是否误报的判断。
[0066]进一步的,假设云端反馈的结果是误报,那么也可以把该哈希值_3也记录在误报列表中,以供后续检测查找。
[0067]本实施例以客户端获知误报后,记录第一信息,以供后续检测参考。
[0068]可以理解的是,客户端在获知误报后还可以进行其他操作,例如,客户端在确定存在误报时,进行软件升级处理。
[0069]相关技术中,由于升级依赖用户的自主性或者杀毒软件设定的升级日期,因此在误报发生时并不能及时升级,会造成误报不能及时解除。而本实施例通过在发生误报后就进行软件升级,可以及时升级软件,进而及时解决误报。
[0070]本实施例通过在获知存在误报时,将误报时的信息进行记录,可以为后续检测提供基础,避免每次都去云端查询,可以降低资源开销。
[0071]图4为本发明实施例提供的另一种误报检测方法的流程示意图,如图4所示,该方法包括:
[0072]S41:云端接收客户端发送的第一信息,所述第一信息是所述客户端识别出恶意软件时获取的信息;
[0073]所述第一信息包括如下项中的至少一项:
[0074]所述恶意软件的哈希(hash)值;
[0075]识别所述恶意软件的本地引擎信息;
[0076]所述恶意软件的特征信息;
[0077]所述恶意软件所在客户端的不可逆的唯一用户标识(Universally UniqueIdentifier, UUID)。
[0078]其中,恶意软件的哈希值可以是对恶意软件的二进制文件进行哈希运算后得到的,哈希算法包括但不限于:消息摘要算法第五版(Message Digest Algorithm,MD5)、循环冗余校验码(Cyclic Redundancy Check, CRC)、安全哈希算法(Secure Hash Algorithm,shal)等。
[0079]本地引擎信息可以是对本地引擎进行识别后获取的,本地引擎信息包括:引擎名,和/或,命中规则标识(ID)等。
[0080]恶意软件的特征信息可以是对恶意软件的二进制文件进行解析后获取的,恶意软件的特征信息包括如下项中的至少一项:文件路径、文件类型、文件大小等。
[0081]UUID可以是对恶意软件所在客户端的识别获取的。
[0082]S42:云端根据所述第一信息判断所述客户端对所述恶意软件的识别是否为误报;
[0083]S43:云端将判断结果发送给所述客户端,以使所述客户端根据所述判断结果确定是否存在误报。
[0084]如上述实施例,客户端在收到判断结果后,可以根据判断结果确定是否存在误报,进而可以进行相应处理。具体内容可以参照上述实施例,在此不再赘述。
[0085]可选的,在云端设置有误报判定规则库,以便进行上述的误报判定。
[0086]相应的,图5为本发明实施例提供的另一种误报检测方法的流程示意图,该方法包括:
[0087]S51:云端接收客户端发送的第一信息,所述第一信息是所述客户端识别出恶意软件时获取的信息。
[0088]具体内容可以参见S41,在此不再赘述。
[0089]S52:云端设置误报判定规则库,所述误报判定规则库中记录属于误报的规则。
[0090]例如,误报规则库中可以记录当恶意软件的哈希值为设定的某个哈希值时,则为误报;和/或,当本地引擎信息为设定的某个本地引擎信息时,为误报等。
[0091]S53:云端在所述第一信息满足所述误报判定规则中记录的规则时,确定对所述恶意软件的识别为误报。
[0092]其中,所述第一信息和/或所述属于误报的规则,包括如下项中的至少一项:
[0093]所述恶意软件的哈希值;
[0094]识别所述恶意软件的本地引擎信息;
[0095]所述恶意软件的特征信息;
[0096]所述恶意软件所在客户端的不可逆的唯一用户标识。
[0097]相应的,当所述第一信息与所述属于误报的规则相同时,确定所述第一信息满足所述误报判断规则中记录的规则。
[0098]例如,误报判断规则库中记录:本地引擎A的al规则识别的文件为误报,那么,当云端接收的客户端上报的第一信息包括本地引擎信息,本地引擎信息包括引擎号和命中规则标识,且引擎号为A,命中规则标识为al时,则确定此时客户端对恶意软件的识别为误报。或者,误报判断规则库中记录:哈希值为X的文件为误报,那么,当云端接收的客户端上报的第一信息包括识别出的恶意软件的哈希值,且该哈希值为X时,则确定此时客户端对恶意软件的识别为误报。
[0099]S54:云端将判断结果发送给所述客户端,以使所述客户端根据所述判断结果确定是否存在误报。
[0100]如上述实施例,客户端在收到判断结果后,可以根据判断结果确定是否存在误报,进而可以进行相应处理。具体内容可以参照上述实施例,在此不再赘述。
[0101]本实施例的云端可以接收客户端在识别出恶意软件后发送的第一信息,云端根据该第一信息进行误报的判断,并将判断结果反馈给客户端。因此,客户端可以及时获知是否存在误报,进而可以及时解除误报。
[0102]相关技术中,杀毒厂商需要根据各用户反馈的误报情况,从这些反馈中筛选出相对紧急重要误报进行优先处理。由于用户反馈误报的及时性不够,就会造成不能及时处理紧急重要误报,延误紧急重要误报。为此,如图6所示,本发明还提供一种实施例,以解决相关技术中存在的延误紧急重要误报的问题。
[0103]图6为本发明实施例提供的另一种误报检测方法的流程示意图,包括:
[0104]S61:云端接收客户端发送的第一信息,所述第一信息是所述客户端识别出恶意软件时获取的信息;
[0105]S62:云端设置误报判定规则库,所述误报判定规则库中记录属于误报的规则;
[0106]S63:云端在所述第一信息满足所述误报判定规则中记录的规则时,确定对所述恶意软件的识别为误报。
[0107]S64:云端将判断结果发送给所述客户端,以使所述客户端根据所述判断结果确定是否存在误报。
[0108]具体内容可以参见S51?S54,在此不再赘述。
[0109]S65:云端区分紧急误报和非紧急误报;
[0110]其中,云端可以设置恶意软件信息库,用于记录根据各个客户端反馈的第一信息得到的统计信息,例如,可以得到针对感染同一个恶意软件的客户端的数量,进而,云端可以根据该统计信息进行区分;和/或,
[0111]云端可以设置用户反馈误报信息库,其中记录各用户反馈的误报情况,例如,根据用户反馈的误报情况也可以得到感染同一个恶意软件的客户端的数量,进而,云端可以根据该用户数量进行区分。或者,用户可以反馈识别出的恶意软件的性质,根据该性质进行区分。
[0112]SPS65可以具体包括:
[0113]对各个客户端发送到第一信息进行统计,根据统计结果区分紧急误报和非紧急误报;和/或,
[0114]获取用户反馈的误报情况,根据用户反馈的误报情况区分紧急误报和非紧急误报。
[0115]进一步的,所述第一信息中包含识别出的恶意软件的信息以及客户端的信息,所述对各个客户端发送到第一信息进行统计,根据统计结果区分紧急误报和非紧急误报,包括:
[0116]根据各个客户端发送的第一信息,确定识别出同一恶意软件的客户端的数量;
[0117]在所述数量大于预设的阈值时,确定对所述恶意软件的识别为紧急误报。
[0118]其中,该预设的阈值可以是10万户/每天。
[0119]另一实施例中,所述获取用户反馈的误报情况,根据用户反馈的误报情况区分紧急误报和非紧急误报,包括:
[0120]获取各用户反馈的误报情况,确定反馈同一恶意软件的用户数量;
[0121]在所述用户数量大于预设的阈值时,确定对所述恶意软件的识别为紧急误报。
[0122]其中,该预设的阈值也可以是10万户/每天。
[0123]另一实施例中,所述获取用户反馈的误报情况,根据用户反馈的误报情况区分紧急误报和非紧急误报,包括:
[0124]根据用户反馈的误报的软件性质,区分紧急误报和非紧急误报。
[0125]具体可以是,所述根据用户反馈的误报的软件性质,区分紧急误报和非紧急误报,包括:
[0126]在所述用户反馈的误报的软件是系统运行必需软件时,将对所述系统运行必需软件的误报确定为紧急误报。
[0127]系统运行必需软件例如为windows系统文件。
[0128]S66:云端优先核实所述紧急误报,并在核实后,将所述紧急误报对应的规则更新到所述误报判定规则库中。
[0129]其中,可以根据静态代码分析,和/或,动态行为分析,核实是否为误报。
[0130]例如,编写一段静态代码,该静态代码可以获取一定时间段内感染同一恶意软件的范围,如果该范围超出预设值,则可以核实为误报;或者,通过动态行为获取一定时间段内增加的感染同一恶意软件的用户数量,如果该数量超出预算值,则可以核实为误报。这是由于感染范围很大或者感染量增加很快通常不会是病毒,当然,这种情况也可能是病毒大规模爆发,为此,之后还可以进行进一步的核实,具体内容可以采用相关技术中病毒核实的流程,本实施例不再赘述。
[0131]在核实为误报后,可以将此时客户端识别出恶意软件时发送的第一信息更新到误报判断规则库中,以便后续检测作为参考。
[0132]例如,原来的误报判断规则库中的哈希值不包括y,而经过核实哈希值为I的软件为误报,那么可以将y更新到误报判断规则库中,当下次客户端识别出的恶意软件的哈希值为I后,根据该更新后的误报判断规则库就可以确定其为误报。
[0133]本实施例中由于云端拥有所有客户端识别出的恶意软件的信息,可以在没有用户反馈或者用户未及时反馈的情况下,根据客户端上报的第一信息进行分析,及时区分出紧急误报,避免对紧急误报的延迟。
[0134]图7为本发明实施例提供的一种误报检测装置的结构示意图,该装置70包括识别模块71、获取模块72和判定模块73。
[0135]识别模块71用于识别恶意软件;
[0136]获取模块72用于获取所述识别恶意软件时的第一信息,并将所述第一信息发送给云端,以使所述云端根据所述第一信息判断对所述恶意软件的识别是否为误报;
[0137]判定模块73用于接收所述云端发送的判断结果,根据所述判断结果确定是否存在误报。
[0138]在一个实施例中,可以理解的是,相关技术中,客户端也可以识别出恶意软件,因此,本领域技术人员可以获知具体的识别模块71如何实现恶意软件的识别,本发明实施例不再赘述。
[0139]相关技术中,客户端在识别出恶意软件后直接按照恶意软件处理流程进行处理,但是,客户端识别出的恶意软件有可能是正常软件,也就是产生了误报。相关技术中,误报需要用户通过客户端上报给服务器端。为了使云端及时获知误报,本发明实施例的误报检测装置在识别出恶意软件之后,还包括上述的获取模块72和判定模块73。
[0140]对应获取模块72,其中,所述第一信息包括如下项中的至少一项:
[0141]所述恶意软件的哈希(hash)值;
[0142]识别所述恶意软件的本地引擎信息;
[0143]所述恶意软件的特征信息;
[0144]所述恶意软件所在客户端的不可逆的唯一用户标识(Universally UniqueIdentifier, UUID)。
[0145]其中,恶意软件的哈希值可以是对恶意软件的二进制文件进行哈希运算后得到的,哈希算法包括但不限于:消息摘要算法第五版(Message Digest Algorithm,MD5)、循环冗余校验码(Cyclic Redundancy Check, CRC)、安全哈希算法(Secure Hash