誤報檢測方法和裝置的制造方法

誤報檢測方法和裝置的制造方法
【技術領域】
[0001]本發明涉及安全技術領域，尤其涉及一種誤報檢測方法和裝置。
【背景技術】
[0002]云安全(Cloud Security)技術是網絡時代信息安全的最新體現,應用云安全技術后，識別和查殺病毒不再僅僅依靠本地硬盤中的病毒庫，而是依靠龐大的網絡服務，實時進行采集、分析和處理。應用云安全技術的殺毒系統包括殺毒軟件客戶端(以下簡稱客戶端)和云端，客戶端位于用戶設備，例如用戶計算機上，客戶端中的本地引擎可以完成病毒掃描過程，掃描過程的讀文件、獲取特征碼、特征匹配、判定是否惡意軟件等步驟都是在用戶設備上完成，掃描過程不連接網絡，或者說不從云端接收信息并影響流程。云端是由硬件服務器和相關軟件組成，可以接收客戶端的信息，對接收的信息進行處理并返回處理信息給客戶端。客戶端和云端可以通過因特網連接并進行信息傳輸。
[0003]在病毒掃描過程中，可能會出現誤報情況。誤報是指本地引擎將正常的軟件識別為惡意軟件的現象。相關技術中，殺毒軟件廠商發現誤報和解除誤報的基本流程大致如下:本地引擎在在用戶設備上掃描文件，本地引擎誤將正常軟件識別為惡意軟件，本地引擎將正常軟件當惡意軟件處理，用戶通過客戶端向殺毒軟件廠商反饋誤報，廠商核實誤報反饋，廠商發布升級數據，用戶主動升級殺毒軟件或殺毒軟件自動升級，誤報解除。
[0004]但是，上述技術中，殺毒軟件廠商主要依賴用戶主動反饋誤報才獲知誤報，及時性會存在問題。

【發明內容】

[0005]本發明旨在至少在一定程度上解決相關技術中的技術問題之一。
[0006]為此，本發明的一個目的在于提出一種誤報檢測方法，該誤報檢測方法能夠使得客戶端及時發現誤報，進而可以及時解除誤報。
[0007]本發明的第二個目的在于提出一種誤報檢測裝置。
[0008]為達到上述目的，本發明第一方面實施例提出的誤報檢測方法，包括:接收客戶端發送的第一信息，所述第一信息是所述客戶端識別出惡意軟件時獲取的信息；根據所述第一信息判斷所述客戶端對所述惡意軟件的識別是否為誤報；將判斷結果發送給所述客戶端，以使所述客戶端根據所述判斷結果確定是否存在誤報。
[0009]本發明第一方面實施例提出的誤報檢測方法通過云端根據客戶端上報的第一信息判斷是否存在誤報，并將判斷結果反饋給客戶端，可以使得客戶端及時獲知是否存在誤報，進而客戶端可以及時解除誤報。
[0010]為達到上述目的，本發明第二方面實施例提出的誤報檢測裝置，包括:接收模塊，用于接收客戶端發送的第一信息，所述第一信息是所述客戶端識別出的惡意軟件的信息；判斷模塊，用于根據所述接收模塊接收的所述第一信息判斷所述客戶端對所述惡意軟件的識別是否為誤報；發送模塊，用于將所述判斷模塊得到的判斷結果發送給所述客戶端，以使所述客戶端根據所述判斷結果確定是否存在誤報。
[0011]本發明第二方面實施例提出的誤報檢測裝置，通過云端根據客戶端上報的第一信息判斷是否存在誤報，并將判斷結果反饋給客戶端，可以使得客戶端及時獲知是否存在誤報，進而客戶端可以及時解除誤報。
[0012]為達到上述目的，本發明第三方面實施例提出的云端設備，包括殼體、處理器、存儲器、電路板和電源電路，其中，所述電路板安置在所述殼體圍成的空間內部，所述處理器和所述存儲器設置在所述電路板上；所述電源電路，用于為所述云端設備的各個電路或器件供電；所述存儲器用于存儲可執行程序代碼；所述處理器通過讀取所述存儲器中存儲的可執行程序代碼來運行與所述可執行程序代碼對應的程序，以用于:接收客戶端發送的第一信息，所述第一信息是所述客戶端識別出惡意軟件時獲取的信息；根據所述第一信息判斷所述客戶端對所述惡意軟件的識別是否為誤報；將判斷結果發送給所述客戶端，以使所述客戶端根據所述判斷結果確定是否存在誤報。
[0013]本發明第三方面實施例提出的誤報檢測方法通過云端根據客戶端上報的第一信息判斷是否存在誤報，并將判斷結果反饋給客戶端，可以使得客戶端及時獲知是否存在誤報，進而客戶端可以及時解除誤報。
[0014]本發明附加的方面和優點將在下面的描述中部分給出，部分將從下面的描述中變得明顯，或通過本發明的實踐了解到。
【附圖說明】
[0015]本發明上述的和/或附加的方面和優點從下面結合附圖對實施例的描述中將變得明顯和容易理解，其中:
[0016]圖1為本發明實施例提供的一種誤報檢測方法的流程示意圖；
[0017]圖2為本發明實施例提供的另一種誤報檢測方法的流程示意圖；
[0018]圖3為本發明實施例提供的另一種誤報檢測方法的流程示意圖；
[0019]圖4為本發明實施例提供的另一種誤報檢測方法的流程示意圖；
[0020]圖5為本發明實施例提供的另一種誤報檢測方法的流程示意圖；
[0021]圖6為本發明實施例提供的另一種誤報檢測方法的流程示意圖；
[0022]圖7為本發明實施例提供的一種誤報檢測裝置的結構示意圖；
[0023]圖8為本發明實施例提供的另一種誤報檢測裝置的結構示意圖；
[0024]圖9為本發明實施例提供的另一種誤報檢測裝置的結構示意圖；
[0025]圖10為本發明實施例提供的另一種誤報檢測裝置的結構示意圖；
[0026]圖11為本發明實施例提供的另一種誤報檢測裝置的結構示意圖；
[0027]圖12為本發明實施例提供的另一種誤報檢測裝置的結構示意圖；
[0028]圖13為本發明實施例提供的另一種誤報檢測裝置的結構示意圖；
[0029]圖14為本發明實施例提供的另一種誤報檢測系統的結構示意圖。
【具體實施方式】
[0030]下面詳細描述本發明的實施例，所述實施例的示例在附圖中示出，其中自始至終相同或類似的標號表示相同或類似的元件或具有相同或類似功能的元件。下面通過參考附圖描述的實施例是示例性的，僅用于解釋本發明，而不能理解為對本發明的限制。相反，本發明的實施例包括落入所附加權利要求書的精神和內涵范圍內的所有變化、修改和等同物。
[0031]需要說明的是，在本發明的描述中，術語“第一”、“第二”等僅用于描述目的，而不能理解為指示或暗示相對重要性。此外，在本發明的描述中，除非另有說明，“多個”的含義是兩個或兩個以上。
[0032]流程圖中或在此以其他方式描述的任何過程或方法描述可以被理解為，表示包括一個或更多個用于實現特定邏輯功能或過程的步驟的可執行指令的代碼的模塊、片段或部分，并且本發明的優選實施方式的范圍包括另外的實現，其中可以不按所示出或討論的順序，包括根據所涉及的功能按基本同時的方式或按相反的順序，來執行功能，這應被本發明的實施例所屬技術領域的技術人員所理解。
[0033]圖1為本發明實施例提供的一種誤報檢測方法的流程示意圖，如圖1所示，該方法包括:
[0034]Sll:客戶端識別惡意軟件。
[0035]可以理解的是，相關技術中，客戶端也可以識別出惡意軟件，因此，本領域技術人員可以獲知具體的客戶端如何實現惡意軟件的識別，本發明實施例不再贅述。
[0036]相關技術中，客戶端在識別出惡意軟件后直接按照惡意軟件處理流程進行處理，但是，客戶端識別出的惡意軟件有可能是正常軟件，也就是產生了誤報。相關技術中，誤報需要用戶通過客戶端上報給服務器端。為了使云端及時獲知誤報，本發明實施例的誤報檢測方法在識別出惡意軟件之后，還包括:
[0037]S12:客戶端獲取所述識別惡意軟件時的第一信息，并將所述第一信息發送給云端，以使所述云端根據所述第一信息判斷對所述惡意軟件的識別是否為誤報。
[0038]所述第一信息包括如下項中的至少一項:
[0039]所述惡意軟件的哈希(hash)值；
[0040]識別所述惡意軟件的本地引擎信息；
[0041]所述惡意軟件的特征信息；
[0042]所述惡意軟件所在客戶端的不可逆的唯一用戶標識(Universally UniqueIdentifier, UUID)。
[0043]其中，惡意軟件的哈希值可以是對惡意軟件的二進制文件進行哈希運算后得到的，哈希算法包括但不限于:消息摘要算法第五版(Message Digest Algorithm,MD5)、循環冗余校驗碼(Cyclic Redundancy Check, CRC)、安全哈希算法(Secure Hash Algorithm,shal)等。
[0044]本地引擎信息可以是對本地引擎進行識別后獲取的，本地引擎信息包括:引擎名，和/或，命中規則標識(ID)等。
[0045]惡意軟件的特征信息可以是對惡意軟件的二進制文件進行解析后獲取的，惡意軟件的特征信息包括如下項中的至少一項:文件路徑、文件類型、文件大小等。
[0046]UUID可以是對惡意軟件所在客戶端的識別獲取的。
[0047]S13:客戶端接收所述云端發送的判斷結果，根據所述判斷結果確定是否存在誤報。
[0048]例如，在判斷結果表明為誤報時，客戶端可以確定存在誤報；在判斷結果表明為非誤報時，客戶端可以確定不存在誤報。
[0049]本實施例的客戶端通過在識別出惡意軟件后不是直接作為惡意軟件進行處理，而是向云端發送識別出的惡意軟件的第一信息，以便云端根據該第一信息判斷是否為誤報，可以使得云端及時獲知是否存在誤報。
[0050]相關技術中，由服務器端升級殺毒軟件版本，并且客戶端升級后才可以獲知誤報。而本實施例的客戶端通過接收云端的判斷結果可以及時獲知是否存在誤報，而不再需要等待殺毒軟件升級后才能確定誤報。因此，本實施例提高了云端和客戶端獲知誤報的及時性。另外，客戶端由于在識別出惡意軟件后會向云端查詢，并獲知是否誤報的判斷結果，因此客戶端無需升級軟件就可以及時獲知誤報，避免需要升級導致的延遲問題。
[0051]圖2為本發明實施例提供的另一種誤報檢測方法的流程示意圖，該方法在上述的S13之后還可以包括:
[0052]S14:客戶端在所述判斷結果表明為誤報時，對所述識別出的惡意軟件不作為惡意軟件進行處理。
[0053]也就是說，識別出的惡意軟件為正常軟件，不進行殺毒處理。或者，
[0054]S15:客戶端在所述判斷結果表明為非誤報時，對所述識別出的惡意軟件作為惡意軟件進行處理。
[0055]也就是說，識別出的惡意軟件不是正常軟件，需要進行殺毒處理。
[0056]本實施例通過根據判斷結果進行處理，可以在存在誤報時及時解除誤報。
[0057]圖3為本發明實施例提供的另一種誤報檢測方法的流程示意圖，該方法在上述的S13之后還可以包括:
[0058]S31:客戶端在確定存在誤報時，將第一信息記錄在誤報列表中。
[0059]例如，確定存在誤報時的第一信息為哈希值_1，那么可以在誤報列表中記錄哈希值_1。
[0060]S32:下次識別出的惡意軟件時，查找誤報列表，判斷下次識別出惡意軟件時的信息是否記錄在誤報列表中，如果在，則執行S33，否則執行S34。
[0061]例如，下次識別出惡意軟件時，也可以獲取此時的惡意軟件的信息，例如，獲取此時的惡意軟件的哈希值。
[0062]S33:直接將該次的惡意軟件的識別確定為誤報。
[0063]例如，S32中識別出的惡意軟件的哈希值為哈希值_1，由于哈希值_1記錄在誤報列表中，則將該次的惡意軟件的識別確定為誤報，不需要再向云端進行判斷。
[0064]S34:將該次的惡意軟件的識別時的信息發送給云端，由云端進行判斷，并接收云端發送的判斷結果。
[0065]例如，S32中獲取的信息是哈希值_3，由于其不在誤報列表中，可以將該哈希值_3發送給云端，由云端進行是否誤報的判斷。
[0066]進一步的，假設云端反饋的結果是誤報，那么也可以把該哈希值_3也記錄在誤報列表中，以供后續檢測查找。
[0067]本實施例以客戶端獲知誤報后，記錄第一信息，以供