专利名称:提供基于片上系统的反恶意软件服务的装置和方法
技术领域:
与示例性实施例一致的方法和设备涉及一种提供基于片上系统(SOC)的反恶意软件服务的装置和方法以及接口方法。
背景技术:
恶意软件是指干扰系统操作或将系统暴露给像病毒、广告软件、间谍软件或特洛伊木马一样的危险的软件或代码。恶意软件以各种方式感染系统。例如,仅通过打开电子邮件或访问特定网站,系统就会被恶意软件感染。反恶意软件系统是指防止可能由恶意软件引起的损坏和修理损坏的系统,反恶意软件系统包括防火墙或病毒扫描引擎。随着通信技术的发展,出现了新的恶意软件,并且现有的恶意软件变得多样化。因此,反恶意软件系统应该检测除了现有的恶意软件之外的新的恶意软件,因此需要以高速来操作。具体地讲,具有有限资源的移动装置需要能够使用少量资源高速检测恶意软件的反恶意软件系统。
发明内容
一个或多个示例性实施例可克服上述缺点或以上未描述的其他缺点。然而,应该理解,一个或多个示例性实施例不需要克服上述缺点,可以不克服上述任何问题。—个或多个示例性实施例提供一种提供基于片上系统(SOC)的反恶意软件服务的装置和方法,所述装置和方法能够高速执行病毒扫描操作和包数据过滤。一个或多个示例性实施例还提供一种在SOC和提供反恶意软件服务的装置之间进行接口连接的方法。一个或多个示例性实施例还提供一种用于反恶意软件SOC的接口,通过该接口, 反恶意软件SOC被专门使用,单独的恶意软件检测引擎被添加到应用终端,作为能够与反恶意软件SOC —起处理各种病毒的多引擎,并且高负担的工作通过SOC被执行,从而诸如电池、中央处理单元(CPU)或存储器的资源的使用被最小化。此外,通过应用终端和SOC终端执行安全工作,可提供更安全的安全解决方案。根据示例性实施例的一方面,提供一种安装有提供反恶意软件服务的片上系统 (SOC)的装置,所述装置包括存储单元,存储作为为了提供反恶意软件服务的SOC使用而提供的操作的集合的函数库;扫描数据发送器,通过调用至少一个操作来形成具有将被扫描病毒的扫描数据的SOC传输数据,并将SOC传输数据发送到S0C,其中,在SOC中执行与病毒扫描、包数据过滤、病毒模式DB更新、规则模式DB更新、加密和解密、以及哈希值计算中的至少一个有关的操作。根据另一示例性实施例的一方面,提供一种提供装置的基于SOC的反恶意软件服务的方法,所述方法包括由所述装置形成包括指示反恶意软件服务的类型的项和命令的 SOC传输数据;由所述装置将SOC传输数据发送到S0C,其中,SOC根据包括在SOC传输数据中的命令执行病毒扫描操作或包过滤操作。根据另一示例性实施例的一方面,提供一种基于SOC的反恶意软件服务的方法, 所述方法包括将作为用于SOC的操作的集合的函数库存储在安装SOC的装置中;由所述装置通过调用包括在函数库中的至少一个操作来形成具有将被扫描病毒的扫描数据的SOC 传输数据;由所述装置将用于扫描数据的SOC传输数据发送到S0C,其中,在SOC中执行与病毒扫描、包数据过滤、病毒模式DB更新和规则模式DB更新中的至少一个有关的操作。根据一个或多个示例性实施例,高速执行病毒扫描操作和包数据过滤。例如,根据示例性实施例的具有有限资源的移动装置可通过消耗少量资源,高速对文件扫描病毒和过滤包。根据一个或多个示例性实施例,提供反恶意软件系统的SOC与装置可以接口连接。示例性实施例的另外的方面和优点将在详细的描述中被阐述,从详细的描述中将是明显的,或者可通过实施示例性实施例被了解。
通过参照附图详细描述示例性实施例,以上和/或其他方面将会更清楚,其中图1是示出根据示例性实施例的装置的框图;图2是解释图1的装置的操作的框图;图3是解释图1的装置的操作的框图;图4是示出根据另一示例性实施例的装置的框图;图5是示出根据另一示例性实施例的装置的框图;图6是示出根据另一示例性实施例的装置的框图;图7是示出根据另一示例性实施例的装置的框图;图8是解释根据示例性实施例的反病毒(AV)用户接口(UI)的示图;图9是解释根据示例性实施例的防火墙(FW)UI的示图;图10是解释根据示例性实施例的AV UI和FW UI的更新操作的示图;图11是示出根据示例性实施例的片上系统(SOC)传输数据的示图;图12是示出根据示例性实施例的提供反恶意软件服务的方法的流程图;图13是示出根据示例性实施例的AV UI的操作的流程图;图14是示出根据示例性实施例的FW UI的操作的流程图;图15至图20是解释根据示例性实施例的SOC的效果的示图。
具体实施例方式现在将参照附图更全面地描述示例性实施例,以澄清多个方面、特征和优点。然而,可以以许多不同形式实现该发明构思,并且该发明构思不应被解释为限制于这里阐述的示例性实施例。相反,提供这些示例性实施例以使本公开将是彻底和完整的,并将示例性实施例的范围全面地传达给本领域普通技术人员。应该理解,当元件、层或区域被称作在另一元件、层或区域“上”时,该元件、层或区域可以直接在另一元件、层或区域上,或者可以插入元件、层或区域。这里使用的术语仅为了描述特定示例性实施例的目的,而不意图限制发明构思。 如这里所使用的,除非上下文另外明确指出,否则单数形式也意图包括复数形式。还应理解的是,当在本说明书中使用术语“包含”和/或“包括”时,说明存在所述特征、整体、步骤、操作、层、区域、元件、组件和/或它们的组,但不排除存在或附加一个或多个其他特征、整体、 步骤、操作、层、元件、组件和/或它们的组。如在这里使用的,术语“和/或”包括一个或多个相关所列项的任意组合和所有组合。当发明构思考虑各种改变和示例性实施例时,特定示例性实施例将在附图中被示出,并且所书写的说明书中被详细地描述。然而,这不是意在将本发明构思限制在特定实施模式中,而应该理解,不脱离本发明构思的精神和技术范围的所有改变、等同物和替换物被包含在本发明构思中。在示例性实施例的描述中,当认为现有技术会不必要地混淆发明构思的本质时,将省略现有技术的特定详细解释。图1是示出根据示例性实施例的安装了用于提供反恶意软件服务的片上系统 (SOC)的装置100的框图。参照图1,根据示例性实施例的装置100包括操作系统(OS) 110、反恶意软件系统 120(以下称为“AM系统”),提供反恶意软件服务;存储单元130,存储数据;应用程序120, 与反恶意软件服务相关。在本示例性实施例中,虽然没有示出,但是装置100还可包括用于执行上述元件的操作的中央处理单元(CPU),总线(BUS)、存储器和另一存储单元。例如,诸如应用程序或操作系统的程序可存储在特定存储单元(诸如硬盘驱动器(HDD)或非易失性存储器)中, 并且可在CPU的控制下被载入到主存储器,以便被操作。因为程序在CPU的控制下被载入到存储器并被操作是公知的,所以当以下解释程序的操作时,将省略其操作原理。此外,虽然包括诸如存储程序的存储单元、处理器和存储器的硬件,但是为了便于理解,在附图中没有示出该硬件。AM系统120可执行病毒扫描操作和/或包数据过滤操作,并且可实现为S0C,从而 AM系统120可安装在可网络通信的装置中,例如台式机、膝上型电脑、智能电话和平板个人计算机。AM系统120从装置100接收将被扫描病毒的数据(以下称为“扫描数据”),扫描在扫描数据中是否存在病毒,并向装置100通知扫描结果。AM系统120存储病毒模式数据库(DB)并使用病毒模式DB执行病毒扫描操作。AM 系统120从装置100接收用于更新病毒模式DB的数据,并使用接收的数据更新预存的病毒模式DB。在本说明书以及权利要求书中,术语“病毒”是指危害装置100的操作的所有类型的恶意软件,诸如恶意代码、特洛伊木马、间谍软件、广告软件和现有技术公知的其他恶意软件数据。AM系统120通过将过滤规则应用于包数据来确定是让包数据“通过”还是“阻止”包数据,并根据确定结果执行让包数据通过或阻止包数据的过滤操作。AM系统120过滤的包数据是AM系统120已经从装置100接收的数据或者从外部源直接接收的数据。AM系统 120存储规则模式DB并使用规则模式DB执行过滤操作。AM系统120从装置100接收用于更新规则模式DB的数据,并使用接收的数据更新预存的规则模式DB。AM系统120可包括用于与SOC驱动器交换数据的应用程序处理器驱动器(以下, 称为AP处理器)。根据示例性实施例,SOC驱动器包括用于交换SOC传输数据的驱动器和用于交换包数据的驱动器。应用程序102包括以下应用程序中的至少一个用于提供与AM系统120的病毒扫描操作有关的用户接口的应用程序(以下称为反病毒(AV)用户接口(UI)应用程序)、用于提供与AM系统120的过滤操作有关的用户接口的应用程序(以下称为防火墙(FW)UI应用程序)、以及使用将被过滤的包数据的应用程序(诸如web浏览器或网络应用程序)。AV UI应用程序可从用户接收关于病毒扫描操作的命令,并可接收通过AM系统 120的病毒扫描的结果并将结果显示给用户。此外,AV UI应用程序可从用户接收关于病毒扫描操作的扫描时间表并存储扫描时间表。因此,AV UI应用程序可参考装置100存储的扫描时间表,并可根据扫描时间表指示AM系统120执行扫描操作。此外,AV UI应用程序可更新病毒模式DB。例如,AV UI应用程序参考预存的更新时间表,根据更新时间表从更新服务器请求并接收用于更新的病毒模式DB,并将用于更新的病毒模式DB发送到AM系统120。FW UI应用程序可提供FW操作操作、FW停止操作、规则添加操作、规则改变操作、 特定规则移除操作、全部规则移除操作、规则状态显示操作、输出应用于每个规则的包日志的操作、以及基本规则设置改变操作。例如,Fff UI应用程序可从用户接收关于包数据过滤操作的规则,并可从AM系统 120接收包数据过滤的结果并将结果显示给用户。此外,FW UI应用程序更新规则模式DB。Web浏览器或网络应用程序(诸如FTP、信使或SNS软件)与服务器侧交换包数据。装置100的OS 110包括操作AM系统120的SOC驱动器。存储单元130可存储扫描数据。扫描数据包括例如执行文件、文档文件和数据文件,并且扫描数据是AM系统120扫描病毒的对象。存储单元130还可存储病毒扫描设置信息和过滤设置信息。病毒扫描设置信息包括病毒模式DB的更新时间表和扫描时间表中的至少一个,过滤设置信息包括关于用户输入的过滤规则的信息。存储单元130可存储从用户输入的过滤规则转换得到的规则列表。存储单元130可存储作为为了 AM系统120使用而提供的函数(S卩,操作)的集合的函数库。函数可与病毒扫描操作、包数据过滤操作、病毒模式DB更新操作、规则模式DB更新操作、加密操作、解密操作和哈希值计算操作中的至少一个有关。术语“与...有关”表示各个操作被直接或间接使用以执行上述操作。存储单元130是指,但不限于,记录介质,诸如HDD、固态驱动器(SSD)、存储器等。 此外,虽然在图1中示出了一个存储单元130,但是应该理解,另一示例性实施例不限于此, 根据另一示例性实施例,可包括两个或更多个记录介质。例如,存储单元130可包括用于存储扫描数据的第一存储单元、用于存储扫描设置信息和过滤设置信息的第二存储单元以及用于存储规则列表的第三存储单元。
网络接口卡(NIC) 121适用于将包数据发送到包数据网络或从包数据网络接收包数据,NIC 121作为AM系统120的一部分被安装在AM系统120中。例如,NIC 121可通过有线或无线LAN接收包数据,AM系统120过滤通过NIC 121接收的包数据并将过滤的包数据发送到SOC驱动器。虽然图1中没有示出,但是装置100还可包括通信接口单元(未示出),使用函数库来操作SOC ;协议单元(未示出),适用于通过通信接口单元与SOC交换操作命令和操作。图2是解释装置100的操作的框图。以下,将根据示例性实施例参照图2来解释病毒扫描操作。AV UI应用程序可指示AM系统120针对病毒扫描数据执行病毒扫描操作。例如, AV UI应用程序可从用户接收用于扫描的命令,或者可基于存储在存储单元130中的病毒扫描设置信息来指示AM系统120执行病毒扫描操作。根据示例性实施例,AV UI应用程序形成具有扫描数据的SOC传输数据,并将SOC 传输数据发送到SOC驱动器。SOC驱动器将从AV UI应用程序接收的SOC传输数据发送到 AP驱动器。其后,AM系统120针对包括在由AP驱动器接收的SOC传输数据中的扫描数据执行病毒扫描操作,并通过AP驱动器将病毒扫描操作的结果发送到SOC驱动器。SOC驱动器将病毒扫描操作的结果发送到AV UI应用程序,AV UI应用程序将病毒扫描操作的结果显示给用户。由AV UI应用程序形成的用于扫描数据的SOC传输数据可具有如图11所示的数据格式。具体地讲,SOC传输数据可包括指示命令类型的命令项、考虑潜在扩展的保留项、 数据大小项和数据项。扫描数据或更新数据被插入到数据项。根据示例性实施例,命令项指示将由AM系统120执行的操作的类型,并且还指示将由AM系统120执行的操作是病毒扫描操作还是过滤操作。例如,如果插入在命令项中的命令是1到100之一,则命令表示与病毒扫描有关的命令,如果插入在命令项中的命令是 101到200之一,则命令表示与过滤有关的命令。在这种情况下,命令指示将被执行的操作的类型,并且还指示操作是与过滤操作有关还是与病毒扫描操作有关。然而,命令可仅指示将由AM系统120执行的操作的类型,并且可单独设置指示操作是与病毒扫描操作有关还是与过滤操作有关的附加项。虽然应该理解,一个或多个其他示例性实施例不限于此,但是除非另外提及,否则本说明书中记载的“S0C传输数据”具有图11所示的格式。例如,用于病毒扫描的SOC传输数据包括用于执行病毒扫描操作的命令和扫描数据,并且用于更新的SOC传输数据包括用于更新的命令和将被更新的数据。AV UI应用程序可通过调用包括在存储单元130中存储的函数库中的至少一个操作来形成用于病毒扫描数据的SOC传输数据。参照图2,将解释更新存储在AM系统120中的病毒模式DB的操作。AV UI应用程序通过参照存储在存储单元130中的病毒扫描设置信息来确定是否到达更新病毒模式DB 的时间。如果确定已经到达更新病毒模式DB的时间,则AV UI应用程序请求更新服务器 (未示出)发送用于更新的病毒模式DB。当从更新服务器接收到用于更新的病毒模式DB时,AV UI应用程序通过从存储在存储单元130中的函数库的文件调用用于更新病毒模式 DB的操作来形成SOC传输数据。AV UI应用程序将用于病毒模式DB的SOC传输数据发送到SOC驱动器,SOC驱动器将该SOC传输数据发送到AP驱动器。AM系统120使用由AP驱动器接收的用于更新的病毒模式DB来更新预存的病毒模式DB。在本示例性实施例中,AV UI应用程序向更新服务器请求用于更新的病毒模式DB。 然而,这仅是示例,另一示例性实施例不限于此。例如,根据另一示例性实施例,如果不存在来自AV UI应用程序的请求,但是存在将被更新的病毒模式DB,则更新服务器可将用于更新的数据发送到AV UI应用程序。此外,在本示例性实施例中,除了用于更新的病毒模式DB之外,更新服务器可存储用于更新在AM系统120中操作的反病毒扫描引擎和防火墙引擎的数据。在这种情况下, AV UI应用程序从更新服务器接收用于更新反病毒扫描引擎和防火墙引擎的数据,并将用于更新的数据发送到AM系统120。参照图2,以下将解释更新存储在AM系统120中的规则模式DB的操作。FW UI应用程序从用户接收过滤规则,并将过滤规则存储在存储单元130中。其后,FW UI应用程序将存储在存储单元130中的规则转换为预定格式的规则列表,形成具有规则列表的SOC传输数据,并将该SOC传输数据发送到SOC驱动器。Fff UI应用程序可通过调用包括在存储单元130中存储的函数库中的操作来形成用于规则列表的SOC传输数据。SOC驱动器将用于规则列表的SOC传输数据发送到AP驱动器。AM系统120将规则列表转换为预定格式的模式DB,并使用转换的模式DB来更新预存的规则模式DB。图3是示出根据示例性实施例的图1的装置的操作的框图。参照图3,以下将解释包数据过滤操作。如果NIC 121接收到包数据,则AM系统120通过应用预存的规则模式 DB来确定是否让由NIC 121接收的包数据通过。如果AM系统120决定让包数据“通过”, 则AM系统120将由NIC 121接收的包数据发送到SOC驱动器,SOC驱动器将包数据发送到 web浏览器或网络应用程序,诸如FTP、信使或SNS软件。另一方面,如果AM系统120决定“阻止”包数据,则AM系统120不将由NIC 121接收的包数据发送到SOC驱动器,并删除包数据。在本示例性实施例中,AM系统120针对由NIC 121接收的包数据执行过滤操作。 然而,AM系统120可同时执行过滤操作和扫描操作。换句话说,AM系统120针对由NIC 121 接收的包数据执行过滤操作,同时执行扫描操作以确定包数据中是否存在病毒。当同时执行过滤操作和扫描操作时,如果包数据中存在病毒,则不管是否让包数据通过,AM系统120都不将包数据发送到SOC驱动器,并删除包数据。以下将参照图5详细解释同时执行过滤操作和扫描操作。以下解释涉及web浏览器或网络应用程序怎样将包数据发送到外部。在这种情况下,沿与图3的箭头方向相反的方向发送包数据。换句话说,如果web浏览器或网络应用程序将包数据发送到SOC驱动器,则AM系统120通过NIC 121将包数据发送到外部。图4是示出根据另一示例性实施例的装置100的框图。参照图4,装置100还包括 4G调制解调器111。装置100通过4G调制解调器111接收或发送包数据。在本示例性实施例中,4G调制解调器111通过移动通信的数据网络发送或接收
9包数据。4G调制解调器111用于移动通信,并且可以是作为4G通信技术之一的长期演进 (LTE)或WiBro/WiMAX终端调制解调器。因为可使用能够通过数据通信网络发送或接收包数据的任何调制解调器,所以根据另一示例性实施例,可以使用除了 4G调制解调器以外的数据网络调制解调器。如果4G调制解调器111接收到包数据,则SOC驱动器将包数据发送到AM系统120。 只要决定让包数据“通过”,AM系统120就过滤包数据并将包数据返回到SOC驱动器。其后, SOC驱动器将包数据发送到web浏览器或网络应用程序。在图4的示例性实施例中,AM系统120可针对通过4G调制解调器111接收的包数据同时执行过滤操作和扫描操作。4G调制解调器111可以是作为4G通信技术之一的LTE调制解调器。例如,4G调制解调器111可以接收并转换高质量移动图像数据。图5是示出根据另一示例性实施例的装置200的框图。在图5中,基于SOC实现的AM系统安装在装置200中。参照图5,装置200包括应用程序、反恶意软件SOC流接口驱动器211和反恶意软件SOC迷你端口驱动器217。装置200的应用程序包括反恶意软件UI应用程序210、web浏览器203和网络应用程序205。反恶意软件UI应用程序包括AV UI应用程序和FW UI应用程序,并且如果不需要区分AV UI应用程序和FW UI应用程序,则反恶意软件UI应用程序可被称为“AM UI 应用程序”。反恶意软件SOC流接口驱动器211(以下称为“流接口驱动器”)可从AM UI应用程序接收数据并将数据发送到反恶意软件SOC的AP驱动器221,或者可从AP驱动器221接收数据并将数据发送到AM UI应用程序。根据示例性实施例,流接口驱动器211可接收由AM UI应用程序产生的SOC传输数据,并将SOC传输数据发送到AP驱动器221。SOC传输数据可具有例如图11所示的格式, 并且可以是用于扫描数据的SOC传输数据、用于病毒模式DB的SOC传输数据或者用于规则列表的SOC传输数据。反恶意软件SOC迷你端口驱动器217 (以下称为“迷你端口驱动器”)可从FW应用程序(诸如web浏览器或网络应用程序)接收包数据并将包数据发送到AP驱动器221,或者可从AP驱动器221接收包数据并将包数据发送到FW应用程序。根据示例性实施例,迷你端口驱动器217可在将包数据发送到AP驱动器221之前执行用于每个进程的过滤操作。如果存在用户对每个进程设置的规则,则相应的规则被存储在由内核管理的区域中。如果迷你端口驱动器217从FW应用程序接收到包数据,则迷你端口驱动器217识别拥有者进程,并将用于每个进程的规则与拥有者进程比较,以确定是否让包数据通过。如果使用TCP/IP协议交换包数据,则装置200包括如图5所示的TCP/IP协议驱动器215。此外,如果装置200使用WINDOWS 0S,则装置200包括WinSock 213。TCP/IP协议驱动器215和WinSock 213的操作在现有技术中是公知的,因此这里将省略其详细解释。 如果装置200使用不同于TCP/IP协议的不同协议,则装置200可包括用于使用不同协议的驱动器。此外,如果装置200使用不同于WINDOWS OS的不同0S,则装置200可包括代替 WinSock 213的不同元件。
10
装置200可安装反恶意软件S0C,以执行病毒扫描操作和过滤操作。安装在装置200中的反恶意软件SOC包括AP驱动器221、反恶意软件管理器 223 (以下称为“AM管理器”)、反病毒管理器225 (以下称为“AV管理器”)、防火墙管理器 227(以下称为“FW管理器”)、反恶意软件引擎226(以下称为“AV引擎”)、病毒模式DB 222、 规则模式DB 224、防火墙引擎229(以下称为“FW引擎”)、NIC驱动器228以及NIC 231。AP驱动器221从流接口驱动器211或迷你端口驱动器217接收数据,如果从流接口驱动器211接收到数据,则AP驱动器221将该数据发送到AM管理器223,如果从迷你端口驱动器217接收到数据,则AP驱动器221将该数据发送到FW引擎229。 AM管理器223解析从AP驱动器221发送的数据,确定将数据发送到AV管理器225 和FW管理器227中的哪一个。例如,AM管理器223识别包括在SOC传输数据中的命令,并确定将数据发送到AV管理器225和FW管理器227中的哪一个。根据示例性实施例,包括在SOC传输数据中的命令指示命令是与扫描有关还是与过滤有关。AM管理器223不必识别命令具体指示何种操作,仅需识别命令是与扫描有关还是与过滤有关,并将数据发送到相应的元件。AV管理器225解析从AM管理器223发送的SOC传输数据,识别命令,并执行与命令相应的操作。例如,如果命令指示用于执行病毒扫描的指令,则AV管理器225指示AV引擎2 执行病毒扫描操作。AV引擎2 将病毒模式DB 222应用于包括在SOC传输数据中的扫描数据,并确定在扫描数据中是否存在病毒。AV引擎226向AV管理器225通知确定存在病毒的结果,AV管理器225向AM管理器223通知该结果,AM管理器223向AP驱动器221通知该结果,AP驱动器221向流接口驱动器211通知该结果,流接口驱动器211向AM UI应用程序201通知该结果。如果作为解析SOC传输数据的结果,命令与更新病毒模式DB有关,则AV管理器 225使用包括在SOC传输数据中的用于更新的病毒模式DB来更新预存的病毒模式DB 222。如果作为解析SOC传输数据的结果,命令与过滤有关,则AM管理器223将数据发送到FW管理器227。Fff管理器227解析SOC传输数据,识别命令,并执行与命令相应的操作。例如,如果命令与更新规则模式DB 2M有关,则FW管理器227将包括在SOC传输数据中的规则列表转换为规则模式,并使用转换的规则模式来更新预存的规则模式DB 224。如果AP驱动器221从迷你端口驱动器217接收到数据,则AP驱动器221将该数据发送到FW引擎229。FW引擎2 经过包验证处理,然后执行包过滤操作。例如,包验证处理用于阻止诸如同步泛滥(Syn flooding)的攻击。题为“Method jfor preventing a service rejection attack using TCP status shift”(使用 TCP 状态转换防止服务拒绝攻击的方法)的第10-806492号韩国专利公开了包验证处理的示例,该第10-806492号韩国专利在与本公开不相抵触的情况下包含在本说明书的范围内。只要作为包过滤操作的结果确定让数据“通过”,FW引擎2 就将从AP驱动器221 接收的数据发送NIC驱动器228。NIC驱动器2 将从FW引擎2 接收的数据发送到NIC 231。其后,NIC 231将数据发送到外部网络。另一方面,如果NIC 231从外部网络接收到包数据,则NIC驱动器2 将该包数据发送到FW引擎229。Fff引擎2 经过包验证处理,然后执行包过滤操作。在本示例性实施例中,FW引擎2 确定包数据是否包含将被扫描病毒的数据,如果确定包含将被扫描病毒的数据(诸如文件或脚本),则FW引擎229向AV引擎2 通知将对包数据执行病毒扫描。AV引擎2 从FW引擎2 接收包数据,并通过将病毒模式DB 222应用于接收的包数据来扫描在包数据中是否存在病毒,并向FW引擎2 通知扫描操作的结果。如果FW引擎2 被AV引擎2 通知在包数据中存在病毒,则FW引擎2 不将包数据发送到AP驱动器221,并删除(即,丢弃)包数据。只要作为包过滤操作的结果确定让包数据通过,并且如果确定在包数据中不存在病毒,FW引擎2 就将包数据发送到AP驱动器221。AP驱动器221将包数据发送到迷你端口驱动器217,然后包数据通过TCP/IP协议驱动器215被发送到FW驱动器。如上所述,在图5的示例性实施例中,AV引擎2 从AV管理器225接收将被扫描病毒的数据。然而,AV引擎2 可从FW引擎2 接收将被扫描病毒的数据。此外,虽然在图5中没有示出,但是装置200还可包括作为用于AM SOC的操作的函数的集合的函数库,AM UI应用程序可调用包括在函数库中的至少一个函数,以形成SOC 传输数据。图6是示出根据另一示例性实施例的装置300的框图。图6的示例性实施例与图5的示例性实施例的不同在于针对由NIC 331接收的包数据,不执行病毒扫描操作,仅执行过滤操作。换句话说,FW引擎3 经过包验证处理, 并针对由NIC 331接收的包数据执行过滤操作。如果确定让包数据“通过”,则FW引擎329 将包数据发送到AP驱动器321。其后,AP驱动器321将包数据发送到迷你端口驱动器317, 迷你端口驱动器317通过TCP/IP协议驱动器315将包数据发送到FW应用程序。如果包数据包含将被扫描的数据(诸如文件),则AM应用程序形成SOC传输数据以指示对文件扫描病毒,并将SOC传输数据发送到流接口驱动器311。流接口驱动器311将 SOC传输数据发送到AP驱动器321,AP驱动器321将SOC传输数据发送到AM管理器323。 其后,AM管理器323解析SOC传输数据,并确定SOC传输数据是与扫描有关还是与过滤有关。因为在本示例性实施例中SOC传输数据与病毒扫描有关,所以SOC传输数据被发送到 AV管理器325,AV管理器325识别命令并指示AV引擎3 执行病毒扫描操作。如上所述, 在图6的示例性实施例中,AV引擎3 不直接从FW引擎3 接收将被扫描的数据,而是通过AP驱动器321接收该数据。图6的其他元件与图5的分配了相似标号的元件执行相同或相似的操作,因此省略其详细描述。图7是示出根据另一示例性实施例的装置400的框图。与图6的示例性实施例中的装置300相比,图7的示例性实施例中的装置还包括 4G调制解调器414和4G驱动器419,4G调制解调器414用于通过移动通信的数据网络发送和接收包数据。4G调制解调器414可从移动通信的外部数据网络接收包数据。4G驱动器419将通过4G调制解调器414接收的包数据发送到AP驱动器421,AP 驱动器421将包数据发送到FW引擎429。其后,FW引擎4 经过包验证处理,并执行包过滤操作。如果确定让包数据“通过”,则FW引擎4 将包数据返回到AP驱动器421,AP驱动器421将包数据发送到TCP/IP协议驱动器415,TCP/IP协议驱动器415将包数据发送到
12FW应用程序。以下,将解释通过4G调制解调器414从FW应用程序发送包数据的操作。如果FW 应用程序指示TCP/IP协议驱动器415发送数据,则TCP/IP协议驱动器415产生包数据并将包数据发送到AP驱动器421。AP驱动器421将包数据发送到FW引擎429,Fff引擎4 经过包验证处理,并针对包数据执行包过滤操作。只要确定让包数据“通过”,FW引擎429 就将包数据发送到AP驱动器421,AP驱动器421将包数据发送到4G驱动器419。其后,4G 驱动器419将包数据发送到4G调制解调器414,4G调制解调器414将包数据发送到移动通信的外部数据网络。在图7的示例性实施例中,除了 4G调制解调器414之外,还可通过NIC431交换数据。除了装置还包括4G调制解调器414和4G驱动器419之外,图7的示例性实施例与图 6的示例性实施例相同。图7的其他元件与图6的分配了相似标号的元件执行相同或相似的操作,因此省略其详细解释。图8是解释根据示例性实施例的AV UI应用程序的框图。根据图8的示例性实施例的装置500包括扫描文件发送器505,用于向文件流驱动器发送将被扫描的文件(扫描数据);消息接收器507,用于从AM SOC 520接收AV扫描的结果。应该理解,为了解释方面,没有在图8中示出明显与扫描数据的传输不相关的元件。参照图8,AV UI应用程序可从用户接收手动扫描命令、文件事件扫描命令、装置事件扫描命令、时间表扫描命令、存储器扫描命令和输入缓冲器扫描命令中的至少一个。AV UI应用程序将用户输入的扫描命令存储在扫描队列503中,扫描文件发送器505按顺序执行存储在扫描队列503中的扫描命令。换句话说,扫描文件发送器505形成包括存储在扫描队列503中的扫描命令以及将被扫描的数据的SOC传输数据,并将SOC传输数据发送到流接口驱动器511。流接口驱动器511将SOC传输数据发送到AM SOC 520。AM SOC 520针对包括在SOC传输数据中的将被扫描的数据执行扫描操作,并将扫描操作的结果发送到流接口驱动器511。流接口驱动器511将扫描操作的结果发送到消息接收器507。消息接收器507将扫描操作的结果发送到扫描队列503,并且AV UI应用程序将存储在扫描队列503 中的扫描操作的结果显示给用户。在图8的示例性实施例中,用于发送将被扫描的数据的扫描文件发送器505以及用于接收扫描操作的结果的消息接收器507被单独设置。然而,AV UI应用程序可适用于包括扫描文件发送器505和消息接收器507的功能。如果扫描文件发送器505和消息接收器 507在本说明书中没有被单独设置,则应该理解,AV UI应用程序包括它们的功能。此外,如果将在以下描述的FW命令发送器605和FW命令接收器607没有被单独设置,则应该理解, Fff UI应用程序包括它们的功能。虽然在图8的示例性实施例中已经描述了用于将扫描数据发送到AMSOC 520的专用应用程序,但是可设置用于将病毒模式DB数据发送到AMSOC 520的专用应用程序。以下将参照图10解释这样的专用应用程序。根据示例性实施例,AV UI应用程序可包括与扫描操作有关的所有功能。然而,如图8或图10所示,可单独设置专门用于执行AV UI应用程序的一些功能的专用应用程序 (例如,扫描文件发送器或DB文件发送器)。相似地,FW UI应用程序可包括与扫描操作有关的所有功能。然而,可单独设置专门用于执行FW UI应用程序的一些功能的专用应用程序(例如,Fff命令发送器或规则转换器)。图9是解释根据示例性实施例的FW UI应用程序的框图。图9示出了用于发送与 FW有关的命令和接收执行命令的结果的专用的FW UI应用程序。在图9中,应该理解,为了方便解释,省略了与发送与FW有关的命令不是明显有关的元件。Fff命令发送器605形成具有与FW有关的命令的SOC传输数据,并将SOC传输数据发送到流接口驱动器611。流接口驱动器611将SOC传输数据发送到SOC 620。SOC 620 解释SOC传输数据,执行命令,并将执行命令的结果发送到流接口驱动器611。流接口驱动器611将该结果发送到FW命令接收器607。图10是解释根据示例性实施例的AV UI应用程序和FW UI应用程序的更新操作的框图。在图10的示例性实施例中,设置了用于更新的专用应用程序(DB模式更新器和DB 文件发送器)。参照图10,AV UI应用程序通过参考存储在存储单元130中的病毒扫描设置信息来确定是否到达更新病毒模式DB的时间。如果确定已经到达更新时间,则AV UI应用程序指示DB模式更新器进行更新。DB模式更新器请求更新服务器发送用于更新的病毒模式 DB (如果有的话)。如果DB模式更新器从更新服务器接收到用于更新的病毒模式DB,则DB 模式更新器请求DB文件发送器向AM系统120发送将被更新的数据。DB文件发送器形成用于更新病毒模式DB的SOC传输数据,并将SOC传输数据发送到反恶意软件SOC文件流驱动器511。反恶意软件SOC文件流驱动器511从DB文件发送器接收SOC传输数据,并将SOC 传输数据发送到反恶意软件SOC 520。将解释通过FW UI应用程序更新规则模式DB的操作。Fff UI应用程序从用户接收关于包数据的过滤规则,将过滤规则存储在存储单元 (未示出)中。规则转换器将用户输入的规则转换为规则列表并检测规则之间的冲突。如果检测到规则之间的冲突,则规则转换器向FW UI应用程序通知规则冲突,FW UI应用程序向用户通知规则冲突。表1示出在过滤规则被转换之前的过滤规则的示例,表2示出通过规则转换器转换的规则列表的示例。[表1]
权利要求
1.一种用于提供反恶意软件服务的装置,所述装置包括 片上系统S0C,提供反恶意软件服务;存储单元,存储作为为了提供反恶意软件服务的SOC使用而提供的操作的集合的库; 扫描数据发送器,通过调用至少一个操作来形成具有将被扫描病毒的扫描数据的SOC 传输数据,并将SOC传输数据发送到S0C,其中,在SOC中执行与病毒扫描、包数据过滤、病毒模式数据库DB更新、规则模式DB更新、加密、解密和哈希值计算中的至少一个有关的操作。
2.如权利要求1所述的装置,还包括 通信接口单元,使用所述库来操作SOC ;协议单元,通过通信接口单元与SOC交换操作命令和操作。
3.如权利要求1所述的装置,其中,扫描数据发送器形成SOC传输数据以包括扫描数据和用于扫描的命令。
4.如权利要求1所述的装置,其中,SOC存储用于扫描所述扫描数据的病毒模式DB。
5.如权利要求4所述的装置,还包括发送器,将用于更新存储在SOC中的病毒模式DB 的数据发送到S0C。
6.如权利要求1所述的装置,还包括消息接收器,由SOC向消息接收器通知扫描所述扫描数据的结果。
7.如权利要求1所述的装置,还包括防火墙FW应用程序,其中,SOC过滤包数据,Fff 应用程序接收SOC过滤的数据。
8.如权利要求7所述的装置,还包括发送器,其中,SOC存储模式规则DB,发送器将用于更新存储在SOC中的规则模式DB的数据发送到S0C。
9.如权利要求8所述的装置,其中,扫描数据发送器形成SOC传输数据以包括指示反恶意软件服务的类型的项、扫描数据和用于扫描的命令。
10.如权利要求9所述的装置,其中,SOC包括恶意软件管理器,恶意软件管理器确定 SOC传输数据与什么类型的反恶意软件服务有关。
11.一种提供装置的基于片上系统SOC的反恶意软件服务的方法,所述方法包括 由所述装置形成包括命令和指示反恶意软件服务的类型的项的SOC传输数据; 由所述装置将SOC传输数据发送到安装在所述装置中的S0C,其中,SOC根据包括在SOC传输数据中的命令执行病毒扫描操作或包过滤操作。
12.如权利要求11所述的方法,其中,SOC通过参考SOC传输数据的指示反恶意软件服务的类型的项来确定反恶意软件服务是与包过滤操作有关还是与病毒扫描操作有关。
13.如权利要求11所述的方法,其中,SOC存储用于包过滤操作的规则模式DB和用于病毒扫描操作的病毒模式DB。
14.如权利要求12所述的方法,其中,SOC传输数据是以下数据中的至少一种 第一 SOC传输数据,包括病毒扫描数据和用于扫描的命令;第二 SOC传输数据,包括用于更新的病毒模式DB和用于更行病毒模式DB的命令; 第三SOC传输数据,包括用于更新的过滤规则列表和用于更新规则模式DB的命令。
15.如权利要求11所述的方法,其中,SOC针对将被过滤的数据同时执行包过滤操作和病毒扫描操作。
16.如权利要求14所述的方法,还包括由所述装置按照预定大小划分扫描数据,其中,第一 SOC传输数据包括划分的扫描数据。
17.如权利要求11所述的方法,其中,所述装置存储作为用于SOC的操作的集合的库, 并且通过调用至少一个操作来形成SOC传输数据。
18.如权利要求17所述的方法,其中,在SOC中执行与病毒扫描、包数据过滤、病毒模式 DB更新和规则模式DB更新中的至少一个有关的操作。
19.一种提供基于片上系统SOC的反恶意软件服务的方法,所述方法包括将作为用于SOC的操作的集合的库存储在安装SOC的装置中;由所述装置通过调用包括在库中的至少一个操作来形成具有将被扫描病毒的扫描数据的SOC传输数据;由所述装置将用于扫描数据的SOC传输数据发送到S0C,其中,在SOC中执行与病毒扫描、包数据过滤、病毒模式DB更新和规则模式DB更新中的至少一个有关的操作。
20.如权利要求19所述的方法,其中,形成的SOC传输数据包括扫描数据和用于扫描的命令。
21.如权利要求19所述的方法,还包括由所述装置按照预定大小划分扫描数据,其中,发送的步骤包括按顺序将划分的扫描数据发送到S0C。
22.如权利要求19所述的方法,还包括由SOC从装置接收用于病毒扫描操作的病毒模式DB,并存储病毒模式DB,其中,SOC使用病毒模式DB来执行病毒扫描操作。
23.如权利要求22所述的方法,还包括由所述装置通过调用包括在库中的至少一个操作来形成具有用于更新的病毒模式DB 的SOC传输数据;由所述装置将具有用于更新的病毒模式DB的SOC传输数据发送到SOC ;由SOC使用包括在具有用于更新的病毒模式DB的SOC传输数据中的病毒模式DB来更新预存的病毒模式DB。
24.如权利要求19所述的方法,还包括由SOC针对包数据执行过滤操作,其中,形成的用于扫描数据的SOC传输数据包括指示反恶意软件服务的类型的项、用于扫描的命令和扫描数据。
25.如权利要求M所述的方法,还包括由SOC从所述装置接收规则列表,将规则列表转换为预定格式的规则模式DB,并存储规则模式DB,其中,SOC使用规则模式DB执行过滤操作。
26.如权利要求M所述的方法,还包括由所述装置通过调用包括在库中的至少一个操作来形成用于定义过滤操作的规则列表的SOC传输数据,并将SOC传输数据发送到S0C。
27.如权利要求19所述的方法,其中,所述装置是移动装置。
全文摘要
公开一种提供基于片上系统的反恶意软件服务的装置和方法。所述装置包括存储单元,存储作为为了提供反恶意软件服务的SOC使用而提供的操作的集合的函数库;扫描数据发送器,通过调用至少一个操作来形成具有将被扫描病毒的数据的SOC传输数据,并将SOC传输数据发送到SOC。因此,移动装置高速对文件扫描病毒并过滤包。
文档编号G06F21/00GK102346825SQ20111020850
公开日2012年2月8日 申请日期2011年7月21日 优先权日2010年7月21日
发明者俞仁善 申请人:三星Sds株式会社