一种全网终端的病毒查杀方法及装置。方法用于网络侧的云服务器,包括:调用基于病毒特征数据库的云查杀引擎扫描终端设备;若扫描出疑似文件,则对其进行鉴定,并根据鉴定结果,判断所述疑似文件是否为病毒文件;若是,则将判定结果发送至所述终端设备,并将所述病毒文件的病毒特征发布到所述病毒特征数据库中。本发明专利技术中终端侧不再需用设立病毒库,利用网络侧上的云查杀引擎进行病毒的查杀,节省空间资源的浪费;并且利用病毒特征实时更新的病毒库,进一步保证的设备的安全性。
【技术实现步骤摘要】
本专利技术属于网络安全
,尤其是涉及一种全网终端的病毒查杀方法及装置。
技术介绍
随着计算机技术的发展,计算机病毒也在日益影响着计算机用户的数据安全或使用体验。为此很多计算机安装了防毒软件(或称杀毒软件、防火墙等)以抵抗计算机病毒。目前防毒软件多采用特征码识别的方式来检测病毒,通过检测病毒的特征码来确认当前扫描的文件中包含病毒。因此一些计算机病毒的作者为了避免自己编写的病毒文件被防毒软件检测出来,通常会将一些无效的指令加入病毒文件以躲避杀毒软件的特征码检测,从而影响了防毒软件防御计算机病毒的效果。目前的检测方法,是由终端从网络侧更新自身的病毒库,利用自身的病毒库进行数据的扫描和查杀,这种方式存在占用空间资源大,病毒库更新不及时的问题。
技术实现思路
本专利技术的目的之一是提供一种全网终端的病毒查杀方法,以解决现有技术中占用空间资源大,病毒库更新不及时的问题。在一些说明性实施例中,所述全网终端的病毒查杀方法,用于网络侧的云服务器,包括:调用基于病毒特征数据库的云查杀引擎扫描该终端设备;若扫描出疑似文件,则鉴定所述疑似文件,并根据鉴定结果,判断所述疑似文件是否为病毒文件;若是,则将判定结果发送至所述终端设备,并将所述病毒文件的病毒特征发布到所述病毒特征数据库中。优选地,所述鉴定所述疑似文件,根据鉴定结果,判断所述疑似文件是否为病毒文件,具体包括:对所述疑似文件依次进行以下鉴定,根据所述鉴定结果确定所述疑似文件的最终分值;辅助鉴定、多引擎鉴定、静态鉴定和
动态鉴定;将所述最终分值与预先设定的病毒阈值进行比较,根据比较结果,判定所述疑似文件为病毒文件或非病毒文件。优选地,所述辅助鉴定,具体包括:识别所述疑似文件的类型,并依据所述疑似文件的类型对其进行预处理,判定经预处理后的文件的数字签名是否有效,和/或,是否含有感染型代码;若判定结果为数字签名无效或含有感染型代码,则将所述疑似文件判定为所述病毒文件;否则,对所述疑似文件进行后续鉴定。优选地,在所述识别所述疑似文件的类型,并依据所述疑似文件的类型对其进行预处理,包括:若为压缩文件,则依次解压,获取解压后的所有子文件;若为加壳文件,则依次脱壳,获取脱壳后的原始文件。优选地,所述多引擎鉴定,具体包括:部署多套文件引擎,针对辅助鉴定过滤后的文件进行扫描,并根据扫描结果进行分配第一子分值;结合获得的所述第一子分值与所述静态鉴定和动态鉴定的鉴定结果,确定所述最终分值。优选地,所述静态鉴定,具体包括:提取文件属性素材,在自我学习型素材库中进行素材匹配,判定素材是否异常,根据判定结果确定第二子分值;结合获得的所述第二子分值与所述多引擎鉴定和动态鉴定的鉴定结果,确定所述最终分值。优选地,所述自我学习型素材库中包括一下至少之一的标准素材:系统API、导入导出表、关键组合字符串、文件图标、文件版本号、文件编译器类型、PE文件节表、二进制分块、指令跳转块、指令序列。优选地,所述动态鉴定,具体包括:通过虚拟机监控所述疑似文件是否存在危险行为,则根据危险行为的种类确定第三子分值;所述攻击行为和所述感染行为,包括:各类注入、互斥体、内联挂钩、启动宿主进程、镜像劫持、添加延迟重命名项、输入法机制、修改指令寄存器及远程线程上下文、设置全局消息钩子、常见的漏洞溢出攻击;结合获得的所述第三子分值与所述多引擎鉴定和静态鉴定的鉴定结果,确定所述最终分值。优选地,在所述调用基于病毒特征数据库的云查杀引擎扫描该终端设备之后,还包括:若扫描出病毒文件,则利用所述云查杀引擎去除从所述终端设备上去除该病毒文件。本专利技术的另一个目的在于提供一种全网终端的病毒查杀装置。在一些说明性实施例中,所述全网终端的病毒查杀装置,包括:调用模块,用于调用基于病毒特征数据库的云查杀引擎扫描该终端设备;解析模块,用于若扫描出疑似文件,则鉴定所述疑似文件,并根据鉴定结果,判断所述疑似文件是否为病毒文件;发送模块,用于将判定结果发送至所述终端设备,并将所述病毒文件的病毒特征发布到所述病毒特征数据库中。与现有技术相比,本专利技术的说明性实施例包括以下优点:终端侧不再需用设立病毒库,利用网络侧上的云查杀引擎进行病毒的查杀,节省空间资源的浪费;并且利用病毒特征实时更新的病毒库,进一步保证的设备的安全性。附图说明此处所说明的附图用来提供对本专利技术的进一步理解,构成本申请的一部分,本专利技术的示意性实施例及其说明用于解释本专利技术,并不构成对本专利技术的不当限定。在附图中:图1是按照本专利技术的说明性实施例的流程图;图2是按照本专利技术的说明性实施例的结构框图。具体实施方式在以下详细描述中,提出大量特定细节,以便于提供对本专利技术的透彻理解。但是,本领域的技术人员会理解,即使没有这些特定细节也可实施本专利技术。在其它情况下,没有详细描述众所周知的方法、过程、组件和电路,以免影响对本专利技术的理解。如图1所示,公开了一种全网终端的病毒查杀方法,用于网络侧的云服务器,包括:S11、调用基于病毒特征数据库的云查杀引擎扫描该终端设备;S12、若扫描出疑似文件,则对其进行鉴定,并根据鉴定结果,判断所述疑似文件是否为病毒文件;S13、若是,则将判定结果发送至所述终端设备,并将所述病毒文件的病毒特征发布到所述病毒特征数据库中。终端调用云查杀引擎扫描该终端文件,若存在疑似文件,则获取该疑似文件,进行放入待检测数据库中,在鉴定该疑似文件为病毒文件后,将该病毒文件的病毒特征放到病毒特征数据库中。本专利技术中终端侧不再需用设立病毒库,利用网络侧上的云查杀引擎进行病毒的查杀,节省空间资源的浪费;并且利用病毒特征实时更新的病毒库,进一步保证的设备的安全性。在一些说明性实施例中,所述鉴定所述疑似文件,根据鉴定结果,判断所述疑似文件是否为病毒文件,具体包括:对所述疑似文件依次进行以下鉴定,根据所述鉴定结果确定所述疑似文件的最终分值;辅助鉴定、多引擎鉴定、静态鉴定和动态鉴定;将所述最终分值与预先设定的病毒阈值进行比较,根据比较结果,判定所述疑似文件为病毒文件或非病毒文件。在一些说明性实施例中,所述辅助鉴定,具体包括:识别所述疑似文件的类型,并依据所述疑似文件的类型对其进行预处理;判定经预处理后文件的数字签名是否有效,和/或,判定经预处理后文件是否含有感染型代码;若判定结果为数字签名无效或含有感染型文件,则将所述疑似文件判定为所述病毒文件;否则,对所述疑似文件进行后续鉴定。在一些说明性实施例中,在所述识别所述疑似文件的类型,并依据所述疑似文件的类型对其进行预处理,包括:(1)若为压缩文件,则依次解压,获取解压后的所有子文件;(2)若为加壳文件,则依次脱壳,获取脱壳后的原始文件。在一些说明性实施例中,所述多引擎鉴定,具体包括:部署多套文件引擎,针对辅助鉴定过滤后的文件进行扫描,并根据扫描结果进行分配第一子
分值;结合获得的所述第一子分值与所述静态鉴定和动态鉴定的鉴定结果,确定所述最终分值。在一些说明性实施例中,所述静态鉴定,具体包括:提取文件属性素材,在自我学习型素材库中进行素材匹配,判定素材是否异常,根据判定结果确定第二子分值;结合获得的所述第二子分值与所述多引擎鉴定和动态鉴定的鉴定结果,确定所述最终分值。在一些说明性实施例中,所述自我学习型素材库中包括一下至少之一的标准素材:系统AP本文档来自技高网...
【技术保护点】
一种全网终端的病毒查杀方法,其特征在于,用于网络侧的云服务器,包括:调用基于病毒特征数据库的云查杀引擎扫描终端设备;若扫描出疑似文件,则对其进行鉴定,并根据鉴定结果,判断所述疑似文件是否为病毒文件;若是,则将判定结果发送至所述终端设备,并将所述病毒文件的病毒特征发布到所述病毒特征数据库中。
【技术特征摘要】
1.一种全网终端的病毒查杀方法,其特征在于,用于网络侧的云服务器,包括:调用基于病毒特征数据库的云查杀引擎扫描终端设备;若扫描出疑似文件,则对其进行鉴定,并根据鉴定结果,判断所述疑似文件是否为病毒文件;若是,则将判定结果发送至所述终端设备,并将所述病毒文件的病毒特征发布到所述病毒特征数据库中。2.根据权利要求1所述的病毒查杀方法,其特征在于,所述对其进行鉴定,并根据鉴定结果,判断所述疑似文件是否为病毒文件,具体包括:对所述疑似文件依次进行以下鉴定,根据所述鉴定结果确定所述疑似文件的最终分值;辅助鉴定、多引擎鉴定、静态鉴定和动态鉴定;将所述最终分值与预先设定的病毒阈值进行比较,根据比较结果,判定所述疑似文件为病毒文件或非病毒文件。3.根据权利要求2所述的病毒查杀方法,其特征在于,所述辅助鉴定,具体包括:识别所述疑似文件的类型,并依据所述疑似文件的类型对其进行预处理;判定经预处理后的文件的数字签名是否有效,和/或,是否含有感染型代码;若判定结果为数字签名无效或含有感染型代码,则将所述疑似文件判定为所述病毒文件;否则,对所述疑似文件进行后续鉴定。4.根据权利要求3所述的病毒查杀方法,其特征在于,在所述识别所述疑似文件的类型,并依据所述疑似文件的类型对其进行预处理,包括:若为压缩文件,则依次解压,获取解压后的所有子文件;若为加壳文件,则依次脱壳,获取脱壳后的原始文件。5.根据权利要求3所述的病毒查杀方法,其特征在于,所述多引擎鉴定,具体包括:部署多套文件引擎,针对辅助鉴定过滤后的文件进行扫描,并根据扫描结果进行分配第一子分值;结合获得的所述第一子分值与所述静态鉴定和动态鉴定的鉴定结果,确定所述最终...
【专利技术属性】
技术研发人员:杨锐,关成雷,
申请(专利权)人:北京金山安全管理系统技术有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。