误报检测方法和装置的制造方法

误报检测方法和装置的制造方法
【技术领域】
[0001]本发明涉及安全技术领域，尤其涉及一种误报检测方法和装置。
【背景技术】
[0002]云安全(Cloud Security)技术是网络时代信息安全的最新体现,应用云安全技术后，识别和查杀病毒不再仅仅依靠本地硬盘中的病毒库，而是依靠庞大的网络服务，实时进行采集、分析和处理。应用云安全技术的杀毒系统包括杀毒软件客户端(以下简称客户端)和云端，客户端位于用户设备，例如用户计算机上，客户端中的本地引擎可以完成病毒扫描过程，扫描过程的读文件、获取特征码、特征匹配、判定是否恶意软件等步骤都是在用户设备上完成，扫描过程不连接网络，或者说不从云端接收信息并影响流程。云端是由硬件服务器和相关软件组成，可以接收客户端的信息，对接收的信息进行处理并返回处理信息给客户端。客户端和云端可以通过因特网连接并进行信息传输。
[0003]在病毒扫描过程中，可能会出现误报情况。误报是指本地引擎将正常的软件识别为恶意软件的现象。相关技术中，杀毒软件厂商发现误报和解除误报的基本流程大致如下:本地引擎在在用户设备上扫描文件，本地引擎误将正常软件识别为恶意软件，本地引擎将正常软件当恶意软件处理，用户通过客户端向杀毒软件厂商反馈误报，厂商核实误报反馈，厂商发布升级数据，用户主动升级杀毒软件或杀毒软件自动升级，误报解除。
[0004]但是，上述技术中，杀毒软件厂商主要依赖用户主动反馈误报才获知误报，及时性会存在问题。

【发明内容】

[0005]本发明旨在至少在一定程度上解决相关技术中的技术问题之一。
[0006]为此，本发明的一个目的在于提出一种误报检测方法，该误报检测方法能够使得客户端及时发现误报，进而可以及时解除误报。
[0007]本发明的第二个目的在于提出一种误报检测装置。
[0008]为达到上述目的，本发明第一方面实施例提出的误报检测方法，包括:识别恶意软件；获取所述识别恶意软件时的第一信息，并将所述第一信息发送给云端，以使所述云端根据所述第一信息判断对所述恶意软件的识别是否为误报；接收所述云端发送的判断结果，根据所述判断结果确定是否存在误报。
[0009]本发明第一方面实施例提出的误报检测方法通过客户端在识别出恶意软件后将第一信息发送给云端，由云端根据该第一信息判断是否存在误报。由于无需等待用户主动反馈误报情况，而是直接由云端进行误报判断，可以提高误报检测的及时性，进而客户端可以及时解除误报。
[0010]为达到上述目的，本发明第二方面实施例提出的误报检测装置，包括:识别模块，用于识别恶意软件；获取模块，用于获取所述识别恶意软件时的第一信息，并将所述第一信息发送给云端，以使所述云端根据所述第一信息判断对所述恶意软件的识别是否为误报；判定模块，用于接收所述云端发送的判断结果，根据所述判断结果确定是否存在误报。
[0011]本发明第二方面实施例提出的误报检测装置，通过客户端在识别出恶意软件后将第一信息发送给云端，由云端根据该第一信息判断是否存在误报。由于无需等待用户主动反馈误报情况，而是直接由云端进行误报判断，可以提高误报检测的及时性，进而客户端可以及时解除误报。
[0012]为达到上述目的，本发明第三方面实施例提出的客户端设备，包括壳体、处理器、存储器、电路板和电源电路，其中，所述电路板安置在所述壳体围成的空间内部，所述处理器和所述存储器设置在所述电路板上；所述电源电路，用于为所述客户端设备的各个电路或器件供电；所述存储器用于存储可执行程序代码；所述处理器通过读取所述存储器中存储的可执行程序代码来运行与所述可执行程序代码对应的程序，以用于:识别恶意软件；获取所述识别恶意软件时的第一信息，并将所述第一信息发送给云端，以使所述云端根据所述第一信息判断对所述恶意软件的识别是否为误报；接收所述云端发送的判断结果，根据所述判断结果确定是否存在误报。
[0013]本发明第三方面实施例提出的客户端设备在识别出恶意软件后将第一信息发送给云端，由云端根据该第一信息判断是否存在误报。由于无需等待用户主动反馈误报情况，而是直接由云端进行误报判断，可以提高误报检测的及时性，进而客户端可以及时解除误报。
[0014]本发明附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本发明的实践了解到。
【附图说明】
[0015]本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解，其中:
[0016]图1为本发明实施例提供的一种误报检测方法的流程示意图；
[0017]图2为本发明实施例提供的另一种误报检测方法的流程示意图；
[0018]图3为本发明实施例提供的另一种误报检测方法的流程示意图；
[0019]图4为本发明实施例提供的另一种误报检测方法的流程示意图；
[0020]图5为本发明实施例提供的另一种误报检测方法的流程示意图；
[0021]图6为本发明实施例提供的另一种误报检测方法的流程示意图；
[0022]图7为本发明实施例提供的一种误报检测装置的结构示意图；
[0023]图8为本发明实施例提供的另一种误报检测装置的结构示意图；
[0024]图9为本发明实施例提供的另一种误报检测装置的结构示意图；
[0025]图10为本发明实施例提供的另一种误报检测装置的结构示意图；
[0026]图11为本发明实施例提供的另一种误报检测装置的结构示意图；
[0027]图12为本发明实施例提供的另一种误报检测装置的结构示意图；
[0028]图13为本发明实施例提供的另一种误报检测装置的结构示意图；
[0029]图14为本发明实施例提供的另一种误报检测系统的结构示意图。
【具体实施方式】
[0030]下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，仅用于解释本发明，而不能理解为对本发明的限制。相反，本发明的实施例包括落入所附加权利要求书的精神和内涵范围内的所有变化、修改和等同物。
[0031]需要说明的是，在本发明的描述中，术语“第一”、“第二”等仅用于描述目的，而不能理解为指示或暗示相对重要性。此外，在本发明的描述中，除非另有说明，“多个”的含义是两个或两个以上。
[0032]流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为，表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分，并且本发明的优选实施方式的范围包括另外的实现，其中可以不按所示出或讨论的顺序，包括根据所涉及的功能按基本同时的方式或按相反的顺序，来执行功能，这应被本发明的实施例所属技术领域的技术人员所理解。
[0033]图1为本发明实施例提供的一种误报检测方法的流程示意图，如图1所示，该方法包括:
[0034]Sll:客户端识别恶意软件。
[0035]可以理解的是，相关技术中，客户端也可以识别出恶意软件，因此，本领域技术人员可以获知具体的客户端如何实现恶意软件的识别，本发明实施例不再赘述。
[0036]相关技术中，客户端在识别出恶意软件后直接按照恶意软件处理流程进行处理，但是，客户端识别出的恶意软件有可能是正常软件，也就是产生了误报。相关技术中，误报需要用户通过客户端上报给服务器端。为了使云端及时获知误报，本发明实施例的误报检测方法在识别出恶意软件之后，还包括:
[0037]S12:客户端获取所述识别恶意软件时的第一信息，并将所述第一信息发送给云端，以使所述云端根据所述第一信息判断对所述恶意软件的识别是否为误报。
[0038]所述第一信息包括如下项中的至少一项:
[0039]所述恶意软件的哈希(hash)值；
[0040]识别所述恶意软件的本地引擎信息；
[0041]所述恶意软件的特征信息；
[0042]所述恶意软件所在客户端的不可逆的唯一用户标识(Universally UniqueIdentifier, UUID)。
[0043]其中，恶意软件的哈希值可以是对恶意软件的二进制文件进行哈希运算后得到的，哈希算法包括但不限于:消息摘要算法第五版(Message Digest Algorithm,MD5)、循环冗余校验码(Cyclic Redundancy Check, CRC)、安全哈希算法(Secure Hash Algorithm,shal)等。
[0044]本地引擎信息可以是对本地引擎进行识别后获取的，本地引擎信息包括:引擎名，和/或，命中规则标识(ID)等。
[0045]恶意软件的特征信息可以是对恶意软件的二进制文件进行解析后获取的，恶意软件的特征信息包括如下项中的至少一项:文件路径、文件类型、文件大小等。
[0046]UUID可以是对恶意软件所在客户端的识别获取的。
[0047]S13:客户端接收所述云端发送的判断结果，根据所述判断结果确定是否存在误报。
[0048]例如，在判断结果表明为误报时，客户端可以确定存在误报；在判断结果表明为非误报时，客户端可以确定不存在误报。
[0049]本实施例的客户端通过在识别出恶意软件后不是直接作为恶意软件进行处理，而是向云端发送识别出的恶意软件的第一信息，以便云端根据该第一信息判断是否为误报，可以使得云端及时获知是否存在误报。
[0050]相关技术中，由服务器端升级杀毒软件版本，并且客户端升级后才可以获知误报。而本实施例的客户端通过接收云端的判断结果可以及时获知是否存在误报，而不再需要等待杀毒软件升级后才能确定误报。因此，本实施例提高了云端和客户端获知误报的及时性。另外，客户端由于在识别出恶意软件后会向云端查询，并获知是否误报的判断结果，因此客户端无需升级软件就可以及时获知误报，避免需要升级导致的延迟问题。
[0051]图2为本发明实施例提供的另一种误报检测方法的流程示意图，该方法在上述的S13之后还可以包括:
[0052]S14:客户端在所述判断结果表明为误报时，对所述识别出的恶意软件不作为恶意软件进行处理。
[0053]也就是说，识别出的恶意软件为正常软件，不进行杀毒处理。或者，
[0054]S15:客户端在所述判断结果表明为非误报时，对所述识别出的恶意软件作为恶意软件进行处理。
[0055]也就是说，识别出的恶意软件不是正常软件，需要进行杀毒处理。
[0056]本实施例通过根据判断结果进行处理，可以在存在误报时及时解除误报。
[0057]图3为本发明实施例提供的另一种误报检测方法的流程示意图，该方法在上述的S13之后还可以包括:
[0058]S31:客户端在确定存在误报时，将第一信息记录在误报列表中。
[0059]例如，确定存在误报时的第一信息为哈希值_1，那么可以在误报列表中记录哈希值_1。
[0060]S32:下次识别出的恶意软件时，查找误报列表，判断下次识别出恶意软件时的信息是否记录在误报列表中，如果在，则执行S33，否则执行S34。
[0061]例如，下次识别出恶意软件时，也可以获取此时的恶意软件的信息，例如，获取此时的恶意软件的哈希值。
[0062]S33:直接将该次的恶意软件的识别确定为误报。
[0063]例如，S32中识别出的恶意软件的哈希值为哈希值_1，由于哈希值_1记录在误报列表中，则将该次的恶意软件的识别确定为误报，不需要再向云端进行判断。
[0064]S34:将该次的恶意软件的识别时的信息发送给云端，由云端进行判断，并接收云端发送的判断结果。
[0065]例如，S32中获取的信息是哈希值_3，由于其不在误报列表中，可以将该哈希值_3发送给云端，由云端进行