[0292]云端可以设置用户反馈误报信息库,其中记录各用户反馈的误报情况,例如,根据用户反馈的误报情况也可以得到感染同一个恶意软件的客户端的数量,进而,云端可以根据该用户数量进行区分。或者,用户可以反馈识别出的恶意软件的性质,根据该性质进行区分。
[0293]即S65’可以具体包括:
[0294]对各个客户端发送到第一信息进行统计,根据统计结果区分紧急误报和非紧急误报;和/或,
[0295]获取用户反馈的误报情况,根据用户反馈的误报情况区分紧急误报和非紧急误报。
[0296]进一步的,所述第一信息中包含识别出的恶意软件的信息以及客户端的信息,所述对各个客户端发送到第一信息进行统计,根据统计结果区分紧急误报和非紧急误报,包括:
[0297]根据各个客户端发送的第一信息,确定识别出同一恶意软件的客户端的数量;
[0298]在所述数量大于预设的阈值时,确定对所述恶意软件的识别为紧急误报。
[0299]其中,该预设的阈值可以是10万户/每天。
[0300]另一实施例中,所述获取用户反馈的误报情况,根据用户反馈的误报情况区分紧急误报和非紧急误报,包括:
[0301]获取各用户反馈的误报情况,确定反馈同一恶意软件的用户数量;
[0302]在所述用户数量大于预设的阈值时,确定对所述恶意软件的识别为紧急误报。
[0303]其中,该预设的阈值也可以是10万户/每天。
[0304]另一实施例中,所述获取用户反馈的误报情况,根据用户反馈的误报情况区分紧急误报和非紧急误报,包括:
[0305]根据用户反馈的误报的软件性质,区分紧急误报和非紧急误报。
[0306]具体可以是,所述根据用户反馈的误报的软件性质,区分紧急误报和非紧急误报,包括:
[0307]在所述用户反馈的误报的软件是系统运行必需软件时,将对所述系统运行必需软件的误报确定为紧急误报。
[0308]系统运行必需软件例如为windows系统文件。
[0309]S66’:云端优先核实所述紧急误报,并在核实后,将所述紧急误报对应的规则更新到所述误报判定规则库中。
[0310]其中,可以根据静态代码分析,和/或,动态行为分析,核实是否为误报。
[0311]例如,编写一段静态代码,该静态代码可以获取一定时间段内感染同一恶意软件的范围,如果该范围超出预设值,则可以核实为误报;或者,通过动态行为获取一定时间段内增加的感染同一恶意软件的用户数量,如果该数量超出预算值,则可以核实为误报。这是由于感染范围很大或者感染量增加很快通常不会是病毒,当然,这种情况也可能是病毒大规模爆发,为此,之后还可以进行进一步的核实,具体内容可以采用相关技术中病毒核实的流程,本实施例不再赘述。
[0312]在核实为误报后,可以将此时客户端识别出恶意软件时发送的第一信息更新到误报判断规则库中,以便后续检测作为参考。
[0313]例如,原来的误报判断规则库中的哈希值不包括y,而经过核实哈希值为I的软件为误报,那么可以将I更新到误报判断规则库中,当下次客户端识别出的恶意软件的哈希值为I后,根据该更新后的误报判断规则库就可以确定其为误报。
[0314]本实施例中由于云端拥有所有客户端识别出的恶意软件的信息,可以在没有用户反馈或者用户未及时反馈的情况下,根据客户端上报的第一信息进行分析,及时区分出紧急误报,避免对紧急误报的延迟。
[0315]应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
[0316]本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
[0317]此外,在本发明各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
[0318]上述提到的存储介质可以是只读存储器,磁盘或光盘等。
[0319]在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
[0320]尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同限定。
【主权项】
1.一种误报检测方法,其特征在于,包括: 接收客户端发送的第一信息,所述第一信息是所述客户端识别出恶意软件时获取的信息; 根据所述第一信息判断所述客户端对所述恶意软件的识别是否为误报; 将判断结果发送给所述客户端,以使所述客户端根据所述判断结果确定是否存在误报。2.根据权利要求1所述的方法,其特征在于,还包括: 设置误报判定规则库,所述误报判定规则库中记录属于误报的规则; 所述根据所述第一信息判断所述客户端对所述恶意软件的识别是否为误报,包括: 在所述第一信息满足所述误报判定规则库中记录的规则时,确定对所述恶意软件的识别为误报。3.根据权利要求2所述的方法,其特征在于,所述第一信息和/或所述属于误报的规贝U,包括如下项中的至少一项: 所述恶意软件的哈希值; 识别所述恶意软件的本地引擎信息; 所述恶意软件的特征信息; 所述恶意软件所在客户端的不可逆的唯一用户标识。4.根据权利要求2所述的方法,其特征在于,所述第一信息满足所述误报判定规则中记录的规则,包括: 当所述第一信息与所述属于误报的规则相同时,确定所述第一信息满足所述误报判断规则库中记录的规则。5.根据权利要求1至4任一项所述的方法,其特征在于,还包括: 区分紧急误报和非紧急误报; 对所述紧急误报进行优先核实是否为误报并在核实为误报后,将所述紧急误报对应的规则更新到所述误报判定规则库中。6.根据权利要求5所述的方法,其特征在于,所述核实是否为误报,包括: 根据静态代码分析,和/或,动态行为分析,进行核实是否为误报。7.根据权利要求5所述的方法,其特征在于,所述区分紧急误报和非紧急误报,包括: 对各个客户端发送的第一信息进行统计,根据统计结果区分紧急误报和非紧急误报;和/或, 获取用户反馈的误报情况,根据用户反馈的误报情况区分紧急误报和非紧急误报。8.根据权利要求7所述的方法,其特征在于,所述第一信息中包含识别出的恶意软件的信息以及客户端的信息,所述对各个客户端发送到第一信息进行统计,根据统计结果区分紧急误报和非紧急误报,包括: 根据各个客户端发送的第一信息,确定识别出同一恶意软件的客户端的数量; 在所述数量大于预设的阈值时,确定对所述恶意软件的识别为紧急误报9.根据权利要求7所述的方法,其特征在于,所述获取用户反馈的误报情况,根据用户反馈的误报情况区分紧急误报和非紧急误报,包括: 获取各用户反馈的误报情况,确定反馈同一恶意软件的用户数量; 在所述用户数量大于预设的阈值时,确定对所述恶意软件的识别为紧急误报。10.根据权利要求7所述的方法,其特征在于,所述获取用户反馈的误报情况,根据用户反馈的误报情况区分紧急误报和非紧急误报,包括: 根据用户反馈的误报的软件性质,区分紧急误报和非紧急误报。11.根据权利要求7所述的方法,其特征在于,所述根据用户反馈的误报的软件性质,区分紧急误报和非紧急误报,包括: 在所述用户反馈的误报的软件是系统运行必需软件时,将对所述系统运行必需软件的误报确定为紧急误报。12.一种误报检测装置,其特征在于,包括: 接收模块,用于接收客户端发送的第一信息,所述第一信息是所述客户端识别出的恶意软件的信息; 判断模块,用于根据所述接收模块接收的所述第一信息判断所述客户端对所述恶意软件的识别是否为误报; 发送模块,用于将所述判断模块得到的判断结果发送给所述客户端,以使所述客户端根据所述判断结果确定是否存在误报。13.根据权利要求12所述的装置,其特征在于,还包括: 设置模块,用于设置误报判定规则库,所述误报判定规则库中记录属于误报的规则;所述判断模块具体用于在所述第一信息满足所述误报判定规则库中记录的规则时,确定对所述恶意软件的识别为误报。14.根据权利要求13所述的装置,其特征在于,所述第一信息和/或所述属于误报的规贝U,包括如下项中的至少一项: 所述恶意软件的哈希值; 识别所述恶意软件的本地引擎信息; 所述恶意软件的特征信息; 所述恶意软件所在客户端的不可逆的唯一用户标识。15.根据权利要求14所述的装置,其特征在于,所述判断模块具体用于: 当所述第一信息与所述属于误报的规则相同时,确定对所述恶意软件的识别为误报。16.根据权利要求12至15任一项所述的装置,其特征在于,还包括: 区分模块,用于区分紧急误报和非紧急误报; 更新模块,用于对所述紧急误报进行优先核实是否为误报,并在核实为误报后,将所述紧急误报对应的规则更新到所述误报判定规则库中。17.根据权利要求16所述的装置,其特征在于,所述更新模块具体用于: 根据静态代码分析,和/或,动态行为分析,进行核实是否为误报。18.根据权利要求16所述的装置,其特征在于,所述区分模块包括: 第一单元,用于对各个客户端发送到第一信息进行统计,根据统计结果区分紧急误报和非紧急误报;和/或, 第二单元,用于获取用户反馈的误报情况,根据用户反馈的误报情况区分紧急误报和非紧急误报。19.根据权利要求18所述的装置,其特征在于,所述第一信息中包含识别出的恶意软件的信息以及客户端的信息,所述第一单元具体用于: 根据各个客户端发送的第一信息,确定识别出同一恶意软件的客户端的数量; 在所述数量大于预设的阈值时,确定对所述恶意软件的识别为紧急误报。20.根据权利要求18所述的装置,其特征在于,所述第二单元具体用于: 获取各用户反馈的误报情况,确定反馈同一恶意软件的用户数量; 在所述用户数量大于预设的阈值时,确定对所述恶意软件的识别为紧急误报。21.根据权利要求18所述的装置,其特征在于,所述第二单元具体用于: 根据用户反馈的误报的软件性质,区分紧急误报和非紧急误报。22.根据权利要求21所述的装置,其特征在于,所述第二单元具体用于: 在所述用户反馈的误报的软件是系统运行必需软件时,将对所述系统运行必需软件的误报确定为紧急误报。
【专利摘要】本发明提出一种误报检测方法和装置,该误报检测方法包括接收客户端发送的第一信息,所述第一信息是所述客户端识别出恶意软件时获取的信息;根据所述第一信息判断所述客户端对所述恶意软件的识别是否为误报;将判断结果发送给所述客户端,以使所述客户端根据所述判断结果确定是否存在误报。该方法能够在云端根据客户端识别出的恶意软件的第一信息进行误报的判断,不依赖用户主动上报误报情况,可以及时检测出误报。
【IPC分类】H04L29/06, H04L12/26
【公开号】CN105099797
【申请号】CN201410166520
【发明人】陈勇, 赵闽, 朱文祥
【申请人】珠海市君天电子科技有限公司
【公开日】2015年11月25日
【申请日】2014年4月21日