一種對終端數(shù)據(jù)信息進(jìn)行處理的方法
【專利摘要】本發(fā)明公開了一種對終端數(shù)據(jù)信息進(jìn)行處理的方法,其包括:獲取終端發(fā)送的數(shù)據(jù)信息�����,所述數(shù)據(jù)信息包括終端所監(jiān)控到的未知文件的新建信息�、未知文件或程序的運行信息、已知文件或程序的運行軌跡信息以及終端系統(tǒng)運行過程中所產(chǎn)生的行為信息中的一種或幾種�,其中,所述已知文件或程序為在所述終端上至少成功運行一次的文件或程序���;對獲取到的終端發(fā)送的數(shù)據(jù)信息進(jìn)行分類處理:獲取終端發(fā)送的處理結(jié)果�,所述處理結(jié)果是終端基于接收到的掃描結(jié)果對未知文件的新建信息和/或未知程序的運行信息做出的處理操作�����,以及基于接收到的已保存結(jié)果做出的響應(yīng)操作。本發(fā)明所述的對終端數(shù)據(jù)信息進(jìn)行處理的方法有效防止殺毒漏洞的產(chǎn)生��,提高終端的安全性能�。
【專利說明】一種對終端數(shù)據(jù)信息進(jìn)行處理的方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種對終端數(shù)據(jù)信息進(jìn)行處理的方法�����,尤其涉及到一種利用云端服務(wù)器對終端數(shù)據(jù)信息進(jìn)行處理的方法��。
【背景技術(shù)】
[0002]目前�����,對于終端的數(shù)據(jù)信息處理方法有很多種��,而較為常見的應(yīng)該屬于安裝在終端上的殺毒軟件�,其對于終端運行所產(chǎn)生的信息以及所產(chǎn)生的垃圾文件都能很好的處理,尤其是其具備的殺毒功能��,能夠?qū)K端上已知的文件和程序進(jìn)行很好的預(yù)警與殺毒���。但是�,傳統(tǒng)的殺毒軟件基本上是完全控制終端系統(tǒng)的(比如說電腦終端),其中有些殺毒軟件借此暗中掃描客戶端硬盤��、窺探用戶私密���,甚至不排除某些國外殺毒軟件存在后門的可能性���,這本身意味著終端存在有巨大風(fēng)險。其次��,傳統(tǒng)殺毒軟件終端只能安裝一款軟件�����,往往樣本不全或升級不及時����,帶來安全漏洞。同時����,傳統(tǒng)殺毒軟件客戶端笨重,系統(tǒng)占用巨大�,導(dǎo)致系統(tǒng)的運行因殺毒軟件的運行而受阻,運行效率存在很大的技術(shù)缺陷����。
【發(fā)明內(nèi)容】
[0003]本發(fā)明針對以上要解決的問題提供了一種新型的對終端數(shù)據(jù)信息進(jìn)行處理的方法����,該方法通過將終端數(shù)據(jù)集中發(fā)送到服務(wù)器上處理��,在服務(wù)器上同時安裝任意數(shù)量的第三方殺毒引擎����,使得上傳到服務(wù)器上的數(shù)據(jù)信息能夠全方位的進(jìn)行殺毒掃描�����,以防止終端上有任何惡意代碼的運行及病毒的入侵��。
[0004]本發(fā)明提供的技術(shù)方案為:
[0005]一種對終端數(shù)據(jù)信息進(jìn)行處理的方法�,其包括:
[0006]獲取終端發(fā)送的數(shù)據(jù)信息,所述數(shù)據(jù)信息包括終端所監(jiān)控到的未知文件的新建信息��、未知文件或程序的運行信息����、已知文件或程序的運行軌跡信息以及終端系統(tǒng)運行過程中所產(chǎn)生的行為信息中的一種或幾種,其中��,
[0007]所述已知文件或程序為在所述終端上至少運行一次的文件或程序;
[0008]對獲取到的終端發(fā)送的數(shù)據(jù)信息進(jìn)行分類處理:
[0009]若所述數(shù)據(jù)信息是未知文件的新建信息和/或未知程序的運行信息���,則對所述數(shù)據(jù)信息進(jìn)行全方位病毒分析掃描��,并將掃描結(jié)果發(fā)送回終端�����;
[0010]若所述數(shù)據(jù)信息是已知文件或程序的運行軌跡信息和/或電腦終端系統(tǒng)運行過程中所產(chǎn)生的行為信息���,則將所述數(shù)據(jù)信息保存到第一數(shù)據(jù)庫中,并將已保存結(jié)果發(fā)送回終端���;
[0011]獲取終端發(fā)送的處理結(jié)果���,所述處理結(jié)果是終端基于接收到的掃描結(jié)果對未知文件的新建信息和/或未知程序的運行信息做出的處理操作,以及基于接收到的已保存結(jié)果做出的響應(yīng)操作�。
[0012]優(yōu)選的是,所述已知文件或程序的運行軌跡信息包括以下一種或幾種:
[0013]已知文件的修改信息及修改時間�、重命名信息、復(fù)制信息及復(fù)制路徑�����、壓縮信息、向外發(fā)送信息及發(fā)送地址信息�、傳遞記錄信息;
[0014]已知程序的加載信息�����、運行信息和退出信息���。
[0015]優(yōu)選的是�����,所述終端系統(tǒng)運行過程中所產(chǎn)生的行為信息包括:電腦終端系統(tǒng)運行過程中的進(jìn)程變化信息、線程變化信息����、注冊表變化信息和網(wǎng)絡(luò)活動記錄信息中的一種或幾種。
[0016]優(yōu)選的是���,若所述數(shù)據(jù)信息是未知文件的新建信息和/或未知程序的運行信息���,則在對所述數(shù)據(jù)信息進(jìn)行全方位病毒分析掃描后,還包括:
[0017]將掃描結(jié)果存儲到第二數(shù)據(jù)庫中�����。
[0018]優(yōu)選的是,當(dāng)獲取到終端基于所述掃描結(jié)果對未知文件的新建信息和/或未知程序的運行信息所做出的處理結(jié)果時���,還包括:
[0019]將處理結(jié)果存儲到所述第二數(shù)據(jù)庫中�����,以與存儲在所述第二數(shù)據(jù)庫中的掃描結(jié)果生成相關(guān)聯(lián)的統(tǒng)計報表���。
[0020]優(yōu)選的是,若所述數(shù)據(jù)信息是已知文件的運行軌跡信息和/或電腦終端系統(tǒng)運行過程中所產(chǎn)生的行為信息����,則將所述數(shù)據(jù)信息保存到第一數(shù)據(jù)庫的同時,還包括:將第一數(shù)據(jù)庫設(shè)置成可供所述終端進(jìn)行查詢的格式����。
[0021]優(yōu)選的是,所述方法還包括:將第一數(shù)據(jù)庫和第二數(shù)據(jù)庫中存儲的數(shù)據(jù)信息進(jìn)行備份����。
[0022]本發(fā)明所述的對終端數(shù)據(jù)信息進(jìn)行處理的方法具有以下優(yōu)勢:
[0023]其一、其將傳統(tǒng)殺毒軟件的殺毒核心放到了云端服務(wù)器上,而非置于客戶終端中��,讓客戶終端將發(fā)現(xiàn)的未知文件和未知程序通過網(wǎng)絡(luò)發(fā)送到集成了多種第三方殺毒引擎的云端服務(wù)器上進(jìn)行全方位的病毒掃描��,能有效防止傳統(tǒng)終端僅僅只有一種殺毒軟件進(jìn)行殺毒存在的殺毒漏洞��,提高了終端系統(tǒng)的安全性�����;
[0024]其二�����、由于在客戶終端上并沒有安裝殺毒引擎�����,僅僅只是上傳文件和查詢文件�����,以及處置操作�����,進(jìn)而在運行效率上來說得到了很好的提升����;
[0025]其三、尤其適用于企業(yè)網(wǎng)內(nèi)所有客戶終端的有效監(jiān)控和管理��,即企業(yè)管理中心可通過不同終端上傳的數(shù)據(jù)信息對終端進(jìn)行病毒木馬的預(yù)警和防御���,同時還能實現(xiàn)對企業(yè)網(wǎng)內(nèi)所有客戶終端上所有程序的運行軌跡分析�����,所有文件的傳遞過程的記錄和分析審計��,進(jìn)而實現(xiàn)對文件流轉(zhuǎn)細(xì)節(jié)追蹤��。
【專利附圖】
【附圖說明】
[0026]圖1為本發(fā)明所述的對終端數(shù)據(jù)信息進(jìn)行處理的方法的流程示意圖���;
[0027]圖2為本發(fā)明所述的對終端數(shù)據(jù)信息進(jìn)行處理的方法所采用的系統(tǒng)結(jié)構(gòu)示意圖。
【具體實施方式】
[0028]下面結(jié)合附圖對本發(fā)明做進(jìn)一步的詳細(xì)說明�,以令本領(lǐng)域技術(shù)人員參照說明書文字能夠據(jù)以實施。
[0029]如圖1所示�����,本發(fā)明提供一種對終端數(shù)據(jù)信息進(jìn)行處理的方法,其包括:
[0030]步驟101���、獲取終端發(fā)送的數(shù)據(jù)信息�����,所述數(shù)據(jù)信息包括終端所監(jiān)控到的未知文件的新建信息��、未知文件或程序的運行信息��、已知文件或程序的運行軌跡信息以及終端系統(tǒng)運行過程中所產(chǎn)生的行為信息中的一種或幾種����,其中��,所述已知文件或程序為在所述終端上至少成功運行一次的文件或程序��;
[0031]步驟102���、對獲取到的終端發(fā)送的數(shù)據(jù)信息進(jìn)行分類處理:
[0032]若所述數(shù)據(jù)信息是未知文件的新建信息和/或未知程序的運行信息��,則對所述數(shù)據(jù)信息進(jìn)行全方位病毒分析掃描�,并將掃描結(jié)果發(fā)送回終端�����;
[0033]若所述數(shù)據(jù)信息是已知文件或程序的運行軌跡信息和/或電腦終端系統(tǒng)運行過程中所產(chǎn)生的行為信息�����,則將所述數(shù)據(jù)信息保存到第一數(shù)據(jù)庫中����,并將已保存結(jié)果發(fā)送回終端;
[0034]步驟103�����、獲取終端發(fā)送的處理結(jié)果���,所述處理結(jié)果是終端基于接收到的掃描結(jié)果對未知文件的新建信息和/或未知程序的運行信息做出的處理操作���,以及基于接收到的已保存結(jié)果做出的響應(yīng)操作。
[0035]上述步驟101中�����,所述已知文件或程序的運行軌跡信息包括以下一種或幾種:已知文件的修改信息及修改時間�����、重命名信息、復(fù)制信息及復(fù)制路徑�����、壓縮信息���、向外發(fā)送信息及發(fā)送地址信息��、傳遞記錄信息����;已知程序的加載信息��、運行信息和退出信息�。以上數(shù)據(jù)信息均是通過安裝在終端上的客戶端軟件獲得的,也是通過該軟件向云端服務(wù)器進(jìn)行發(fā)送的���。換句話說�����,云端服務(wù)器會通過終端上傳的以上數(shù)據(jù)信息記錄企業(yè)網(wǎng)內(nèi)所有終端上任意文件���、何時、被什么程序復(fù)制(或者打包壓縮)成什么文件���、保存到了什么地方���;記錄網(wǎng)內(nèi)所有終端上任意文件、何時�����、被什么程序使用郵件(或FTP�����、或任意協(xié)議)發(fā)送到了什么地��,目標(biāo)IP\URL\EMAIL是什么���;記錄網(wǎng)內(nèi)所有終端上任意文件��、何時���、被什么程序從什么地方下載(Email接收/任意協(xié)議傳遞)到本地的��;對上述文件傳遞記錄進(jìn)行自動����、手動預(yù)警和審計�����。文件跟蹤記錄一般大小為200K/臺以下�,由客戶端自動上報到云端保存和查詢。
[0036]同樣的�,上述步驟101中,所述終端系統(tǒng)運行過程中所產(chǎn)生的行為信息包括:電腦終端系統(tǒng)運行過程中的進(jìn)程變化信息�、線程變化信息、注冊表變化信息和網(wǎng)絡(luò)活動記錄信息中的一種或幾種�����。即云端服務(wù)器會對企業(yè)網(wǎng)內(nèi)所有終端系統(tǒng)的運行軌跡進(jìn)行記錄和審計����,以有利于管理中心對終端系統(tǒng)的運行狀態(tài)進(jìn)行監(jiān)控。
[0037]本發(fā)明中尤其重要的是步驟102中���,當(dāng)云端服務(wù)器接收到終端發(fā)送的數(shù)據(jù)信息為未知文件的新建信息和/或未知程序的運行信息時����,會通過安裝在服務(wù)器上的多種殺毒引擎進(jìn)行病毒的全方位掃描,同時兼容所有殺毒軟件的病毒庫和殺毒引擎的云端服務(wù)器��,其殺毒能力必然比任何一款集成在云端服務(wù)器中的殺毒軟件都強大����。而一旦掃描結(jié)果顯示有病毒入侵時��,就會在客戶終端上進(jìn)行預(yù)警提示�����,同時也方便了管理中心對客戶終端是否存在病毒入侵的動態(tài)管理���。
[0038]本發(fā)明優(yōu)選的是�,若云端服務(wù)器接收到的數(shù)據(jù)信息是未知文件的新建信息和/或未知程序的運行信息�,則在對所述數(shù)據(jù)信息進(jìn)行全方位病毒分析掃描后,還包括:將掃描結(jié)果存儲到第二數(shù)據(jù)庫中�����。而當(dāng)云端服務(wù)器獲取到終端基于所述掃描結(jié)果對未知文件的新建信息和/或未知程序的運行信息所做出的處理結(jié)果時��,還包括:將處理結(jié)果存儲到所述第二數(shù)據(jù)庫中,以與存儲所述第二數(shù)據(jù)庫中的掃描結(jié)果生成相關(guān)聯(lián)的統(tǒng)計報表��。這樣可方便管理中心對終端的操作動態(tài)進(jìn)行很好的掌控�。
[0039]本發(fā)明優(yōu)選的是,若云端服務(wù)器獲取到的數(shù)據(jù)信息是已知文件的運行軌跡信息和/或電腦終端系統(tǒng)運行過程中所產(chǎn)生的行為信息�����,則將所述數(shù)據(jù)信息保存到第一數(shù)據(jù)庫的同時�����,還包括:將第一數(shù)據(jù)庫設(shè)置成可供所述終端進(jìn)行查詢的格式���。即方便客戶終端對自己所上傳的數(shù)據(jù)信息進(jìn)行查詢處理��。
[0040]本發(fā)明優(yōu)選的是�,所述方法還包括:云端服務(wù)器還將第一數(shù)據(jù)庫和第二數(shù)據(jù)庫中存儲的數(shù)據(jù)信息進(jìn)行備份���。
[0041]如圖2所示���,本發(fā)明基于上述提供的對終端數(shù)據(jù)信息進(jìn)行處理的方法還提供了一種對終端數(shù)據(jù)信息進(jìn)行處理的系統(tǒng),該系統(tǒng)主要由云端服務(wù)器和客戶終端組成,其中:
[0042]云端服務(wù)器主要包括云端管理中心��、云端掃描分析中心���、云端備份中心(可選)����;
[0043]云端掃描分析中心:其上安裝有多個虛擬機���,并在每個虛擬機中安裝任何一款第三方殺毒軟件作為病毒掃描工具�;
[0044]云端管理中心:把客戶終端上傳的文件按照一定的調(diào)度規(guī)則發(fā)送給各個第三方殺毒引擎去掃描����,掃描結(jié)果回傳到客戶端進(jìn)行處置����,即具有以下功能:實現(xiàn)客戶終端的上線管理、客戶終端的文件分類和分發(fā)���、第三方殺毒引擎調(diào)度����、數(shù)據(jù)庫管理;
[0045]云端備份中心:備份所有客戶端的運行日志數(shù)據(jù)����、備份掃描分析結(jié)果、備份云端服務(wù)器的運行日志�����、提供數(shù)據(jù)導(dǎo)出和下載��、回傳�����;
[0046]客戶終端主要包括安裝在客戶終端上的監(jiān)控軟件��,其實現(xiàn)的功能是:
[0047]當(dāng)客戶終端創(chuàng)建未知文件時��,不阻攔���,但上報云端服務(wù)器查詢分析����,根據(jù)分析結(jié)果進(jìn)行處理:發(fā)現(xiàn)是惡意代碼文件時�,即提示用戶刪除�����,刪除后也還可以恢復(fù)�����;
[0048]客戶端運行一個未知文件時�����,先阻止(掛起)�����,并上報云端服務(wù)器查詢分析��,根據(jù)分析結(jié)果處理:發(fā)現(xiàn)是惡意代碼時,立即殺掉該文件���;若客戶端未聯(lián)網(wǎng)或云端出現(xiàn)故障時�����,阻止新增的未知程序的運行(但客戶端原有的已經(jīng)運行過的合法程序運行不受影響)���;
[0049]負(fù)責(zé)監(jiān)控本機所有運行細(xì)節(jié)����,包括:文件的創(chuàng)建���、修改�、改名�����、復(fù)制��、打包和發(fā)送過程��、程序的加載����、運行和退出細(xì)節(jié);網(wǎng)絡(luò)活動記錄�、注冊表變化等;
[0050]對新增加的文件�、進(jìn)程等上傳到云端服務(wù)器進(jìn)行病毒掃描;
[0051]根據(jù)云端服務(wù)器的分析結(jié)果進(jìn)行處理���。
[0052]總的來說�,本發(fā)明所提供的對終端數(shù)據(jù)信息進(jìn)行處理的方法主要核心點在于以下流程:客戶端監(jiān)控一發(fā)現(xiàn)新文件和程序一上傳到云端服務(wù)器一病毒掃描一結(jié)果記入數(shù)據(jù)庫中一回傳分析結(jié)果到客戶端一客戶端預(yù)警和處理一處理結(jié)果上報云端。該流程有效的解決了終端運行速率的問題�,同時對于新文件和程序的病毒掃描更加的全面,避免了殺毒漏洞���,提高了終端的安全性能����。
[0053]盡管本發(fā)明的實施方案已公開如上���,但其并不僅僅限于說明書和實施方式中所列運用�����,它完全可以被適用于各種適合本發(fā)明的領(lǐng)域���,對于熟悉本領(lǐng)域的人員而言,可容易地實現(xiàn)另外的修改�����,因此在不背離權(quán)利要求及等同范圍所限定的一般概念下��,本發(fā)明并不限于特定的細(xì)節(jié)和這里示出與描述的圖例����。
【權(quán)利要求】
1.一種對終端數(shù)據(jù)信息進(jìn)行處理的方法,其特征在于��,所述方法包括: 獲取終端發(fā)送的數(shù)據(jù)信息�,所述數(shù)據(jù)信息包括終端所監(jiān)控到的未知文件的新建信息、未知文件或程序的運行信息����、已知文件或程序的運行軌跡信息以及終端系統(tǒng)運行過程中所產(chǎn)生的行為信息中的一種或幾種,其中���, 所述已知文件或程序為在所述終端上至少運行一次的文件或程序����; 對獲取到的終端發(fā)送的數(shù)據(jù)信息進(jìn)行分類處理: 若所述數(shù)據(jù)信息是未知文件的新建信息和/或未知程序的運行信息����,則對所述數(shù)據(jù)信息進(jìn)行全方位病毒分析掃描,并將掃描結(jié)果發(fā)送回終端���; 若所述數(shù)據(jù)信息是已知文件或程序的運行軌跡信息和/或電腦終端系統(tǒng)運行過程中所產(chǎn)生的行為信息���,則將所述數(shù)據(jù)信息保存到第一數(shù)據(jù)庫中��,并將已保存結(jié)果發(fā)送回終端; 獲取終端發(fā)送的處理結(jié)果����,所述處理結(jié)果是終端基于接收到的掃描結(jié)果對未知文件的新建信息和/或未知程序的運行信息做出的處理操作�����,以及基于接收到的已保存結(jié)果做出的響應(yīng)操作����。
2.如權(quán)利要求1所述的對終端數(shù)據(jù)信息進(jìn)行處理的方法,其特征在于�����,所述已知文件或程序的運行軌跡信息包括以下一種或幾種: 已知文件的修改信息及修改時間��、重命名信息�、復(fù)制信息及復(fù)制路徑、壓縮信息�、向外發(fā)送信息及發(fā)送地址信息、傳遞記錄信息���; 已知程序的加載信息�����、運行信息和退出信息�����。
3.如權(quán)利要求2所述的對終端數(shù)據(jù)信息進(jìn)行處理的方法���,其特征在于,所述終端系統(tǒng)運行過程中所產(chǎn)生的行為信息包括:電腦終端系統(tǒng)運行過程中的進(jìn)程變化信息����、線程變化信息、注冊表變化信息和網(wǎng)絡(luò)活動記錄信息中的一種或幾種�����。
4.如權(quán)利要求1所述的對終端數(shù)據(jù)信息進(jìn)行處理的方法��,其特征在于���,若所述數(shù)據(jù)信息是未知文件的新建信息和/或未知程序的運行信息����,則在對所述數(shù)據(jù)信息進(jìn)行全方位病毒分析掃描后,還包括: 將掃描結(jié)果存儲到第二數(shù)據(jù)庫中�����。
5.如權(quán)利要求4所述的對終端數(shù)據(jù)信息進(jìn)行處理的方法�����,其特征在于�,當(dāng)獲取到終端基于所述掃描結(jié)果對未知文件的新建信息和/或未知程序的運行信息所做出的處理結(jié)果時,還包括: 將處理結(jié)果存儲到所述第二數(shù)據(jù)庫中�����,以與存儲在所述第二數(shù)據(jù)庫中的掃描結(jié)果生成相關(guān)聯(lián)的統(tǒng)計報表��。
6.如權(quán)利要求2或3所述的對終端數(shù)據(jù)信息進(jìn)行處理的方法����,其特征在于,若所述數(shù)據(jù)信息是已知文件的運行軌跡信息和/或電腦終端系統(tǒng)運行過程中所產(chǎn)生的行為信息�����,則將所述數(shù)據(jù)信息保存到第一數(shù)據(jù)庫的同時,還包括:將第一數(shù)據(jù)庫設(shè)置成可供所述終端進(jìn)行查詢的格式�����。
7.如權(quán)利要求1-6所述的對終端數(shù)據(jù)信息進(jìn)行處理的方法��,其特征在于���,所述方法還包括:將第一數(shù)據(jù)庫和第二數(shù)據(jù)庫中存儲的數(shù)據(jù)信息進(jìn)行備份。
【文檔編號】G06F21/56GK104077525SQ201410265244
【公開日】2014年10月1日 申請日期:2014年6月13日 優(yōu)先權(quán)日:2014年6月13日
【發(fā)明者】李貴林 申請人:北京納特比特科技有限公司