病毒查殺的方法、裝置及系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開了一種病毒查殺的方法、裝置及系統(tǒng),涉及互聯(lián)網(wǎng)【技術(shù)領(lǐng)域】,為解決隔離網(wǎng)環(huán)境下病毒查殺率較低的問題而發(fā)明。本發(fā)明的方法包括:服務(wù)器離線獲取外網(wǎng)的病毒特征集合,所述病毒特征集合中包含預(yù)設(shè)時(shí)段內(nèi)熱點(diǎn)病毒文件的病毒特征;服務(wù)器根據(jù)所述病毒特征集合中的病毒特征更新病毒特征庫;當(dāng)終端請求病毒掃描時(shí),服務(wù)器根據(jù)更新后的病毒特征庫對終端側(cè)的文件進(jìn)行掃描。本發(fā)明主要應(yīng)用于隔離網(wǎng)環(huán)境下的私有云查殺過程中。
【專利說明】病毒查殺的方法、裝置及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及互聯(lián)網(wǎng)【技術(shù)領(lǐng)域】,尤其涉及一種病毒查殺的方法、裝置及系統(tǒng)。
【背景技術(shù)】
[0002]隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展及互聯(lián)網(wǎng)的廣泛應(yīng)用,木馬、病毒、插件等惡意程序也日益猖獗,用戶隱私、數(shù)據(jù)安全及系統(tǒng)運(yùn)行等方面面臨著嚴(yán)重的挑戰(zhàn),計(jì)算機(jī)安全問題也成為人們關(guān)注的首要問題。
[0003]在局域網(wǎng)內(nèi),終端可以通過局域網(wǎng)服務(wù)器(后續(xù)簡稱服務(wù)器)對本地的病毒文件進(jìn)行云查殺。這種查殺方式需要服務(wù)器側(cè)部署病毒特征庫,通過黑白名單的形式對病毒文件進(jìn)行記錄,從而在終端上報(bào)文件特征時(shí)基于對黑白名單的比對實(shí)現(xiàn)病毒文件的識(shí)別。
[0004]目前,出于數(shù)據(jù)安全的考慮,眾多企業(yè)或組織開始對自己的運(yùn)營體系部署隔離網(wǎng)。隔離網(wǎng)屬于一種特殊的局域網(wǎng),通過軟件隔離或物理隔離的方式阻斷與外網(wǎng)的數(shù)據(jù)交互,以防止商業(yè)秘密、國家機(jī)密等數(shù)據(jù)外泄。實(shí)際應(yīng)用中,隔離網(wǎng)雖然能夠?qū)W(wǎng)內(nèi)數(shù)據(jù)進(jìn)行有效保護(hù),但同樣因?yàn)槠鋽?shù)據(jù)隔離的特性,服務(wù)器無法通過外網(wǎng)對病毒特征庫進(jìn)行更新,所以隔離網(wǎng)內(nèi)只能部署靜態(tài)病毒特征庫。靜態(tài)病毒特征庫中的病毒樣本通常有限,無法應(yīng)對不斷變種的各類病毒,因此隔離網(wǎng)環(huán)境下的病毒查殺率往往較低。
【發(fā)明內(nèi)容】
[0005]鑒于上述問題,提出了本發(fā)明提供了一種病毒查殺的方法、裝置及系統(tǒng),能夠解決隔離網(wǎng)環(huán)境下病毒查殺率較低的問題。
[0006]為解決上述技術(shù)問題,第一方面,本發(fā)明提供了一種病毒查殺的方法,該方法包括:
[0007]離線獲取外網(wǎng)的病毒特征集合,病毒特征集合中包含預(yù)設(shè)時(shí)段內(nèi)熱點(diǎn)病毒文件的病毒特征;
[0008]根據(jù)病毒特征集合中的病毒特征更新病毒特征庫;
[0009]當(dāng)終端請求病毒掃描時(shí),根據(jù)更新后的病毒特征庫對終端側(cè)的文件進(jìn)行掃描。
[0010]第二方面,本發(fā)明還提供了一種病毒查殺的裝置,該裝置包括:
[0011]獲取單元,用于離線獲取外網(wǎng)的病毒特征集合,病毒特征集合中包含預(yù)設(shè)時(shí)段內(nèi)熱點(diǎn)病毒文件的病毒特征;
[0012]更新單元,用于根據(jù)獲取單元獲取的病毒特征集合中的病毒特征更新病毒特征庫;
[0013]處理單元,用于當(dāng)終端請求病毒掃描時(shí),根據(jù)更新單元更新后的病毒特征庫對終端側(cè)的文件進(jìn)行掃描。
[0014]第三方面,本發(fā)明還提供了一種病毒查殺的系統(tǒng),該系統(tǒng)為由服務(wù)器和終端組成的隔離網(wǎng)絡(luò);其中,服務(wù)器包括如前述第二方面中任一項(xiàng)的裝置;
[0015]服務(wù)器,用于離線獲取外網(wǎng)的病毒特征集合,病毒特征集合中包含預(yù)設(shè)時(shí)段內(nèi)熱點(diǎn)病毒文件的病毒特征;根據(jù)病毒特征集合中的病毒特征更新病毒特征庫;
[0016]終端,用于向服務(wù)器發(fā)送病毒掃描請求,病毒掃描請求中攜帶有終端中文件的文件特征;
[0017]服務(wù)器,還用于根據(jù)更新后的病毒特征庫及終端發(fā)送的文件特征對終端側(cè)的文件進(jìn)行掃描,并向終端下發(fā)掃描結(jié)果,以便終端根據(jù)掃描結(jié)果對文件進(jìn)行相應(yīng)處理。
[0018]借由上述技術(shù)方案,本發(fā)明提供的病毒查殺的方法、裝置及系統(tǒng),能夠在網(wǎng)絡(luò)隔離環(huán)境下,由服務(wù)器離線獲取外網(wǎng)的病毒特征集合,并根據(jù)病毒特征集合中的病毒特征更新病毒特征庫。當(dāng)終端請求病毒掃描時(shí),服務(wù)器根據(jù)更新后的病毒特征庫對終端側(cè)的文件進(jìn)行掃描。與現(xiàn)有技術(shù)相比,本發(fā)明能夠在隔離網(wǎng)環(huán)境下,通過離線工具突破數(shù)據(jù)交互的限制,在不影響其他數(shù)據(jù)隔離狀態(tài)的條件下,對本地的病毒特征庫進(jìn)行更新,由此提高隔離網(wǎng)環(huán)境下的病毒查殺率。
[0019]上述說明僅是本發(fā)明技術(shù)方案的概述,為了能夠更清楚了解本發(fā)明的技術(shù)手段,而可依照說明書的內(nèi)容予以實(shí)施,并且為了讓本發(fā)明的上述和其它目的、特征和優(yōu)點(diǎn)能夠更明顯易懂,以下特舉本發(fā)明的【具體實(shí)施方式】。
【專利附圖】
【附圖說明】
[0020]通過閱讀下文優(yōu)選實(shí)施方式的詳細(xì)描述,各種其他的優(yōu)點(diǎn)和益處對于本領(lǐng)域普通技術(shù)人員將變得清楚明了。附圖僅用于示出優(yōu)選實(shí)施方式的目的,而并不認(rèn)為是對本發(fā)明的限制。而且在整個(gè)附圖中,用相同的參考符號表示相同的部件。在附圖中:
[0021]圖1示出了本發(fā)明實(shí)施例中一種病毒查殺的方法流程圖;
[0022]圖2示出了本發(fā)明實(shí)施例中另一種病毒查殺的方法流程圖;
[0023]圖3示出了本發(fā)明實(shí)施例中病毒特征集合與病毒特征庫的句柄標(biāo)識(shí)表;
[0024]圖4示出了本發(fā)明實(shí)施例中病毒特征庫的示意圖;
[0025]圖5示出了本發(fā)明實(shí)施例中一種病毒查殺的裝置的結(jié)構(gòu)示意圖;
[0026]圖6示出了本發(fā)明實(shí)施例中另一種病毒查殺的裝置的結(jié)構(gòu)示意圖;
[0027]圖7示出了本發(fā)明實(shí)施例中一種病毒查殺的系統(tǒng)示意圖。
【具體實(shí)施方式】
[0028]下面將參照附圖更詳細(xì)地描述本公開的示例性實(shí)施例。雖然附圖中顯示了本公開的示例性實(shí)施例,然而應(yīng)當(dāng)理解,可以以各種形式實(shí)現(xiàn)本公開而不應(yīng)被這里闡述的實(shí)施例所限制。相反,提供這些實(shí)施例是為了能夠更透徹地理解本公開,并且能夠?qū)⒈竟_的范圍完整的傳達(dá)給本領(lǐng)域的技術(shù)人員。
[0029]為解決隔離網(wǎng)環(huán)境下,因病毒特征庫無法更新而導(dǎo)致的病毒查殺率較低的問題,本發(fā)明實(shí)施例提供了一種病毒查殺的方法,該方法主要應(yīng)用隔離網(wǎng)環(huán)境下,基于服務(wù)器側(cè)實(shí)現(xiàn)。如圖1所示,該方法包括:
[0030]101、服務(wù)器離線獲取外網(wǎng)的病毒特征集合。
[0031]在隔離網(wǎng)環(huán)境下,服務(wù)器通過離線工具獲取外網(wǎng)的病毒特征集合,該病毒特征集合中包含預(yù)設(shè)時(shí)段內(nèi)熱點(diǎn)病毒文件的病毒特征。本實(shí)施例中所指的病毒特征主要是以特征碼形式體現(xiàn)、用于表征病毒文件特性的描述性信息。實(shí)際應(yīng)用中,病毒特征可以為病毒文件的文件名、版本號、運(yùn)行日志等,本實(shí)施例不對病毒特征的具體形式進(jìn)行限定。
[0032]本實(shí)施例中所指的病毒特征包括兩類:1)病毒屬性特征和2)病毒行為特征。其中,病毒屬性特征主要是指能夠用于對病毒文件進(jìn)行標(biāo)記的描述性信息,包括但不限于是MD5值、數(shù)字簽名、存儲(chǔ)路徑、文件名稱、文件版本號、文件大小、文件摘要信息及文件類型,也可以是上述各信息中至少兩種信息的組合(例如文件名稱+文件版本號);而病毒行為特征則主要是指能夠在文件運(yùn)行特點(diǎn)上對病毒文件特性予以標(biāo)注的描述性信息,包括但不僅限于是“修改注冊表”、“修改開機(jī)選項(xiàng)”、“篡改瀏覽器設(shè)置”等。本實(shí)施例僅對病毒屬性特征和病毒行為特征進(jìn)行示例性說明,不對其在實(shí)際應(yīng)用中的具體形式進(jìn)行限制。
[0033]上述病毒特征集合的來自于外網(wǎng),外網(wǎng)也可稱作為公網(wǎng)或互聯(lián)網(wǎng)(Internet),其概念是相對局域網(wǎng)而言的,本實(shí)施例中與外網(wǎng)相對應(yīng)的是隔離網(wǎng)。在步驟101中,病毒特征集合的生成和下發(fā)策略均由外網(wǎng)決定,外網(wǎng)可以決定何種病毒文件為熱點(diǎn)病毒文件、將何種時(shí)段內(nèi)的熱點(diǎn)病毒文件添加到病毒特征集合中以及病毒特征集合中病毒特征的種類、數(shù)量等所有涉及生成病毒特征集合的因素。示例性的,外網(wǎng)可以將本周內(nèi)外網(wǎng)感染率排名前100名的病毒文件的病毒特征加入到病毒特征集合中,并發(fā)送給隔離網(wǎng)服務(wù)器。
[0034]實(shí)際應(yīng)用中,篩選熱點(diǎn)病毒文件的標(biāo)準(zhǔn)可以是用戶感染率,用戶感染率的又可以由感染用戶數(shù)量、感染局域網(wǎng)數(shù)量、病毒類型、病毒傳播能力、病毒傳播范圍、感染持續(xù)時(shí)間、感染破壞力、感染對象等具體參數(shù)體現(xiàn)。本實(shí)施例不對熱點(diǎn)病毒文件的具體定義以及熱點(diǎn)病毒文件數(shù)量的確定進(jìn)行限制。
[0035]在外網(wǎng)生成病毒特征集合后,隔離網(wǎng)中的服務(wù)器通過離線工具獲取該病毒特征集合。在獲取病毒特征集合時(shí),隔離網(wǎng)仍保持隔離狀態(tài),網(wǎng)內(nèi)終端無法與外網(wǎng)進(jìn)行數(shù)據(jù)交互。
[0036]102、服務(wù)器根據(jù)病毒特征集合中的病毒特征更新病毒特征庫。
[0037]通常,服務(wù)器中會(huì)保存有記錄病毒文件特性的病毒特征庫,用以對終端文件進(jìn)行云查殺。通常,由于數(shù)據(jù)隔離的特性,隔離網(wǎng)中的病毒特征庫無法更新,即隔離網(wǎng)中只能部署靜態(tài)病毒特征庫。而在本實(shí)施例中,服務(wù)器可以通過步驟101從外網(wǎng)中獲得用于特征庫更新的病毒特征集合,并在本步驟中,根據(jù)獲取的病毒特征集合對病毒特征庫進(jìn)行更新,由此實(shí)現(xiàn)隔離網(wǎng)環(huán)境下動(dòng)態(tài)病毒特征庫的部署,能夠提升網(wǎng)絡(luò)查殺能力。
[0038]本實(shí)施例中,病毒特征庫中記錄的病毒特征與病毒特征集合中攜帶的病毒特征形式相同,服務(wù)器可以直接根據(jù)病毒特征集合中的病毒特征對病毒特征庫進(jìn)行更新。在進(jìn)行病毒特征更新時(shí),服務(wù)器可以實(shí)現(xiàn)的更新方式包括增量更新(增加病毒特征條目)、減量更新(刪除病毒特征條目)以及變量更新(修改已有病毒特征條目)。
[0039]此外,外網(wǎng)也可以預(yù)先對病毒特征集合中的病毒特征進(jìn)行分類(例如按照病毒感染強(qiáng)度、感染對象、傳播范圍等因素分類),服務(wù)器在接收到病毒特征集合后,可以依次或并行對不同類型的病毒特征進(jìn)行更新。
[0040]進(jìn)一步的,在更新時(shí)機(jī)上,服務(wù)器還可以被設(shè)定為多種不同的更新模式。例如,服務(wù)器可以在接收到病毒特征集合時(shí)進(jìn)行更新,或選擇非忙時(shí)段(例如午休或夜晚)進(jìn)行更新,或一次性完成更新,或者分時(shí)段更新。
[0041]本實(shí)施例僅對服務(wù)器更新病毒特征庫的過程進(jìn)行說明,不對具體的更新時(shí)機(jī)及更新方式進(jìn)行限定。
[0042]103、當(dāng)終端請求病毒掃描時(shí),服務(wù)器根據(jù)更新后的病毒特征庫對終端側(cè)的文件進(jìn)行掃描。
[0043]在病毒特征庫更新完成后,服務(wù)器保存更新后的病毒特征庫,以便后續(xù)進(jìn)行云查殺之用。當(dāng)隔離網(wǎng)中某臺(tái)終端上報(bào)查殺請求時(shí),服務(wù)器根據(jù)更新后的病毒特征庫對終端側(cè)的文件進(jìn)行掃描。
[0044]本步驟中,服務(wù)器可以采用不同的查殺方式對終端中的文件進(jìn)行掃描。示例性的,服務(wù)器可以從終端上報(bào)的查殺請求中讀取終端文件的文件特征,在更新后的病毒特征庫中查找該文件特征,并通過對查殺請求的響應(yīng)向終端反饋查殺結(jié)果;或者,服務(wù)器還可以將部分或全部更新后的病毒特征庫下發(fā)給終端,由終端根據(jù)下發(fā)的病毒特征庫在本地側(cè)進(jìn)行病毒查殺。本實(shí)施例不對病毒查殺的過程進(jìn)行限制。
[0045]本實(shí)施例提供的病毒查殺的方法,能夠在網(wǎng)絡(luò)隔離環(huán)境下,由服務(wù)器離線獲取外網(wǎng)的病毒特征集合,并根據(jù)病毒特征集合中的病毒特征更新病毒特征庫。當(dāng)終端請求病毒掃描時(shí),服務(wù)器根據(jù)更新后的病毒特征庫對終端側(cè)的文件進(jìn)行掃描。與現(xiàn)有技術(shù)相比,本實(shí)施例能夠在隔離網(wǎng)環(huán)境下,通過離線工具突破數(shù)據(jù)交互的限制,在不影響其他數(shù)據(jù)隔離狀態(tài)的條件下,對本地的病毒特征庫進(jìn)行更新,由此提高隔離網(wǎng)環(huán)境下的病毒查殺率。
[0046]進(jìn)一步的,作為對圖1步驟101的細(xì)化,在本發(fā)明的另一實(shí)施例中,服務(wù)器可以采用不同方式離線獲取病毒特征集合:
[0047]a、通過離線工具獲取病毒特征集合
[0048]服務(wù)器可以通過離線腳本工具與外網(wǎng)建立通信連接,并通過建立的通信連接獲取外網(wǎng)發(fā)送的病毒特征集合。
[0049]需要注意的是,在通過離線工具與外網(wǎng)建立通信連接時(shí),需要保證該通信連接為專有連接,即該通信連接僅能下載病毒特征集合,外網(wǎng)中的其他數(shù)據(jù)無法通過該通信連接傳輸?shù)礁綦x網(wǎng)中,并且隔離網(wǎng)內(nèi)的其他數(shù)據(jù)信息也無法通過該通信連接傳輸?shù)酵饩W(wǎng)中。實(shí)際應(yīng)用中,可以在服務(wù)器側(cè)的路由器上進(jìn)行設(shè)置,通過數(shù)據(jù)包解析的方式對涉及病毒特征集合的數(shù)據(jù)進(jìn)行識(shí)別。
[0050]b、通過物理存儲(chǔ)介質(zhì)獲取病毒特征集合
[0051]在本實(shí)施例的另一種實(shí)現(xiàn)方式中,病毒特征集合還可以被固化到一個(gè)物理存儲(chǔ)介質(zhì)中,在獲取病毒特征集合時(shí),服務(wù)器與該物理存儲(chǔ)介質(zhì)進(jìn)行通信,并讀取物理存儲(chǔ)介質(zhì)存儲(chǔ)的病毒特征集合。
[0052]實(shí)際應(yīng)用中,包含存儲(chǔ)裝置及輸入輸出裝置的有源或無源設(shè)備均可用作為物理存儲(chǔ)介質(zhì)。在存儲(chǔ)毒特征集合時(shí),物理存儲(chǔ)介質(zhì)通過輸入輸出裝置與外網(wǎng)設(shè)備(外網(wǎng)服務(wù)器或外網(wǎng)終端等)建立通信連接,寫入病毒特征集合數(shù)據(jù);而在導(dǎo)入病毒特征集合時(shí),物理存儲(chǔ)介質(zhì)通過輸入輸出裝置與隔離網(wǎng)服務(wù)器建立通信連接,從而讀取其中保存的病毒特征集口 ο
[0053]進(jìn)一步的,為防止其他物理存儲(chǔ)介質(zhì)接入到隔離網(wǎng)中,在服務(wù)器與物理存儲(chǔ)介質(zhì)之間建立通信連接后,服務(wù)器側(cè)的路由器還可以預(yù)先設(shè)置授權(quán)物理存儲(chǔ)介質(zhì)的IP地址,路由器可以通過IP地址對授權(quán)物理存儲(chǔ)介質(zhì)的身份進(jìn)行識(shí)別,從而排除其他物理存儲(chǔ)介質(zhì)的接入。
[0054]在本實(shí)施例的一個(gè)應(yīng)用場景中,隔離網(wǎng)可以直接采用網(wǎng)絡(luò)安全供應(yīng)商提供的病毒特征更新硬件,并定期將該硬件返廠進(jìn)行數(shù)據(jù)更新;而在本實(shí)施例的另一個(gè)應(yīng)用場景中,隔離網(wǎng)也可以使用普通的物理存儲(chǔ)介質(zhì)(如移動(dòng)硬盤等)自行從外網(wǎng)獲取病毒特征集合。
[0055]需要說明的是,對于自行獲取病毒特征集合的情況,為保證隔離網(wǎng)內(nèi)的數(shù)據(jù)安全,應(yīng)當(dāng)在使用物理存儲(chǔ)介質(zhì)前對物理存儲(chǔ)介質(zhì)進(jìn)行格式化處理,并且在向隔離網(wǎng)導(dǎo)入數(shù)據(jù)前,對物理存儲(chǔ)介質(zhì)中的文件數(shù)據(jù)進(jìn)行較高等級的病毒查殺。
[0056]C、通過專用的物理鏈路獲取病毒特征集合
[0057]由于隔離網(wǎng)與外網(wǎng)之間已有的通信鏈路已被“切斷”,因此隔離網(wǎng)還可以通過專有用于獲取病毒特征集合的物理鏈路獲取病毒特征集合。原則上,該物理鏈路與隔離網(wǎng)已有的鏈路同質(zhì),但僅能傳輸與病毒特征集合相關(guān)的數(shù)據(jù)。實(shí)際應(yīng)用中,上述物理鏈路的形式可以為有線鏈路或無線鏈路,外網(wǎng)可以采用TCP/IP傳輸方式傳輸病毒特征集合。
[0058]在本實(shí)施例的另一個(gè)應(yīng)用場景中,對于無線鏈路傳輸方式,外網(wǎng)可以采用廣播的形式向隔離網(wǎng)發(fā)送病毒特征集合,例如采用用戶數(shù)據(jù)報(bào)協(xié)議(User Datagram Protocol,簡稱UDP)的傳輸方式。該傳輸方式為廣播傳輸,具有單向傳輸特性,能夠阻止隔離網(wǎng)向外網(wǎng)傳輸數(shù)據(jù),因此可以保證隔離網(wǎng)內(nèi)的數(shù)據(jù)安全。
[0059]d、通過隔離沙箱獲取病毒特征集合
[0060]服務(wù)器可以在網(wǎng)絡(luò)隔離狀態(tài)下建立一個(gè)隔離沙箱,并在沙箱環(huán)境下解禁隔離網(wǎng)與外網(wǎng)之間的數(shù)據(jù)隔離。在沙箱環(huán)境下,服務(wù)器通過網(wǎng)絡(luò)已有的通信連接獲取外網(wǎng)發(fā)送的病毒特征集合。
[0061]需要說明的是,在本實(shí)現(xiàn)方式中,服務(wù)器側(cè)的路由器需要對沙箱環(huán)境下接收的數(shù)據(jù)包進(jìn)行解析,防止與病毒特征集合無關(guān)的數(shù)據(jù)進(jìn)入到隔離網(wǎng)中。此外,服務(wù)器還應(yīng)當(dāng)對沙箱環(huán)境下接收的數(shù)據(jù)進(jìn)行查殺,保證隔離網(wǎng)的數(shù)據(jù)安全。
[0062]本實(shí)施例提供的獲取病毒特征集合的實(shí)現(xiàn)方式,能夠采用不同的通信方式獲取病毒特征集合,實(shí)際應(yīng)用中可以針對不同的網(wǎng)絡(luò)條件選擇不同的獲取方式,實(shí)現(xiàn)起來方便靈活。
[0063]上述實(shí)施例對服務(wù)器獲取病毒特征集合的方式進(jìn)行了說明,進(jìn)一步的,同樣作為對圖1步驟101的細(xì)化,本發(fā)明的另一實(shí)施例還提供了獲取病毒特征集合的幾種不同形式。本實(shí)施例所提供的病毒特征集合的獲取形式既可以與前述實(shí)施例中病毒特征集合的獲取方式進(jìn)行結(jié)合實(shí)施,也可以單獨(dú)與圖1所示方法進(jìn)行結(jié)合實(shí)施。具體的,本實(shí)施例中病毒特征集合的獲取形式包括:
[0064]a、根據(jù)外網(wǎng)更新請求接收病毒特征集合
[0065]本實(shí)現(xiàn)方式中,服務(wù)器可以在接收到外網(wǎng)發(fā)送的更新請求后立刻做出更新響應(yīng),對外網(wǎng)發(fā)送的病毒特征集合進(jìn)行接收,即服務(wù)器接收病毒特征集合的時(shí)機(jī)由外網(wǎng)發(fā)送病毒特征集合的時(shí)刻決定。
[0066]b、周期性接收病毒特征集合
[0067]本實(shí)現(xiàn)方式中,外網(wǎng)可以周期性對隔離網(wǎng)中的病毒特征庫進(jìn)行更新。外網(wǎng)預(yù)先與隔離網(wǎng)協(xié)商更新的時(shí)間間隔,在更新時(shí)間點(diǎn)上,外網(wǎng)向隔離網(wǎng)發(fā)送病毒特征集合,隔離網(wǎng)服務(wù)器接收外網(wǎng)發(fā)送的病毒特征集合。
[0068]C、在終端請求查殺時(shí)請求病毒特征集合
[0069]本實(shí)現(xiàn)方式中,服務(wù)器獲取病毒特征集合的時(shí)機(jī)由隔離網(wǎng)內(nèi)終端請求進(jìn)行查殺的時(shí)機(jī)決定,當(dāng)有終端發(fā)送掃描請求時(shí),服務(wù)器首先向外網(wǎng)請求病毒特征集合,然后再根據(jù)更新后的病毒特征數(shù)據(jù)庫對終端文件進(jìn)行掃描。
[0070]d、選擇非忙時(shí)段接收外網(wǎng)發(fā)送的病毒特征集合
[0071]本實(shí)現(xiàn)方式中,為避免病毒特征庫更新對隔離網(wǎng)帶寬及處理資源的占用,外網(wǎng)還可以與服務(wù)器協(xié)商選擇非忙時(shí)段更新病毒特征庫。例如,服務(wù)器可以在午休時(shí)段接收外網(wǎng)發(fā)送的病毒特征集合,或者在夜間接收外網(wǎng)發(fā)送的病毒特征集合。
[0072]e、根據(jù)用戶操作向外網(wǎng)請求病毒特征集合
[0073]本實(shí)現(xiàn)方式中,服務(wù)器還可以允許網(wǎng)管人員手動(dòng)進(jìn)行病毒特征庫的更新。當(dāng)網(wǎng)管人員通過與服務(wù)器相連的人機(jī)交互平臺(tái)輸入更新指令時(shí),服務(wù)器向外網(wǎng)請求接收病毒特征
口 O
[0074]f、根據(jù)預(yù)設(shè)規(guī)則向外網(wǎng)請求病毒特征集合
[0075]本實(shí)現(xiàn)方式中,服務(wù)器可以根據(jù)隔離網(wǎng)的具體情況制定和修改獲取病毒特征集合的預(yù)設(shè)規(guī)則。該規(guī)則涉及病毒數(shù)量、病毒感染范圍、病毒類型、病毒傳播速度、病毒感染對象等不同因素。服務(wù)器通過對預(yù)設(shè)規(guī)則的設(shè)定可以實(shí)現(xiàn)對特定類型病毒特征對象的定向獲取。例如,服務(wù)器可以通過對病毒數(shù)量的設(shè)置,限定病毒特征集合的大小;或者服務(wù)器可以通過對病毒類型的設(shè)置,限定僅對木馬特征庫進(jìn)行更新。
[0076]示例性的,以按病毒類型分類為例,服務(wù)器可以以病毒存在的媒介為分類規(guī)則,與外網(wǎng)協(xié)商獲取網(wǎng)絡(luò)病毒、文件病毒、引導(dǎo)型病毒、多型病毒中某種或某幾種病毒的病毒特征?;蛘叻?wù)器也可以以病毒的傳染方式為分類規(guī)則,與外網(wǎng)協(xié)商獲取駐留型病毒或非駐留型病毒的病毒特征。再或者,服務(wù)器還可以以病毒的算法為分類規(guī)則,與外網(wǎng)協(xié)商獲取伴隨型病毒、寄生型病毒、蠕蟲型病毒、詭秘型病毒、變異型病毒中某種或某幾種病毒的病毒特征。再或者,服務(wù)器還可以簡單的以病毒的種類為分類規(guī)則,與外網(wǎng)協(xié)商獲取系統(tǒng)病毒、螺蟲病毒、木馬病毒、黑客病毒、腳本病毒、宏病毒、后門病毒、病毒種植程序病毒、破壞程序病毒、玩笑病毒、捆綁機(jī)病毒等病毒的病毒特征。本實(shí)現(xiàn)方式僅對獲取病毒特征集合的預(yù)設(shè)規(guī)則進(jìn)行示例性說明,不作為對實(shí)際應(yīng)用的限定。
[0077]本實(shí)施例能夠針對隔離網(wǎng)的現(xiàn)網(wǎng)條件和/或不同需求,制定不同集合獲取形式,形式選擇類型完善、機(jī)動(dòng)靈活,適用于實(shí)際應(yīng)用。
[0078]進(jìn)一步的,作為對上述各實(shí)施例的細(xì)化,本發(fā)明的另一個(gè)實(shí)施例還提供了一種病毒查殺的方法,用以對病毒特征庫的更新以及文件掃描過程進(jìn)行說明。如圖2所示,該方法包括步驟201至步驟205,其中步驟201和步驟202涉及病毒特征庫的更新過程,步驟203至步驟205則涉及病毒的查殺過程:
[0079]201、服務(wù)器離線獲取外網(wǎng)的病毒特征集合。
[0080]本步驟的實(shí)現(xiàn)方式與前述各實(shí)施例的實(shí)現(xiàn)方式相同,此處不再贅述。
[0081]可選的,在本實(shí)施例的一種實(shí)現(xiàn)方式中,為保證病毒特征集合的數(shù)據(jù)安全,外網(wǎng)與服務(wù)器之間還可以基于預(yù)先協(xié)商的加密算法對病毒特征集合進(jìn)行加密,本實(shí)施例不對傳輸病毒特征集合所采用的加密算法進(jìn)行限定,示例性的,外網(wǎng)與服務(wù)器之間可以采用對稱密鑰或非對稱密鑰對病毒特征集合進(jìn)行加解密處理。
[0082]進(jìn)一步可選的,通常外網(wǎng)與服務(wù)器之間傳輸病毒特征集合的數(shù)據(jù)量較大,為防止傳輸過大數(shù)據(jù)量對網(wǎng)絡(luò)帶寬的過度擠占,在本實(shí)施例的另一實(shí)現(xiàn)方式中,外網(wǎng)和服務(wù)器之間還可以對傳輸?shù)牟《咎卣骷线M(jìn)行壓縮/解壓縮處理,由此減少網(wǎng)絡(luò)之間的數(shù)據(jù)傳輸量,節(jié)省網(wǎng)絡(luò)的數(shù)據(jù)傳輸資源。
[0083]202、服務(wù)器根據(jù)病毒特征集合中的病毒特征更新病毒特征庫。
[0084]如前所述,服務(wù)器對病毒特征庫的更新方式包括增量更新、減量更新和變量更新??蛇x的,在本實(shí)施例的另一種實(shí)現(xiàn)方式中,服務(wù)器接收的病毒特征集合包含云查殺所需的所有病毒特征,服務(wù)器可以使用接收的病毒特征集合直接對病毒特征庫進(jìn)行整體替換。具體的,服務(wù)器在接收到病毒特征集合后,清空本地病毒特征庫中的全部病毒特征,然后將病毒特征集合中的病毒特征寫入到清空后的病毒特征庫中。在寫入病毒特征時(shí),服務(wù)器可以事先從病毒特征集合中獲取病毒特征的索引表或句柄標(biāo)識(shí)表,根據(jù)病毒特征的索引或句柄標(biāo)識(shí)將病毒特征集合中的病毒特征依次寫入并保存到病毒特征庫中,由此完成病毒特征庫的更新。
[0085]進(jìn)一步的,為對本地病毒特征庫進(jìn)行積累和完善,以不斷提高隔離網(wǎng)的云查殺能力,在本實(shí)施例的一種可選方式中,服務(wù)器還可以僅對病毒特征庫進(jìn)行增量更新,已達(dá)到不斷擴(kuò)充病毒特征庫的目的。需要注意的是,在進(jìn)行增量更新時(shí),為避免集合中病毒特征的索引或句柄標(biāo)識(shí)與病毒特征庫中已存病毒特征的索引或句柄標(biāo)識(shí)重復(fù)或沖突,服務(wù)器在將集合中的病毒特征寫入到病毒特征庫中之前,還可以預(yù)先讀取病毒特征庫的索引表或句柄標(biāo)識(shí)表,并根據(jù)讀取的索引表或句柄標(biāo)識(shí)表對待寫入的病毒特征重新進(jìn)行索引排序或句柄排序,生成新的索引或句柄標(biāo)識(shí),最后再根據(jù)新的索引或句柄標(biāo)識(shí)將集合中的病毒特征寫入到病毒特征庫中。
[0086]本實(shí)施例中,外網(wǎng)依據(jù)自身標(biāo)準(zhǔn)生成的病毒特征集合可能與服務(wù)器側(cè)病毒特征庫之間存在部分病毒特征重合,重復(fù)的病毒特征不但占用寶貴服務(wù)器存儲(chǔ)資源,其寫入過程也會(huì)浪費(fèi)一定的服務(wù)器處理資源,特別是在大量寫入病毒特征時(shí),過多重復(fù)病毒特征的寫入會(huì)拖慢服務(wù)器的處理速度,影響隔離網(wǎng)中其他在線業(yè)務(wù)的正常運(yùn)行。因此在本實(shí)施例的一種實(shí)現(xiàn)方式中,服務(wù)器在向病毒特征庫中寫入病毒特征之前,可以對病毒特征集合中的病毒特征進(jìn)行去重處理,由此保證寫入到病毒特征庫中的病毒特征不會(huì)重復(fù)。
[0087]在進(jìn)行去重處理時(shí),服務(wù)器可以分別從病毒特征集合和病毒特征庫中逐條讀取病毒特征進(jìn)行比對。但更為快速且節(jié)省資源的實(shí)現(xiàn)方式為:通過索引表或句柄標(biāo)識(shí)表對兩者數(shù)據(jù)進(jìn)行快速比對。以句柄標(biāo)識(shí)表為例,如圖3所示,服務(wù)器分別從病毒特征集合和病毒特征庫中讀取句柄標(biāo)識(shí)表I (病毒特征集合的句柄標(biāo)識(shí)表)及句柄標(biāo)識(shí)表2 (病毒特征庫的句柄標(biāo)識(shí)表)。然后服務(wù)器從句柄標(biāo)識(shí)表I的第一個(gè)句柄標(biāo)識(shí)開始依次與句柄標(biāo)識(shí)表2進(jìn)行比對。當(dāng)當(dāng)前句柄標(biāo)識(shí)存在于句柄標(biāo)識(shí)表2中時(shí),將該句柄標(biāo)識(shí)對應(yīng)的病毒特征標(biāo)記為“已存”狀態(tài)。在完成句柄標(biāo)識(shí)的遍歷后,服務(wù)器刪除病毒特征集合中被標(biāo)記為“已存”的病毒特征刪除,并將其他病毒特征寫入到病毒特征庫中。例如在圖3中,句柄標(biāo)識(shí)表I中的句柄標(biāo)識(shí)“A”、“B”、“D”和“E”分別存在于句柄標(biāo)識(shí)表2中,因此這些句柄標(biāo)識(shí)對應(yīng)的病毒特征無需寫入到病毒特征庫中。
[0088]203、服務(wù)器接收終端上報(bào)的文件特征。
[0089]步驟201和步驟202涉及病毒特征的更新過程,而從步驟203起,將對基于更新病毒特征庫的病毒查殺過程進(jìn)行介紹。
[0090]如前所述,終端上報(bào)的文件特征與服務(wù)器記錄的病毒特征在形式上相同,服務(wù)器可以直接根據(jù)文件特征與病毒特征之間的比對實(shí)現(xiàn)終端側(cè)文件的云查殺。
[0091]204、服務(wù)器在更新后的病毒特征庫中遍歷文件特征。
[0092]若在更新后的病毒特征庫中遍歷到該文件特征,則服務(wù)器確定該文件特征對應(yīng)的文件為病毒文件;若未在更新后的病毒特征庫中遍歷到該文件特征,則服務(wù)器確定該文件特征對應(yīng)的文件為正常文件。示例性的,對于如圖4所示的病毒特征庫,當(dāng)服務(wù)器接收的文件特征為“ 13hf4”時(shí)(在病毒特征庫中出現(xiàn)),該文件特征對應(yīng)的文件為病毒文件,而當(dāng)服務(wù)器接收的文件特征為“fdk67”時(shí)(未在病毒特征庫中出現(xiàn)),該文件特征對應(yīng)的文件為正常文件。
[0093]實(shí)際應(yīng)用中,服務(wù)器在對病毒特征庫更新完成之前,有可能會(huì)接收到終端上報(bào)的掃描請求。對于此種情況,如若等待病毒特征庫更新完成后再響應(yīng)掃描請求,則會(huì)產(chǎn)生較長的業(yè)務(wù)延時(shí),不利于終端側(cè)的用戶業(yè)務(wù)體驗(yàn)。因此,為解決此問題,在本實(shí)施例的另一種實(shí)現(xiàn)方式中,服務(wù)器還可以在病毒特征庫更新完成前,依據(jù)原病毒特征庫對終端上報(bào)的掃描請求進(jìn)行響應(yīng)。具體的,服務(wù)器在執(zhí)行步驟202之前,可以先對原病毒特征庫進(jìn)行備份,獲得備份病毒特征庫。當(dāng)進(jìn)行病毒特征庫更新時(shí),作為對步驟202的替換,服務(wù)器依據(jù)病毒特征集合對備份病毒特征庫進(jìn)行更新,同時(shí)通過原病毒特征庫響應(yīng)終端的掃描請求。在文件掃描及病毒特征庫更新兩者較后完成者完成時(shí),服務(wù)器根據(jù)更新后的病毒特征庫對原病毒特征庫進(jìn)行替換,由此完成病毒特征庫的更新。
[0094]205、服務(wù)器向終端下發(fā)文件掃描結(jié)果。
[0095]在進(jìn)行文件特征掃描后,服務(wù)器將文件掃描結(jié)果下發(fā)給終端,以便終端根據(jù)文件掃描結(jié)果對掃描文件進(jìn)行相應(yīng)處理。對于正常文件,終端不對其做任何處理,正常文件可以在終端上繼續(xù)運(yùn)行,而對于病毒文件,終端對其進(jìn)行隔離或刪除,并可以向服務(wù)器請求該病毒文件的替換文件已對其進(jìn)行文件修復(fù)。同時(shí),終端還可以向用戶輸出接收的文件掃描結(jié)果以及病毒文件的處理結(jié)果。
[0096]上述各實(shí)施例涉及的云查殺過程是基于服務(wù)器實(shí)現(xiàn)的,這種基于隔離網(wǎng)的云查殺過程也被稱為私有云查殺。進(jìn)一步的,當(dāng)因病毒特征庫樣本有限或者出現(xiàn)新型變異病毒,以導(dǎo)致服務(wù)器未在更新后的病毒特征庫中遍歷到文件特征時(shí),服務(wù)器還可以將終端上報(bào)的文件特征發(fā)送給外網(wǎng)進(jìn)行查殺。與私有云查殺相對應(yīng)的,這種由外網(wǎng)進(jìn)行病毒查殺過程被稱作公有云查殺。服務(wù)器在向外網(wǎng)離線發(fā)送文件特征之后,離線接收外網(wǎng)對文件特征的掃描結(jié)果,該掃描結(jié)果用于反應(yīng)文件特征對應(yīng)的文件是否為病毒文件。在接收到外網(wǎng)的掃描結(jié)果后,服務(wù)器將該掃描結(jié)果下發(fā)給終端,以便終端根據(jù)該結(jié)果對掃描文件進(jìn)行相應(yīng)操作,同時(shí)服務(wù)器根據(jù)接收的掃描結(jié)果對本地的病毒特征庫進(jìn)行二次更新,當(dāng)終端日后再請求相同文件特征的掃描請求時(shí),服務(wù)器就可以基于本地的病毒特征庫對該文件特征進(jìn)行掃描了。
[0097]在向外網(wǎng)上報(bào)文件特征時(shí),服務(wù)器可以逐條進(jìn)行上報(bào),也可以在本地將多條文件特征添加到灰名單中,并將灰名單上報(bào)給外網(wǎng)。本實(shí)施例中所述的灰名單是相對黑名單和白名單而言的。實(shí)際應(yīng)用中,黑名單通常用于記錄病毒文件的文件特征(即病毒特征),相當(dāng)于本實(shí)施例中所述的病毒特征庫,白名單主要用于記錄正常文件的文件特征,而灰名單則介于黑白名單之間,用于記錄既未記錄于黑名單也未記錄于白名單中的“未知”文件特征。本實(shí)施例中,服務(wù)器可以通過灰名單將本地安全性未知的文件特征上報(bào)給外網(wǎng)進(jìn)行掃描。
[0098]進(jìn)一步的,本發(fā)明上述各實(shí)施例均是以更新病毒特征庫進(jìn)行的說明,即相當(dāng)于對黑名單進(jìn)行的更新。實(shí)際應(yīng)用中與上述實(shí)施例實(shí)現(xiàn)方式類似的,服務(wù)器還可以對本地保存的白名單進(jìn)行離線更新,并基于更新后的白名單對終端側(cè)文件進(jìn)行掃描。而在另一種實(shí)現(xiàn)方式中,更加適用于實(shí)際需求的是,服務(wù)器可以對黑白名單均進(jìn)行更新,并基于更新后的黑白名單進(jìn)行文件掃描。
[0099]再進(jìn)一步的,服務(wù)器還可以允許網(wǎng)管人員對更新前后的黑白名單進(jìn)行設(shè)置,這種設(shè)置包括增加特征條目、刪除特征條目以及修改特征條目。服務(wù)器通過連接的人機(jī)交互平臺(tái)接收網(wǎng)管人員輸入的操作指令,并向網(wǎng)管人員展示操作結(jié)果。
[0100]以上各實(shí)施例對本發(fā)明中更新病毒特征庫以及基于更新后病毒特征庫的文件掃描過程進(jìn)行了詳細(xì)介紹。進(jìn)一步的,為提高隔離網(wǎng)內(nèi)部病毒特征庫的建模能力、減少離線更新病毒特征庫的次數(shù),與前述各實(shí)施例相結(jié)合的,在本發(fā)明的另一個(gè)實(shí)施例中,服務(wù)器還可以離線獲取外網(wǎng)的支持向量機(jī)引擎(Support Vector Machine,簡稱SVM),通過支持向量機(jī)引擎對的病毒樣本進(jìn)行分析,訓(xùn)練得到病毒特征模型,并根據(jù)病毒特征模型更新病毒特征庫。支持向量機(jī)引擎是一種具有“自學(xué)習(xí)”、“自進(jìn)化”能力的安全引擎,能夠基于病毒特征樣本自動(dòng)學(xué)習(xí)訓(xùn)練病毒檢測模型。與傳統(tǒng)的病毒特征庫相比,支持向量機(jī)引擎不僅可以對已有的病毒文件進(jìn)行查殺,還可以通過病毒檢測模型預(yù)測并查殺未知病毒(例如變異型病毒等),無需頻繁更新病毒特征庫,且相比病毒特征庫而言病毒查殺率更高。將支持向量機(jī)引擎部署在隔離網(wǎng)中,可以減少服務(wù)器與外網(wǎng)的數(shù)據(jù)交互頻度,降低數(shù)據(jù)外泄的安全隱患。在本實(shí)施例的一種實(shí)現(xiàn)方式中,上述支持向量機(jī)引擎具體可以但不限于為奇虎支持向量機(jī)引擎(Qihoo Support Vector Machine,簡稱 QVM)。
[0101]再進(jìn)一步的,在上述各實(shí)施例中,云查殺的過程僅僅用于對病毒文件進(jìn)行識(shí)別,而病毒文件的處理則需要隔離網(wǎng)終端自行執(zhí)行。對于某些頑固型病毒而言(例如木馬病毒),終端可能不具備徹底清理病毒文件的能力,因此在本發(fā)明的另一實(shí)施例中,服務(wù)器還可以在識(shí)別病毒文件的基礎(chǔ)上,進(jìn)一步離線獲取外網(wǎng)的專殺腳本,并將獲取的專殺腳本下發(fā)給終端,以對終端中的病毒文件進(jìn)行查殺。終端在接收到服務(wù)器下發(fā)的專殺腳本后,直接運(yùn)行該專殺腳本文件,就可以直接對病毒文件進(jìn)行隔離或清除,使用起來方便快捷,安全性更聞。
[0102]在本實(shí)施例的一種實(shí)現(xiàn)方式中,服務(wù)器可以獲取并為終端配置LUA專殺腳本。LUA腳本語言是一種輕量語言,能夠嵌入到應(yīng)用程序中,具有體積小、啟動(dòng)速度快等特點(diǎn)。通過LUA腳本語言配置專殺腳本文件,可以提高專殺腳本的靈活性和擴(kuò)展性,更加適用于隔離網(wǎng)等小范圍局域網(wǎng)場景中。
[0103]進(jìn)一步的,作為對上述各方法實(shí)施例的實(shí)現(xiàn),本發(fā)明另一個(gè)實(shí)施例還提供了一種病毒查殺的裝置,該裝置位于隔離網(wǎng)中的服務(wù)器內(nèi)部,或者位于服務(wù)器外部但與服務(wù)器之間具有數(shù)據(jù)交互關(guān)系。如圖5所示,該裝置包括:獲取單元51、更新單元52、處理單元53,其中,
[0104]獲取單元51,用于離線獲取外網(wǎng)的病毒特征集合,病毒特征集合中包含預(yù)設(shè)時(shí)段內(nèi)熱點(diǎn)病毒文件的病毒特征;
[0105]更新單元52,用于根據(jù)獲取單元51獲取的病毒特征集合中的病毒特征更新病毒特征庫;
[0106]處理單元53,用于當(dāng)終端請求病毒掃描時(shí),根據(jù)更新單元52更新后的病毒特征庫對終端側(cè)的文件進(jìn)行掃描。
[0107]進(jìn)一步的,如圖6所示,獲取單元51,包括:
[0108]工具獲取模塊511,用于通過離線工具與外網(wǎng)建立通信連接,并通過通信連接獲取外網(wǎng)發(fā)送的病毒特征集合;
[0109]介質(zhì)獲取模塊512,用于與物理存儲(chǔ)介質(zhì)進(jìn)行通信,讀取物理存儲(chǔ)介質(zhì)存儲(chǔ)的病毒特征集合;
[0110]物理獲取模塊513,用于通過專用的物理鏈路獲取外網(wǎng)發(fā)送的病毒特征集合;
[0111]沙箱獲取模塊514,用于建立隔離沙箱,在隔離沙箱環(huán)境下通過已有通信連接獲取外網(wǎng)發(fā)送的病毒特征集合。
[0112]進(jìn)一步的,獲取單元51,用于:
[0113]響應(yīng)外網(wǎng)的更新請求,接收外網(wǎng)發(fā)送的病毒特征集合;
[0114]按照預(yù)設(shè)時(shí)間間隔定期向外網(wǎng)請求病毒特征集合;
[0115]在接收到終端上報(bào)的掃描請求時(shí),向外網(wǎng)請求病毒特征集合;
[0116]選擇非忙時(shí)段接收外網(wǎng)發(fā)送的病毒特征集合;
[0117]根據(jù)用戶操作向外網(wǎng)請求病毒特征集合;
[0118]根據(jù)預(yù)設(shè)規(guī)則向外網(wǎng)請求病毒特征集合。
[0119]進(jìn)一步的,如圖6所示,更新單元52,包括:
[0120]替換更新模塊521,用于清空病毒特征庫中的病毒特征,并寫入病毒特征集合中的病毒特征;
[0121]增量更新模塊522,用于根據(jù)病毒特征集合中的病毒特征對病毒特征庫進(jìn)行增量更新。
[0122]進(jìn)一步的,如圖6所示,處理單元53,包括:
[0123]接收模塊531,用于接收終端上報(bào)的文件特征;
[0124]遍歷模塊532,用于在更新后的病毒特征庫中遍歷接收模塊531接收的文件特征;
[0125]確定模塊533,用于當(dāng)遍歷模塊532在更新后的病毒特征庫中遍歷到文件特征時(shí),確定接收模塊531接收的文件特征對應(yīng)的文件為病毒文件。
[0126]進(jìn)一步的,如圖6所示,該裝置還包括:
[0127]發(fā)送單元54,用于當(dāng)遍歷模塊532未在更新后的病毒特征庫中遍歷到文件特征時(shí),向外網(wǎng)離線發(fā)送接收模塊531接收的文件特征;
[0128]獲取單元51,還用于離線接收外網(wǎng)對發(fā)送單元54發(fā)送的文件特征的掃描結(jié)果;
[0129]更新單元52,還用于根據(jù)獲取單元51獲取的掃描結(jié)果對病毒特征庫進(jìn)行二次更新。
[0130]進(jìn)一步的,如圖6所示,該裝置還包括:分析單元55 ;
[0131 ] 獲取單元51,用于離線獲取外網(wǎng)的支持向量機(jī)引擎SVM ;
[0132]分析單元55,用于通過獲取單元51獲取的支持向量機(jī)引擎對的病毒樣本進(jìn)行分析,訓(xùn)練得到病毒特征模型;
[0133]更新單元52,用于根據(jù)分析單元55分析得出的病毒特征模型更新病毒特征庫。
[0134]進(jìn)一步的,如圖6所示,該裝置還包括:通信單元56 ;
[0135]獲取單元51,還用于離線獲取外網(wǎng)的專殺腳本;
[0136]通信單元56,用于向終端下發(fā)獲取單元51獲取的專殺腳本,以對終端中的病毒文件進(jìn)行查殺。
[0137]進(jìn)一步的,獲取單元51獲取的專殺腳本為LUA專殺腳本。
[0138]進(jìn)一步的,獲取單元51獲取的病毒特征包括:病毒屬性特征和病毒行為特征。
[0139]本實(shí)施例提供的病毒查殺的裝置,能夠在網(wǎng)絡(luò)隔離環(huán)境下,由服務(wù)器離線獲取外網(wǎng)的病毒特征集合,并根據(jù)病毒特征集合中的病毒特征更新病毒特征庫。當(dāng)終端請求病毒掃描時(shí),服務(wù)器根據(jù)更新后的病毒特征庫對終端側(cè)的文件進(jìn)行掃描。與現(xiàn)有技術(shù)相比,本實(shí)施例提供的裝置能夠在隔離網(wǎng)環(huán)境下,通過離線工具突破數(shù)據(jù)交互的限制,在不影響其他數(shù)據(jù)隔離狀態(tài)的條件下,對本地的病毒特征庫進(jìn)行更新,由此提高隔離網(wǎng)環(huán)境下的病毒查殺率。
[0140]進(jìn)一步的,作為對上述各方法實(shí)施例的實(shí)現(xiàn),本發(fā)明另一實(shí)施例還提供了一種病毒查殺的系統(tǒng)。如圖7所示,該系統(tǒng)包括服務(wù)器71和終端72,其中,服務(wù)器71包含或連接如圖5或圖6所示的裝置。其中,
[0141]服務(wù)器71,用于離線獲取外網(wǎng)的病毒特征集合,病毒特征集合中包含預(yù)設(shè)時(shí)段內(nèi)熱點(diǎn)病毒文件的病毒特征;根據(jù)病毒特征集合中的病毒特征更新病毒特征庫;
[0142]終端72,用于向服務(wù)器71發(fā)送病毒掃描請求,病毒掃描請求中攜帶有終端72中文件的文件特征;
[0143]服務(wù)器71,還用于根據(jù)更新后的病毒特征庫及終端72發(fā)送的文件特征對終端72側(cè)的文件進(jìn)行掃描,并向終端72下發(fā)掃描結(jié)果,以便終端72根據(jù)掃描結(jié)果對文件進(jìn)行相應(yīng)處理。
[0144]本實(shí)施例提供的病毒查殺的系統(tǒng),能夠在網(wǎng)絡(luò)隔離環(huán)境下,由服務(wù)器離線獲取外網(wǎng)的病毒特征集合,并根據(jù)病毒特征集合中的病毒特征更新病毒特征庫。當(dāng)終端請求病毒掃描時(shí),服務(wù)器根據(jù)更新后的病毒特征庫對終端側(cè)的文件進(jìn)行掃描。與現(xiàn)有技術(shù)相比,本實(shí)施例提供的系統(tǒng)能夠在隔離網(wǎng)環(huán)境下,通過離線工具突破數(shù)據(jù)交互的限制,在不影響其他數(shù)據(jù)隔離狀態(tài)的條件下,對本地的病毒特征庫進(jìn)行更新,由此提高隔離網(wǎng)環(huán)境下的病毒查殺率。
[0145]本發(fā)明的實(shí)施例還公開了:
[0146]Al、一種病毒查殺的方法,其特征在于,所述方法包括:
[0147]離線獲取外網(wǎng)的病毒特征集合,所述病毒特征集合中包含預(yù)設(shè)時(shí)段內(nèi)熱點(diǎn)病毒文件的病毒特征;
[0148]根據(jù)所述病毒特征集合中的病毒特征更新病毒特征庫;
[0149]當(dāng)終端請求病毒掃描時(shí),根據(jù)更新后的病毒特征庫對終端側(cè)的文件進(jìn)行掃描。
[0150]A2、根據(jù)權(quán)利要求Al所述的方法,其特征在于,所述離線獲取外網(wǎng)的病毒特征集合,包括:
[0151 ] 通過離線工具與所述外網(wǎng)建立通信連接,并通過所述通信連接獲取所述外網(wǎng)發(fā)送的所述病毒特征集合;
[0152]或者,與物理存儲(chǔ)介質(zhì)進(jìn)行通信,讀取物理存儲(chǔ)介質(zhì)存儲(chǔ)的所述病毒特征集合;
[0153]或者,通過專用的物理鏈路獲取所述外網(wǎng)發(fā)送的所述病毒特征集合;
[0154]或者,建立隔離沙箱,在所述隔離沙箱環(huán)境下通過已有通信連接獲取所述外網(wǎng)發(fā)送的所述病毒特征集合。
[0155]A3、根據(jù)權(quán)利要求A2所述的方法,其特征在于,所述離線獲取外網(wǎng)的病毒特征集合,包括:
[0156]響應(yīng)所述外網(wǎng)的更新請求,接收所述外網(wǎng)發(fā)送的所述病毒特征集合;
[0157]或者,按照預(yù)設(shè)時(shí)間間隔定期向所述外網(wǎng)請求所述病毒特征集合;
[0158]或者,在接收到終端上報(bào)的掃描請求時(shí),向所述外網(wǎng)請求所述病毒特征集合;
[0159]或者,選擇非忙時(shí)段接收所述外網(wǎng)發(fā)送的所述病毒特征集合;
[0160]或者,根據(jù)用戶操作向所述外網(wǎng)請求所述病毒特征集合;
[0161]或者,根據(jù)預(yù)設(shè)規(guī)則向所述外網(wǎng)請求所述病毒特征集合。
[0162]A4、根據(jù)權(quán)利要求Al所述的方法,其特征在于,所述根據(jù)所述病毒特征集合中的病毒特征更新病毒特征庫,包括:
[0163]清空所述病毒特征庫中的病毒特征,并寫入所述病毒特征集合中的病毒特征;
[0164]或者,根據(jù)所述病毒特征集合中的病毒特征對所述病毒特征庫進(jìn)行增量更新。
[0165]A5、根據(jù)權(quán)利要求Al所述的方法,其特征在于,所述根據(jù)更新后的病毒特征庫對終端側(cè)的文件進(jìn)行掃描,包括:
[0166]接收所述終端上報(bào)的文件特征;
[0167]在更新后的病毒特征庫中遍歷所述文件特征;
[0168]若在更新后的病毒特征庫中遍歷到所述文件特征,則確定所述文件特征對應(yīng)的文件為病毒文件。
[0169]A6、根據(jù)權(quán)利要求A5所述的方法,其特征在于,若未在更新后的病毒特征庫中遍歷到所述文件特征,則所述方法進(jìn)一步包括:
[0170]向所述外網(wǎng)離線發(fā)送所述文件特征;
[0171]離線接收所述外網(wǎng)對所述文件特征的掃描結(jié)果;
[0172]根據(jù)所述掃描結(jié)果對所述病毒特征庫進(jìn)行二次更新。
[0173]A7、根據(jù)權(quán)利要求Al所述的方法,其特征在于,所述方法進(jìn)一步包括:
[0174]離線獲取外網(wǎng)的支持向量機(jī)引擎SVM ;
[0175]通過所述支持向量機(jī)引擎對的病毒樣本進(jìn)行分析,訓(xùn)練得到病毒特征模型;
[0176]根據(jù)所述病毒特征模型更新所述病毒特征庫。
[0177]AS、根據(jù)權(quán)利要求Al所述的方法,其特征在于,所述方法進(jìn)一步包括:
[0178]離線獲取外網(wǎng)的專殺腳本;
[0179]向所述終端下發(fā)所述專殺腳本,以對所述終端中的病毒文件進(jìn)行查殺。
[0180]A9、根據(jù)權(quán)利要求AS所述的方法,其特征在于,所述專殺腳本為LUA專殺腳本。
[0181]A10、根據(jù)權(quán)利要求Al至A9中任一項(xiàng)所述的方法,其特征在于,所述病毒特征包括:病毒屬性特征和病毒行為特征。
[0182]B11、一種病毒查殺的裝置,其特征在于,所述裝置包括:
[0183]獲取單元,用于離線獲取外網(wǎng)的病毒特征集合,所述病毒特征集合中包含預(yù)設(shè)時(shí)段內(nèi)熱點(diǎn)病毒文件的病毒特征;
[0184]更新單元,用于根據(jù)所述獲取單元獲取的所述病毒特征集合中的病毒特征更新病毒特征庫;
[0185]處理單元,用于當(dāng)終端請求病毒掃描時(shí),根據(jù)所述更新單元更新后的病毒特征庫對終端側(cè)的文件進(jìn)行掃描。
[0186]B12、根據(jù)權(quán)利要求Bll所述的裝置,其特征在于,所述獲取單元,包括:
[0187]工具獲取模塊,用于通過離線工具與所述外網(wǎng)建立通信連接,并通過所述通信連接獲取所述外網(wǎng)發(fā)送的所述病毒特征集合;
[0188]介質(zhì)獲取模塊,用于與物理存儲(chǔ)介質(zhì)進(jìn)行通信,讀取物理存儲(chǔ)介質(zhì)存儲(chǔ)的所述病毒特征集合;
[0189]物理獲取模塊,用于通過專用的物理鏈路獲取所述外網(wǎng)發(fā)送的所述病毒特征集合;
[0190]沙箱獲取模塊,用于建立隔離沙箱,在所述隔離沙箱環(huán)境下通過已有通信連接獲取所述外網(wǎng)發(fā)送的所述病毒特征集合。
[0191]B13、根據(jù)權(quán)利要求B12所述的裝置,其特征在于,所述獲取單元,用于:
[0192]響應(yīng)所述外網(wǎng)的更新請求,接收所述外網(wǎng)發(fā)送的所述病毒特征集合;
[0193]按照預(yù)設(shè)時(shí)間間隔定期向所述外網(wǎng)請求所述病毒特征集合;
[0194]在接收到終端上報(bào)的掃描請求時(shí),向所述外網(wǎng)請求所述病毒特征集合;
[0195]選擇非忙時(shí)段接收所述外網(wǎng)發(fā)送的所述病毒特征集合;
[0196]根據(jù)用戶操作向所述外網(wǎng)請求所述病毒特征集合;
[0197]根據(jù)預(yù)設(shè)規(guī)則向所述外網(wǎng)請求所述病毒特征集合。
[0198]B14、根據(jù)權(quán)利要求Bll所述的裝置,其特征在于,所述更新單元,包括:
[0199]替換更新模塊,用于清空所述病毒特征庫中的病毒特征,并寫入所述病毒特征集合中的病毒特征;
[0200]增量更新模塊,用于根據(jù)所述病毒特征集合中的病毒特征對所述病毒特征庫進(jìn)行增量更新。
[0201]B15、根據(jù)權(quán)利要求Bll所述的裝置,其特征在于,所述處理單元,包括:
[0202]接收模塊,用于接收所述終端上報(bào)的文件特征;
[0203]遍歷模塊,用于在更新后的病毒特征庫中遍歷所述接收模塊接收的所述文件特征;
[0204]確定模塊,用于當(dāng)所述遍歷模塊在更新后的病毒特征庫中遍歷到所述文件特征時(shí),確定所述接收模塊接收的所述文件特征對應(yīng)的文件為病毒文件。
[0205]B16、根據(jù)權(quán)利要求B15所述的裝置,其特征在于,所述裝置還包括:
[0206]發(fā)送單元,用于當(dāng)所述遍歷模塊未在更新后的病毒特征庫中遍歷到所述文件特征時(shí),向所述外網(wǎng)離線發(fā)送所述接收模塊接收的所述文件特征;
[0207]所述獲取單元,還用于離線接收所述外網(wǎng)對所述發(fā)送單元發(fā)送的所述文件特征的掃描結(jié)果;
[0208]所述更新單元,還用于根據(jù)所述獲取單元獲取的所述掃描結(jié)果對所述病毒特征庫進(jìn)行二次更新。
[0209]B17、根據(jù)權(quán)利要求Bll所述的裝置,其特征在于,所述裝置還包括:分析單元;
[0210]所述獲取單元,用于離線獲取外網(wǎng)的支持向量機(jī)引擎SVM ;
[0211]所述分析單元,用于通過所述獲取單元獲取的所述支持向量機(jī)引擎對的病毒樣本進(jìn)行分析,訓(xùn)練得到病毒特征模型;
[0212]所述更新單元,用于根據(jù)所述分析單元分析得出的所述病毒特征模型更新所述病毒特征庫。
[0213]B18、根據(jù)權(quán)利要求Bll所述的裝置,其特征在于,所述裝置還包括:通信單元;
[0214]所述獲取單元,還用于離線獲取外網(wǎng)的專殺腳本;
[0215]所述通信單元,用于向所述終端下發(fā)所述獲取單元獲取的所述專殺腳本,以對所述終端中的病毒文件進(jìn)行查殺。
[0216]B19、根據(jù)權(quán)利要求B18所述的裝置,其特征在于,所述獲取單元獲取的所述專殺腳本為LUA專殺腳本。
[0217]B20、根據(jù)權(quán)利要求Bll至B19中任一項(xiàng)所述的裝置,其特征在于,所述獲取單元獲取的所述病毒特征包括:病毒屬性特征和病毒行為特征。
[0218]C21、一種病毒查殺的系統(tǒng),其特征在于,所述系統(tǒng)為由服務(wù)器和終端組成的隔離網(wǎng)絡(luò);其中,所述服務(wù)器包括如權(quán)利要求11至權(quán)利要求20中任一項(xiàng)所述的裝置;
[0219]所述服務(wù)器,用于離線獲取外網(wǎng)的病毒特征集合,所述病毒特征集合中包含預(yù)設(shè)時(shí)段內(nèi)熱點(diǎn)病毒文件的病毒特征;根據(jù)所述病毒特征集合中的病毒特征更新病毒特征庫;
[0220]所述終端,用于向所述服務(wù)器發(fā)送病毒掃描請求,所述病毒掃描請求中攜帶有終端中文件的文件特征;
[0221]所述服務(wù)器,還用于根據(jù)更新后的病毒特征庫及所述終端發(fā)送的文件特征對終端側(cè)的文件進(jìn)行掃描,并向所述終端下發(fā)掃描結(jié)果,以便所述終端根據(jù)所述掃描結(jié)果對文件進(jìn)行相應(yīng)處理。
[0222]在上述實(shí)施例中,對各個(gè)實(shí)施例的描述都各有側(cè)重,某個(gè)實(shí)施例中沒有詳述的部分,可以參見其他實(shí)施例的相關(guān)描述。
[0223]可以理解的是,上述方法及裝置中的相關(guān)特征可以相互參考。另外,上述實(shí)施例中的“第一”、“第二”等是用于區(qū)分各實(shí)施例,而并不代表各實(shí)施例的優(yōu)劣。
[0224]所屬領(lǐng)域的技術(shù)人員可以清楚地了解到,為描述的方便和簡潔,上述描述的系統(tǒng),裝置和單元的具體工作過程,可以參考前述方法實(shí)施例中的對應(yīng)過程,在此不再贅述。
[0225]在此提供的算法和顯示不與任何特定計(jì)算機(jī)、虛擬系統(tǒng)或者其它設(shè)備固有相關(guān)。各種通用系統(tǒng)也可以與基于在此的示教一起使用。根據(jù)上面的描述,構(gòu)造這類系統(tǒng)所要求的結(jié)構(gòu)是顯而易見的。此外,本發(fā)明也不針對任何特定編程語言。應(yīng)當(dāng)明白,可以利用各種編程語言實(shí)現(xiàn)在此描述的本發(fā)明的內(nèi)容,并且上面對特定語言所做的描述是為了披露本發(fā)明的最佳實(shí)施方式。
[0226]在此處所提供的說明書中,說明了大量具體細(xì)節(jié)。然而,能夠理解,本發(fā)明的實(shí)施例可以在沒有這些具體細(xì)節(jié)的情況下實(shí)踐。在一些實(shí)例中,并未詳細(xì)示出公知的方法、結(jié)構(gòu)和技術(shù),以便不模糊對本說明書的理解。
[0227]類似地,應(yīng)當(dāng)理解,為了精簡本公開并幫助理解各個(gè)發(fā)明方面中的一個(gè)或多個(gè),在上面對本發(fā)明的示例性實(shí)施例的描述中,本發(fā)明的各個(gè)特征有時(shí)被一起分組到單個(gè)實(shí)施例、圖、或者對其的描述中。然而,并不應(yīng)將該公開的方法解釋成反映如下意圖:即所要求保護(hù)的本發(fā)明要求比在每個(gè)權(quán)利要求中所明確記載的特征更多的特征。更確切地說,如下面的權(quán)利要求書所反映的那樣,發(fā)明方面在于少于前面公開的單個(gè)實(shí)施例的所有特征。因此,遵循【具體實(shí)施方式】的權(quán)利要求書由此明確地并入該【具體實(shí)施方式】,其中每個(gè)權(quán)利要求本身都作為本發(fā)明的單獨(dú)實(shí)施例。
[0228]本領(lǐng)域那些技術(shù)人員可以理解,可以對實(shí)施例中的設(shè)備中的模塊進(jìn)行自適應(yīng)性地改變并且把它們設(shè)置在與該實(shí)施例不同的一個(gè)或多個(gè)設(shè)備中??梢园褜?shí)施例中的模塊或單元或組件組合成一個(gè)模塊或單元或組件,以及此外可以把它們分成多個(gè)子模塊或子單元或子組件。除了這樣的特征和/或過程或者單元中的至少一些是相互排斥之外,可以采用任何組合對本說明書(包括伴隨的權(quán)利要求、摘要和附圖)中公開的所有特征以及如此公開的任何方法或者設(shè)備的所有過程或單元進(jìn)行組合。除非另外明確陳述,本說明書(包括伴隨的權(quán)利要求、摘要和附圖)中公開的每個(gè)特征可以由提供相同、等同或相似目的的替代特征來代替。
[0229]此外,本領(lǐng)域的技術(shù)人員能夠理解,盡管在此所述的一些實(shí)施例包括其它實(shí)施例中所包括的某些特征而不是其它特征,但是不同實(shí)施例的特征的組合意味著處于本發(fā)明的范圍之內(nèi)并且形成不同的實(shí)施例。例如,在下面的權(quán)利要求書中,所要求保護(hù)的實(shí)施例的任意之一都可以以任意的組合方式來使用。
[0230]本發(fā)明的各個(gè)部件實(shí)施例可以以硬件實(shí)現(xiàn),或者以在一個(gè)或者多個(gè)處理器上運(yùn)行的軟件模塊實(shí)現(xiàn),或者以它們的組合實(shí)現(xiàn)。本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)理解,可以在實(shí)踐中使用微處理器或者數(shù)字信號處理器(DSP)來實(shí)現(xiàn)根據(jù)本發(fā)明實(shí)施例的發(fā)明名稱(如確定網(wǎng)站內(nèi)鏈接等級的裝置)中的一些或者全部部件的一些或者全部功能。本發(fā)明還可以實(shí)現(xiàn)為用于執(zhí)行這里所描述的方法的一部分或者全部的設(shè)備或者裝置程序(例如,計(jì)算機(jī)程序和計(jì)算機(jī)程序產(chǎn)品)。這樣的實(shí)現(xiàn)本發(fā)明的程序可以存儲(chǔ)在計(jì)算機(jī)可讀介質(zhì)上,或者可以具有一個(gè)或者多個(gè)信號的形式。這樣的信號可以從因特網(wǎng)網(wǎng)站上下載得到,或者在載體信號上提供,或者以任何其他形式提供。
[0231]應(yīng)該注意的是上述實(shí)施例對本發(fā)明進(jìn)行說明而不是對本發(fā)明進(jìn)行限制,并且本領(lǐng)域技術(shù)人員在不脫離所附權(quán)利要求的范圍的情況下可設(shè)計(jì)出替換實(shí)施例。在權(quán)利要求中,不應(yīng)將位于括號之間的任何參考符號構(gòu)造成對權(quán)利要求的限制。單詞“包含”不排除存在未列在權(quán)利要求中的元件或步驟。位于元件之前的單詞“一”或“一個(gè)”不排除存在多個(gè)這樣的元件。本發(fā)明可以借助于包括有若干不同元件的硬件以及借助于適當(dāng)編程的計(jì)算機(jī)來實(shí)現(xiàn)。在列舉了若干裝置的單元權(quán)利要求中,這些裝置中的若干個(gè)可以是通過同一個(gè)硬件項(xiàng)來具體體現(xiàn)。單詞第一、第二、以及第三等的使用不表示任何順序??蓪⑦@些單詞解釋為名稱。
【權(quán)利要求】
1.一種病毒查殺的方法,其特征在于,所述方法包括: 離線獲取外網(wǎng)的病毒特征集合,所述病毒特征集合中包含預(yù)設(shè)時(shí)段內(nèi)熱點(diǎn)病毒文件的病毒特征; 根據(jù)所述病毒特征集合中的病毒特征更新病毒特征庫; 當(dāng)終端請求病毒掃描時(shí),根據(jù)更新后的病毒特征庫對終端側(cè)的文件進(jìn)行掃描。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述離線獲取外網(wǎng)的病毒特征集合,包括: 通過離線工具與所述外網(wǎng)建立通信連接,并通過所述通信連接獲取所述外網(wǎng)發(fā)送的所述病毒特征集合; 或者,與物理存儲(chǔ)介質(zhì)進(jìn)行通信,讀取物理存儲(chǔ)介質(zhì)存儲(chǔ)的所述病毒特征集合; 或者,通過專用的物理鏈路獲取所述外網(wǎng)發(fā)送的所述病毒特征集合; 或者,建立隔離沙箱,在所述隔離沙箱環(huán)境下通過已有通信連接獲取所述外網(wǎng)發(fā)送的所述病毒特征集合。
3.根據(jù)權(quán)利要求2所述的方法,其特征在于,所述離線獲取外網(wǎng)的病毒特征集合,包括: 響應(yīng)所述外網(wǎng)的更新請求,接收所述外網(wǎng)發(fā)送的所述病毒特征集合; 或者,按照預(yù)設(shè)時(shí)間間隔定期向所述外網(wǎng)請求所述病毒特征集合; 或者,在接收到終端上報(bào)的掃描請求時(shí),向所述外網(wǎng)請求所述病毒特征集合; 或者,選擇非忙時(shí)段接收所述外網(wǎng)發(fā)送的所述病毒特征集合; 或者,根據(jù)用戶操作向所述外網(wǎng)請求所述病毒特征集合; 或者,根據(jù)預(yù)設(shè)規(guī)則向所述外網(wǎng)請求所述病毒特征集合。
4.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述根據(jù)所述病毒特征集合中的病毒特征更新病毒特征庫,包括: 清空所述病毒特征庫中的病毒特征,并寫入所述病毒特征集合中的病毒特征; 或者,根據(jù)所述病毒特征集合中的病毒特征對所述病毒特征庫進(jìn)行增量更新。
5.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述根據(jù)更新后的病毒特征庫對終端側(cè)的文件進(jìn)行掃描,包括: 接收所述終端上報(bào)的文件特征; 在更新后的病毒特征庫中遍歷所述文件特征; 若在更新后的病毒特征庫中遍歷到所述文件特征,則確定所述文件特征對應(yīng)的文件為病毒文件。
6.根據(jù)權(quán)利要求5所述的方法,其特征在于,若未在更新后的病毒特征庫中遍歷到所述文件特征,則所述方法進(jìn)一步包括: 向所述外網(wǎng)離線發(fā)送所述文件特征; 離線接收所述外網(wǎng)對所述文件特征的掃描結(jié)果; 根據(jù)所述掃描結(jié)果對所述病毒特征庫進(jìn)行二次更新。
7.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述方法進(jìn)一步包括: 離線獲取外網(wǎng)的支持向量機(jī)引擎SVM ; 通過所述支持向量機(jī)引擎對的病毒樣本進(jìn)行分析,訓(xùn)練得到病毒特征模型; 根據(jù)所述病毒特征模型更新所述病毒特征庫。
8.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述方法進(jìn)一步包括: 離線獲取外網(wǎng)的專殺腳本; 向所述終端下發(fā)所述專殺腳本,以對所述終端中的病毒文件進(jìn)行查殺。
9.一種病毒查殺的裝置,其特征在于,所述裝置包括: 獲取單元,用于離線獲取外網(wǎng)的病毒特征集合,所述病毒特征集合中包含預(yù)設(shè)時(shí)段內(nèi)熱點(diǎn)病毒文件的病毒特征; 更新單元,用于根據(jù)所述獲取單元獲取的所述病毒特征集合中的病毒特征更新病毒特征庫; 處理單元,用于當(dāng)終端請求病毒掃描時(shí),根據(jù)所述更新單元更新后的病毒特征庫對終端側(cè)的文件進(jìn)行掃描。
10.一種病毒查殺的系統(tǒng),其特征在于,所述系統(tǒng)為由服務(wù)器和終端組成的隔離網(wǎng)絡(luò);其中,所述服務(wù)器包括如權(quán)利要求9所述的裝置; 所述服務(wù)器,用于離線獲取外網(wǎng)的病毒特征集合,所述病毒特征集合中包含預(yù)設(shè)時(shí)段內(nèi)熱點(diǎn)病毒文件的病毒特征;根據(jù)所述病毒特征集合中的病毒特征更新病毒特征庫; 所述終端,用于向所述服務(wù)器發(fā)送病毒掃描請求,所述病毒掃描請求中攜帶有終端中文件的文件特征; 所述服務(wù)器,還用于根據(jù)更新后的病毒特征庫及所述終端發(fā)送的文件特征對終端側(cè)的文件進(jìn)行掃描,并向所述終端下發(fā)掃描結(jié)果,以便所述終端根據(jù)所述掃描結(jié)果對文件進(jìn)行相應(yīng)處理。
【文檔編號】H04L29/06GK104281809SQ201410521361
【公開日】2015年1月14日 申請日期:2014年9月30日 優(yōu)先權(quán)日:2014年9月30日
【發(fā)明者】溫銘 申請人:北京奇虎科技有限公司, 奇智軟件(北京)有限公司