报。
[0216]本发明实施例还提供了一种客户端设备,该客户端设备包括壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为客户端设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,以用于执行以下步骤:
[0217]SlT:识别恶意软件。
[0218]可以理解的是,相关技术中,客户端也可以识别出恶意软件,因此,本领域技术人员可以获知具体的客户端如何实现恶意软件的识别,本发明实施例不再赘述。
[0219]相关技术中,客户端在识别出恶意软件后直接按照恶意软件处理流程进行处理,但是,客户端识别出的恶意软件有可能是正常软件,也就是产生了误报。相关技术中,误报需要用户通过客户端上报给服务器端。为了使云端及时获知误报,本发明实施例的误报检测方法在识别出恶意软件之后,还包括:
[0220]S12’:获取所述识别恶意软件时的第一信息,并将所述第一信息发送给云端,以使所述云端根据所述第一信息判断对所述恶意软件的识别是否为误报。
[0221]所述第一信息包括如下项中的至少一项:
[0222]所述恶意软件的哈希(hash)值;
[0223]识别所述恶意软件的本地引擎信息;
[0224]所述恶意软件的特征信息;
[0225]所述恶意软件所在客户端的不可逆的唯一用户标识(Universally UniqueIdentifier, UUID)。
[0226]其中,恶意软件的哈希值可以是对恶意软件的二进制文件进行哈希运算后得到的,哈希算法包括但不限于:消息摘要算法第五版(Message Digest Algorithm,MD5)、循环冗余校验码(Cyclic Redundancy Check, CRC)、安全哈希算法(Secure Hash Algorithm,shal)等。
[0227]本地弓I擎信息可以是对本地弓I擎进行识别后获取的,本地引擎信息包括:引擎名,和/或,命中规则标识(ID)等。
[0228]恶意软件的特征信息可以是对恶意软件的二进制文件进行解析后获取的,恶意软件的特征信息包括如下项中的至少一项:文件路径、文件类型、文件大小等。
[0229]UUID可以是对恶意软件所在客户端的识别获取的。
[0230]S13’:接收所述云端发送的判断结果,根据所述判断结果确定是否存在误报。
[0231]例如,在判断结果表明为误报时,客户端可以确定存在误报;在判断结果表明为非误报时,客户端可以确定不存在误报。
[0232]本实施例的客户端通过在识别出恶意软件后不是直接作为恶意软件进行处理,而是向云端发送识别出的恶意软件的第一信息,以便云端根据该第一信息判断是否为误报,可以使得云端及时获知是否存在误报。
[0233]相关技术中,由服务器端升级杀毒软件版本,并且客户端升级后才可以获知误报。而本实施例的客户端通过接收云端的判断结果可以及时获知是否存在误报,而不再需要等待杀毒软件升级后才能确定误报。因此,本实施例提高了云端和客户端获知误报的及时性。另外,客户端由于在识别出恶意软件后会向云端查询,并获知是否误报的判断结果,因此客户端无需升级软件就可以及时获知误报,避免需要升级导致的延迟问题。
[0234]在一个实施例中,处理器还可以执行如下步骤:
[0235]S14’:在所述判断结果表明为误报时,对所述识别出的恶意软件不作为恶意软件进行处理。
[0236]也就是说,识别出的恶意软件为正常软件,不进行杀毒处理。或者,
[0237]S15’:在所述判断结果表明为非误报时,对所述识别出的恶意软件作为恶意软件进行处理。
[0238]也就是说,识别出的恶意软件不是正常软件,需要进行杀毒处理。
[0239]本实施例通过根据判断结果进行处理,可以在存在误报时及时解除误报。
[0240]在一个实施例中,处理器还可以执行如下步骤:
[0241]S31’:在确定存在误报时,将第一信息记录在误报列表中。
[0242]例如,确定存在误报时的第一信息为哈希值_1,那么可以记录哈希值_1,当下次识别出的恶意软件为哈希值_1时,可以直接确定为误报。例如,确定存在误报时的第一信息为哈希值_1,那么可以在误报列表中记录哈希值_1。
[0243]S32’:下次识别出的恶意软件时,查找误报列表,判断下次识别出恶意软件时的信息是否记录在误报列表中,如果在,则执行S33,否则执行S34。
[0244]例如,下次识别出恶意软件时,也可以获取此时的恶意软件的信息,例如,获取此时的恶意软件的哈希值。
[0245]S33’:直接将该次的恶意软件的识别确定为误报。
[0246]例如,S32’中识别出的恶意软件的哈希值为哈希值_1,由于哈希值_1记录在误报列表中,则将该次的恶意软件的识别确定为误报,不需要再向云端进行判断。
[0247]S34’:将该次的恶意软件的识别时的信息发送给云端,由云端进行判断,并接收云端发送的判断结果。
[0248]例如,S32’中获取的信息是哈希值_3,由于其不在误报列表中,可以将该哈希值_3发送给云端,由云端进行是否误报的判断。
[0249]进一步的,假设云端反馈的结果是误报,那么也可以把该哈希值_3也记录在误报列表中,以供后续检测查找。
[0250]本实施例以客户端获知误报后,记录第一信息,以供后续检测参考。
[0251]可以理解的是,客户端在获知误报后还可以进行其他操作,例如,客户端在确定存在误报时,进行软件升级处理。
[0252]相关技术中,由于升级依赖用户的自主性或者杀毒软件设定的升级日期,因此在误报发生时并不能及时升级,会造成误报不能及时解除。而本实施例通过在发生误报后就进行软件升级,可以及时升级软件,进而及时解决误报。
[0253]本实施例通过在获知存在误报时,将误报时的信息进行记录,可以为后续检测提供基础,避免每次都去云端查询,可以降低资源开销。
[0254]本发明实施例还提供了一种云端设备,该云端设备包括壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为云端设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,以用于执行以下步骤:
[0255]S41’:接收客户端发送的第一信息,所述第一信息是所述客户端识别出恶意软件时获取的信息;
[0256]所述第一信息包括如下项中的至少一项:
[0257]所述恶意软件的哈希(hash)值;
[0258]识别所述恶意软件的本地引擎信息;
[0259]所述恶意软件的特征信息;
[0260]所述恶意软件所在客户端的不可逆的唯一用户标识(Universally UniqueIdentifier, UUID)。
[0261]其中,恶意软件的哈希值可以是对恶意软件的二进制文件进行哈希运算后得到的,哈希算法包括但不限于:消息摘要算法第五版(Message Digest Algorithm,MD5)、循环冗余校验码(Cyclic Redundancy Check, CRC)、安全哈希算法(Secure Hash Algorithm,shal)等。
[0262]本地引擎信息可以是对本地引擎进行识别后获取的,本地引擎信息包括:引擎名,和/或,命中规则标识(ID)等。
[0263]恶意软件的特征信息可以是对恶意软件的二进制文件进行解析后获取的,恶意软件的特征信息包括如下项中的至少一项:文件路径、文件类型、文件大小等。
[0264]UUID可以是对恶意软件所在客户端的识别获取的。
[0265]S42’:根据所述第一信息判断所述客户端对所述恶意软件的识别是否为误报;
[0266]可选的,在云端设置有误报判定规则库,以便进行上述的误报判定。
[0267]S43’:将判断结果发送给所述客户端,以使所述客户端根据所述判断结果确定是否存在误报。如上述实施例,客户端在收到判断结果后,可以根据判断结果确定是否存在误报,进而可以进行相应处理。具体内容可以参照上述实施例,在此不再赘述。
[0268]一个实施例中,处理器具体用于执行如下步骤:
[0269]S51’:接收客户端发送的第一信息,所述第一信息是所述客户端识别出恶意软件时获取的信息。
[0270]具体内容可以参见S41’,在此不再赘述。
[0271]S52’:设置误报判定规则库,所述误报判定规则库中记录属于误报的规则。
[0272]例如,误报规则库中可以记录当恶意软件的哈希值为设定的某个哈希值时,则为误报;和/或,当本地引擎信息为设定的某个本地引擎信息时,为误报等。
[0273]S53’:在所述第一信息满足所述误报判定规则中记录的规则时,确定对所述恶意软件的识别为误报。
[0274]其中,所述第一信息和/或所述属于误报的规则,包括如下项中的至少一项:
[0275]所述恶意软件的哈希值;
[0276]识别所述恶意软件的本地引擎信息;
[0277]所述恶意软件的特征信息;
[0278]所述恶意软件所在客户端的不可逆的唯一用户标识。
[0279]相应的,当所述第一信息与所述属于误报的规则相同时,确定所述第一信息满足所述误报判断规则中记录的规则。
[0280]例如,误报判断规则库中记录:本地引擎A的al规则识别的文件为误报,那么,当云端接收的客户端上报的第一信息包括本地引擎信息,本地引擎信息包括引擎号和命中规则标识,且引擎号为A,命中规则标识为al时,则确定此时客户端对恶意软件的识别为误报。或者,误报判断规则库中记录:哈希值为X的文件为误报,那么,当云端接收的客户端上报的第一信息包括识别出的恶意软件的哈希值,且该哈希值为X时,则确定此时客户端对恶意软件的识别为误报。
[0281]S54’:将判断结果发送给所述客户端,以使所述客户端根据所述判断结果确定是否存在误报。如上述实施例,客户端在收到判断结果后,可以根据判断结果确定是否存在误报,进而可以进行相应处理。具体内容可以参照上述实施例,在此不再赘述。
[0282]本实施例的云端可以接收客户端在识别出恶意软件后发送的第一信息,云端根据该第一信息进行误报的判断,并将判断结果反馈给客户端。因此,客户端可以及时获知是否存在误报,进而可以及时解除误报。
[0283]相关技术中,杀毒厂商需要根据各用户反馈的误报情况,从这些反馈中筛选出相对紧急重要误报进行优先处理。由于用户反馈误报的及时性不够,就会造成不能及时处理紧急重要误报,延误紧急重要误报。为此,本发明还提供一种实施例,以解决相关技术中存在的延误紧急重要误报的问题。
[0284]一个实施例中,处理器具体用于执行如下步骤:
[0285]S61’:云端接收客户端发送的第一信息,所述第一信息是所述客户端识别出恶意软件时获取的信息;
[0286]S62’:云端设置误报判定规则库,所述误报判定规则库中记录属于误报的规则;
[0287]S63’:云端在所述第一信息满足所述误报判定规则中记录的规则时,确定对所述恶意软件的识别为误报。
[0288]S64’:云端将判断结果发送给所述客户端,以使所述客户端根据所述判断结果确定是否存在误报。
[0289]具体内容可以参见S51’?S54’,在此不再赘述。
[0290]S65’:云端区分紧急误报和非紧急误报;
[0291]其中,云端可以设置恶意软件信息库,用于记录根据各个客户端反馈的第一信息得到的统计信息,例如,可以得到针对感染同一个恶意软件的客户端的数量,进而,云端可以根据该统计信息进行区分;和/或,