一种病毒文件的处理方法、系统及设备技术方案

本发明专利技术公开了一种病毒文件的处理方法、系统及设备，所述方法包括：云端数据平台收集病毒统计信息，并根据收集的所述病毒统计信息筛选出病毒家族文件；客户端接收所述云端数据平台发送的病毒家族文件，对所述病毒家族文件进行行为特征分析，得到病毒家族行为信息；所述客户端根据所述行为链脚本库中的病毒家族行为信息，对客户端的文件进行查杀病毒处理，并将记录所述查杀病毒处理的日志上报至所述云端数据平台；所述云端数据平台对接收的所述日志进行分析并得到更新行为信息；所述客户端根据所述更新行为信息对所述病毒家族行为信息进行更新。通过采用本发明专利技术可以精确检测和彻底清除病毒文件，提高病毒文件的查杀成功率。

【技术实现步骤摘要】

本专利技术涉及计算机领域，更为具体而言，涉及一种病毒文件的处理方法、系统及设备。
技术介绍
随着互联网的快速发展，各类病毒文件也在迅速增长和变异，其中，基于病毒模式聚集网站流量并通过流量广告变现的灰色产业利益链已经形成。每日新增的流氓软件已经数以百万计，这些病毒文件使用各种不易辨识的技术，通过进程、注册表、文件等方式进行相互捆绑，防止杀毒软件进行查杀。传统的杀毒软件以查杀单独的病毒文件为主，但这种杀毒方式已经很难对现在的病毒文件进行彻底清除和修复。并且，面对当前病毒文件增长速度越来越快的局面，现有的查杀病毒的方法对病毒文件的分析和更新不够及时，使得病毒文件的查杀成功率较低。
技术实现思路
为了精确、及时和有效地处理病毒文件，提高病毒文件的查杀成功率，本专利技术实施方式提供了一种病毒文件的处理方法、系统及设备。一方面，本专利技术实施方式提供了一种病毒文件的处理方法，所述方法包括：云端数据平台收集病毒统计信息，并根据收集的所述病毒统计信息筛选出病毒家族文件；客户端接收所述云端数据平台发送的病毒家族文件，对所述病毒家族文件进行行为特征分析，得到病毒家族行为信息；所述客户端根据所述病毒家族行为信息，对客户端的文件进行查杀病毒处理，并将记录所述查杀病毒处理的日志上报至所述云端数据平台；所述云端数据平台对接收的所述日志进行分析并得到更新行为信息；所述客户端根据所述更新行为信息对所述病毒家族行为信息进行更新。另一方面，本专利技术实施方式又提供了一种病毒文件的处理方法，所述方法包括：云端数据平台收集病毒统计信息，根据收集的病毒统计信息筛选出病毒家族文件，对所述病毒家族文件进行行为特征分析，得到病毒家族行为信息并将其发送至所述客户端，以便所述客户端根据所述病毒家族行为信息进行查杀病毒处理；所述云端数据平台获取所述客户端上报的记录所述查杀病毒处理的日志，对所述日志进行分析并得到更新行为信息，将所述更新行为信息发送至所述客户端以对所述病毒家族行为信息进行更新。相应的，本专利技术实施方式提供了一种云端数据平台，其特征在于，所述云端数据平台包括：收集单元，用于收集所述病毒统计信息，根据所述收集的病毒统计信息筛选出病毒家族文件；分析单元，用于执行下述操作：对所述病毒家族文件进行特征分析，得到病毒家族行为信息并将其发送至所述客户端，以便所述客户端根据所述病毒家族行为信息进行查杀病毒处理；以及日志单元，用于执行下述操作：获取所述客户端上报的所述日志，对所述日志进行分析并得到更新行为信息，将所述更新行为信息发送至所述客户端以对所述病毒家族行为信息进行更新。又一方面，本专利技术实施方式还提供了一种病毒文件的处理方法，所述方法包括：客户端接收云端数据平台发送的病毒家族行为信息，并将所述接收的病毒家族行为信息存储到行为链脚本库，根据所述行为链脚本库中的病毒家族行为信息，对所述客户端的文件进行查杀病毒处理，并将记录所述查杀病毒处理的日志上报至所述云端数据平台，以便所述云端数据平台对所述日志进行分析并得到更新行为信息，接收所述云端数据平台发送的所述更新行为信息，并根据所述更新行为信息对所述行为链脚本库中的所述病毒家族行为信息进行更新。相应的，本专利技术实施方式提供了一种客户端，其特征在于，所述客户端包括：行为链脚本库，用于执行下述操作：接收和存储云端数据平台发送的病毒家族行为信息；接收所述云端数据平台发送的更新行为信息，并根据所述更新行为信息对所述病毒家族行为信息进行更新；引擎加载模块，用于执行下述操作：加载所述行为链脚本库，根据所述行为链脚本库中的病毒家族行为信息，对所述客户端提供的文件进行查杀病毒处理，并将记录所述查杀病毒处理的日志上报至所述云端数据平台。另外，本专利技术实施方式提供了一种病毒文件的处理系统，包括：如上所述的云端数据平台和如上所述的客户端。实施本专利技术的各种实施方式可以精确检测和彻底清除病毒文件，提高病毒文件的查杀成功率。附图说明图1是根据本专利技术实施方式的一种病毒文件的处理方法的流程图；图2示出了图1的步骤S3的具体流程图；图3示出了图2的步骤S33的具体流程图；图4是根据本专利技术实施方式的一种病毒文件的处理系统的架构图；图5示出了图4所示的云端数据平台200的框图；图6示出了图4所示的行为链脚本库300的框图；图7示出了图4所示的引擎加载模块400的框图；图8示出了图7所示的查杀单元420的框图；图9是根据本专利技术实施方式的另一种病毒文件的处理方法的流程图；图10是根据本专利技术实施方式的又一种病毒文件的处理方法的流程图。具体实施方式以下结合附图和具体实施方式对本专利技术的各个方面进行详细阐述。其中，众所周知的模块、单元及其相互之间的连接、链接、通信或操作没有示出或未作详细说明。并且，所描述的特征、架构或功能可在一个或一个以上实施方式中以任何方式组合。本领域技术人员应当理解，下述的各种实施方式只用于举例说明，而非用于限制本专利技术的保护范围。还可以容易理解，本文所述和附图所示的各实施方式中的模块或单元或处理方式可以按各种不同配置进行组合和设计。图1是根据本专利技术实施方式的一种病毒文件的处理方法的流程图，参见图1，所述方法包括：步骤S1，云端数据平台收集病毒统计信息，并根据收集的所述病毒统计信息筛选出病毒家族文件；其中，云端数据平台可根据客户端对病毒查询的次数和查询该病毒的机器数量，梳理出病毒查询排名前N名的病毒家族文件(例如：病毒家族文件前N名排行榜)，对于所述N的取值，可根据需要病毒家族文件的范围进行设置，如前10名、前50名等，从而重点解决这些流行病毒的问题。所述病毒家族文件是指一组病毒行为相似的若干病毒文件，它们可能是同一制作者或者由同一病毒源文件修改的文件。所述病毒统计信息包括病毒的查询次数和查询机器数量，用于根据其统计的数据综合分析该病毒的流行程度。步骤S2，客户端接收所述云端数据平台发送的病毒家族文件，对所述病毒家族文件进行行为特征分析，得到病毒家族行为信息。其中，可由所述客户端的行为链脚本库接收所述云端数据平台发送的病毒家族文件；提取所述病毒家族文件的扫描、鉴定和清除的行为特征作为所述病毒家族行为信息(所述病毒家族行为信息具体包含文件内容特征、注册表特征、进程服务特征、启动项特征、浏览器默认主页和默认搜索项等特征行为)；将得本文档来自技高网...

【技术保护点】
一种病毒文件的处理方法，其特征在于，所述方法包括：云端数据平台收集病毒统计信息，并根据收集的所述病毒统计信息筛选出病毒家族文件；客户端接收所述云端数据平台发送的病毒家族文件，对所述病毒家族文件进行行为特征分析，得到病毒家族行为信息；所述客户端根据所述病毒家族行为信息，对客户端的文件进行查杀病毒处理，并将记录所述查杀病毒处理的日志上报至所述云端数据平台；所述云端数据平台对接收的所述日志进行分析并得到更新行为信息；所述客户端根据所述更新行为信息对所述病毒家族行为信息进行更新。

【技术特征摘要】
1.一种病毒文件的处理方法，其特征在于，所述方法包括：
云端数据平台收集病毒统计信息，并根据收集的所述病毒统计信息筛选
出病毒家族文件；
客户端接收所述云端数据平台发送的病毒家族文件，对所述病毒家族文
件进行行为特征分析，得到病毒家族行为信息；
所述客户端根据所述病毒家族行为信息，对客户端的文件进行查杀病毒
处理，并将记录所述查杀病毒处理的日志上报至所述云端数据平台；
所述云端数据平台对接收的所述日志进行分析并得到更新行为信息；
所述客户端根据所述更新行为信息对所述病毒家族行为信息进行更新。
2.如权利要求1所述的方法，其特征在于，所述客户端接收所述云端数
据平台发送的病毒家族文件，对所述病毒家族文件进行行为特征分析，得到
病毒家族行为信息包括：
所述客户端的行为链脚本库接收所述云端数据平台发送的病毒家族文
件；
提取所述病毒家族文件的扫描、鉴定和清除的行为特征作为所述病毒家
族行为信息；
将得到的所述病毒家族行为信息进行存储。
3.如权利要求1所述的方法，其特征在于，所述客户端根据所述病毒家
族行为信息，对客户端的文件进行查杀病毒处理包括：
所述客户端的引擎加载模块加载所述客户端行为链脚本库；
对所述客户端的文件的脚本信息进行扫描；
根据所述行为链脚本库中的病毒家族行为信息，对所述扫描后的脚本信
息进行鉴定并得到病毒鉴定结果；
将所述病毒鉴定结果为病毒的文件进行清除和修复处理。
4.如权利要求3所述的方法，其特征在于，所述将记录所述查杀病毒处

\t理的日志上报至所述云端数据平台包括：
将所述扫描、鉴定、清除和修复处理的过程分别记录为扫描日志、鉴定
日志、清除和修复处理日志，并上报至所述云端数据平台。
5.如权利要求3所述的方法，其特征在于，所述根据所述行为链脚本库
中的病毒家族行为信息，对所述扫描后的脚本信息进行鉴定并得到病毒鉴定
结果包括：
将所述扫描后的脚本信息与所述行为链脚本库的所述病毒家族行为信息
进行匹配；当所述匹配成功时，所述病毒鉴定结果为所述行为链脚本库中预
定义的对应所述病毒家族行为信息的鉴定结果；当所述匹配失败时，将所述
扫描后的脚本信息上传至所述云端数据平台进行查询鉴定，并得到所述病毒
鉴定结果。
6.一种病毒文件的处理方法，其特征在于，所述方法包括：
云端数据平台收集病毒统计信息，根据所述收集的病毒统计信息筛选出
病毒家族文件，
对所述病毒家族文件进行行为特征分析，得到病毒家族行为信息并将其
发送至所述客户端，以便所述客户端根据所述病毒家族行为信息进行查杀病
毒处理；
所述云端数据平台获取所述客户端上报的记录所述查杀病毒处理的日
志；
对所述日志进行分析并得到更新行为信息，将所述更新行为信息发送至
所述客户端以对所述病毒家族行为信息进行更新。
7.如权利要求6所述的方法，其特征在于，所述对所述病毒家族文件进
行行为特征分析包括：
提取所述病毒家族文件的扫描、鉴定和清除的行为特征。
8.如权利要求7所述的方法，其特征在于，所述客户端上报的记录所述
查杀病毒处理的日志包括：
将所述扫描、鉴定、清除和修复处理的过程分别记录为扫描日志、鉴定
日志、清除和修复处理日志。
9.一种云端数据平台，其特征在于，所述云端数据平台包括：
收集单元，用于收集所述病毒统计信息，根据所述收集的病毒统计信息
筛选出病毒家族文件；
分析单元，用于执行下述操作：对所述病毒家族文件...

【专利技术属性】
技术研发人员：邹荣新，梅银明，项柱，傅旭东，胡天来，陈增霸，姚俊，张敏，王兆林，蔡洪基，
申请(专利权)人：百度在线网络技术北京有限公司，
类型：发明
国别省市：北京;11