對抗免殺測試的云查殺方法��、裝置及系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開了一種對抗免殺測試的云查殺方法����、裝置及系統(tǒng)。其中的方法包括:云端接收客戶端發(fā)送的對樣本進行病毒查殺的云查殺請求����;云端解析所述云查殺請求,判斷所述云查殺請求是否為免殺測試的云查殺請求�;如果所述云查殺請求是免殺測試的云查殺請求,所述云端向客戶端返回所述樣本未攜帶病毒的云查殺結果���;如果所述云查殺請求不是免殺測試的云查殺請求���,將樣本與云端的病毒庫進行比對,確定樣本是否攜帶病毒并進行相應的病毒查殺�����。通過本發(fā)明,“免殺測試”時�����,云查殺不會返回病毒信息����,從而讓免殺測試通過;而當木馬真正在互聯(lián)網(wǎng)上流傳時�����,云查殺就會返回正確的結果����,讓殺毒軟件將木馬殺滅。
【專利說明】對抗免殺測試的云查殺方法����、裝置及系統(tǒng)
【技術領域】
[0001]本發(fā)明涉及網(wǎng)絡安全【技術領域】,具體涉及一種對抗免殺測試的云查殺方法���、裝置及系統(tǒng)���。
【背景技術】
[0002]如今的木馬���,在經(jīng)濟利益的驅使下,已經(jīng)呈產(chǎn)業(yè)化運作趨勢�����,不少木馬����,由專業(yè)的“公司”制作��,形成了完整的開發(fā)_>測試_>市場推廣的完整組織鏈條���。而隨著用戶上網(wǎng)安全意識的提高����,如今大多數(shù)用戶都已經(jīng)安裝了殺毒軟件����,木馬一旦被殺毒軟件捕獲,即被刪除�����,木馬“公司”為了維護自己的經(jīng)濟利益,就會想盡一切辦法來逃避殺毒軟件的查殺��。其中一種手段就是“免殺測試”�,也就是說,木馬由“公司”的開發(fā)團隊開發(fā)出來以后��,通常會由測試團隊負責��,用主流的殺毒軟件進行掃描�����,如果掃描提示病毒���,那么測試不通過���,開發(fā)團隊會重新對木馬進行修改,直到殺毒軟件都不提示為止�。
[0003]在這種情況下,傳統(tǒng)殺毒軟件的病毒識別方法就遇到了挑戰(zhàn)��。無論設計多么精巧的殺毒軟件��,其對特定軟件的掃描結果都是固定的——要么是病毒,要么不是病毒�����。這樣�����,木馬的制作“公司”只要經(jīng)過多次嘗試�,總能找到繞過殺毒軟件檢測的方法,制作出任何殺毒軟件都不能識別的木馬�����,并在互聯(lián)網(wǎng)上傳播����。
[0004]因此�����,亟待提出一套與免殺測試對抗的方案���,使免殺測試無效���。
【發(fā)明內(nèi)容】
[0005]鑒于上述問題���,提出了本發(fā)明以便提供一種克服上述問題或者至少部分地解決上述問題的對抗免殺測試的云查殺方法、裝置及系統(tǒng)�����。
[0006]依據(jù)本發(fā)明的一個方面���,提供一種對抗免殺測試的云查殺方法����,其中云查殺系統(tǒng)包括云端和客戶端�����,所述方法包括:云端接收客戶端發(fā)送的對樣本進行病毒查殺的云查殺請求�;云端解析所述云查殺請求,判斷所述云查殺請求是否為免殺測試的云查殺請求;如果所述云查殺請求是免殺測試的云查殺請求���,所述云端向客戶端返回所述樣本未攜帶病毒的云查殺結果���;如果所述云查殺請求不是免殺測試的云查殺請求����,將樣本與云端的病毒庫進行比對���,確定樣本是否攜帶病毒并進行相應的病毒查殺�。
[0007]可選的�,所述判斷所述云查殺請求是否為免殺測試的云查殺請求包括:記錄發(fā)送所述云查殺請求的IP ;判斷所述云查殺請求的IP是否在預置的IP黑名單中,如果是���,則確定所述云查殺請求是免殺測試的云查殺請求�����。
[0008]可選的,所述IP黑名單的設置方法包括:統(tǒng)計單位時間內(nèi)某IP發(fā)送的云查殺請求的次數(shù)�;如果單位時間內(nèi)該IP發(fā)送的云查殺請求的次數(shù)大于預置的請求閾值,則將該IP添加到IP黑名單中���。
[0009]可選的���,所述判斷所述云查殺請求是否為免殺測試的云查殺請求包括:記錄發(fā)送所述云查殺請求的客戶端識別號;判斷所述云查殺請求的IP是否在預置的設備識別號黑名單中,如果是����,則確定所述云查殺請求是免殺測試的云查殺請求。[0010]可選的����,所述設備識別號黑名單的設置方法包括:統(tǒng)計單位時間內(nèi)某設備識別號對應的客戶端發(fā)送的云查殺請求的次數(shù);如果單位時間內(nèi)該設備識別號對應的客戶端發(fā)送的云查殺請求的次數(shù)大于預置的請求閾值����,則將該設備識別號添加到設備識別號黑名單中。
[0011]可選的�,所述判斷所述云查殺請求是否為免殺測試的云查殺請求包括:記錄所述樣本的唯一識別特征;監(jiān)測針對所述唯一識別特征發(fā)送的云查殺請求���,統(tǒng)計針對該唯一識別特征而發(fā)送的云查殺請求的IP的個數(shù)及分布��;如果統(tǒng)計結果落在預置條件內(nèi)���,則確定所述云查殺請求是免殺測試的云查殺請求。
[0012]依據(jù)本發(fā)明的另一個方面���,提供一種對抗免殺測試的云查殺裝置�,云查殺系統(tǒng)包括云端和客戶端,所述裝置位于所述云端���,包括識別引擎和病毒庫�,所述裝置還包括免殺測試識別模塊���;所述免殺測試識別模塊解析所述客戶端發(fā)來的對樣本進行病毒查殺的云查殺請求�����,判斷所述云查殺請求是否為免殺測試的云查殺請求��;如果確定所述云查殺請求是免殺測試的云查殺請求��,向客戶端返回所述樣本未攜帶病毒的云查殺結果���;如果確定所述云查殺請求不是免殺測試的云查殺請求,將非免殺測試的云查殺請求傳遞給所述識別引擎����;所述識別引擎將樣本與云端的病毒庫進行比對�,確定樣本是否攜帶病毒并進行相應的病毒查殺。
[0013]可選的���,所述免殺測試識別模塊包括:IP黑名單設置單元����,用于設置并保存IP黑名單;記錄單元��,用于記錄發(fā)送所述云查殺請求的IP ;判斷單元���,用于判斷所述云查殺請求的IP是否在IP黑名單中�����,如果是����,則確定所述云查殺請求是免殺測試的云查殺請求��。
[0014]可選的��,所述IP黑名單設置單元���,用于統(tǒng)計單位時間內(nèi)某IP發(fā)送的云查殺請求的次數(shù)�����;如果單位時間內(nèi)該IP發(fā)送的云查殺請求的次數(shù)大于預置的請求閾值�����,則將該IP添加到IP黑名單中�����。
[0015]可選的���,所述免殺測試識別模塊包括:設備識別號黑名單設置單元��,用于設置并保存設備識別號黑名單����;記錄單元����,用于記錄發(fā)送所述云查殺請求的客戶端識別號;判斷單元����,用于判斷所述云查殺請求的IP是否在設備識別號黑名單中,如果是��,則確定所述云查殺請求是免殺測試的云查殺請求��。
[0016]可選的��,所述設備識別號黑名單的設置單元���,用于統(tǒng)計單位時間內(nèi)某設備識別號對應的客戶端發(fā)送的云查殺請求的次數(shù)�;如果單位時間內(nèi)該設備識別號對應的客戶端發(fā)送的云查殺請求的次數(shù)大于預置的請求閾值�,則將該設備識別號添加到設備識別號黑名單中。
[0017]可選的�����,所述免殺測試識別模塊包括:記錄單元���,用于記錄所述樣本的唯一識別特征���;監(jiān)測及統(tǒng)計單元,用于監(jiān)測針對所述唯一識別特征發(fā)送的云查殺請求�,統(tǒng)計針對該唯一識別特征而發(fā)送的云查殺請求的IP的個數(shù)及分布;判斷單元�,如果所述監(jiān)測及統(tǒng)計單元得到的IP的個數(shù)及分布統(tǒng)計結果落在預置條件內(nèi),則確定所述云查殺請求是免殺測試的云查殺請求�����。
[0018]依據(jù)本發(fā)明的另一個方面,提供一種對抗免殺測試的云查殺系統(tǒng)��,所述云查殺系統(tǒng)包括云端和客戶端�,所述云端包括識別引擎和病毒庫,所述云端還包括免殺測試識別模塊����;所述免殺測試識別模塊解析所述客戶端發(fā)來的對樣本進行病毒查殺的云查殺請求,判斷所述云查殺請求是否為免殺測試的云查殺請求�;如果確定所述云查殺請求是免殺測試的云查殺請求,向客戶端返回所述樣本未攜帶病毒的云查殺結果���;如果確定所述云查殺請求不是免殺測試的云查殺請求���,將非免殺測試的云查殺請求傳遞給所述識別引擎;所述識別引擎將樣本與云端的病毒庫進行比對���,確定樣本是否攜帶病毒并進行相應的病毒查殺����。
[0019]可選的��,所述免殺測試識別模塊包括:IP黑名單設置單元,用于設置并保存IP黑名單�����;記錄單元�����,用于記錄發(fā)送所述云查殺請求的IP ;判斷單元����,用于判斷所述云查殺請求的IP是否在IP黑名單中��,如果是�,則確定所述云查殺請求是免殺測試的云查殺請求。
[0020]可選的�����,所述IP黑名單設置單元���,用于統(tǒng)計單位時間內(nèi)某IP發(fā)送的云查殺請求的次數(shù)���;如果單位時間內(nèi)該IP發(fā)送的云查殺請求的次數(shù)大于預置的請求閾值��,則將該IP添加到IP黑名單中����。
[0021]可選的��,所述免殺測試識別模塊包括:設備識別號黑名單設置單元�����,用于設置并保存設備識別號黑名單����;記錄單元,用于記錄發(fā)送所述云查殺請求的客戶端識別號�����;判斷單元����,用于判斷所述云查殺請求的IP是否在設備識別號黑名單中,如果是��,則確定所述云查殺請求是免殺測試的云查殺請求。
[0022]可選的����,所述設備識別號黑名單的設置單元,用于統(tǒng)計單位時間內(nèi)某設備識別號對應的客戶端發(fā)送的云查殺請求的次數(shù)�����;如果單位時間內(nèi)該設備識別號對應的客戶端發(fā)送的云查殺請求的次數(shù)大于預置的請求閾值��,則將該設備識別號添加到設備識別號黑名單中��。
[0023]可選的���,所述免殺測試識別模塊包括:記錄單元,用于記錄所述樣本的唯一識別特征���;監(jiān)測及統(tǒng)計單元�����,用于監(jiān)測針對所述唯一識別特征發(fā)送的云查殺請求�,統(tǒng)計針對該唯一識別特征而發(fā)送的云查殺請求的IP的個數(shù)及分布��;判斷單元,如果所述監(jiān)測及統(tǒng)計單元得到的IP的個數(shù)及分布統(tǒng)計結果落在預置條件內(nèi)�����,則確定所述云查殺請求是免殺測試的云查殺請求�。
[0024]可見,通過本發(fā)明���,如果識別到是正在進行“免殺測試”的云查殺請求���,則直接返回所述樣本未攜帶病毒的云查殺結果,使得云查殺的結果不識別為病毒��;如果是正常的用戶請求����,則傳遞給識別引擎,返回識別引擎通過病毒庫確定的云查殺結果�����。由此�,對于“免殺測試”的云查殺請求,通過返回的未攜帶病毒的云查殺結果����,使得木馬等病毒測試人員誤以為免殺測試通過��,繼而發(fā)布��。而當后續(xù)該病毒被普通用戶客戶端攜帶而進行查殺時�����,云查殺系統(tǒng)可正常查殺���。通過本發(fā)明的方法,“免殺測試”時��,云查殺不會返回病毒信息��,從而讓免殺測試通過����;而當木馬真正在互聯(lián)網(wǎng)上流傳時�,云查殺就會返回正確的結果,讓殺毒軟件將木馬殺滅���。
[0025]上述說明僅是本發(fā)明技術方案的概述��,為了能夠更清楚了解本發(fā)明的技術手段��,而可依照說明書的內(nèi)容予以實施���,并且為了讓本發(fā)明的上述和其它目的����、特征和優(yōu)點能夠更明顯易懂�,以下特舉本發(fā)明的【具體實施方式】。
【專利附圖】
【附圖說明】
[0026]通過閱讀下文優(yōu)選實施方式的詳細描述��,各種其他的優(yōu)點和益處對于本領域普通技術人員將變得清楚明了�。附圖僅用于示出優(yōu)選實施方式的目的,而并不認為是對本發(fā)明的限制����。而且在整個附圖中,用相同的參考符號表示相同的部件��。在附圖中:
[0027]圖1示出了免殺測試的示意圖����;[0028]圖2示出了根據(jù)本發(fā)明一個實施例的對抗免殺測試的云查殺系統(tǒng)框圖;以及
[0029]圖3示出了根據(jù)本發(fā)明一個實施例的對抗免殺測試的云查殺方法的流程圖���。
【具體實施方式】
[0030]下面將參照附圖更詳細地描述本公開的示例性實施例�。雖然附圖中顯示了本公開的示例性實施例,然而應當理解���,可以以各種形式實現(xiàn)本公開而不應被這里闡述的實施例所限制���。相反,提供這些實施例是為了能夠更透徹地理解本公開����,并且能夠將本公開的范圍完整的傳達給本領域的技術人員。
[0031]一個完整的特洛伊木馬套裝程序含了兩部分:服務端(服務器部分)和客戶端(控制器部分)���。植入對方電腦的是服務端���,而黑客正是利用客戶端進入運行了服務端的電腦�����。運行了木馬程序的服務端以后�����,會產(chǎn)生一個有著容易迷惑用戶的名稱的進程,暗中打開端口��,向指定地點發(fā)送數(shù)據(jù)(如網(wǎng)絡游戲的密碼����,即時通信軟件密碼和用戶上網(wǎng)密碼等),黑客甚至可以利用這些打開的端口進入電腦系統(tǒng)�。
[0032]參見圖1,為免殺測試流程示意圖���。傳統(tǒng)殺毒軟件��,識別病毒都是毫秒級的�����,也就是說�,利用制作好的木馬�����,“用殺毒軟件測試是否提示病毒”幾乎立即就可以得到結果�����;然后木馬開發(fā)者修改木馬,修改完之后立即可以重新測試�,這樣反復試幾次的時間成本并不高。
[0033]基于上述分析����,本發(fā)明發(fā)明人發(fā)現(xiàn),如果能合理延長“用殺毒軟件測試是否提示病毒”環(huán)節(jié)的時間����,就使得整個“免殺測試”流程的時間非常長,極大提高其時間成本�����,減少木馬的經(jīng)濟利益�。但是,對普通用戶而言�,則要求殺毒軟件提示病毒的時間越快越好。所以本專利的關鍵����,就在于��,對普通的用戶��,需要立即返回結果;而對于木馬制作“公司”��,則應大幅延長其測試時間�。
[0034]所謂云查殺,是指將病毒樣本放入服務器���,通過成千上百的服務器智能檢測���,自動判斷文件是否病毒?�?梢?,云查殺系統(tǒng)包括云端和客戶端,����。云查殺必須聯(lián)網(wǎng)才有效,���,因為只有聯(lián)網(wǎng)后才能與殺毒軟件的服務器相連接����,從而達到快速查殺而減低誤殺���。
[0035]傳統(tǒng)的云查殺系統(tǒng)中�,云端與客戶端通過網(wǎng)絡連接通信,在云端���,又進一步主要包括識別引擎以及病毒庫��,識別引擎通過將目標文件(也稱為:樣本)與病毒庫進行比對判斷���,確定目標文件是否攜帶病毒。
[0036]本發(fā)明中����,在云查殺系統(tǒng)的云端的“識別引擎”前增加一個免殺測試識別模塊。參見圖2����,為根據(jù)本發(fā)明一個實施例的對抗免殺測試的云查殺系統(tǒng)框圖。云查殺系統(tǒng)包括客戶端201和云端202����,客戶端201與云端202通過網(wǎng)絡連接。其中��,客戶端是指用戶終端,例如智能手機終端�����、PC機終端等等���。云端202包括免殺測試識別模塊2021、識別引擎2022和病毒庫2023���。
[0037]免殺測試識別模塊2021主要用于識別云查殺請求是否是免殺測試的云查殺請求����,如果是��,則直接通過網(wǎng)絡向客戶端201返回“未知”或“安全”等表明目標文件非病毒的查殺結果�����;如果免殺測試識別模塊2021識別出云查殺請求不是免殺測試的云查殺請求���,而是普通用戶發(fā)來的查殺請求���,則將查殺請求進一步傳遞給識別引擎2022,識別引擎2022按照原有流程通過查詢病毒庫2023而確定目標文件是否攜帶病毒并將查殺結果返回給客戶端 201.[0038]可見,通過本發(fā)明����,如果識別到是正在進行“免殺測試”的云查殺請求,則直接返回“未知”“安全”等值�,使得云查殺的結果不識別為病毒;如果是正常的用戶請求����,則傳遞給識別引擎,返回識別引擎本身的值��。
[0039]由此�����,對于“免殺測試”的云查殺請求�����,通過返回的“未知” “安全”等值��,使得木馬等病毒測試人員誤以為免殺測試通過���,繼而發(fā)布��。而當后續(xù)該病毒被普通用戶客戶端攜帶而進行查殺時�,云查殺系統(tǒng)可正常查殺。
[0040]免殺測試識別模塊2021識別云查殺請求是否是免殺測試的云查殺請求的方式有多種��。
[0041]下面詳細介紹如何判斷正在進行的是“免殺測試”云查殺請求�。
[0042](I) IP 黑名單
[0043]免殺測試識別模塊2021可以統(tǒng)計單位時間(例如I天內(nèi))某IP����、IP段、IP所對應的區(qū)域所請求的次數(shù)����,如果超過合理的次數(shù),有可能是專業(yè)的測試人員正在對云查殺接口進行測試�����,所以自動將IP加入黑名單��,其所有的請求結果都不返回病毒信息����;
[0044]( 2)設備識別號黑名單
[0045]云查殺是由殺毒軟件客戶端發(fā)起的,殺毒軟件客戶端通?����?梢允占脩粼O備的識別號(例如PC的MAC地址,手機的MEI號等)����,與IP黑名單類似,如果相同的設備識別號在單位時間內(nèi)請求超過了合理的次數(shù)���,也將其自動加入黑名單�。
[0046](3)請求樣本的請求次數(shù)和分布特征
[0047]一款正在測試中的軟件�����,還沒有對外大規(guī)模發(fā)布��,所以統(tǒng)計到的請求總次數(shù)會比較小�。例如,正在測試的木馬��,可能也就只有幾個測試人員在測����,所以統(tǒng)計到該樣本的請求次數(shù)可能只有幾次。而真正對外發(fā)布的應用�,其請求應該分布在全國各地(通過請求IP可以查到)����,而且請求的次數(shù)也要多得多�����。具體做法:免殺測試識別模塊2021對于每個請求的樣本����,記錄樣本的唯一識別特征(例如文件MD5)和請求的IP ;定期分析上述記錄��,根據(jù)請求IP的個數(shù)���、分布���,篩除小于設定值的樣本。例如�����,對于一個新木馬的測試�����,往往只有幾個IP分布鄰近的終端發(fā)來的有限數(shù)目的云查殺請求,假如針對一個特定樣本(唯一識別特征識別該特定樣本)����,其云查殺的請求IP在設定條件內(nèi),比如設定條件是:各IP分布鄰近以及總請求的IP個數(shù)小于或等于10����,那么可認定針對該特定樣本的云查殺請求是免殺測試的云查殺請求。
[0048]通過上面的方式����,“免殺測試”時,云查殺都不會返回病毒信息�,從而讓免殺測試通過;而當木馬真正在互聯(lián)網(wǎng)上流傳時�����,云查殺就會返回正確的結果��,讓殺毒軟件將木馬殺滅��。
[0049]參見圖3�,為本發(fā)明一個實施例提供的一種對抗免殺測試的云查殺方法的流程圖。如前所述����,云查殺系統(tǒng)包括云端和客戶端��,該方法包括以下步驟:
[0050]S301:云端接收客戶端發(fā)送的對樣本進行病毒查殺的云查殺請求����;
[0051]S302:云端解析云查殺請求�,判斷云查殺請求是否為免殺測試的云查殺請求,若是免殺測試的云查殺請求�,則執(zhí)行S303,否則執(zhí)行S304 �;
[0052]S303:如果云查殺請求是免殺測試的云查殺請求,云端向客戶端返回樣本未攜帶病毒的云查殺結果���;
[0053]S304:如果云查殺請求不是免殺測試的云查殺請求,將樣本與云端的病毒庫進行比對�����,確定樣本是否攜帶病毒并進行相應的病毒查殺��。[0054]其中�����,判斷所述云查殺請求是否為免殺測試的云查殺請求的方式有多種。
[0055]例如���,一種方式是��,通過記錄發(fā)送云查殺請求的IP���,并判斷云查殺請求的IP是否在預置的IP黑名單中,如果是���,則確定云查殺請求是免殺測試的云查殺請求��。其中�,IP黑名單是預置的��,其預置方法為���,先建立一個空的名單�����,通過統(tǒng)計判斷�,將符合“黑IP”添加進去。具體的�,統(tǒng)計單位時間內(nèi)某IP發(fā)送的云查殺請求的次數(shù);如果單位時間內(nèi)該IP發(fā)送的云查殺請求的次數(shù)大于預置的請求閾值���,則將該IP添加到IP黑名單中�����。
[0056]又如�����,又一種方式是�����,通過記錄發(fā)送云查殺請求的客戶端識別號�;再判斷云查殺請求的IP是否在預置的設備識別號黑名單中��,如果是��,則確定云查殺請求是免殺測試的云查殺請求���。其中,設備識別號黑名單是預置的���,其預置方法為����,先建立一個空的名單,通過統(tǒng)計判斷���,將符合“黑客戶端識別號”添加進去���。具體的,統(tǒng)計單位時間內(nèi)某設備識別號對應的客戶端發(fā)送的云查殺請求的次數(shù)�;如果單位時間內(nèi)該設備識別號對應的客戶端發(fā)送的云查殺請求的次數(shù)大于預置的請求閾值,則將該設備識別號添加到設備識別號黑名單中���。
[0057]再如�����,另一種方式是�,通過記錄樣本的唯一識別特征����,并監(jiān)測針對所述唯一識別特征發(fā)送的云查殺請求,統(tǒng)計針對該唯一識別特征而發(fā)送的云查殺請求的IP的個數(shù)及分布,如果統(tǒng)計結果落在預置條件內(nèi)���,則確定所述云查殺請求是免殺測試的云查殺請求����。
[0058]通過本發(fā)明的方法�����,“免殺測試”時�,云查殺都不會返回病毒信息,從而讓免殺測試通過����;而當木馬真正在互聯(lián)網(wǎng)上流傳時,云查殺就會返回正確的結果���,讓殺毒軟件將木馬殺滅��。
[0059]與上述方法相對應�,本發(fā)明還提供一種對抗免殺測試的云查殺裝置����。如前所述,云查殺系統(tǒng)包括云端和客戶端���,本發(fā)明提供的裝置位于所述云端���,包括識別引擎和病毒庫,特別的����,還包括免殺測試識別模塊。
[0060]其中:
[0061]免殺測試識別模塊���,用于解析客戶端發(fā)來的對樣本進行病毒查殺的云查殺請求��,判斷云查殺請求是否為免殺測試的云查殺請求���;如果確定云查殺請求是免殺測試的云查殺請求,向客戶端返回所述樣本未攜帶病毒的云查殺結果�;如果確定所述云查殺請求不是免殺測試的云查殺請求,將非免殺測試的云查殺請求傳遞給所述識別引擎���;
[0062]識別引擎���,將樣本與云端的病毒庫進行比對���,確定樣本是否攜帶病毒并進行相應的病毒查殺。
[0063]優(yōu)選的�,免殺測試識別模塊判斷云查殺請求是否為免殺測試的云查殺請求的方式有多種。
[0064]一種方式是���,通過IP黑名單判斷出免殺測試的云查殺請求����。此時����,免殺測試識別模塊包括:IP黑名單設置單元,用于設置并保存IP黑名單����;記錄單元,用于記錄發(fā)送所述云查殺請求的IP ;判斷單元�,用于判斷所述云查殺請求的IP是否在IP黑名單中,如果是���,則確定所述云查殺請求是免殺測試的云查殺請求�����。其中���,IP黑名單設置單元,用于統(tǒng)計單位時間內(nèi)某IP發(fā)送的云查殺請求的次數(shù)����;如果單位時間內(nèi)該IP發(fā)送的云查殺請求的次數(shù)大于預置的請求閾值,則將該IP添加到IP黑名單中���。
[0065]又一種方式是�����,通過設備識別號黑名單判斷出免殺測試的云查殺請求�����。此時��,免殺測試識別模塊包括:設備識別號黑名單設置單元����,用于設置并保存設備識別號黑名單��;記錄單元,用于記錄發(fā)送所述云查殺請求的客戶端識別號�;判斷單元,用于判斷所述云查殺請求的IP是否在設備識別號黑名單中�����,如果是����,則確定所述云查殺請求是免殺測試的云查殺請求。其中�,所述設備識別號黑名單的設置單元,用于統(tǒng)計單位時間內(nèi)某設備識別號對應的客戶端發(fā)送的云查殺請求的次數(shù)����;如果單位時間內(nèi)該設備識別號對應的客戶端發(fā)送的云查殺請求的次數(shù)大于預置的請求閾值,則將該設備識別號添加到設備識別號黑名單中�。
[0066]另一種方式是,通過樣本唯一識別特征及統(tǒng)計IP個數(shù)及分布判斷出免殺測試的云查殺請求���。此時�,免殺測試識別模塊包括:記錄單元�����,用于記錄所述樣本的唯一識別特征;監(jiān)測及統(tǒng)計單元�,用于監(jiān)測針對所述唯一識別特征發(fā)送的云查殺請求,統(tǒng)計針對該唯一識別特征而發(fā)送的云查殺請求的IP的個數(shù)及分布����;判斷單元����,如果所述監(jiān)測及統(tǒng)計單元得到的IP的個數(shù)及分布統(tǒng)計結果落在預置條件內(nèi),則確定所述云查殺請求是免殺測試的云查殺請求���。
[0067]可見����,通過本發(fā)明��,如果識別到是正在進行“免殺測試”的云查殺請求����,則直接返回所述樣本未攜帶病毒的云查殺結果,使得云查殺的結果不識別為病毒����;如果是正常的用戶請求����,則傳遞給識別引擎���,返回識別引擎通過病毒庫確定的云查殺結果���。由此,對于“免殺測試”的云查殺請求�����,通過返回的未攜帶病毒的云查殺結果���,使得木馬等病毒測試人員誤以為免殺測試通過�,繼而發(fā)布�。而當后續(xù)該病毒被普通用戶客戶端攜帶而進行查殺時,云查殺系統(tǒng)可正常查殺�����。
[0068]通過本發(fā)明的方法��,“免殺測試”時,云查殺都不會返回病毒信息��,從而讓免殺測試通過�;而當木馬真正在互聯(lián)網(wǎng)上流傳時,云查殺就會返回正確的結果���,讓殺毒軟件將木馬殺滅�����。
[0069]在此提供的算法和顯示不與任何特定計算機�、虛擬系統(tǒng)或者其它設備固有相關��。各種通用系統(tǒng)也可以與基于在此的示教一起使用��。根據(jù)上面的描述�,構造這類系統(tǒng)所要求的結構是顯而易見的�����。此外��,本發(fā)明也不針對任何特定編程語言���。應當明白��,可以利用各種編程語言實現(xiàn)在此描述的本發(fā)明的內(nèi)容��,并且上面對特定語言所做的描述是為了披露本發(fā)明的最佳實施方式��。
[0070]在此處所提供的說明書中���,說明了大量具體細節(jié)�����。然而���,能夠理解,本發(fā)明的實施例可以在沒有這些具體細節(jié)的情況下實踐�。在一些實例中,并未詳細示出公知的方法���、結構和技術����,以便不模糊對本說明書的理解��。
[0071]類似地,應當理解���,為了精簡本公開并幫助理解各個發(fā)明方面中的一個或多個��,在上面對本發(fā)明的示例性實施例的描述中��,本發(fā)明的各個特征有時被一起分組到單個實施例�、圖����、或者對其的描述中。然而����,并不應將該公開的方法解釋成反映如下意圖:即所要求保護的本發(fā)明要求比在每個權利要求中所明確記載的特征更多的特征。更確切地說��,如下面的權利要求書所反映的那樣�����,發(fā)明方面在于少于前面公開的單個實施例的所有特征���。因此,遵循【具體實施方式】的權利要求書由此明確地并入該【具體實施方式】,其中每個權利要求本身都作為本發(fā)明的單獨實施例���。
[0072]本領域那些技術人員可以理解����,可以對實施例中的設備中的模塊進行自適應性地改變并且把它們設置在與該實施例不同的一個或多個設備中�����?���?梢园褜嵤├械哪K或單元或組件組合成一個模塊或單元或組件,以及此外可以把它們分成多個子模塊或子單元或子組件��。除了這樣的特征和/或過程或者單元中的至少一些是相互排斥之外�����,可以采用任何組合對本說明書(包括伴隨的權利要求�、摘要和附圖)中公開的所有特征以及如此公開的任何方法或者設備的所有過程或單元進行組合。除非另外明確陳述�����,本說明書(包括伴隨的權利要求、摘要和附圖)中公開的每個特征可以由提供相同�����、等同或相似目的的替代特征來代替��。
[0073]此外��,本領域的技術人員能夠理解���,盡管在此所述的一些實施例包括其它實施例中所包括的某些特征而不是其它特征����,但是不同實施例的特征的組合意味著處于本發(fā)明的范圍之內(nèi)并且形成不同的實施例�。例如,在下面的權利要求書中����,所要求保護的實施例的任意之一都可以以任意的組合方式來使用。
[0074]本發(fā)明的各個部件實施例可以以硬件實現(xiàn)�,或者以在一個或者多個處理器上運行的軟件模塊實現(xiàn)���,或者以它們的組合實現(xiàn)����。本領域的技術人員應當理解,可以在實踐中使用微處理器或者數(shù)字信號處理器(DSP)來實現(xiàn)根據(jù)本發(fā)明實施例的對抗免殺測試的云查殺裝置中的一些或者全部部件的一些或者全部功能�����。本發(fā)明還可以實現(xiàn)為用于執(zhí)行這里所描述的方法的一部分或者全部的設備或者裝置程序(例如���,計算機程序和計算機程序產(chǎn)品)�。這樣的實現(xiàn)本發(fā)明的程序可以存儲在計算機可讀介質上��,或者可以具有一個或者多個信號的形式�����。這樣的信號可以從因特網(wǎng)網(wǎng)站上下載得到��,或者在載體信號上提供�����,或者以任何其他形式提供���。
[0075]應該注意的是上述實施例對本發(fā)明進行說明而不是對本發(fā)明進行限制���,并且本領域技術人員在不脫離所附權利要求的范圍的情況下可設計出替換實施例����。在權利要求中�,不應將位于括號之間的任何參考符號構造成對權利要求的限制。單詞“包含”不排除存在未列在權利要求中的元件或步驟�����。位于元件之前的單詞“一”或“一個”不排除存在多個這樣的元件�����。本發(fā)明可以借助于包括有若干不同元件的硬件以及借助于適當編程的計算機來實現(xiàn)���。在列舉了若干裝置的單元權利要求中�,這些裝置中的若干個可以是通過同一個硬件項來具體體現(xiàn)�。單詞第一、第二����、以及第三等的使用不表示任何順序?��?蓪⑦@些單詞解釋為名稱�����。
[0076]本發(fā)明公開了:A1����、一種對抗免殺測試的云查殺方法,云查殺系統(tǒng)包括云端和客戶端��,所述方法包括:
[0077]云端接收客戶端發(fā)送的對樣本進行病毒查殺的云查殺請求���;
[0078]云端解析所述云查殺請求�����,判斷所述云查殺請求是否為免殺測試的云查殺請求�;
[0079]如果所述云查殺請求是免殺測試的云查殺請求��,所述云端向客戶端返回所述樣本未攜帶病毒的云查殺結果�����;
[0080]如果所述云查殺請求不是免殺測試的云查殺請求�,將樣本與云端的病毒庫進行比對����,確定樣本是否攜帶病毒并進行相應的病毒查殺��。
[0081]A2����、如Al所述的方法,所述判斷所述云查殺請求是否為免殺測試的云查殺請求包括:
[0082]記錄發(fā)送所述云查殺請求的IP �;
[0083]判斷所述云查殺請求的IP是否在預置的IP黑名單中,如果是���,則確定所述云查殺請求是免殺測試的云查殺請求�����。
[0084]A3�、如A2所述的方法�,所述IP黑名單的設置方法包括:
[0085]統(tǒng)計單位時間內(nèi)某IP發(fā)送的云查殺請求的次數(shù);
[0086]如果單位時間內(nèi)該IP發(fā)送的云查殺請求的次數(shù)大于預置的請求閾值���,則將該IP添加到IP黑名單中�����。
[0087]A4����、如Al所述的方法����,所述判斷所述云查殺請求是否為免殺測試的云查殺請求包括:
[0088]記錄發(fā)送所述云查殺請求的客戶端識別號;
[0089]判斷所述云查殺請求的IP是否在預置的設備識別號黑名單中����,如果是,則確定所述云查殺請求是免殺測試的云查殺請求���。
[0090]A5�����、如A4所述的方法�,所述設備識別號黑名單的設置方法包括:
[0091]統(tǒng)計單位時間內(nèi)某設備識別號對應的客戶端發(fā)送的云查殺請求的次數(shù)�����;
[0092]如果單位時間內(nèi)該設備識別號對應的客戶端發(fā)送的云查殺請求的次數(shù)大于預置的請求閾值,則將該設備識別號添加到設備識別號黑名單中�。
[0093]A6、如Al所述的方法���,所述判斷所述云查殺請求是否為免殺測試的云查殺請求包括:
[0094]記錄所述樣本的唯一識別特征��;
[0095]監(jiān)測針對所述唯一識別特征發(fā)送的云查殺請求�,統(tǒng)計針對該唯一識別特征而發(fā)送的云查殺請求的IP的個數(shù)及分布�����;
[0096]如果統(tǒng)計結果落在預置條件內(nèi)��,則確定所述云查殺請求是免殺測試的云查殺請求�����。
[0097]B7�����、一種對抗免殺測試的云查殺裝置�,云查殺系統(tǒng)包括云端和客戶端,所述裝置位于所述云端�����,包括識別引擎和病毒庫,所述裝置還包括免殺測試識別模塊�;
[0098]所述免殺測試識別模塊解析所述客戶端發(fā)來的對樣本進行病毒查殺的云查殺請求,判斷所述云查殺請求是否為免殺測試的云查殺請求����;如果確定所述云查殺請求是免殺測試的云查殺請求,向客戶端返回所述樣本未攜帶病毒的云查殺結果����;如果確定所述云查殺請求不是免殺測試的云查殺請求��,將非免殺測試的云查殺請求傳遞給所述識別引擎��;
[0099]所述識別引擎將樣本與云端的病毒庫進行比對��,確定樣本是否攜帶病毒并進行相應的病毒查殺���。
[0100]B7所述的裝置�����,所述免殺測試識別模塊包括:
[0101]IP黑名單設置單元��,用于設置并保存IP黑名單���;
[0102]記錄單元,用于記錄發(fā)送所述云查殺請求的IP �;
[0103]判斷單元�����,用于判斷所述云查殺請求的IP是否在IP黑名單中����,如果是,則確定所述云查殺請求是免殺測試的云查殺請求�����。
[0104]B9�����、如B8所述的裝置��,所述IP黑名單設置單元����,用于統(tǒng)計單位時間內(nèi)某IP發(fā)送的云查殺請求的次數(shù)���;如果單位時間內(nèi)該IP發(fā)送的云查殺請求的次數(shù)大于預置的請求閾值,則將該IP添加到IP黑名單中��。
[0105]BlO^n B7所述的裝置���,所述免殺測試識別模塊包括:
[0106]設備識別號黑名單設置單元��,用于設置并保存設備識別號黑名單�����;
[0107]記錄單元,用于記錄發(fā)送所述云查殺請求的客戶端識別號���;
[0108]判斷單元����,用于判斷所述云查殺請求的IP是否在設備識別號黑名單中�,如果是,則確定所述云查殺請求是免殺測試的云查殺請求����。
[0109]B11�����、如BlO所述的裝置�����,所述設備識別號黑名單的設置單元�,用于統(tǒng)計單位時間內(nèi)某設備識別號對應的客戶端發(fā)送的云查殺請求的次數(shù)�;如果單位時間內(nèi)該設備識別號對應的客戶端發(fā)送的云查殺請求的次數(shù)大于預置的請求閾值,則將該設備識別號添加到設備識別號黑名單中���。
[0110]B12��、如B7所述的裝置�����,所述免殺測試識別模塊包括:
[0111]記錄單元��,用于記錄所述樣本的唯一識別特征�����;
[0112]監(jiān)測及統(tǒng)計單元��,用于監(jiān)測針對所述唯一識別特征發(fā)送的云查殺請求���,統(tǒng)計針對該唯一識別特征而發(fā)送的云查殺請求的IP的個數(shù)及分布��;
[0113]判斷單元����,如果所述監(jiān)測及統(tǒng)計單元得到的IP的個數(shù)及分布統(tǒng)計結果落在預置條件內(nèi)�����,則確定所述云查殺請求是免殺測試的云查殺請求�����。
[0114]C13�、一種對抗免殺測試的云查殺系統(tǒng)�����,所述云查殺系統(tǒng)包括云端和客戶端�����,所述云端包括識別引擎和病毒庫,所述云端還包括免殺測試識別模塊��;
[0115]所述免殺測試識別模塊解析所述客戶端發(fā)來的對樣本進行病毒查殺的云查殺請求��,判斷所述云查殺請求是否為免殺測試的云查殺請求�����;如果確定所述云查殺請求是免殺測試的云查殺請求��,向客戶端返回所述樣本未攜帶病毒的云查殺結果���;如果確定所述云查殺請求不是免殺測試的云查殺請求�,將非免殺測試的云查殺請求傳遞給所述識別引擎���;
[0116]所述識別引擎將樣本與云端的病毒庫進行比對����,確定樣本是否攜帶病毒并進行相應的病毒查殺��。
[0117]C14����、如C13所述的系統(tǒng)�����,所述免殺測試識別模塊包括:
[0118]IP黑名單設置單元����,用于設置并保存IP黑名單��;
[0119]記錄單元,用于記錄發(fā)送所述云查殺請求的IP �;
[0120]判斷單元,用于判斷所述云查殺請求的IP是否在IP黑名單中���,如果是���,則確定所述云查殺請求是免殺測試的云查殺請求。
[0121]C15���、如C14所述的系統(tǒng)��,所述IP黑名單設置單元,用于統(tǒng)計單位時間內(nèi)某IP發(fā)送的云查殺請求的次數(shù)����;如果單位時間內(nèi)該IP發(fā)送的云查殺請求的次數(shù)大于預置的請求閾值����,則將該IP添加到IP黑名單中�����。
[0122]C16�、如C13所述的系統(tǒng),所述免殺測試識別模塊包括:
[0123]設備識別號黑名單設置單元�����,用于設置并保存設備識別號黑名單�����;
[0124]記錄單元�,用于記錄發(fā)送所述云查殺請求的客戶端識別號;
[0125]判斷單元�����,用于判斷所述云查殺請求的IP是否在設備識別號黑名單中�����,如果是,則確定所述云查殺請求是免殺測試的云查殺請求���。
[0126]C17�����、如C16所述的系統(tǒng)�����,所述設備識別號黑名單的設置單元�,用于統(tǒng)計單位時間內(nèi)某設備識別號對應的客戶端發(fā)送的云查殺請求的次數(shù)��;如果單位時間內(nèi)該設備識別號對應的客戶端發(fā)送的云查殺請求的次數(shù)大于預置的請求閾值����,則將該設備識別號添加到設備識別號黑名單中。
[0127]C18���、如C13所述的系統(tǒng)����,所述免殺測試識別模塊包括:
[0128]記錄單元,用于記錄所述樣本的唯一識別特征���;
[0129]監(jiān)測及統(tǒng)計單元,用于監(jiān)測針對所述唯一識別特征發(fā)送的云查殺請求���,統(tǒng)計針對該唯一識別特征而發(fā)送的云查殺請求的IP的個數(shù)及分布���;
[0130]判斷單元,如果所述監(jiān)測及統(tǒng)計單元得到的IP的個數(shù)及分布統(tǒng)計結果落在預置條件內(nèi)�,則確定所述云查殺請求是免殺測試的云查殺請求。
【權利要求】
1.一種對抗免殺測試的云查殺方法��,其特征在于�����,云查殺系統(tǒng)包括云端和客戶端��,所述方法包括: 云端接收客戶端發(fā)送的對樣本進行病毒查殺的云查殺請求��; 云端解析所述云查殺請求��,判斷所述云查殺請求是否為免殺測試的云查殺請求����; 如果所述云查殺請求是免殺測試的云查殺請求����,所述云端向客戶端返回所述樣本未攜帶病毒的云查殺結果���; 如果所述云查殺請求不是免殺測試的云查殺請求��,將樣本與云端的病毒庫進行比對�,確定樣本是否攜帶病毒并進行相應的病毒查殺��。
2.如權利要求1所述的方法���,其特征在于����,所述判斷所述云查殺請求是否為免殺測試的云查殺請求包括: 記錄發(fā)送所述云查殺請求的IP ���; 判斷所述云查殺請求的IP是否在預置的IP黑名單中���,如果是,則確定所述云查殺請求是免殺測試的云查殺請求���。
3.如權利要求2所述的方法����,其特征在于,所述IP黑名單的設置方法包括: 統(tǒng)計單位時間內(nèi)某IP發(fā)送的云查殺請求的次數(shù)��; 如果單位時間內(nèi)該IP發(fā)送的云查殺請求的次數(shù)大于預置的請求閾值���,則將該IP添加到IP黑名單中。
4.如權利要求1所述的方法�����,其特征在于���,所述判斷所述云查殺請求是否為免殺測試的云查殺請求包括:` 記錄發(fā)送所述云查殺請求的客戶端識別號��; 判斷所述云查殺請求的IP是否在預置的設備識別號黑名單中����,如果是���,則確定所述云查殺請求是免殺測試的云查殺請求�。
5.如權利要求4所述的方法,其特征在于�,所述設備識別號黑名單的設置方法包括: 統(tǒng)計單位時間內(nèi)某設備識別號對應的客戶端發(fā)送的云查殺請求的次數(shù); 如果單位時間內(nèi)該設備識別號對應的客戶端發(fā)送的云查殺請求的次數(shù)大于預置的請求閾值��,則將該設備識別號添加到設備識別號黑名單中�。
6.如權利要求1所述的方法,其特征在于��,所述判斷所述云查殺請求是否為免殺測試的云查殺請求包括: 記錄所述樣本的唯一識別特征��; 監(jiān)測針對所述唯一識別特征發(fā)送的云查殺請求�����,統(tǒng)計針對該唯一識別特征而發(fā)送的云查殺請求的IP的個數(shù)及分布����; 如果統(tǒng)計結果落在預置條件內(nèi),則確定所述云查殺請求是免殺測試的云查殺請求����。
7.一種對抗免殺測試的云查殺裝置,云查殺系統(tǒng)包括云端和客戶端��,所述裝置位于所述云端����,包括識別引擎和病毒庫��,其特征在于����,所述裝置還包括免殺測試識別模塊���; 所述免殺測試識別模塊解析所述客戶端發(fā)來的對樣本進行病毒查殺的云查殺請求,判斷所述云查殺請求是否為免殺測試的云查殺請求���;如果確定所述云查殺請求是免殺測試的云查殺請求��,向客戶端返回所述樣本未攜帶病毒的云查殺結果���;如果確定所述云查殺請求不是免殺測試的云查殺請求,將非免殺測試的云查殺請求傳遞給所述識別引擎����; 所述識別引擎將樣本與云端的病毒庫進行比對,確定樣本是否攜帶病毒并進行相應的病毒查殺�����。
8.如權利要求7所述的裝置,其特征在于�����,所述免殺測試識別模塊包括: IP黑名單設置單元��,用于設置并保存IP黑名單�����; 記錄單元���,用于記錄發(fā)送所述云查殺請求的IP �����; 判斷單元��,用于判斷所述云查殺請求的IP是否在IP黑名單中�����,如果是�����,則確定所述云查殺請求是免殺測試的云查殺請求��。
9.如權利要求8所述的裝置�,其特征在于,所述IP黑名單設置單元�����,用于統(tǒng)計單位時間內(nèi)某IP發(fā)送的云查殺請求的次數(shù)��;如果單位時間內(nèi)該IP發(fā)送的云查殺請求的次數(shù)大于預置的請求閾值��,則將該IP添加到IP黑名單中���。
10.一種對抗免殺測試的云查殺系統(tǒng),所述云查殺系統(tǒng)包括云端和客戶端��,所述云端包括識別引擎和病毒庫�����,其特征在于����,所述云端還包括免殺測試識別模塊�; 所述免殺測試識別模塊解析所述客戶端發(fā)來的對樣本進行病毒查殺的云查殺請求�,判斷所述云查殺請求是否為免殺測試的云查殺請求;如果確定所述云查殺請求是免殺測試的云查殺請求����,向客戶端返回所述樣本未攜帶病毒的云查殺結果;如果確定所述云查殺請求不是免殺測試的云查殺請求�,將非免殺測試的云查殺請求傳遞給所述識別引擎; 所述識別引擎將樣本與云端的病毒庫進行比對���,確定樣本是否攜帶病毒并進行相應的病毒查殺���。
【文檔編號】H04L29/06GK103581185SQ201310534082
【公開日】2014年2月12日 申請日期:2013年11月1日 優(yōu)先權日:2013年11月1日
【發(fā)明者】張旭 申請人:北京奇虎科技有限公司, 奇智軟件(北京)有限公司