基于云安全的恶意软件自动追踪方法与流程

本发明涉及计算机安全领域，具体涉及一种基于云安全的恶意软件自动追踪方法。

背景技术：

云安全（Cloud security ），《著云台》的分析师团队结合云发展的理论总结认为，是指基于云计算商业模式应用的安全软件，硬件，用户，机构，安全云平台的总称。“云安全”是“云计算”技术的重要分支，已经在反病毒领域当中获得了广泛应用。云安全通过网状的大量客户端对网络中软件行为的异常监测，获取互联网中木马、恶意程序的最新信息，推送到服务端进行自动分析和处理，再把病毒和木马的解决方案分发到每一个客户端。整个互联网，变成了一个超级大的杀毒软件，这就是云安全计划的宏伟目标。

在云计算的架构下，云计算开放网络和业务共享场景更加复杂多变，安全性方面的挑战更加严峻，一些新型的安全问题变得比较突出，如多个虚拟机租户间并行业务的安全运行，公有云中海量数据的安全存储等。由于云计算的安全问题涉及广泛，以下仅就几个主要方面进行介绍：

用户身份安全问题，云计算通过网络提供弹性可变的IT服务，用户需要登录到云端来使用应用与服务，系统需要确保使用者身份的合法性，才能为其提供服务。如果非法用户取得了用户身份，则会危及合法用户的数据和业务。

共享业务安全问题，云计算的底层架构（IaaS和PaaS层）是通过虚拟化技术实现资源共享调用，优点是资源利用率高的优点，但是共享会引入新的安全问题，一方面需要保证用户资源间的隔离，另一方面需要面向虚拟机、虚拟交换机、虚拟存储等虚拟对象的安全保护策略，这与传统的硬件上的安全策略完全不同。

用户数据安全问题，数据的安全性是用户最为关注的问题，广义的数据不仅包括客户的业务数据，还包括用户的应用程序和用户的整个业务系统。数据安全问题包括数据丢失、泄漏、篡改等。传统的IT架构中，数据是离用户很“近”的，数据离用户越“近”则越安全。而云计算架构下数据常常存储在离用户很“远”的数据中心中，需要对数据采用有效的保护措施，如多份拷贝，数据存储加密，以确保数据的安全。

随着计算机技术在社会生活中各个领域的广泛运用，恶意程序也如同其 附属品一样接踵而来。由于这些恶意程序所具有的感染性、复制性及破坏性， 其已成为困扰计算机使用的一个重大问题。恶意程序是一个概括性的术语，指任何故意创建用来执行未经授权并通 常是有害行为的软件程序。计算机病毒、后门程序、键盘记录器、密码盗取 者、Word和Excel宏病毒、引导区病毒、脚本病毒（如batch,windows shell, java等）、木马、犯罪软件、间谍软件和广告软件等等，都是一些可以称之为 恶意程序的例子。以木马为例，木马能够盗取网银密码、盗取网游装备、泄 露隐私照片等等。

为了解决上述问题，公开号CN103473501A公开了一种基于云安全的恶意软件追踪方法，包括：记录已获知的需要追踪的软件在设备本地生成的文件的信息至第一数据库，该文件具有与该软件相同的记录标识；以及，记录从网络中下载至设备中的下载文件的信息及该下载文件的记录标识至第二数据库；当设备中的软件被启动时，查询第一数据库和/或第二数据库判断该软件是否为需要追踪的软件；若软件为需要追踪的软件，根据获知的该软件的记录标识，从第二数据库中获取对应的下载文件的信息，得到追踪信息；以及，将软件在设备本地生成的文件的信息记录在第一数据库中，并为该文件设置与软件相同的记录标识。

现有技术的缺点在于：在追踪过程中是通过软件启动以后才能进行追踪，但是在实际运用中通常一个恶意软件往往捆绑有许多流氓软件，且安装以后卸载十分困难，从而使得电脑依然存在隐患。

技术实现要素：

本发明的目的在于克服现有技术的不足，提供一种基于云安全的恶意软件自动追踪方法，是在对计算机进行软件安装之前就进行追踪，同时进行清理，有效解除计算的安全隐患。

本发明的目的是通过以下技术方案来实现的：

基于云安全的恶意软件自动追踪方法，该方法步骤如下：

S1：识别计算机访问目标文件的文件类型；

S2：判断该目标文件的文件类型是否为程序安装文件，是安装文件则进入下一步；

否，无动作，程序到此截止或返回步骤S1；

S3：判断该访问为用户主动访问或自动访问，是自动访问则继续安装，反之则停止程序安装并进入下一步；

S4：追溯该目标文件的地址，并自动打开该地址显示在电脑桌面上。

作为本发明的进一步改进，所述目标文件包括本地文件和网络文件，所述网络文件是指非本地文件的所有计算机可访问的文件。

作为本发明的进一步改进，所述步骤S2中若文件类型为压缩文件则还包括一个解压过程，解压后返回步骤S1继续识别解压文件的文件类型。

作为本发明的进一步改进，所述步骤S3中判断访问是用户主动访问或自动访问的依据包括：

用户是否点击该目标文件；

和或，用户是否在计算机搜索栏搜索过该文件。

作为本发明的进一步改进，所述点击不包括在网页浏览模式中点击网页内容中文件的情况。

作为本发明的进一步改进，所述点击包括单击或双击两种模式。

作为本发明的进一步改进，所述安装文件的文件类型包括.exe格式、.com格式、.msi格式、.SIS格式、.SISX格式、.JAD格式、.JAR格式、.mtf格式、.mpkg格式、.pkg格式、.APK格式。

作为本发明的进一步改进，所述目标文件的地址包括本地文件的存储地址或网络文件的云端地址。

作为本发明的进一步改进，所述地址若为存储地址，其显示在桌面超过3-10秒用户无操作则系统自动将该文件进行隔离。

作为本发明的进一步改进，所述地址为云端地址，则将该云端地址设为系统禁止访问的地址并将该地址添加到记录文档中，用户可以手动解除该禁止。

本发明的有益效果是：和现有技术相比，本方案的区别点在于将恶意软件扼杀在萌芽阶段，由于每个软件在安装过程中必然会存在访问安装文件这个必须的步骤，而本发明则是通过判断文件的访问是用户主动访问还是计算机自行访问，如果是用户主动访问则表示该软件为用户想安装的目标软件，如果该访问是计算机自行访问即自动安装则视为恶意软件，此时对该文件的进行追溯，然后提供两种处理机制，一是用户自行处理，而是在限定时间内用户不处理则将其进行隔离，从而有效保证了计算机的安全。

附图说明

图1是本发明的流程图。

具体实施方式

下面结合具体实施例进一步详细描述本发明的技术方案，但本发明的保护范围不局限于以下所述。

如图1所示：

基于云安全的恶意软件自动追踪方法，该方法步骤如下：

S1：识别计算机访问目标文件的文件类型；

S2：判断该目标文件的文件类型是否为程序安装文件，是安装文件则进入下一步；

否，无动作，程序到此截止或返回步骤S1；

S3：判断该访问为用户主动访问或自动访问，是自动访问则继续安装，反之则停止程序安装并进入下一步；

S4：追溯该目标文件的地址，并自动打开该地址显示在电脑桌面上。

上述目标文件包括本地文件和网络文件，所述网络文件是指非本地文件的所有计算机可访问的文件，例如浏览网页中的链接文件、云端存盘文件、客户端中继站文件等等，也就是说只要是计算机能够访问的文件全部都进行识别。

作为一种实施例，由于很多文件并非是直接可以打开的文件，而是被进行压缩后的文件，因此步骤S2中若文件类型为压缩文件则还包括一个解压过程，解压后返回步骤S1继续识别解压文件的文件类型，其具体步骤为：

如果判断该目标文件不是安装程序文件则进入下一步判定；

判定是否为压缩文件，如果是则进行解压，解压后继续返回步骤S1进行文件类型识别；

不是压缩文件则程序结束。

作为一种实施例，上述实施例中步骤S3中判断访问是用户主动访问或自动访问的依据包括：

用户是否点击该目标文件；

和或，用户是否在计算机搜索栏搜索过该文件。

也就是说本实施例中判断是否为主动访问包括以下几种组合方式：

第一种：用户点击了该文件才确定该文件是主动访问；

第二种：用户搜索过该文件名则视为主动访问，这里的搜索是指计算机栏的搜索，不包括网页浏览器或其他客户端的搜索方式；

第三种：必须是用户同时进行了上述操作才视为主动访问，即点击了该文件，并且搜索过该文件名则视为主动访问。

然后必须排除浏览器网页点击，点击不包括在网页浏览模式中点击网页内容中文件的情况，除此之外，其他应用程序或客户端的点击都不能视为本发明中的主动点击行为，然后点击包括单击或双击两种模式。

值得强调的是，本发明中所指的安装文件的文件类型包括但不限于一下格式：

.exe格式、.com格式、.msi格式、.SIS格式、.SISX格式、.JAD格式、.JAR格式、.mtf格式、.mpkg格式、.pkg格式、.APK格式。其中.exe 最常见的安装包格式，.com 比较早的安装包格式，主要用于DOS和早期windows系统，.msi 微软专用安装包格式，microsoft installer的简写，一般都是微软的系统或补丁的格式。只能用windows自带的Windows Installer安装。塞班系统通常为SIS或SISX，Java程序通常为JAD或者JAR，Linux系统（motorola专用）大多为mtf（moto的主题文件安装包）、mpkg或pkg,Adroid系统的安装文件大多为APK。

苹果手机则是自有系统的安装器或软件包集成安装器（Installer）或者直接复制要安装的程序（通常是文件夹或者Zip等格式压缩包到要放置的文件夹内即可，在本方案则不考虑这种情况。

作为一种实施例，本方案还提供用户自定义隔离文件类型的功能，用户可以在安装程序文件识别过程添加属于安装程序文件的文件类型，此时所述的“安装程序文件”属于一种上位概念的统称，其代表的并非是安装程序文件，也有可能是其他格式的非安装文件，例如木马病毒，从而使得本方案变成病毒清理的一个方案。

上述目标文件的地址包括本地文件的存储地址或网络文件的云端地址。地址若为存储地址，其显示在桌面超过3-10秒用户无操作则系统自动将该文件进行隔离，这里所说的时间并非唯一固定，用户在合理范围内进行自行设计都应该在本发明的保护范畴内。

如果上述地址为云端地址，则将该云端地址设为系统禁止访问的地址并将该地址添加到记录文档中，用户可以手动解除该禁止，这里的云端地址一般是指数据链接。

以上所述仅是本发明的优选实施方式，应当理解本发明并非局限于本文所披露的形式，不应看作是对其他实施例的排除，而可用于各种其他组合、修改和环境，并能够在本文所述构想范围内，通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围，则都应在本发明所附权利要求的保护范围内。