特許 5723060 マルチエンジンでウイルスを検出及び駆除する方法及びその装置

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】5723060

(24)【登録日】2015年4月3日

(45)【発行日】2015年5月27日

(54)【発明の名称】マルチエンジンでウイルスを検出及び駆除する方法及びその装置

(51)【国際特許分類】

   G06F 21/56 20130101AFI20150507BHJP

【ＦＩ】

   G06F21/56

【請求項の数】11

【全頁数】18

(21)【出願番号】特願2014-505507(P2014-505507)

(86)(22)【出願日】2012年8月30日

(65)【公表番号】特表2014-515857(P2014-515857A)

(43)【公表日】2014年7月3日

(86)【国際出願番号】CN2012080794

(87)【国際公開番号】WO2013044716

(87)【国際公開日】20130404

【審査請求日】2013年10月17日

(31)【優先権主張番号】201110292865.6

(32)【優先日】2011年9月30日

(33)【優先権主張国】CN

(73)【特許権者】

【識別番号】506379493

【氏名又は名称】▲騰▼▲訊▼科技（深▲セン▼）有限公司

(74)【代理人】

【識別番号】110000659

【氏名又は名称】特許業務法人広江アソシエイツ特許事務所

(72)【発明者】

【氏名】李▲栄▼均

【審査官】 宮司 卓佳

(56)【参考文献】

【文献】 米国特許出願公開第２００９／００４４０２４（ＵＳ，Ａ１）

【文献】 特開平１１−１６７５３３（ＪＰ，Ａ）

【文献】 特開２００９−１９３２０３（ＪＰ，Ａ）

【文献】 特開２００６−１３４３０７（ＪＰ，Ａ）

【文献】 特開２００５−０３８３６１（ＪＰ，Ａ）

【文献】 特開２００４−０３８２７３（ＪＰ，Ａ）

【文献】 米国特許出願公開第２０１０／００９５３７９（ＵＳ，Ａ１）

【文献】 森悠樹 他，Ｂｏｏｓｔｉｎｇを用いたマルウェアトラヒックの検知手法に関する一考察，２０１１年 暗号と情報セキュリティシンポジウム（ＳＣＩＳ２０１１）講演論文集，日本，電子情報通信学会，２０１１年 １月，p.1-p.6

(58)【調査した分野】（Int.Cl.，ＤＢ名）

Ｇ０６Ｆ ２１／５６

(57)【特許請求の範囲】

【請求項1】

複数の検出及び駆除エンジンを有するシステムに応用するマルチエンジンでウイルスを検出及び駆除する方法であって、
スキャン対象ファイルに対するスキャンの請求命令を受け取る工程と、
前記スキャン対象ファイルの情報を複数の検出及び駆除エンジンに各々送信して、前記複数の検出及び駆除エンジンで各々に前記スキャン対象ファイルをスキャンする工程と、
前記複数の検出及び駆除エンジン各々から返信されたスキャン情報を受け取る工程と、
前記複数の検出及び駆除エンジンから返信されたスキャン情報を総括し、前記スキャン対象ファイルのスキャン結果を確定して、前記スキャン対象ファイルのスキャン結果を送信する工程と、を含み、
前記複数の検出及び駆除エンジンから返信されたスキャン情報を総括し、前記スキャン対象ファイルのスキャン結果を確定する工程は、
前記スキャン対象ファイルの情報と、検出及び駆除エンジンが対応するハイプライオリティー情報と、ローカル安全対策と、によって各検出及び駆除エンジンと前記スキャン対象ファイルが対応する参考プライオリティーを確定する工程と、
前記対応する参考プライオリティーと各検出及び駆除エンジンから返信されたスキャン情報によって、各検出及び駆除エンジンから返信されたスキャン情報を総括し、前記スキャン結果を確定する工程とを含むことを特徴とするマルチエンジンでウイルスを検出及び駆除する方法。

【請求項2】

前記システムに複数の応用ユニットが存在する場合、前記スキャン対象ファイルに対するスキャンの請求命令は、各応用ユニットに接続される各通信回線を介して、前記各応用ユニットから受け取られるスキャン対象ファイルに対するスキャンの請求命令を含み、且つ前記スキャン対象ファイルのスキャン結果は、各応用ユニットに接続される各通信回線を介して、前記各応用ユニットへ送信されるスキャン対象ファイルのスキャン結果を含むことを特徴とする請求項１に記載の方法。

【請求項3】

前記スキャン対象ファイルの情報を前記複数の検出及び駆除エンジンに各々送信して、前記複数の検出及び駆除エンジンで各々に前記スキャン対象ファイルをスキャンする工程は、
受け取られた前記スキャン対象ファイルに対するスキャンの請求命令を解析して、前記スキャン対象ファイルの情報を獲得する工程と、
前記解析の結果に基づいて、前記スキャン対象ファイルの情報をスキャンファイルの列に加え、前記スキャンファイルの列の順序で前記スキャン対象ファイルの情報を各々前記複数の検出及び駆除エンジンに送信すると、前記複数の検出及び駆除エンジンが前記スキャン対象ファイルをスキャンする工程と、を含むことを特徴とする請求項１に記載の方法。

【請求項4】

前記スキャン対象ファイルの情報を前記複数の検出及び駆除エンジンに各々送信する前に、前記スキャン対象ファイルを前処理する工程とをさらに含むことを特徴とする請求項３に記載の方法。

【請求項5】

複数の検出及び駆除エンジンに各々接続され、前記複数の検出及び駆除エンジンを有するシステムに応用するウイルス検出及び駆除装置であって、
スキャン対象ファイルに対するスキャンの請求命令を受け取り、前記スキャン対象ファイルのスキャン結果を送信する通信モジュールと、
複数の検出及び駆除エンジンで各々に前記スキャン対象ファイルをスキャンするために、前記通信モジュールが受け取られた請求命令に対応する前記スキャン対象ファイルの情報を前記複数の検出及び駆除エンジンに各々送信して、且つ前記複数の検出及び駆除エンジン各々から返信されたスキャン情報を受け取る管理モジュールと、
前記管理モジュールが前記複数の検出及び駆除エンジンから受け取られたスキャン情報を総括し、前記スキャン対象ファイルのスキャン結果を確定して、且つ前記通信モジュールを介して、前記スキャン対象ファイルのスキャン結果を送信する処理モジュールと、を含み、
複数の検出及び駆除エンジンに対して、複数のエンジン管理モジュールが単一で１つの検出及び駆除エンジンのみに接続されて通信し、
前記処理モジュールは、
前記スキャン対象ファイルの情報と、検出及び駆除エンジンが対応するハイプライオリティー情報と、ローカル安全対策と、によって各検出及び駆除エンジンと前記スキャン対象ファイルが対応する参考プライオリティーと、を確定し、
対応する参考プライオリティーと前記処理モジュールが各検出及び駆除エンジンから受け取るスキャン情報によって、各検出及び駆除エンジンから返信されたスキャン情報を総括し、前記スキャン結果を確定し、
前記スキャン対象ファイルのスキャン結果を前記通信モジュールに送信することに使用されることを特徴とするウイルス検出及び駆除装置。

【請求項6】

前記通信モジュールはさらに、前記システムには複数の応用ユニットが存在する場合、各応用ユニットに接続される各通信回線を介して、前記各応用ユニットからスキャン対象ファイルに対するスキャンの請求命令を受け取り、且つ各応用ユニットに対応する各通信回線を介して、前記各応用ユニットへスキャン対象ファイルのスキャン結果を送信することを特徴とする請求項５に記載のウイルス検出及び駆除装置。

【請求項7】

前記管理モジュールは具体的に、ファイル列挙サブモジュールと複数のエンジン管理サブモジュールとを含み、前記複数のエンジン管理サブモジュールが各々前記複数の検出及び駆除エンジンに接続されて、
前記ファイル列挙サブモジュールは、前記通信モジュールが受け取られた前記スキャン対象ファイルに対するスキャンの請求命令を解析して、前記スキャン対象ファイルの情報を確定すると、前記スキャン対象ファイルの情報をスキャンファイルの列に加え、前記スキャンファイルの列の順序で前記スキャン対象ファイルの情報を各々前記複数のエンジン管理サブモジュールに送信することに使用され、
前記エンジン管理サブモジュールは、前記ファイル列挙サブモジュールから送信された前記スキャン対象ファイルの情報を自身が接続される検出及び駆除エンジンに送信して、前記検出及び駆除エンジンが前記スキャン対象ファイルをスキャンして、前記検出及び駆除エンジンから各々スキャン情報を受け取ることに使用されることを特徴とする請求項５に記載のウイルス検出及び駆除装置。

【請求項8】

前記ファイル列挙サブモジュールはさらに、前記スキャン対象ファイルの情報を前記複数のエンジン管理サブモジュールに各々送信する前に、前記スキャン対象ファイルを前処理することを特徴とする請求項７に記載のウイルス検出及び駆除装置。

【請求項9】

命令セットを格納する機械可読媒体であって、前記命令セットを実行する際に、前記機械が請求項１〜４の何れか１項に記載のマルチエンジンでウイルスを検出及び駆除する方法を実行できる機械可読媒体。

【請求項10】

マルチエンジンのウイルス検出及び駆除装置であって、命令を格納するメモリと、前記メモリに接続して、前記メモリに格納される命令を実行するプロセッサーとを含み、且つ前記プロセッサーが配置されて、請求項１〜４の何れか１項に記載のマルチエンジンでウイルスを検出及び駆除する方法を実行するマルチエンジンウイルス検出及び駆除装置。

【請求項11】

マルチエンジンでウイルスを検出及び駆除するシステムであって、少なくとも１つの応用ユニットと、請求項５〜８の何れか１項に記載のウイルス検出及び駆除装置と、複数の検出及び駆除エンジンとを含むことを特徴するマルチエンジンでウイルスを検出及び駆除するシステム。

【発明の詳細な説明】

【技術分野】

【0001】

本出願は、２０１１年９月３０日中国特許庁に提出され、出願番号２０１１１０２９２８６５６、発明の名称“マルチエンジンでウイルスを検出及び駆除する方法及びその装置”の中国特許出願の優先権を主張して、全部内容を引用して本出願に結合する。

【0002】

本発明は、通信技術領域に関し、特にマルチエンジンでウイルスを検出及び駆除する方法及びその装置に関する。

【背景技術】

【0003】

情報化社会の発展に伴い、コンピュータとウェブは現代社会にますます大きな役割を演じる。コンピュータウイルスの暴虐によって、コンピュータ資源が被害をうけたりまた破壊されたりする。資源と財産の極めて大きい浪費だけではない、社会性の災難が引き起こされる可能性がある。

【0004】

コンピュータウイルスとは、“プログラマーによってコンピュータプログラムに添付され、コンピュータ功能（機能）またはデータを破壊してコンピュータ使用に影響して、自己複製ができるコンピュータ命令セット或いはプログラマコード”である。コンピュータウイルスは、寄生性、感染性、隠蔽性、破壊性、多様性等の特性を有する。ウイルスは例えば、ワームウイルス、木馬、スクリプトウイルスに分類する。

【0005】

有効的にウイルスを検出及び駆除するために、多数のコンピュータ安全会社（セキュリティ会社）は、アンチウイルスソフトウエアを提供する。アンチウイルスソフトウエアに最も核心的な部分はアンチウイルスエンジンである。アンチウイルスエンジンの開発は技術困難、長開発時間、高維持費な専門技術である。

【0006】

現下（既存）の技術方案（技術的課題を解決する方法）において、アンチウイルスエンジンは、アンチウイルスソフトウエアと各種類のアンチウイルス応用の核心となる。図１に示すように、図１は従来技術アンチウイルスエンジンの応用を示す図である。アンチウイルスエンジン１１０は、ファイル解析モジュール１１１と、ウイルススキャンモジュール１１２と、シグネチャコードローディングモジュール１１３とを含む。それに対応する処理手続は：
アンチウイルスエンジン１１０は、応用モジュール１２０の入力（即ちスキャンファイルのパス）を受け取る。

【0007】

次第に、ファイル解析モジュール１１１は、スキャンファイルタイプの識別及び幾つかの前処理を行う。例えば、圧縮データに対して、ファイル解析モジュール１１１は圧縮データを復元する；パックファイルに対して、ファイル解析モジュール１１１はパックファイルをアンパックする。

【0008】

ファイルの解析を完成した後に、ファイル解析モジュール１１１は、ファイル情報をウイルススキャンモジュール１１２に送信する。ウイルススキャンモジュール１１２はシグネチャコードローディングモジュール１１３をローディングする後、ウイルスのシグネチャコードの利用によって、解析されたファイルをスキャンして、ウイルスシグネチャデータベース中のウイルスシグネチャとマッチするか否かを判断する。

【0009】

末方（最後に）、スキャンで獲得されたファイル情報を応用モジュール１２０へ返信する。

【0010】

現下（現在では）、よく使える（よく使用される）ウイルスシグネチャは、スシグネチャコード方法、チェックサム方法、振る舞い検出方法、ソフトウエアシミュレーション方法等を有する。

【0011】

アンチウイルスの技術発展に伴い、クラウド検出及び駆除技術が出現した。まず、クラウド計算は、並行計算（並列計算）、分散式計算及びグリッド計算の発展であって、仮想化、IaaS（Infrastructure as a Service）、PaaS（Platform as a Service、即ちプラットフォーム一式サービス）等の概念を混ぜ合わせて進化する結果である。簡単に言えば、クラウド計算は、クラウド計算サービス提供会社がクラウド計算保存と演算センターを設立する。ユーザーはウェブを介して、クラウドにアクセスして、クラウドをデータ保存と応用サービスの中心として使用する。クラウド検出及び駆除とは、クラウド計算技術をアンチウイルスに応用する。クラウド検出及び駆除において、クライアント端末にウイルスシグネチャデータベースが保存する必要ではなく、ウイルスシグネチャの情報はクラウドに保存する。スキャンの過程に、クライアント端末がスキャンファイルの特徴を取り出して、前述特徴をクラウドに送信する。クラウドはサーバのウイルスシグネチャデータベースによって、前述特徴とのマッチを実行する。末方、結果がクライアント端末に送信される。

【0012】

本発明の実施例を実現する過程で、出願人は従来技術に少なくとも以下の問題が存在する（ことを認める）。すなわち、
利点が魅惑的なので、現在ウイルスの数量が多い。ウイルスの変化が速い、技術も高くなる。従って、単一のウイルス検出及び駆除エンジンは全部のウイルスをカバーすることが難しい。それは現在の安全類アシストソフトウエアが通常にマルチエンジンの設計を採用する原因である。

【0013】

但し、マルチアンチウイルスエンジンの設計に、どのようにマルチエンジンの支持と適当なエンジン調整対策ができ、且つ異なる応用に充分に支持することが実現できるかということについて、従来技術には、適当な解決方案が提出できない。

【発明の概要】

【発明が解決しようとする課題】

【0014】

本発明のもう１つの目的は、マルチエンジンでウイルスを検出及び駆除する方法及びその装置を提供し、従来技術で複数の検出及び駆除エンジンを充分に利用できないで、有効的にウイルスを検出及び駆除しない問題が解決できる。

【課題を解決するための手段】

【0015】

上記目的を達成するために、本発明の実施例によって、マルチエンジンでウイルスを検出及び駆除する方法を提供して、複数の検出及び駆除エンジンを有するシステムに応用する。具体的に前記方法は、

【0016】

スキャン対象ファイルに対するスキャンの請求命令を受け取る工程と、
前記スキャン対象ファイルの情報を複数の検出及び駆除エンジンに各々送信して、前記複数の検出及び駆除エンジンで各々に前記スキャン対象ファイルをスキャンする工程と、
前記複数の検出及び駆除エンジン各々から返信されたスキャン情報を受け取る工程と、
前記複数の検出及び駆除エンジンから返信されたスキャン情報を総括し、前記スキャン対象ファイルのスキャン結果を確定して、前記スキャン対象ファイルのスキャン結果を送信する工程と、を含む。

【0017】

また、本発明の実施例によって、ウイルス検出及び駆除装置を提供して、複数の検出及び駆除エンジンを有するシステムに応用する。具体的に前記ウイルス検出及び駆除装置は、
スキャン対象ファイルに対するスキャンの請求命令を受け取り、前記スキャン対象ファイルのスキャン結果を送信する通信モジュールと、
複数の検出及び駆除エンジンで各々に前記スキャン対象ファイルをスキャンするために、通信モジュールが受け取られた請求命令に対応する前記スキャン対象ファイルの情報を前記複数の検出及び駆除エンジンに各々送信して、且つ前記複数の検出及び駆除エンジン各々から返信されたスキャン情報を受け取る管理モジュールと、
前記管理モジュールが前記複数の検出及び駆除エンジンから受け取られたスキャン情報を総括し、前記スキャン対象ファイルのスキャン結果を確定して、且つ前記通信モジュールを介して、前記スキャン対象ファイルのスキャン結果を送信する処理モジュールと、を含む。

【0018】

また、本発明の実施例によって、命令セットを格納する機械可読媒体を提供して、前記命令セットを実行する際に、前記機械が前記マルチエンジンでウイルスを検出及び駆除する方法を実行できる。

【0019】

また、本発明の実施例によって、マルチエンジンウイルス検出及び駆除装置を提供する。前記装置は、命令を格納するメモリと、前記メモリに接続して、前記メモリに格納される命令を実行するプロセッサーとを含み、且つ前記プロセッサーが配置されて、本発明の実施例の何れかに提供されるマルチエンジンでウイルスを検出及び駆除する方法を実行する。

【0020】

また、本発明の実施例によって、マルチエンジンでウイルスを検出及び駆除有するシステムを提供する。前記システムは、少なくとも１つの応用ユニットと、本発明の実施例の何れかに提供されるウイルス検出及び駆除装置と、複数の検出及び駆除エンジンとを含む。

【発明の効果】

【0021】

従来技術と比べて、本発明の実施例は下記の利点を有する。
本発明実施例の技術方案によって、スキャン請求されるスキャン対象ファイルを複数の検出及び駆除エンジンに各々送信してスキャンする。各検出及び駆除エンジンから返信されたスキャン情報を総括処理して、スキャン対象ファイルのスキャン結果を確定して反応する。従って、ウイルスを検出及び駆除する過程には、マルチエンジンが実施可能である。なお、具体的な対策に基づいて、複数の検出及び駆除エンジンのスキャン結果を総括することで、充分に異なる検出及び駆除エンジンの特性を利用して、ウイルスを検出及び駆除する各々な要求に支持して、ウイルスを検出及び駆除する正確性及びシステム安全を高める。

【図面の簡単な説明】

【0022】

【図1】従来技術のアンチウイルスエンジンの応用を示す図である。

【図2】本発明の実施例において、提出（提示）されるマルチエンジンでウイルスを検出及び駆除する方法の流れ図である。

【図3】本発明の実施例において提出される具体的応用なシステムの構造を示す図である。

【図4】本発明の実施例において提出されるウイルス検出及び駆除装置の構造を示す図である。

【発明を実施するための形態】

【0023】

本来の技術提案において、ウイルスを検出及び駆除することでは、単一の検出及び駆除エンジンにより実現するが、マルチ検出及び駆除エンジンを採用しても、それに対応する調整対策と管理対策が完璧ではない。なお、マルチ検出及び駆除エンジンがあっても、充分に各検出及び駆除エンジンの特典を利用しないで結果処理を行なわかった場合、充分なマルチ検出及び駆除エンジンでよりよい安全対策と有効的なウイルスの検出及び駆除をすることの実現ができない。

【0024】

前述の欠点を克服するために、本発明の実施例において、充分に各検出及び駆除エンジンの異なる特点を利用して、ウイルスを検出及び駆除する正確性及びシステム安全を高めるマルチエンジンでウイルスを検出及び駆除する方法を提出（提示）する。

【0025】

図２を参照する。本発明の実施例において提出されて、複数の検出及び駆除エンジンを有するシステムに応用するマルチエンジンでウイルスを検出及び駆除する方法の流れ図（フロー図）である。前記システムはさらにウイルス検出及び駆除装置を含む。前記装置は、ソフトウエアとハードウエアの形式で実現ができ、独立のサーバ、クライアント端末のパソコン、或いはウェブサーバに搭載される。ウイルス検出及び駆除装置は、本発明実施例におけるマルチエンジンでウイルスを検出及び駆除する方法を実施することができる。前記方法は、下記の工程を含む：すなわち、

【0026】

工程２０１、ウイルス検出及び駆除装置は、スキャン対象ファイルに対するスキャンの請求命令を受け取る。一般的にスキャンの請求命令は、応用ユニットから受け取られて生成される。但し、これは決して本発明を限定するものではない。例えば、ウイルス検出及び駆除装置が自発的に或いは定期的に請求命令を受け取ることでもよい。

【0027】

工程２０２、ウイルス検出及び駆除装置は、スキャン対象ファイルの情報を複数の検出及び駆除エンジンに各々送信して、複数の検出及び駆除エンジンで各々にスキャン対象ファイルをスキャンする。

【0028】

実際の応用形態中で、本工程における処理は具体的にさらに下記の処理工程を含む：
まず、ウイルス検出及び駆除装置は、受け取られたスキャン対象ファイルに対するスキャンの請求命令を解析して、スキャン対象ファイルの情報を確定する。スキャン対象ファイルの情報は、例えばファイルタイプ、ファイル位置、ファイル生成時等を含む。スキャン対象ファイルの情報を確定することでは、即ちスキャン対象ファイルの情報を獲得することである。スキャン対象ファイルの情報或いは請求命令から獲得されることができる。

【0029】

次に、ウイルス検出及び駆除装置は、解析の結果に基づいて、スキャン対象ファイルの情報をスキャンファイルの列に加え、スキャンファイルの列の順序でスキャン対象ファイルの情報を各々複数の検出及び駆除エンジンに送信すると、複数の検出及び駆除エンジンがスキャン対象ファイルをスキャンする。

【0030】

さらに明確に説明することでは、本処理工程において、ウイルス検出及び駆除装置は、スキャン対象ファイルの情報を複数の検出及び駆除エンジンに各々送信する前に、スキャン対象ファイルを前処理することを含む。

【0031】

実際の応用形態中で、この前処理は、ファイルタイプを識別することであって、ファイルタイプを識別した後、異なるタイプのファイルに対して、さらに異なる処理内容を含む。例えば、圧縮データに対して、圧縮データを復元する、又はパックファイルに対して、パックファイル（圧縮ファイル）をアンパック（解凍）する。

【0032】

このような前処理により、後程のスキャン操作が便利になって、ファイルスキャンとウイルスの検出及び駆除の効率を高めることができる。

【0033】

工程２０３、ウイルス検出及び駆除装置は、複数の検出及び駆除エンジン各々から返信されたスキャン情報を受け取る。

【0034】

工程２０４、ウイルス検出及び駆除装置は、複数の検出及び駆除エンジンから返信されたスキャン情報を総括し、スキャン対象ファイルのスキャン結果を確定して、スキャン対象ファイルのスキャン結果を送信する。例えば、スキャン対象ファイルに対するスキャンの請求命令は、応用ユニットから受け取られる場合に、スキャン対象ファイルのスキャン結果は、応用ユニットへ送信される。

【0035】

本工程処理の目的は、充分に各検出及び駆除エンジンの特点を利用し、マルチ検出及び駆除エンジンから返信されたファイルのスキャン情報に具体的な対策を応用する。従って、スキャン対象ファイルに対して、もっと正確なスキャン結果が生成されることができる。即ち、ウイルス検出及び駆除装置は、所定或いは実時間の対策に基づいて、複数の検出及び駆除エンジンから返信されたスキャン情報を総括して、スキャン対象ファイルのスキャン結果を確定する。

【0036】

本工程の具体的な処理手続は下記の二面を含む：すなわち、
（１）確定対策
具体的な対策を確定する手続きは、ウイルス検出及び駆除装置が、スキャン対象ファイルの情報、および/または検出及び駆除エンジンが対応するハイプライオリティー情報、および/またはローカル安全対策によって、各検出及び駆除エンジンとスキャン対象ファイルが対応する参考プライオリティーを確定する。

【0037】

ここで、参考プライオリティーでは、各検出及び駆除エンジンから返信されたスキャン情報が最後のスキャン結果中の重要性を決定する。参考プライオリティーが高くなる検出及び駆除エンジンから返信されたスキャン情報は参考価値が高くになって、最後のスキャン結果に影響も多くなる。

【0038】

具体的な応用において、具体的な要求に基づいて採用される対策の確定方案が決定される。主な方案は下記の幾つかを含む：すなわち、

【0039】

方案一、スキャン対象ファイルの情報に基づいて、各検出及び駆除エンジンとスキャン対象ファイルが対応する参考プライオリティーを確定する。

【0040】

このような方案（プログラム、オプション）のキーポイントは、スキャン対象ファイルの情報内容である。例えば、スキャン対象ファイルのタイプ情報により区分を行うことができる。スキャン対象ファイルがビデオタイプファイルである際に、ビデオを検出及び駆除する特徴がより明らかな検出及び駆除エンジンとこのスキャン対象ファイルに対応する参考プライオリティーが高められる。スキャン対象ファイルが実行ファイルである際に、プログラムを検出及び駆除する特徴がより明らかな検出及び駆除エンジンとこのスキャン対象ファイルに対応する参考プライオリティーが高められる。同じようにドキュメントファイル、図面ファイル等の他のファイルタイプに対して、これらを検出及び駆除する特徴がより明らかな検出及び駆除エンジンとこのスキャン対象ファイルの参考プライオリティーが高められることができる。前述の対策を応用する際に、具体的に異なるタイプの木馬或いはウイルスに対して、異なるエンジンの検出及び駆除率と誤警報率を参考して前述の参考プライオリティーが設置されることができる。

【0041】

スキャン対象ファイルの位置情報により区分（区分け）を行うことができる。スキャン対象ファイルがシステムディスク中の重点ファイルフォルダのファイルであれば、システムファイルを検出及び駆除する特徴がより明らかな検出及び駆除エンジンとこのスキャン対象ファイルに対応する参考プライオリティーが高められる。スキャン対象ファイルがローカル普通なディスク中の一般ファイルであれば、レギュラーファイルを検出及び駆除する特徴がより明らかな検出及び駆除エンジンとこのスキャン対象ファイルに対応する参考プライオリティーが高められる。

【0042】

そのほかに、スキャン対象ファイルのサイズ、生成時間等の情報も同様に検出及び駆除エンジンの参考プライオリティーを確定する要素となることができる。具体的にどんな情報或いはどんなタイプの情報に基づいて検出及び駆除エンジンの参考プライオリティーを確認することでは、実際の必要により行うと、このような変更では本発明の保護範囲に影響がない。

【0043】

方案二、検出及び駆除エンジンが対応するプライオリティー情報に基づいて、各検出及び駆除エンジンとスキャン対象ファイルが対応する参考プライオリティーを確定する。

【0044】

それは主に検出及び駆除エンジンの正確性を考えることで決めて、例えば、ウイルスデータベースの情報数量が多い検出及び駆除エンジンの参考プライオリティーを高めてもよいし、ウイルスデータベースの更新日が最新な検出及び駆除エンジンの参考プライオリティーを高めてもよい。或いは、検出及び駆除成功率が高いまたは誤警報率が低い検出及び駆除エンジンの参考プライオリティーを高めてもよい。

【0045】

本方案において、検出及び駆除エンジンのプライオリティーが高くになると、スキャン情報はさらに重要になって、スキャン情報の総括処理を行う際に優先採用して、或いはこのような検出及び駆除エンジンのスキャン情報を重点参照する。

【0046】

方案三、ローカル安全対策に基づいて、各検出及び駆除エンジンとスキャン対象ファイルが対応する参考プライオリティーを確定する。

【0047】

この方案において、ローカルで検出及び駆除エンジンの選択性が増進される。例えば、安全要求が高いローカルシステムでは、安全プライオリティーがローカル安全プライオリティーより高い検出及び駆除エンジンのプライオリティーを高めて、潜在的脅威のファイルが存在したら、これに対する検出及び駆除は実現することができる。安全要求がより低いローカルシステムでは、安全プライオリティーがローカル安全プライオリティーより低い検出及び駆除エンジンのプライオリティーを低めて、安全潜在的脅威の頻繁な警告を避ける。

【0048】

具体的な実施の場合において、前述の方案は単に使用されてもよいし、組合せて使用されてもよい。例えば、スキャン対象ファイルのファイルタイプがシステムファイルである際に、安全プライオリティーがローカル安全プライオリティーより高い検出及び駆除エンジンのプライオリティーを高める。具体的に何の方案または何が方案を採用することでは、実際の必要により確定する。具体的な方案内容と組合方式は前述の説明が限定ものではない。同様な技術効果ができる方案も本発明の実施例に応用されてもよい。

【0049】

（２）総括処理
ウイルス検出及び駆除装置は、対応のハイプライオリティーと各検出及び駆除エンジンから返信されたスキャン情報に基づいて、各検出及び駆除エンジンから返信されたスキャン情報を総括し、スキャン対象ファイルのスキャン結果を確定する。

【0050】

このような総括処理は主に、スキャン情報とスキャン情報が返信された検出及び駆除エンジンの参考プライオリティーを結合すると、優先にまたは重点参照に参考プライオリティーが高い検出及び駆除エンジンのスキャン情報を考えって、スキャン結果を生成する。従って、充分に各検出及び駆除エンジンの異なる特点を利用して、ウイルスを検出及び駆除する正確性及びシステム安全を高めることが実現する。例えば、多数の参考プライオリティーが低い検出及び駆除エンジンのスキャン情報は、スキャン対象ファイルが安全となるが、参考プライオリティーが高い検出及び駆除エンジンのスキャン情報は、スキャン対象ファイルに安全潜在的脅威が存在する場合に、システムはまた前記スキャン対象ファイルの安全潜在的脅威を確認してウイルスの検出及び駆除を行う。

【0051】

さらに説明することでは、前述システムには複数の応用ユニットが存在する場合、ウイルス検出及び駆除装置は、各応用ユニットに接続される各通信回線を介して、各応用ユニットからスキャン対象ファイルに対するスキャンの請求命令を受け取り、且つ各応用ユニットに接続される各通信回線を介して、各応用ユニットへスキャン対象ファイルのスキャン結果を送信して、即ち工程２０１と工程２０４において、異なる通信回線を介して、各応用ユニットに通信する。工程２０１にスキャン対象ファイルに対するスキャンの請求命令を受け取ることでは、具体的に各応用ユニットに接続されて、異なる通信回線を介して、各応用ユニットからスキャン対象ファイルに対するスキャンの請求命令を受け取ることである。工程２０４にスキャン対象ファイルのスキャン結果は応用ユニットへ送信されることでは、各応用ユニットに接続される各通信回線を介して、各応用ユニットへスキャン対象ファイルのスキャン結果を送信することである。一方では、スキャン対象ファイルのスキャン結果が正確的に前記スキャン対象ファイルにスキャンを請求する応用ユニットへ送信される。一方では、このような処理が多数の応用ユニットの間に通信相互妨害を回避して、一層に情報フィードバックと通信の正確性を高める。

【0052】

従来技術に比べて、本発明の実施例は下記の利点を有する：すなわち、
本発明実施例の技術方案によって、応用ユニットがスキャン請求するスキャン対象ファイルを複数の検出及び駆除エンジンに各々送信してスキャンする。各検出及び駆除エンジンから返信されたスキャン情報を総括処理して、スキャン対象ファイルのスキャン結果を確定して応用ユニットに反応する。従って、ウイルスを検出及び駆除する過程には、マルチエンジンが実施可能である。なお、具体的な対策に基づいて、複数の検出及び駆除エンジンのスキャン結果を総括することで、充分に異なる検出及び駆除エンジンの特性を利用して、各応用ユニットにウイルスを検出及び駆除する要求に支持して、ウイルスを検出及び駆除する正確性及びシステム安全を高める。

【0053】

以下、具体的な応用を結合して（応用形態を組み合わせて）、本発明の実施例で提出される技術方案を説明する。

【0054】

本発明の実施例のクライアントソフトウエアに集成されるマルチアンチウイルスエンジン（即ち前述のマルチ検出及び駆除エンジン）は、ローカル検出及び駆除エンジンを有し、クラウド検出及び駆除エンジンも有される。

【0055】

本発明の実施例で提出される技術方案において、システムは複数の応用ユニットと、ウイルス検出及び駆除装置と、複数の検出及び駆除エンジンとを含む。

【0056】

なお、前述ウイルス検出及び駆除装置は、プロセス間通信モジュール（Inter-process Communication、IPC）と、ファイル列挙モジュールと、エンジン管理モジュールと、結果処理モジュールとを含む。

【0057】

具体的な処理手続を図３に示す。本発明実施例の前述各モジュールに対応する技術方案を説明する。

【0058】

プロセス間通信モジュールは、応用ユニットとウイルス検出及び駆除装置の間に情報交換を実現することに使用される。応用ユニットとウイルス検出及び駆除装置は、統一の通信プロトコルを使用する。応用ユニットは、スキャンが必要なファイルに対応するスキャンの請求を検出及び駆除する装置に通知する。ウイルス検出及び駆除装置は、マルチ検出及び駆除エンジンによってファイルをスキャンした後、プロセス間通信モジュールを介してスキャン結果を応用ユニットに返信して、次第に後程の手続を行う。多応用の支持を実現するために、各応用ユニットは、プロセス間通信モジュールと唯一の通信回線を設置する。応用ユニットとプロセス間通信モジュールは、前記通信回線を介して通信を行う。異なる応用ユニットとプロセス間通信モジュールの間には明らかなので、お互いに影響が存在しない。

【0059】

ファイル列挙モジュールは、主にスキャンの請求を解析し、ファイルを列挙して、スキャンファイル列を構成することに使用される。当然、順調なスキャン進行を保証するために、ファイル列挙モジュールはさらに幾つかの前処理操作を行う。前処理操作は、例えばファイルタイプの判断、ファイルの圧縮復元等である。前処理完成した後、ファイル列挙モジュールは、対応するファイル情報とパスを各エンジン管理モジュールに送信する。前記パスは、エンジン管理モジュールまたは検出及び駆除エンジンがファイルを獲得する保存パス、例えばファイルは応用ユニットの保存装置中の保存パスである。前記パスは、単純な情報として各エンジン管理モジュールに提供されてもよいし、ファイル情報の一部としてエンジン管理モジュールに提供されてもよい。

【0060】

エンジン管理モジュールは、主に検出及び駆除エンジンに接続することに使用され、検出及び駆除エンジンがファイルをスキャンするために、ファイル列挙モジュールから送信されたファイル情報とパスを検出及び駆除エンジンに転送する。なお、エンジン管理モジュールは、検出及び駆除エンジンから返信されたスキャン情報を受け取って、結果を処理モジュールに送信する。

【0061】

本発明実施例において、複数の検出及び駆除エンジンは存在する。それに対して、ウイルス検出及び駆除装置中に同様に複数のエンジン管理モジュールは存在する。各エンジン管理モジュールは単一で１つの検出及び駆除エンジンのみに接続されて通信する。各エンジン管理モジュールの間には影響がない。従って、１つまたはそれ以上の検出及び駆除エンジンまたはエンジン管理モジュールでは故障が発生する場合に、他の検出及び駆除エンジンと各々に対応するエンジン管理モジュールは正常に機能して、検出及び駆除の続き（継続）が保証する。当然、目下のシステム中の検出及び駆除エンジンを追加または減少する必要があれば、ウイルス検出及び駆除装置中にエンジン管理モジュールを追加または減少すると、それができる。他の検出及び駆除エンジンに影響がない。

【0062】

結果処理モジュールは、エンジン管理モジュールから送信されたスキャン情報を総括し、それに対応するスキャン結果を獲得すると、プロセス間通信モジュールを介して、それに対応する応用ユニットへ返信する。結果処理モジュールの処理対策、前述工程２０４の説明を参照して、ここで重複（説明を）しない。

【0063】

発明実施例のシステム中には複数の検出及び駆除エンジンが存在する。各検出及び駆除エンジンは同様な接続口が設けられ、ファイルの受取とスキャンに使用される。検出及び駆除エンジンは、ウイルス検出及び駆除装置からスキャンが必要なファイルの情報を獲得して、スキャンを完成した後、それに対応するスキャン情報をウイルス検出及び駆除装置に再返信する。

【0064】

本発明実施例で提出される応用中に、異なる検出及び駆除エンジン、例えばローカル検出及び駆除エンジンとクラウド検出及び駆除エンジン等が含まれる。ローカル検出及び駆除エンジンとクラウド検出及び駆除エンジンでは、異なる特徴とディスパッチ方案を有する。異なるローカル検出及び駆除エンジンでも異なる特徴を有する。異なる検出及び駆除エンジンを結合するために、本発明実施例において、異なる検出及び駆除エンジンに各々対応するエンジン管理モジュールは設けられる。各エンジン管理モジュールにおいて、各検出及び駆除エンジンに対応するディスパッチ計算法が実行する。

【0065】

さらに図３を結合して、本発明実施例で提出される技術方案を説明する：

【0066】

工程３０１、複数の応用ユニットは、ファイルスキャンの請求を検出及び駆除エンジンに各々送信する。

【0067】

即ち、各応用ユニットは、ウイルス検出及び駆除装置のプロセス間通信モジュールを介して、プロセス間通信を行って、スキャンの請求を実現する。

【0068】

工程３０２、ウイルス検出及び駆除装置のプロセス間通信モジュールは、受け取られたファイルスキャンの請求をファイル列挙モジュールに送信する。

【0069】

ファイル列挙モジュールは、スキャンの請求を解析して、スキャン対象ファイルの情報を確定すると、ファイルを列挙して、スキャンファイル列を構成する。

【0070】

工程３０３、ファイル列挙モジュールは、スキャンファイルの列の順序でスキャン対象ファイルの情報とパスを各エンジン管理モジュールに送信する。

【0071】

工程３０４、各エンジン管理モジュールは、それに対応する情報を各自に対応する検出及び駆除エンジンに各々送信する。

【0072】

各検出及び駆除エンジンは、それに対応する情報に基づいて、スキャン対象ファイルをスキャンする。

【0073】

各検出及び駆除エンジンは、スキャンスレッドを起動し、スキャンサイクルロジックを実行する。検出及び駆除エンジンは、エンジン管理モジュールからスキャン対象ファイル及びスキャンが必要な各種情報、例えばファイルパス、タイプ等を獲得する。スキャン完了後、スキャン情報がエンジン管理モジュールに送信される。

【0074】

工程３０５、各検出及び駆除エンジンは、各自のスキャン情報を各自に対応するエンジン管理モジュールに各々送信する。

【0075】

工程３０６、各エンジン管理モジュールは、受け取られたスキャン情報を結果処理モジュールに送信する。

【0076】

結果処理モジュールは、各エンジン管理モジュールのスキャン情報を総括し、それに対応する対策によって、前記ファイルのスキャン結果を確定する。

【0077】

工程３０７、結果処理モジュールは、スキャン結果をプロセス間通信モジュールに送信する。

【0078】

工程３０８、プロセス間通信モジュールは、スキャン結果を対応する応用ユニットに送信する。

【0079】

以上の説明によって、本発明実施例で提出される技術方案では、充分に各エンジンの利点を利用して、検出及び駆除速度が速い、ウイルス包括範囲が広い、反応時間が短い、駆除効果がよい（という）効果を実現することができる。

【0080】

従来技術に比べて、本発明の実施例は下記の利点を有する：

【0081】

本発明実施例の技術方案によって、応用ユニットがスキャン請求するスキャン対象ファイルを複数の検出及び駆除エンジンに各々送信してスキャンする。各検出及び駆除エンジンから返信されたスキャン情報を総括処理して、スキャン対象ファイルのスキャン結果を確定して応用ユニットに反応する。従って、ウイルスを検出及び駆除する過程には、マルチエンジンが実施可能である。なお、具体的な対策に基づいて、複数の検出及び駆除エンジンのスキャン結果を総括することで、充分に異なる検出及び駆除エンジンの特性を利用して、各応用ユニットにウイルスを検出及び駆除する要求に支持して、ウイルスを検出及び駆除する正確性及びシステム安全を高める。

【0082】

本発明実施例の技術方案を実現するために、本発明はさらに実施例で複数の検出及び駆除エンジンに各々接続され、前記複数の検出及び駆除エンジンを有するシステムに応用するウイルス検出及び駆除装置を提供する。前記ウイルス検出及び駆除装置の構造を示す図は図４であり、具体的には：

【0083】

通信モジュール４１は、スキャン対象ファイルに対するスキャンの請求命令を受け取り、スキャン対象ファイルのスキャン結果を送信する；スキャンの請求命令とスキャン結果が応用ユニットに交換する必要がある場合に、通信モジュール４１は具体的に、応用ユニットからスキャン対象ファイルに対するスキャンの請求命令を受け取り、且つ応用ユニットへスキャン対象ファイルのスキャン結果を送信する；

【0084】

管理モジュール４２は、複数の検出及び駆除エンジンで各々にスキャン対象ファイルをスキャンするために、通信モジュール４１が受け取られた請求命令に対応するスキャン対象ファイルの情報を複数の検出及び駆除エンジンに各々送信して、且つ複数の検出及び駆除エンジン各々から返信されたスキャン情報を受け取る；

【0085】

処理モジュール４３は、管理モジュール４２が複数の検出及び駆除エンジンから受け取られたスキャン情報を総括し、スキャン対象ファイルのスキャン結果を確定して、且つ通信モジュール４１を介して、スキャン対象ファイルのスキャン結果を送信する。

【0086】

通信モジュール４１はさらに、システムには複数の応用ユニットが存在する場合、各応用ユニットに接続される異なる通信回線を介して、各応用ユニットからスキャン対象ファイルに対するスキャンの請求命令を受け取り、且つ各応用ユニットに対応する通信回線を介して、前記各応用ユニットへスキャン対象ファイルのスキャン結果を送信する。

【0087】

なお、管理モジュール４２は、具体的にファイル列挙サブモジュール４２１と複数のエンジン管理サブモジュール４２２とを含み、複数のエンジン管理サブモジュール４２２が各々複数の検出及び駆除エンジンに接続されて、
ファイル列挙サブモジュール４２１は、通信モジュール４１が受け取られたスキャン対象ファイルに対するスキャンの請求命令を解析して、スキャン対象ファイルの情報を確定すると、スキャン対象ファイルの情報をスキャンファイルの列に加え、スキャンファイルの列の順序でスキャン対象ファイルの情報を各々複数のエンジン管理サブモジュール４２２に送信することに使用され、
エンジン管理サブモジュール４２２は、ファイル列挙サブモジュール４２１から送信されたスキャン対象ファイルの情報を自身が接続される検出及び駆除エンジンに送信して、検出及び駆除エンジンがスキャン対象ファイルをスキャンして、検出及び駆除エンジンから各々スキャン情報を受け取ることに使用される。

【0088】

具体的な実施の場合に、ファイル列挙サブモジュール４２１はさらに、
スキャン対象ファイルの情報を複数のエンジン管理サブモジュール４２２に各々送信する前に、スキャン対象ファイルを前処理する。

【0089】

一方では、処理モジュール４３は具体的に、
スキャン対象ファイルの情報、および/または検出及び駆除エンジンが対応するハイプライオリティー情報、および/またはローカル安全対策によって、各検出及び駆除エンジンと前記スキャン対象ファイルが対応する参考プライオリティーを確定し、
対応する参考プライオリティーと処理モジュール４２が各検出及び駆除エンジンから受け取るスキャン情報によって、各検出及び駆除エンジンから返信されたスキャン情報を総括し、前記スキャン結果を確定し、
スキャン対象ファイルのスキャン結果を前記通信モジュールに送信することに使用される。

【0090】

従来技術に比べて、本発明の実施例は下記の利点を有する：

【0091】

本発明実施例の技術方案によって、応用ユニットがスキャン請求するスキャン対象ファイルを複数の検出及び駆除エンジンに各々送信してスキャンする。各検出及び駆除エンジンから返信されたスキャン情報を総括処理して、スキャン対象ファイルのスキャン結果を確定して応用ユニットに反応する。従って、ウイルスを検出及び駆除する過程には、マルチエンジンが実施可能である。なお、具体的な対策に基づいて、複数の検出及び駆除エンジンのスキャン結果を総括することで、充分に異なる検出及び駆除エンジンの特性を利用して、各応用ユニットにウイルスを検出及び駆除する要求に支持して、ウイルスを検出及び駆除する正確性及びシステム安全を高める。

【0092】

本発明はさらに実施例で、命令を格納するメモリと、メモリに接続して、メモリに格納される命令を実行するプロセッサーとを含み、且つ前記プロセッサーが配置されて、本発明の任意の実施例で提供されるマルチエンジンでウイルスを検出及び駆除する方法を実行するマルチエンジンのウイルス検出及び駆除装置を提供する。本発明実施例におけるマルチエンジンのウイルス検出及び駆除装置は、ユーザーのコンピュータであってもよい。コンピュータはメモリとプロセッサーとを含み、ユーザーのクライアント端末が設けられる。マルチエンジンでウイルスを検出及び駆除する方法の処理手続を実行することができる。

【0093】

本発明はさらに実施例で、少なくとも１つの応用ユニットと、任意の実施例で提供されるウイルス検出及び駆除装置と、複数の検出及び駆除エンジンとを含む。複数の検出及び駆除エンジンは、ローカルエンジンでもよいし、ウェブのクラウド検出及び駆除エンジン等でもよい。

【0094】

前述の実施方式の説明の通りに当該分野の技術を熟知するものは、本発明実施例がハードウエアで実現してもよいし、ソフトウエア及び必要な普通のハードウエアプラットホームの方式で実現してもよいことをはっきりと理解できる。このような理解に基づいて、本発明実施例の技術方案はソフトウエア製品の形式で体現できる。前述ソフトウエア製品は、不揮発性メモリ（ＣＤ−ＲＯＭ、ＵＳＢメモリ、モバイルディスク等）中に保存して、複数の命令を含むと、コンピュータ設備（パソコン、サーバ、或いウェブ設備等）が本発明実施例の各実施情景（形態）における方法を実行することができる。

【0095】

当該分野の技術を熟知するものは（にとって）、図面は１つの好ましい実施情景を示す図である。図面のモジュール或いは手続は必ずしも本発明実施例を実施する必要ものではない。

【0096】

当該分野の技術を熟知するものは、実施情景において装置中のモジュールが実施情景に従って、実施情景の装置中に設置されてもよいし、それに対応して変化すると、本実施情景の１つまたはそれ以上の装置中に設置されてもよいことが理解できる。前述実施情景におけるモジュールは、１つのモジュールに結合されてもよいし、さらに複数のサブモジュールに分割されてもよい。

【0097】

前述の発明実施例の番号は説明するだけで、実施情景の優劣ではない。

【0098】

本発明の実施例の幾つかの具体的な実施情景を前述の通り開示したが、これらは決して本発明を限定するものではない。当該分野の技術を熟知するものが思い出す各種の変更は、本発明の実施例の限定範囲である。

【符号の説明】

【0099】

１１０ アンチウイルスエンジン
１１１ ファイル解析モジュール
１１２ ウイルススキャンモジュール
１１３ シグネチャコードローディングモジュール
１２０ 応用モジュール
４１ 通信モジュール
４２ 管理モジュール
４２１ ファイル列挙サブモジュール
４２２ エンジン管理サブモジュール
４３ 処理モジュール

【図1】

【図2】

【図3】

【図4】