誤報檢測方法和裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及安全技術(shù)領(lǐng)域,尤其涉及一種誤報檢測方法和裝置。
【背景技術(shù)】
[0002]云安全(Cloud Security)技術(shù)是網(wǎng)絡(luò)時代信息安全的最新體現(xiàn),應(yīng)用云安全技術(shù)后,識別和查殺病毒不再僅僅依靠本地硬盤中的病毒庫,而是依靠龐大的網(wǎng)絡(luò)服務(wù),實時進(jìn)行采集、分析和處理。應(yīng)用云安全技術(shù)的殺毒系統(tǒng)包括殺毒軟件客戶端(以下簡稱客戶端)和云端,客戶端位于用戶設(shè)備,例如用戶計算機(jī)上,客戶端中的本地引擎可以完成病毒掃描過程,掃描過程的讀文件、獲取特征碼、特征匹配、判定是否惡意軟件等步驟都是在用戶設(shè)備上完成,掃描過程不連接網(wǎng)絡(luò),或者說不從云端接收信息并影響流程。云端是由硬件服務(wù)器和相關(guān)軟件組成,可以接收客戶端的信息,對接收的信息進(jìn)行處理并返回處理信息給客戶端。客戶端和云端可以通過因特網(wǎng)連接并進(jìn)行信息傳輸。
[0003]在病毒掃描過程中,可能會出現(xiàn)誤報情況。誤報是指本地引擎將正常的軟件識別為惡意軟件的現(xiàn)象。相關(guān)技術(shù)中,殺毒軟件廠商發(fā)現(xiàn)誤報和解除誤報的基本流程大致如下:本地引擎在在用戶設(shè)備上掃描文件,本地引擎誤將正常軟件識別為惡意軟件,本地引擎將正常軟件當(dāng)惡意軟件處理,用戶通過客戶端向殺毒軟件廠商反饋誤報,廠商核實誤報反饋,廠商發(fā)布升級數(shù)據(jù),用戶主動升級殺毒軟件或殺毒軟件自動升級,誤報解除。
[0004]但是,上述技術(shù)中,殺毒軟件廠商主要依賴用戶主動反饋誤報才獲知誤報,及時性會存在問題。
【發(fā)明內(nèi)容】
[0005]本發(fā)明旨在至少在一定程度上解決相關(guān)技術(shù)中的技術(shù)問題之一。
[0006]為此,本發(fā)明的一個目的在于提出一種誤報檢測方法,該誤報檢測方法能夠使得客戶端及時發(fā)現(xiàn)誤報,進(jìn)而可以及時解除誤報。
[0007]本發(fā)明的第二個目的在于提出一種誤報檢測裝置。
[0008]為達(dá)到上述目的,本發(fā)明第一方面實施例提出的誤報檢測方法,包括:接收客戶端發(fā)送的第一信息,所述第一信息是所述客戶端識別出惡意軟件時獲取的信息;根據(jù)所述第一信息判斷所述客戶端對所述惡意軟件的識別是否為誤報;將判斷結(jié)果發(fā)送給所述客戶端,以使所述客戶端根據(jù)所述判斷結(jié)果確定是否存在誤報。
[0009]本發(fā)明第一方面實施例提出的誤報檢測方法通過云端根據(jù)客戶端上報的第一信息判斷是否存在誤報,并將判斷結(jié)果反饋給客戶端,可以使得客戶端及時獲知是否存在誤報,進(jìn)而客戶端可以及時解除誤報。
[0010]為達(dá)到上述目的,本發(fā)明第二方面實施例提出的誤報檢測裝置,包括:接收模塊,用于接收客戶端發(fā)送的第一信息,所述第一信息是所述客戶端識別出的惡意軟件的信息;判斷模塊,用于根據(jù)所述接收模塊接收的所述第一信息判斷所述客戶端對所述惡意軟件的識別是否為誤報;發(fā)送模塊,用于將所述判斷模塊得到的判斷結(jié)果發(fā)送給所述客戶端,以使所述客戶端根據(jù)所述判斷結(jié)果確定是否存在誤報。
[0011]本發(fā)明第二方面實施例提出的誤報檢測裝置,通過云端根據(jù)客戶端上報的第一信息判斷是否存在誤報,并將判斷結(jié)果反饋給客戶端,可以使得客戶端及時獲知是否存在誤報,進(jìn)而客戶端可以及時解除誤報。
[0012]為達(dá)到上述目的,本發(fā)明第三方面實施例提出的云端設(shè)備,包括殼體、處理器、存儲器、電路板和電源電路,其中,所述電路板安置在所述殼體圍成的空間內(nèi)部,所述處理器和所述存儲器設(shè)置在所述電路板上;所述電源電路,用于為所述云端設(shè)備的各個電路或器件供電;所述存儲器用于存儲可執(zhí)行程序代碼;所述處理器通過讀取所述存儲器中存儲的可執(zhí)行程序代碼來運行與所述可執(zhí)行程序代碼對應(yīng)的程序,以用于:接收客戶端發(fā)送的第一信息,所述第一信息是所述客戶端識別出惡意軟件時獲取的信息;根據(jù)所述第一信息判斷所述客戶端對所述惡意軟件的識別是否為誤報;將判斷結(jié)果發(fā)送給所述客戶端,以使所述客戶端根據(jù)所述判斷結(jié)果確定是否存在誤報。
[0013]本發(fā)明第三方面實施例提出的誤報檢測方法通過云端根據(jù)客戶端上報的第一信息判斷是否存在誤報,并將判斷結(jié)果反饋給客戶端,可以使得客戶端及時獲知是否存在誤報,進(jìn)而客戶端可以及時解除誤報。
[0014]本發(fā)明附加的方面和優(yōu)點將在下面的描述中部分給出,部分將從下面的描述中變得明顯,或通過本發(fā)明的實踐了解到。
【附圖說明】
[0015]本發(fā)明上述的和/或附加的方面和優(yōu)點從下面結(jié)合附圖對實施例的描述中將變得明顯和容易理解,其中:
[0016]圖1為本發(fā)明實施例提供的一種誤報檢測方法的流程示意圖;
[0017]圖2為本發(fā)明實施例提供的另一種誤報檢測方法的流程示意圖;
[0018]圖3為本發(fā)明實施例提供的另一種誤報檢測方法的流程示意圖;
[0019]圖4為本發(fā)明實施例提供的另一種誤報檢測方法的流程示意圖;
[0020]圖5為本發(fā)明實施例提供的另一種誤報檢測方法的流程示意圖;
[0021]圖6為本發(fā)明實施例提供的另一種誤報檢測方法的流程示意圖;
[0022]圖7為本發(fā)明實施例提供的一種誤報檢測裝置的結(jié)構(gòu)示意圖;
[0023]圖8為本發(fā)明實施例提供的另一種誤報檢測裝置的結(jié)構(gòu)示意圖;
[0024]圖9為本發(fā)明實施例提供的另一種誤報檢測裝置的結(jié)構(gòu)示意圖;
[0025]圖10為本發(fā)明實施例提供的另一種誤報檢測裝置的結(jié)構(gòu)示意圖;
[0026]圖11為本發(fā)明實施例提供的另一種誤報檢測裝置的結(jié)構(gòu)示意圖;
[0027]圖12為本發(fā)明實施例提供的另一種誤報檢測裝置的結(jié)構(gòu)示意圖;
[0028]圖13為本發(fā)明實施例提供的另一種誤報檢測裝置的結(jié)構(gòu)示意圖;
[0029]圖14為本發(fā)明實施例提供的另一種誤報檢測系統(tǒng)的結(jié)構(gòu)示意圖。
【具體實施方式】
[0030]下面詳細(xì)描述本發(fā)明的實施例,所述實施例的示例在附圖中示出,其中自始至終相同或類似的標(biāo)號表示相同或類似的元件或具有相同或類似功能的元件。下面通過參考附圖描述的實施例是示例性的,僅用于解釋本發(fā)明,而不能理解為對本發(fā)明的限制。相反,本發(fā)明的實施例包括落入所附加權(quán)利要求書的精神和內(nèi)涵范圍內(nèi)的所有變化、修改和等同物。
[0031]需要說明的是,在本發(fā)明的描述中,術(shù)語“第一”、“第二”等僅用于描述目的,而不能理解為指示或暗示相對重要性。此外,在本發(fā)明的描述中,除非另有說明,“多個”的含義是兩個或兩個以上。
[0032]流程圖中或在此以其他方式描述的任何過程或方法描述可以被理解為,表示包括一個或更多個用于實現(xiàn)特定邏輯功能或過程的步驟的可執(zhí)行指令的代碼的模塊、片段或部分,并且本發(fā)明的優(yōu)選實施方式的范圍包括另外的實現(xiàn),其中可以不按所示出或討論的順序,包括根據(jù)所涉及的功能按基本同時的方式或按相反的順序,來執(zhí)行功能,這應(yīng)被本發(fā)明的實施例所屬技術(shù)領(lǐng)域的技術(shù)人員所理解。
[0033]圖1為本發(fā)明實施例提供的一種誤報檢測方法的流程示意圖,如圖1所示,該方法包括:
[0034]Sll:客戶端識別惡意軟件。
[0035]可以理解的是,相關(guān)技術(shù)中,客戶端也可以識別出惡意軟件,因此,本領(lǐng)域技術(shù)人員可以獲知具體的客戶端如何實現(xiàn)惡意軟件的識別,本發(fā)明實施例不再贅述。
[0036]相關(guān)技術(shù)中,客戶端在識別出惡意軟件后直接按照惡意軟件處理流程進(jìn)行處理,但是,客戶端識別出的惡意軟件有可能是正常軟件,也就是產(chǎn)生了誤報。相關(guān)技術(shù)中,誤報需要用戶通過客戶端上報給服務(wù)器端。為了使云端及時獲知誤報,本發(fā)明實施例的誤報檢測方法在識別出惡意軟件之后,還包括:
[0037]S12:客戶端獲取所述識別惡意軟件時的第一信息,并將所述第一信息發(fā)送給云端,以使所述云端根據(jù)所述第一信息判斷對所述惡意軟件的識別是否為誤報。
[0038]所述第一信息包括如下項中的至少一項:
[0039]所述惡意軟件的哈希(hash)值;
[0040]識別所述惡意軟件的本地引擎信息;
[0041]所述惡意軟件的特征信息;
[0042]所述惡意軟件所在客戶端的不可逆的唯一用戶標(biāo)識(Universally UniqueIdentifier, UUID)。
[0043]其中,惡意軟件的哈希值可以是對惡意軟件的二進(jìn)制文件進(jìn)行哈希運算后得到的,哈希算法包括但不限于:消息摘要算法第五版(Message Digest Algorithm,MD5)、循環(huán)冗余校驗碼(Cyclic Redundancy Check, CRC)、安全哈希算法(Secure Hash Algorithm,shal)等。
[0044]本地引擎信息可以是對本地引擎進(jìn)行識別后獲取的,本地引擎信息包括:引擎名,和/或,命中規(guī)則標(biāo)識(ID)等。
[0045]惡意軟件的特征信息可以是對惡意軟件的二進(jìn)制文件進(jìn)行解析后獲取的,惡意軟件的特征信息包括如下項中的至少一項:文件路徑、文件類型、文件大小等。
[0046]UUID可以是對惡意軟件所在客戶端的識別獲取的。
[0047]S13:客戶端接收所述云端發(fā)送的判斷結(jié)果,根據(jù)所述判斷結(jié)果確定是否存在誤報。
[0048]例如,在判斷結(jié)果表明為誤報時,客戶端可以確定存在誤報;在判斷結(jié)果表明為非誤報時,客戶端可以確定不存在誤報。
[0049]本實施例的客戶端通過在識別出惡意軟件后不是直接作為惡意軟件進(jìn)行處理,而是向云端發(fā)送識別出的惡意軟件的第一信息,以便云端根據(jù)該第一信息判斷是否為誤報,可以使得云端及時獲知是否存在誤報。
[0050]相關(guān)技術(shù)中,由服務(wù)器端升級殺毒軟件版本,并且客戶端升級后才可以獲知誤報。而本實施例的客戶端通過接收云端的判斷結(jié)果可以及時獲知是否存在誤報,而不再需要等待殺毒軟件升級后才能確定誤報。因此,本實施例提高了云端和客戶端獲知誤報的及時性。另外,客戶端由于在識別出惡意軟件后會向云端查詢,并獲知是否誤報的判斷結(jié)果,因此客戶端無需升級軟件就可以及時獲知誤報,避免需要升級導(dǎo)致的延遲問題。
[0051]圖2為本發(fā)明實施例提供的另一種誤報檢測方法的流程示意圖,該方法在上述的S13之后還可以包括:
[0052]S14:客戶端在所述判斷結(jié)果表明為誤報時,對所述識別出的惡意軟件不作為惡意軟件進(jìn)行處理。
[0053]也就是說,識別出的惡意軟件為正常軟件,不進(jìn)行殺毒處理。或者,
[0054]S15:客戶端在所述判斷結(jié)果表明為非誤報時,對所述識別出的惡意軟件作為惡意軟件進(jìn)行處理。
[0055]也就是說,識別出的惡意軟件不是正常軟件,需要進(jìn)行殺毒處理。
[0056]本實施例通過根據(jù)判斷結(jié)果進(jìn)行處理,可以在存在誤報時及時解除誤報。
[0057]圖3為本發(fā)明實施例提供的另一種誤報檢測方法的流程示意圖,該方法在上述的S13之后還可以包括:
[0058]S31:客戶端在確定存在誤報時,將第一信息記錄在誤報列表中。
[0059]例如,確定存在誤報時的第一信息為哈希值_1,那么可以在誤報列表中記錄哈希值_1。
[0060]S32:下次識別出的惡意軟件時,查找誤報列表,判斷下次識別出惡意軟件時的信息是否記錄在誤報列表中,如果在,則執(zhí)行S33,否則執(zhí)行S34。
[0061]例如,下次識別出惡意軟件時,也可以獲取此時的惡意軟件的信息,例如,獲取此時的惡意軟件的哈希值。
[0062]S33:直接將該次的惡意軟件的識別確定為誤報。
[0063]例如,S32中識別出的惡意軟件的哈希值為哈希值_1,由于哈希值_1記錄在誤報列表中,則將該次的惡意軟件的識別確定為誤報,不需要再向云端進(jìn)行判斷。
[0064]S34:將該次的惡意軟件的識別時的信息發(fā)送給云端,由云端進(jìn)行判斷,并接收云端發(fā)送的判斷結(jié)果。
[0065]例如,S32中獲取的信息是哈希值_3,由于其不在誤報列表中,可以將該哈希值_3發(fā)送給云端,由云端進(jìn)行是否誤報的判斷。
[0066]進(jìn)一步的,假設(shè)云端反饋的結(jié)果是誤報,那么也可以把該哈希值_3也記錄在誤報列表中,以供后續(xù)檢測查找。
[0067]本實施例以客戶端獲知誤報后,記錄第一信息,以供