类型、文件大小等。
[0148]UUID可以是对恶意软件所在客户端的识别获取的。
[0149]对应判定模块73,例如,在判断结果表明为误报时,客户端可以确定存在误报;在判断结果表明为非误报时,客户端可以确定不存在误报。
[0150]例如,在判断结果表明为误报时,客户端可以确定存在误报;在判断结果表明为非误报时,客户端可以确定不存在误报。
[0151]本实施例的客户端通过在识别出恶意软件后不是直接作为恶意软件进行处理,而是向云端发送识别出的恶意软件的第一信息,以便云端根据该第一信息判断是否为误报,可以使得云端及时获知是否存在误报
[0152]相关技术中,由服务器端升级杀毒软件版本,并且客户端升级后才可以获知误报。而本实施例的客户端通过接收云端的判断结果可以及时获知是否存在误报,而不再需要等待杀毒软件升级后才能确定误报。因此,本实施例提高了云端和客户端获知误报的及时性。另外,客户端由于在识别出恶意软件后会向云端查询,并获知是否误报的判断结果,因此客户端无需升级软件就可以及时获知误报,避免需要升级导致的延迟问题。
[0153]图8为本发明实施例提供的另一种误报检测装置的结构示意图,该装置在图7所述的实施例的基础上,还包括:处理模块74。
[0154]处理模块74,用于在所述判定模块73接收的所述判断结果表明为误报时,对所述识别出的恶意软件不作为恶意软件进行处理,也就是说,识别出的恶意软件为正常软件,不进行杀毒处理;和/或,在所述判定模块接收的所述判断结果表明为非误报时,对所述识别出的恶意软件作为恶意软件进行处理,也就是说,识别出的恶意软件不是正常软件,需要进行杀毒处理。
[0155]本实施例通过根据判断结果进行处理,可以在存在误报时及时解除误报。
[0156]图9为本发明实施例提供的另一种误报检测装置的结构示意图,该装置在图7所示的基础上还包括记录模块75、第一查找模块76和第二查找模块77。
[0157]记录模块75用于在判定模块73确定存在误报时,将第一信息记录在误报列表中。
[0158]例如,确定存在误报时的第一信息为哈希值_1,那么可以在误报列表中记录哈希值_1。
[0159]第一查找模块76用于下次识别出恶意软件时,在所述误报列表中进行查找,如果所述下次识别出恶意软件时的信息在所述误报列表中,直接将所述下次识别出的恶意软件确定为误报。
[0160]例如,下次识别出的恶意软件的哈希值为哈希值_1,由于哈希值_1记录在误报列表中,则将该次的恶意软件的识别确定为误报,不需要再向云端进行判断。
[0161]第二查找模块77用于下次识别出恶意软件时,在所述误报列表中进行查找,如果所述下次识别出恶意软件时的信息不在所述误报列表中,才将所述下次识别恶意软件时的信息发送给云端,使得所述云端进行误报判断。
[0162]例如,下次识别出恶意软件时获取的信息是哈希值_3,由于其不在误报列表中,可以将该哈希值_3发送给云端,由云端进行是否误报的判断。
[0163]进一步的,假设云端反馈的结果是误报,那么也可以把该哈希值_3也记录在误报列表中,以供后续检测查找。
[0164]本实施例通过记录误报情况,可以在下次及时发现误报。
[0165]图10为本发明实施例提供的另一种误报检测装置的结构示意图,该装置在图7所示的基础上还包括升级模块76。
[0166]升级模块76用于在判定模块73确定存在误报时,进行软件升级处理。
[0167]相关技术中,由于升级依赖用户的自主性或者杀毒软件设定的升级日期,因此在误报发生时并不能及时升级,会造成误报不能及时解除。而本实施例通过在发生误报后就进行软件升级,可以及时升级软件,进而及时解决误报。
[0168]图11为本发明实施例提供的另一种误报检测装置的结构示意图,该装置110包括接收模块111、判断模块112和发送模块113。
[0169]接收模块111用于接收客户端发送的第一信息,所述第一信息是所述客户端识别出恶意软件时获取的信息;
[0170]判断模块112用于根据所述接收模块111接收的所述第一信息判断所述客户端对所述恶意软件的识别是否为误报;
[0171]发送模块113用于将所述判断模块112得到的判断结果发送给所述客户端,以使所述客户端根据所述判断结果确定是否存在误报。
[0172]在一个实施例中,所述第一信息包括如下项中的至少一项:
[0173]所述恶意软件的哈希(hash)值;
[0174]识别所述恶意软件的本地引擎信息;
[0175]所述恶意软件的特征信息;
[0176]所述恶意软件所在客户端的不可逆的唯一用户标识(Universally UniqueIdentifier, UUID)。
[0177]其中,恶意软件的哈希值可以是对恶意软件的二进制文件进行哈希运算后得到的,哈希算法包括但不限于:消息摘要算法第五版(Message Digest Algorithm,MD5)、循环冗余校验码(Cyclic Redundancy Check, CRC)、安全哈希算法(Secure Hash Algorithm,shal)等。本地引擎信息可以是对本地引擎进行识别后获取的,本地引擎信息包括:引擎名,和/或,命中规则标识(ID)等。
[0178]恶意软件的特征信息可以是对恶意软件的二进制文件进行解析后获取的,恶意软件的特征信息包括如下项中的至少一项:文件路径、文件类型、文件大小等。
[0179]UUID可以是对恶意软件所在客户端的识别获取的。
[0180]可选的,参见图12,该装置还可以包括:设置模块114,用于设置误报判定规则库,所述误报判定规则库中记录属于误报的规则。
[0181]例如,误报规则库中可以记录当恶意软件的哈希值为设定的某个哈希值时,则为误报;和/或,当本地引擎信息为设定的某个本地引擎信息时,为误报等。
[0182]相应的,判断模块112具体用于:在所述第一信息满足所述误报判定规则中记录的规则时,确定对所述恶意软件的识别为误报。
[0183]一个实施例中,所述第一信息和/或所述属于误报的规则,包括如下项中的至少一项:
[0184]所述恶意软件的哈希值;
[0185]识别所述恶意软件的本地引擎信息;
[0186]所述恶意软件的特征信息;
[0187]所述恶意软件所在客户端的不可逆的唯一用户标识。
[0188]相应的,当所述第一信息与所述属于误报的规则相同时,确定所述第一信息满足所述误报判断规则中记录的规则。
[0189]例如,误报判断规则库中记录:本地引擎A的al规则识别的文件为误报,那么,当云端接收的客户端上报的第一信息包括本地引擎信息,本地引擎信息包括引擎号和命中规则标识,且引擎号为A,命中规则标识为al时,则确定此时客户端对恶意软件的识别为误报。或者,误报判断规则库中记录:哈希值为X的文件为误报,那么,当云端接收的客户端上报的第一信息包括识别出的恶意软件的哈希值,且该哈希值为X时,则确定此时客户端对恶意软件的识别为误报。
[0190]本实施例的云端可以接收客户端在识别出恶意软件后发送的第一信息,云端根据该第一信息进行误报的判断,并将判断结果反馈给客户端。因此,客户端可以及时获知是否存在误报,进而可以及时解除误报。
[0191]相关技术中,杀毒厂商需要根据各用户反馈的误报情况,从这些反馈中筛选出相对紧急重要误报进行优先处理。由于用户反馈误报的及时性不够,就会造成不能及时处理紧急重要误报,延误紧急重要误报。为此,如图13所示,本发明还提供一种实施例,以解决相关技术中存在的延误紧急重要误报的问题。
[0192]图13为本发明实施例提供的另一种误报检测装置的结构示意图,该装置在图11所述的基础上,还包括区分模块115和更新模块116。
[0193]区分模块115用于区分紧急误报和非紧急误报;
[0194]其中,云端可以设置恶意软件信息库,用于记录根据各个客户端反馈的第一信息得到的统计信息,例如,可以得到针对感染同一个恶意软件的客户端的数量,进而,云端可以根据该统计信息进行区分;和/或,
[0195]云端可以设置用户反馈误报信息库,其中记录各用户反馈的误报情况,例如,根据用户反馈的误报情况也可以得到感染同一个恶意软件的客户端的数量,进而,云端可以根据该用户数量进行区分。或者,用户可以反馈识别出的恶意软件的性质,根据该性质进行区分。
[0196]即区分模块可以包括:
[0197]第一单元,用于对各个客户端发送到第一信息进行统计,根据统计结果区分紧急误报和非紧急误报;和/或,
[0198]第二单元,用于获取用户反馈的误报情况,根据用户反馈的误报情况区分紧急误报和非紧急误报。
[0199]进一步的,所述第一信息中包含识别出的恶意软件的信息以及客户端的信息,所述第一单元具体用于:
[0200]根据各个客户端发送的第一信息,确定识别出同一恶意软件的客户端的数量;
[0201]在所述数量大于预设的阈值时,确定对所述恶意软件的识别为紧急误报。
[0202]一个实施例中,所述第二单元具体用于:
[0203]获取各用户反馈的误报情况,确定反馈同一恶意软件的用户数量;
[0204]在所述用户数量大于预设的阈值时,确定对所述恶意软件的识别为紧急误报。
[0205]其中,上述预设的阈值可以是10万户/每天。
[0206]一个实施例中,所述第二单元具体用于:根据用户反馈的误报的软件性质,区分紧急误报和非紧急误报。
[0207]进一步的,所述第二单元具体用于:在所述用户反馈的误报的软件是系统运行必需软件时,将对所述系统运行必需软件的误报确定为紧急误报。
[0208]系统运行必需软件例如为windows系统文件。
[0209]更新模块116用于优先核实所述紧急误报,并在核实后,将所述紧急误报对应的规则更新到所述误报判定规则库中。
[0210]其中,可以根据静态代码分析,和/或,动态行为分析,核实是否为误报。
[0211]例如,编写一段静态代码,该静态代码可以获取一定时间段内感染同一恶意软件的范围,如果该范围超出预设值,则可以核实为误报;或者,通过动态行为获取一定时间段内增加的感染同一恶意软件的用户数量,如果该数量超出预算值,则可以核实为误报。这是由于感染范围很大或者感染量增加很快通常不会是病毒,当然,这种情况也可能是病毒大规模爆发,为此,之后还可以进行进一步的核实,具体内容可以采用相关技术中病毒核实的流程,本实施例不再赘述。
[0212]本实施例中由于云端拥有所有客户端识别出的恶意软件的信息,可以在没有用户反馈或者用户未及时反馈的情况下,根据客户端上报的第一信息进行分析,及时区分出紧急误报,避免对紧急误报的延迟。
[0213]图14为本发明实施例提供的一种误报检测系统的结构示意图,该系统140包括客户端装置141和云端装置142。
[0214]客户端装置141可以如图7至图10任一所述,云端装置142可以如图11至图13任一所述。在此不再赘述。
[0215]本实施例的客户端通过在识别出恶意软件后不是直接作为恶意软件进行处理,而是向云端发送识别出恶意软件时的第一信息,以便云端根据该第一信息判断是否为误报,一方面可以使得云端及时获知是否存在误报,另一方面客户端通过接收云端的判断结果也可以及时获知是否存在误报,而不再需要等待杀毒软件升级后才能确定误报。因此,本实施例提高了云端和客户端获知误报的及时性。另外,客户端由于在识别出恶意软件后会向云端查询,并获知是否误报的判断结果,因此客户端无需升级软件就可以及时获知误报,避免需要升级导致的延迟问题。本实施例的云端可以接收客户端在识别出恶意软件后发送的第一信息,云端根据该第一信息进行误报的判断,并将判断结果反馈给客户端。因此,客户端可以及时获知是否存在误报,进而可以及时解除误