取子单元获取的病毒家族信息不一致,则所述指令下发单元采用所述匹配子单元确定出的病毒家族信息来确定下发的病毒清楚指令,或者采用人为鉴定出的病毒家族信息来确定下发的病毒清除指令。
19.根据权利要求13至18任一权项所述的装置,其特征在于,所述病毒体行为信息为对以下内容中的至少一种进行扫描后得到的行为信息: 进程、加载模块、驱动、服务、Rootkit、启动项、IE相关的项目、引导病毒、系统目录、桌面目录、开始菜单、常用软件、脚本、系统组件、登录部分、系统启动项等。
20.根据权利要求13至18任一权项所述的装置,其特征在于,所述病毒清除指令包括以下操作的指令: 锁定默认主页、修改默认浏览器搜索主页、下载指定工具软件或清除恶意病毒体行为的关联内容。
21.—种病毒处理装置,其特征在于,该装置包括:日志上报单元和病毒鉴定单元中的至少一个、行为扫描单元以及指令处理单元; 所述行为扫描单元,用于扫描病毒体行为; 所述日志上报单元,用于将扫描日志上报云端服务平台; 所述病毒鉴定单元,用于利用本地的行为链脚本库,对所述病毒体行为进行鉴定,如果鉴定出恶意病毒体行为,则将恶意病毒体行为对应的病毒家族信息上报给云端服务平台,其中所述行为链脚本库包含病毒家族的恶意病毒体行为信息; 所述指令处理单元,用于接收并执行所述云端服务平台下发的病毒清除指令。
22.根据权利要求21所述的装置,其特征在于,该装置还包括: 病毒清除单元,用于如果所述病毒鉴定单元鉴定出恶意病毒体行为,则清除恶意病毒体行为的关联内容。
23.根据权利要求21所述的装置,其特征在于,该装置还包括: 库更新单元,用于加载云端的行为链脚本库,利用云端的行为链脚本库更新所述本地的行为链脚本库。
24.根据权利要求21至23任一权项所述的装置,其特征在于,所述病毒清除指令包括以下操作的指令: 锁定默认主页、修改默认浏览器搜索主页、下载指定工具软件或清除恶意病毒体行为的关联内容。
25.一种病毒处理的系统,该系统包括:客户端和云端处理平台; 所述云端处理平台包括如权利要求13至18任一权项所述的装置; 所述客户端包括如权利要求21至23任一权项所述的装置。
【专利摘要】本发明提供了一种病毒处理方法、装置和系统,客户端将扫描日志上报给云端服务平台,和/或在根据扫描日志鉴定出病毒家族信息后将病毒家族信息上报给云端服务平台。云端服务平台对扫描日志进行鉴定后得到的病毒家族信息,和/或接收到来自客户端的病毒家族信息后,将病毒家族信息对应的病毒清除指令下发给客户端,供客户端执行病毒清除指令。本发明这种由云端针对病毒家族信息进行病毒清除指令下发的方式,相比较单纯由客户端进行行为分析和删除文件的方式,对病毒的处理更加个性化和精准,提高了机器系统的安全性。
【IPC分类】G06F21-56, G06F11-34, H04L29-08
【公开号】CN104573515
【申请号】CN201410802502
【发明人】邹荣新, 梅银明, 项柱, 胡汉中
【申请人】百度在线网络技术(北京)有限公司
【公开日】2015年4月29日
【申请日】2014年12月19日