類型、文件大小等。
[0148]UUID可以是對惡意軟件所在客戶端的識別獲取的。
[0149]對應判定模塊73,例如,在判斷結果表明為誤報時,客戶端可以確定存在誤報;在判斷結果表明為非誤報時,客戶端可以確定不存在誤報。
[0150]例如,在判斷結果表明為誤報時,客戶端可以確定存在誤報;在判斷結果表明為非誤報時,客戶端可以確定不存在誤報。
[0151]本實施例的客戶端通過在識別出惡意軟件后不是直接作為惡意軟件進行處理,而是向云端發送識別出的惡意軟件的第一信息,以便云端根據該第一信息判斷是否為誤報,可以使得云端及時獲知是否存在誤報
[0152]相關技術中,由服務器端升級殺毒軟件版本,并且客戶端升級后才可以獲知誤報。而本實施例的客戶端通過接收云端的判斷結果可以及時獲知是否存在誤報,而不再需要等待殺毒軟件升級后才能確定誤報。因此,本實施例提高了云端和客戶端獲知誤報的及時性。另外,客戶端由于在識別出惡意軟件后會向云端查詢,并獲知是否誤報的判斷結果,因此客戶端無需升級軟件就可以及時獲知誤報,避免需要升級導致的延遲問題。
[0153]圖8為本發明實施例提供的另一種誤報檢測裝置的結構示意圖,該裝置在圖7所述的實施例的基礎上,還包括:處理模塊74。
[0154]處理模塊74,用于在所述判定模塊73接收的所述判斷結果表明為誤報時,對所述識別出的惡意軟件不作為惡意軟件進行處理,也就是說,識別出的惡意軟件為正常軟件,不進行殺毒處理;和/或,在所述判定模塊接收的所述判斷結果表明為非誤報時,對所述識別出的惡意軟件作為惡意軟件進行處理,也就是說,識別出的惡意軟件不是正常軟件,需要進行殺毒處理。
[0155]本實施例通過根據判斷結果進行處理,可以在存在誤報時及時解除誤報。
[0156]圖9為本發明實施例提供的另一種誤報檢測裝置的結構示意圖,該裝置在圖7所示的基礎上還包括記錄模塊75、第一查找模塊76和第二查找模塊77。
[0157]記錄模塊75用于在判定模塊73確定存在誤報時,將第一信息記錄在誤報列表中。
[0158]例如,確定存在誤報時的第一信息為哈希值_1,那么可以在誤報列表中記錄哈希值_1。
[0159]第一查找模塊76用于下次識別出惡意軟件時,在所述誤報列表中進行查找,如果所述下次識別出惡意軟件時的信息在所述誤報列表中,直接將所述下次識別出的惡意軟件確定為誤報。
[0160]例如,下次識別出的惡意軟件的哈希值為哈希值_1,由于哈希值_1記錄在誤報列表中,則將該次的惡意軟件的識別確定為誤報,不需要再向云端進行判斷。
[0161]第二查找模塊77用于下次識別出惡意軟件時,在所述誤報列表中進行查找,如果所述下次識別出惡意軟件時的信息不在所述誤報列表中,才將所述下次識別惡意軟件時的信息發送給云端,使得所述云端進行誤報判斷。
[0162]例如,下次識別出惡意軟件時獲取的信息是哈希值_3,由于其不在誤報列表中,可以將該哈希值_3發送給云端,由云端進行是否誤報的判斷。
[0163]進一步的,假設云端反饋的結果是誤報,那么也可以把該哈希值_3也記錄在誤報列表中,以供后續檢測查找。
[0164]本實施例通過記錄誤報情況,可以在下次及時發現誤報。
[0165]圖10為本發明實施例提供的另一種誤報檢測裝置的結構示意圖,該裝置在圖7所示的基礎上還包括升級模塊76。
[0166]升級模塊76用于在判定模塊73確定存在誤報時,進行軟件升級處理。
[0167]相關技術中,由于升級依賴用戶的自主性或者殺毒軟件設定的升級日期,因此在誤報發生時并不能及時升級,會造成誤報不能及時解除。而本實施例通過在發生誤報后就進行軟件升級,可以及時升級軟件,進而及時解決誤報。
[0168]圖11為本發明實施例提供的另一種誤報檢測裝置的結構示意圖,該裝置110包括接收模塊111、判斷模塊112和發送模塊113。
[0169]接收模塊111用于接收客戶端發送的第一信息,所述第一信息是所述客戶端識別出惡意軟件時獲取的信息;
[0170]判斷模塊112用于根據所述接收模塊111接收的所述第一信息判斷所述客戶端對所述惡意軟件的識別是否為誤報;
[0171]發送模塊113用于將所述判斷模塊112得到的判斷結果發送給所述客戶端,以使所述客戶端根據所述判斷結果確定是否存在誤報。
[0172]在一個實施例中,所述第一信息包括如下項中的至少一項:
[0173]所述惡意軟件的哈希(hash)值;
[0174]識別所述惡意軟件的本地引擎信息;
[0175]所述惡意軟件的特征信息;
[0176]所述惡意軟件所在客戶端的不可逆的唯一用戶標識(Universally UniqueIdentifier, UUID)。
[0177]其中,惡意軟件的哈希值可以是對惡意軟件的二進制文件進行哈希運算后得到的,哈希算法包括但不限于:消息摘要算法第五版(Message Digest Algorithm,MD5)、循環冗余校驗碼(Cyclic Redundancy Check, CRC)、安全哈希算法(Secure Hash Algorithm,shal)等。本地引擎信息可以是對本地引擎進行識別后獲取的,本地引擎信息包括:引擎名,和/或,命中規則標識(ID)等。
[0178]惡意軟件的特征信息可以是對惡意軟件的二進制文件進行解析后獲取的,惡意軟件的特征信息包括如下項中的至少一項:文件路徑、文件類型、文件大小等。
[0179]UUID可以是對惡意軟件所在客戶端的識別獲取的。
[0180]可選的,參見圖12,該裝置還可以包括:設置模塊114,用于設置誤報判定規則庫,所述誤報判定規則庫中記錄屬于誤報的規則。
[0181]例如,誤報規則庫中可以記錄當惡意軟件的哈希值為設定的某個哈希值時,則為誤報;和/或,當本地引擎信息為設定的某個本地引擎信息時,為誤報等。
[0182]相應的,判斷模塊112具體用于:在所述第一信息滿足所述誤報判定規則中記錄的規則時,確定對所述惡意軟件的識別為誤報。
[0183]一個實施例中,所述第一信息和/或所述屬于誤報的規則,包括如下項中的至少一項:
[0184]所述惡意軟件的哈希值;
[0185]識別所述惡意軟件的本地引擎信息;
[0186]所述惡意軟件的特征信息;
[0187]所述惡意軟件所在客戶端的不可逆的唯一用戶標識。
[0188]相應的,當所述第一信息與所述屬于誤報的規則相同時,確定所述第一信息滿足所述誤報判斷規則中記錄的規則。
[0189]例如,誤報判斷規則庫中記錄:本地引擎A的al規則識別的文件為誤報,那么,當云端接收的客戶端上報的第一信息包括本地引擎信息,本地引擎信息包括引擎號和命中規則標識,且引擎號為A,命中規則標識為al時,則確定此時客戶端對惡意軟件的識別為誤報。或者,誤報判斷規則庫中記錄:哈希值為X的文件為誤報,那么,當云端接收的客戶端上報的第一信息包括識別出的惡意軟件的哈希值,且該哈希值為X時,則確定此時客戶端對惡意軟件的識別為誤報。
[0190]本實施例的云端可以接收客戶端在識別出惡意軟件后發送的第一信息,云端根據該第一信息進行誤報的判斷,并將判斷結果反饋給客戶端。因此,客戶端可以及時獲知是否存在誤報,進而可以及時解除誤報。
[0191]相關技術中,殺毒廠商需要根據各用戶反饋的誤報情況,從這些反饋中篩選出相對緊急重要誤報進行優先處理。由于用戶反饋誤報的及時性不夠,就會造成不能及時處理緊急重要誤報,延誤緊急重要誤報。為此,如圖13所示,本發明還提供一種實施例,以解決相關技術中存在的延誤緊急重要誤報的問題。
[0192]圖13為本發明實施例提供的另一種誤報檢測裝置的結構示意圖,該裝置在圖11所述的基礎上,還包括區分模塊115和更新模塊116。
[0193]區分模塊115用于區分緊急誤報和非緊急誤報;
[0194]其中,云端可以設置惡意軟件信息庫,用于記錄根據各個客戶端反饋的第一信息得到的統計信息,例如,可以得到針對感染同一個惡意軟件的客戶端的數量,進而,云端可以根據該統計信息進行區分;和/或,
[0195]云端可以設置用戶反饋誤報信息庫,其中記錄各用戶反饋的誤報情況,例如,根據用戶反饋的誤報情況也可以得到感染同一個惡意軟件的客戶端的數量,進而,云端可以根據該用戶數量進行區分。或者,用戶可以反饋識別出的惡意軟件的性質,根據該性質進行區分。
[0196]即區分模塊可以包括:
[0197]第一單元,用于對各個客戶端發送到第一信息進行統計,根據統計結果區分緊急誤報和非緊急誤報;和/或,
[0198]第二單元,用于獲取用戶反饋的誤報情況,根據用戶反饋的誤報情況區分緊急誤報和非緊急誤報。
[0199]進一步的,所述第一信息中包含識別出的惡意軟件的信息以及客戶端的信息,所述第一單元具體用于:
[0200]根據各個客戶端發送的第一信息,確定識別出同一惡意軟件的客戶端的數量;
[0201]在所述數量大于預設的閾值時,確定對所述惡意軟件的識別為緊急誤報。
[0202]一個實施例中,所述第二單元具體用于:
[0203]獲取各用戶反饋的誤報情況,確定反饋同一惡意軟件的用戶數量;
[0204]在所述用戶數量大于預設的閾值時,確定對所述惡意軟件的識別為緊急誤報。
[0205]其中,上述預設的閾值可以是10萬戶/每天。
[0206]一個實施例中,所述第二單元具體用于:根據用戶反饋的誤報的軟件性質,區分緊急誤報和非緊急誤報。
[0207]進一步的,所述第二單元具體用于:在所述用戶反饋的誤報的軟件是系統運行必需軟件時,將對所述系統運行必需軟件的誤報確定為緊急誤報。
[0208]系統運行必需軟件例如為windows系統文件。
[0209]更新模塊116用于優先核實所述緊急誤報,并在核實后,將所述緊急誤報對應的規則更新到所述誤報判定規則庫中。
[0210]其中,可以根據靜態代碼分析,和/或,動態行為分析,核實是否為誤報。
[0211]例如,編寫一段靜態代碼,該靜態代碼可以獲取一定時間段內感染同一惡意軟件的范圍,如果該范圍超出預設值,則可以核實為誤報;或者,通過動態行為獲取一定時間段內增加的感染同一惡意軟件的用戶數量,如果該數量超出預算值,則可以核實為誤報。這是由于感染范圍很大或者感染量增加很快通常不會是病毒,當然,這種情況也可能是病毒大規模爆發,為此,之后還可以進行進一步的核實,具體內容可以采用相關技術中病毒核實的流程,本實施例不再贅述。
[0212]本實施例中由于云端擁有所有客戶端識別出的惡意軟件的信息,可以在沒有用戶反饋或者用戶未及時反饋的情況下,根據客戶端上報的第一信息進行分析,及時區分出緊急誤報,避免對緊急誤報的延遲。
[0213]圖14為本發明實施例提供的一種誤報檢測系統的結構示意圖,該系統140包括客戶端裝置141和云端裝置142。
[0214]客戶端裝置141可以如圖7至圖10任一所述,云端裝置142可以如圖11至圖13任一所述。在此不再贅述。
[0215]本實施例的客戶端通過在識別出惡意軟件后不是直接作為惡意軟件進行處理,而是向云端發送識別出惡意軟件時的第一信息,以便云端根據該第一信息判斷是否為誤報,一方面可以使得云端及時獲知是否存在誤報,另一方面客戶端通過接收云端的判斷結果也可以及時獲知是否存在誤報,而不再需要等待殺毒軟件升級后才能確定誤報。因此,本實施例提高了云端和客戶端獲知誤報的及時性。另外,客戶端由于在識別出惡意軟件后會向云端查詢,并獲知是否誤報的判斷結果,因此客戶端無需升級軟件就可以及時獲知誤報,避免需要升級導致的延遲問題。本實施例的云端可以接收客戶端在識別出惡意軟件后發送的第一信息,云端根據該第一信息進行誤報的判斷,并將判斷結果反饋給客戶端。因此,客戶端可以及時獲知是否存在誤報,進而可以及時解除誤