知財求人 - 知財ポータルサイト「IP Force」
▶ バイドゥ オンライン ネットワーク テクノロジー (ベイジン) カンパニー リミテッドの特許一覧
特許6644001ウイルス処理方法、装置、システム、機器及びコンピュータ記憶媒体
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6644001
(24)【登録日】2020年1月9日
(45)【発行日】2020年2月12日
(54)【発明の名称】ウイルス処理方法、装置、システム、機器及びコンピュータ記憶媒体
(51)【国際特許分類】
G06F 21/56 20130101AFI20200130BHJP
【FI】
G06F21/56 360
G06F21/56 380
【請求項の数】25
【全頁数】20
(21)【出願番号】特願2016-552611(P2016-552611)
(86)(22)【出願日】2015年6月29日
(65)【公表番号】特表2017-511923(P2017-511923A)
(43)【公表日】2017年4月27日
(86)【国際出願番号】CN2015082604
(87)【国際公開番号】WO2016095479
(87)【国際公開日】20160623
【審査請求日】2016年8月17日
【審判番号】不服2018-12064(P2018-12064/J1)
【審判請求日】2018年9月7日
(31)【優先権主張番号】201410802502.6
(32)【優先日】2014年12月19日
(33)【優先権主張国】CN
(73)【特許権者】
【識別番号】513224353
【氏名又は名称】バイドゥ オンライン ネットワーク テクノロジー (ベイジン) カンパニー リミテッド
(74)【代理人】
【識別番号】110001416
【氏名又は名称】特許業務法人 信栄特許事務所
(72)【発明者】
【氏名】ゾウ、ランクンシン
(72)【発明者】
【氏名】メイ、リンリン
(72)【発明者】
【氏名】シャン、チュー
(72)【発明者】
【氏名】フー、ハンチョン
【合議体】
【審判長】
田中 秀人
【審判官】
仲間 晃
【審判官】
山崎 慎一
(56)【参考文献】
【文献】
特表2014−525639(JP,A)
【文献】
特表2013−529335(JP,A)
【文献】
米国特許出願公開第2005/0188272(US,A1)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/56
(57)【特許請求の範囲】
【請求項1】
ウイルス処理装置により実行されるウイルス処理方法であって、
ウイルス決定ユニットが、クライアントによりスキャンされたウイルス本体挙動に対応するウイルスファミリーの情報を決定するステップと、
命令送信ユニットが、前記ウイルスファミリーの情報とウイルス除去命令との対応関係に基づいて、決定されたウイルスファミリーの情報に対応するウイルス除去命令を前記クライアントに送信し、これにより、前記クライアントが前記ウイルス除去命令を実行してウイルス本体の除去を行うステップと、
を含み、
前記ウイルスファミリーは、挙動が類似する一群のウイルス本体からなり、
前記ウイルス決定ユニットがクライアントによりスキャンされたウイルス本体挙動に対応するウイルスファミリーの情報を決定するステップは、
第1受信サブユニットが、前記クライアントにより報告された、前記クライアントによりスキャンされたウイルス本体挙動を示すウイルス本体挙動情報を含むスキャンログを受信するステップと、
マッチングサブユニットが、前記ウイルス本体挙動情報と、クラウドの挙動チェーンスクリプトライブラリとをマッチングすることで、悪意のあるウイルス本体挙動に対応するウイルスファミリーの情報を決定するステップであって、前記挙動チェーンスクリプトライブラリは、悪意のあるウイルス挙動情報と、挙動が類似するウイルス群であるウイルスファミリーのウイルスファミリー情報とが互いに関連付けられたライブラリである、ステップと、
を含むこと
を特徴とするウイルス処理方法。
ウイルス決定ユニットが、クライアントによりスキャンされたウイルス本体挙動に対応するウイルスファミリーの情報を決定するステップと、
命令送信ユニットが、前記ウイルスファミリーの情報とウイルス除去命令との対応関係に基づいて、決定されたウイルスファミリーの情報に対応するウイルス除去命令を前記クライアントに送信し、これにより、前記クライアントが前記ウイルス除去命令を実行してウイルス本体の除去を行うステップと、
を含み、
前記ウイルスファミリーは、挙動が類似する一群のウイルス本体からなり、
前記ウイルス決定ユニットがクライアントによりスキャンされたウイルス本体挙動に対応するウイルスファミリーの情報を決定するステップは、
第1受信サブユニットが、前記クライアントにより報告された、前記クライアントによりスキャンされたウイルス本体挙動を示すウイルス本体挙動情報を含むスキャンログを受信するステップと、
マッチングサブユニットが、前記ウイルス本体挙動情報と、クラウドの挙動チェーンスクリプトライブラリとをマッチングすることで、悪意のあるウイルス本体挙動に対応するウイルスファミリーの情報を決定するステップであって、前記挙動チェーンスクリプトライブラリは、悪意のあるウイルス挙動情報と、挙動が類似するウイルス群であるウイルスファミリーのウイルスファミリー情報とが互いに関連付けられたライブラリである、ステップと、
を含むこと
を特徴とするウイルス処理方法。
【請求項2】
前記ウイルス決定ユニットがクライアントによりスキャンされたウイルス本体挙動に対応するウイルスファミリーの情報を決定するステップは、
第2受信サブユニットが、前記クライアントにより報告された識別結果を受信するステップと、
取得サブユニットが、前記クライアントがスキャンされたウイルス本体挙動情報と、クライアントローカルの挙動チェーンスクリプトライブラリとをマッチングして決定したウイルスファミリーの情報を前記識別結果から取得するステップと、
を含むこと
を特徴とする請求項1に記載の方法。
第2受信サブユニットが、前記クライアントにより報告された識別結果を受信するステップと、
取得サブユニットが、前記クライアントがスキャンされたウイルス本体挙動情報と、クライアントローカルの挙動チェーンスクリプトライブラリとをマッチングして決定したウイルスファミリーの情報を前記識別結果から取得するステップと、
を含むこと
を特徴とする請求項1に記載の方法。
【請求項3】
結合分析ユニットが、クライアントにより報告されたスキャンログを分析して更新されたウイルス本体挙動情報を取得するステップと、
ライブラリ更新ユニットが、更新されたウイルス本体挙動情報を利用して前記クラウドの挙動チェーンスクリプトライブラリを更新するステップと、
をさらに含むこと
を特徴とする請求項1に記載の方法。
ライブラリ更新ユニットが、更新されたウイルス本体挙動情報を利用して前記クラウドの挙動チェーンスクリプトライブラリを更新するステップと、
をさらに含むこと
を特徴とする請求項1に記載の方法。
【請求項4】
前記マッチングサブユニットにより前記スキャンログに含まれるウイルス本体挙動情報と、前記クラウドの挙動チェーンスクリプトライブラリとをマッチングして決定した前記ウイルスファミリーの情報が前記識別結果から取得されたウイルスファミリーの情報と一致しない場合、前記命令送信ユニットは、前記スキャンログに含まれるウイルス本体挙動情報と、前記クラウドの挙動チェーンスクリプトライブラリとをマッチングして決定した前記ウイルスファミリーの情報によって、送信するウイルス除去命令を決定し、又は人為的に識別されたウイルスファミリーの情報によって、送信するウイルス除去命令を決定するステップをさらに含むこと
を特徴とする請求項2に記載の方法。
を特徴とする請求項2に記載の方法。
【請求項5】
前記ウイルス本体挙動情報は、
プロセス、ロードモジュール、ドライバ、サービス、Rootkit、スタートアップ項目、IE関連項目、ブートウイルス、システムディレクトリ、デスクトップディレクトリ、スタートメニュー、一般的なソフトウェア、スクリプト、システムコンポーネント、ログインセクション、システムスタートアップ項目等の少なくとも1つをスキャンして取得された挙動情報であること
を特徴とする請求項1〜4のいずれか一項に記載の方法。
プロセス、ロードモジュール、ドライバ、サービス、Rootkit、スタートアップ項目、IE関連項目、ブートウイルス、システムディレクトリ、デスクトップディレクトリ、スタートメニュー、一般的なソフトウェア、スクリプト、システムコンポーネント、ログインセクション、システムスタートアップ項目等の少なくとも1つをスキャンして取得された挙動情報であること
を特徴とする請求項1〜4のいずれか一項に記載の方法。
【請求項6】
前記ウイルス除去命令は、
デフォルトのホームページをロックする命令、デフォルトブラウザの検索ホームを変更する命令、指定されたツールソフトウェアをダウンロードする命令又は悪意のあるウイルス本体挙動の関連コンテンツを除去する命令を含むこと
を特徴とする請求項1〜4のいずれか一項に記載の方法。
デフォルトのホームページをロックする命令、デフォルトブラウザの検索ホームを変更する命令、指定されたツールソフトウェアをダウンロードする命令又は悪意のあるウイルス本体挙動の関連コンテンツを除去する命令を含むこと
を特徴とする請求項1〜4のいずれか一項に記載の方法。
【請求項7】
挙動スキャンユニットが、ウイルス本体挙動をスキャンするステップと、
ログ報告ユニットが、スキャンログをクラウドサービスプラットフォームに報告するステップと、及び/又は、
ウイルス識別ユニットが、ローカルの挙動チェーンスクリプトライブラリを利用して、前記ウイルス本体挙動を識別し、悪意のあるウイルス本体挙動が識別された場合、前記悪意のあるウイルス本体挙動に対応するウイルスファミリーの情報をクラウドサービスプラットフォームに報告するステップであって、前記挙動チェーンスクリプトライブラリは、悪意のあるウイルス挙動情報と、挙動が類似するウイルス群であるウイルスファミリーのウイルスファミリー情報とが互いに関連付けられたライブラリである、ステップと、
命令処理ユニットが、前記クラウドサービスプラットフォームにより送信されたウイルス除去命令を受信して実行するステップと、
を含み、
前記ウイルスファミリーは、挙動が類似する一群のウイルス本体からなる、
ことを特徴とするウイルス処理方法。
ログ報告ユニットが、スキャンログをクラウドサービスプラットフォームに報告するステップと、及び/又は、
ウイルス識別ユニットが、ローカルの挙動チェーンスクリプトライブラリを利用して、前記ウイルス本体挙動を識別し、悪意のあるウイルス本体挙動が識別された場合、前記悪意のあるウイルス本体挙動に対応するウイルスファミリーの情報をクラウドサービスプラットフォームに報告するステップであって、前記挙動チェーンスクリプトライブラリは、悪意のあるウイルス挙動情報と、挙動が類似するウイルス群であるウイルスファミリーのウイルスファミリー情報とが互いに関連付けられたライブラリである、ステップと、
命令処理ユニットが、前記クラウドサービスプラットフォームにより送信されたウイルス除去命令を受信して実行するステップと、
を含み、
前記ウイルスファミリーは、挙動が類似する一群のウイルス本体からなる、
ことを特徴とするウイルス処理方法。
【請求項8】
ウイルス識別ユニットにより悪意のあるウイルス本体挙動が識別された場合、ウイルス除去ユニットが前記悪意のあるウイルス本体挙動に関連するコンテンツを除去するステップをさらに含むこと
を特徴とする請求項7に記載の方法。
を特徴とする請求項7に記載の方法。
【請求項9】
ライブラリ更新ユニットが、クラウドの挙動チェーンスクリプトライブラリをロードし、クラウドの挙動チェーンスクリプトライブラリを利用して前記ローカルの挙動チェーンスクリプトライブラリを更新するステップをさらに含むこと
を特徴とする請求項7に記載の方法。
を特徴とする請求項7に記載の方法。
【請求項10】
前記ウイルス除去命令は、
デフォルトのホームページをロックする命令、デフォルトブラウザの検索ホームを変更する命令、指定されたツールソフトウェアをダウンロードする命令又は悪意のあるウイルス本体挙動の関連コンテンツを除去する命令を含むこと
を特徴とする請求項7〜9のいずれか一項に記載の方法。
デフォルトのホームページをロックする命令、デフォルトブラウザの検索ホームを変更する命令、指定されたツールソフトウェアをダウンロードする命令又は悪意のあるウイルス本体挙動の関連コンテンツを除去する命令を含むこと
を特徴とする請求項7〜9のいずれか一項に記載の方法。
【請求項11】
クライアントによりスキャンされたウイルス本体挙動に対応するウイルスファミリーの情報を決定するためのウイルス決定ユニットと、
前記ウイルスファミリーの情報とウイルス除去命令との対応関係に基づいて、前記ウイルス決定ユニットにより決定されたウイルスファミリーの情報に対応するウイルス除去命令を前記クライアントに送信し、これにより、前記クライアントが前記ウイルス除去命令を実行してウイルス本体の除去を行うための命令送信ユニットと、
を備え、
前記ウイルスファミリーは、挙動が類似する一群のウイルス本体からなり、
前記ウイルス決定ユニットは、
前記クライアントにより報告された、前記クライアントによりスキャンされたウイルス本体挙動を示すウイルス本体挙動情報を含むスキャンログを受信するための第1受信サブユニットと、
前記ウイルス本体挙動情報と、クラウドの挙動チェーンスクリプトライブラリとをマッチングすることで、悪意のあるウイルス本体挙動に対応するウイルスファミリーの情報を決定するためのマッチングサブユニットであって、前記挙動チェーンスクリプトライブラリは、悪意のあるウイルス挙動情報と、挙動が類似するウイルス群であるウイルスファミリーのウイルスファミリー情報とが互いに関連付けられたライブラリである、マッチングサブユニットと、
を備えること
を特徴とするウイルス処理装置。
前記ウイルスファミリーの情報とウイルス除去命令との対応関係に基づいて、前記ウイルス決定ユニットにより決定されたウイルスファミリーの情報に対応するウイルス除去命令を前記クライアントに送信し、これにより、前記クライアントが前記ウイルス除去命令を実行してウイルス本体の除去を行うための命令送信ユニットと、
を備え、
前記ウイルスファミリーは、挙動が類似する一群のウイルス本体からなり、
前記ウイルス決定ユニットは、
前記クライアントにより報告された、前記クライアントによりスキャンされたウイルス本体挙動を示すウイルス本体挙動情報を含むスキャンログを受信するための第1受信サブユニットと、
前記ウイルス本体挙動情報と、クラウドの挙動チェーンスクリプトライブラリとをマッチングすることで、悪意のあるウイルス本体挙動に対応するウイルスファミリーの情報を決定するためのマッチングサブユニットであって、前記挙動チェーンスクリプトライブラリは、悪意のあるウイルス挙動情報と、挙動が類似するウイルス群であるウイルスファミリーのウイルスファミリー情報とが互いに関連付けられたライブラリである、マッチングサブユニットと、
を備えること
を特徴とするウイルス処理装置。
【請求項12】
前記ウイルス決定ユニットは、
前記クライアントにより報告された識別結果を受信するための第2受信サブユニットと、
前記クライアントがスキャンされたウイルス本体挙動情報と、クライアントローカルの挙動チェーンスクリプトライブラリとをマッチングして決定したウイルスファミリーの情報を前記識別結果から取得するための取得サブユニットと、
を備えること
を特徴とする請求項11に記載の装置。
前記クライアントにより報告された識別結果を受信するための第2受信サブユニットと、
前記クライアントがスキャンされたウイルス本体挙動情報と、クライアントローカルの挙動チェーンスクリプトライブラリとをマッチングして決定したウイルスファミリーの情報を前記識別結果から取得するための取得サブユニットと、
を備えること
を特徴とする請求項11に記載の装置。
【請求項13】
前記クライアントにより報告されたスキャンログを分析して更新されたウイルス本体挙動情報を取得するための結合分析ユニットと、
更新されたウイルス本体挙動情報を利用して前記クラウドの挙動チェーンスクリプトライブラリを更新するためのライブラリ更新ユニットと、
をさらに備えること
を特徴とする請求項11に記載の装置。
更新されたウイルス本体挙動情報を利用して前記クラウドの挙動チェーンスクリプトライブラリを更新するためのライブラリ更新ユニットと、
をさらに備えること
を特徴とする請求項11に記載の装置。
【請求項14】
前記マッチングサブユニットにより決定されたウイルスファミリーの情報が前記取得サブユニットにより取得されたウイルスファミリーの情報と一致しない場合、前記命令送信ユニットが、前記マッチングサブユニットにより決定されたウイルスファミリーの情報によって、送信するウイルス除去命令を決定し、又は人為的に識別されたウイルスファミリーの情報によって、送信するウイルス除去命令を決定すること
を特徴とする請求項12に記載の装置。
を特徴とする請求項12に記載の装置。
【請求項15】
前記ウイルス本体挙動情報は、
プロセス、ロードモジュール、ドライバ、サービス、Rootkit、スタートアップ項目、IE関連項目、ブートウイルス、システムディレクトリ、デスクトップディレクトリ、スタートメニュー、一般的なソフトウェア、スクリプト、システムコンポーネント、ログインセクション、システムスタートアップ項目等の少なくとも1つをスキャンして取得された挙動情報であること
を特徴とする請求項11〜14のいずれか一項に記載の装置。
プロセス、ロードモジュール、ドライバ、サービス、Rootkit、スタートアップ項目、IE関連項目、ブートウイルス、システムディレクトリ、デスクトップディレクトリ、スタートメニュー、一般的なソフトウェア、スクリプト、システムコンポーネント、ログインセクション、システムスタートアップ項目等の少なくとも1つをスキャンして取得された挙動情報であること
を特徴とする請求項11〜14のいずれか一項に記載の装置。
【請求項16】
前記ウイルス除去命令は、
デフォルトのホームページをロックする命令、デフォルトブラウザの検索ホームを変更する命令、指定されたツールソフトウェアをダウンロードする命令又は悪意のあるウイルス本体挙動の関連コンテンツを除去する命令を含むこと
を特徴とする請求項11〜14のいずれか一項に記載の装置。
デフォルトのホームページをロックする命令、デフォルトブラウザの検索ホームを変更する命令、指定されたツールソフトウェアをダウンロードする命令又は悪意のあるウイルス本体挙動の関連コンテンツを除去する命令を含むこと
を特徴とする請求項11〜14のいずれか一項に記載の装置。
【請求項17】
ログ報告ユニットとウイルス識別ユニットの少なくとも1つと、挙動スキャンユニットと、命令処理ユニットとを備えており、
前記挙動スキャンユニットは、ウイルス本体挙動をスキャンすることに用いられ、
前記ログ報告ユニットは、スキャンログをクラウドサービスプラットフォームに報告することに用いられ、
前記ウイルス識別ユニットは、ローカルの挙動チェーンスクリプトライブラリを利用して、前記ウイルス本体挙動を識別し、悪意のあるウイルス本体挙動が識別された場合、前記悪意のあるウイルス本体挙動に対応するウイルスファミリーの情報を前記クラウドサービスプラットフォームに報告することに用いられ、前記挙動チェーンスクリプトライブラリは、悪意のあるウイルス挙動情報と、挙動が類似するウイルス群であるウイルスファミリーのウイルスファミリー情報とが互いに関連付けられたライブラリであり、
前記命令処理ユニットは、前記クラウドサービスプラットフォームにより送信されたウイルス除去命令を受信して前記ウイルス除去命令を実行することに用いられ、
前記ウイルスファミリーは、挙動が類似する一群のウイルス本体からなり、
ことを特徴とするウイルス処理装置。
前記挙動スキャンユニットは、ウイルス本体挙動をスキャンすることに用いられ、
前記ログ報告ユニットは、スキャンログをクラウドサービスプラットフォームに報告することに用いられ、
前記ウイルス識別ユニットは、ローカルの挙動チェーンスクリプトライブラリを利用して、前記ウイルス本体挙動を識別し、悪意のあるウイルス本体挙動が識別された場合、前記悪意のあるウイルス本体挙動に対応するウイルスファミリーの情報を前記クラウドサービスプラットフォームに報告することに用いられ、前記挙動チェーンスクリプトライブラリは、悪意のあるウイルス挙動情報と、挙動が類似するウイルス群であるウイルスファミリーのウイルスファミリー情報とが互いに関連付けられたライブラリであり、
前記命令処理ユニットは、前記クラウドサービスプラットフォームにより送信されたウイルス除去命令を受信して前記ウイルス除去命令を実行することに用いられ、
前記ウイルスファミリーは、挙動が類似する一群のウイルス本体からなり、
ことを特徴とするウイルス処理装置。
【請求項18】
前記ウイルス識別ユニットにより悪意のあるウイルス本体挙動が識別された場合、前記悪意のあるウイルス本体挙動に関連するコンテンツを除去するためのウイルス除去ユニットをさらに備えることを特徴とする請求項17に記載の装置。
【請求項19】
クラウドの挙動チェーンスクリプトライブラリをロードし、クラウドの挙動チェーンスクリプトライブラリを利用して前記ローカルの挙動チェーンスクリプトライブラリを更新するためのライブラリ更新ユニットをさらに備えること
を特徴とする請求項17に記載の装置。
を特徴とする請求項17に記載の装置。
【請求項20】
前記ウイルス除去命令は、
デフォルトのホームページをロックする命令、デフォルトブラウザの検索ホームを変更する命令、指定されたツールソフトウェアをダウンロードする命令又は悪意のあるウイルス本体挙動の関連コンテンツを除去する命令を含むこと
を特徴とする請求項17〜19のいずれか一項に記載の装置。
デフォルトのホームページをロックする命令、デフォルトブラウザの検索ホームを変更する命令、指定されたツールソフトウェアをダウンロードする命令又は悪意のあるウイルス本体挙動の関連コンテンツを除去する命令を含むこと
を特徴とする請求項17〜19のいずれか一項に記載の装置。
【請求項21】
請求項11〜14のいずれか一項に記載の装置を備えるクラウド処理プラットフォームと、
請求項17〜19のいずれか一項に記載の装置を備えるクライアントと、
備えること
を特徴とするウイルス処理システム。
請求項17〜19のいずれか一項に記載の装置を備えるクライアントと、
備えること
を特徴とするウイルス処理システム。
【請求項22】
1つ以上のプロセッサと、
メモリと、
前記メモリに記憶され、前記1つ以上のプロセッサにより実行される時に、
クライアントによりスキャンされたウイルス本体挙動に対応するウイルスファミリーの情報を決定し、
前記ウイルスファミリーの情報とウイルス除去命令との対応関係に基づいて、決定されたウイルスファミリーの情報に対応するウイルス除去命令を前記クライアントに送信し、これにより、前記クライアントが前記ウイルス除去命令を実行してウイルス本体の除去を行い、
前記クライアントにより報告された、前記クライアントによりスキャンされたウイルス本体挙動情報を含むスキャンログを受信し、
前記ウイルス本体挙動情報と、クラウドの挙動チェーンスクリプトライブラリとをマッチングすることで、悪意のあるウイルス本体挙動に対応するウイルスファミリーの情報を決定する1つ以上のプログラムと、
を備え、
前記挙動チェーンスクリプトライブラリは、悪意のあるウイルス挙動情報と、挙動が類似するウイルス群であるウイルスファミリーのウイルスファミリー情報とが互いに関連付けられたライブラリであり、
前記ウイルスファミリーは、挙動が類似する一群のウイルス本体からなる、
ことを特徴とする機器。
メモリと、
前記メモリに記憶され、前記1つ以上のプロセッサにより実行される時に、
クライアントによりスキャンされたウイルス本体挙動に対応するウイルスファミリーの情報を決定し、
前記ウイルスファミリーの情報とウイルス除去命令との対応関係に基づいて、決定されたウイルスファミリーの情報に対応するウイルス除去命令を前記クライアントに送信し、これにより、前記クライアントが前記ウイルス除去命令を実行してウイルス本体の除去を行い、
前記クライアントにより報告された、前記クライアントによりスキャンされたウイルス本体挙動情報を含むスキャンログを受信し、
前記ウイルス本体挙動情報と、クラウドの挙動チェーンスクリプトライブラリとをマッチングすることで、悪意のあるウイルス本体挙動に対応するウイルスファミリーの情報を決定する1つ以上のプログラムと、
を備え、
前記挙動チェーンスクリプトライブラリは、悪意のあるウイルス挙動情報と、挙動が類似するウイルス群であるウイルスファミリーのウイルスファミリー情報とが互いに関連付けられたライブラリであり、
前記ウイルスファミリーは、挙動が類似する一群のウイルス本体からなる、
ことを特徴とする機器。
【請求項23】
1つ以上のプロセッサと、
メモリと、
前記メモリに記憶され、前記1つ以上のプロセッサにより実行される時に、
ウイルス本体挙動をスキャンし、
スキャンログをクラウドサービスプラットフォームに報告し、及び/又は、
ローカルの挙動チェーンスクリプトライブラリを利用して、前記ウイルス本体挙動を識別し、悪意のあるウイルス本体挙動が識別された場合、前記悪意のあるウイルス本体挙動に対応するウイルスファミリーの情報をクラウドサービスプラットフォームに報告し、
前記クラウドサービスプラットフォームにより送信されたウイルス除去命令を受信して前記ウイルス除去命令を実行する1つ以上のプログラムと、
を備え、
前記ウイルスファミリーは、挙動が類似する一群のウイルスからなり、
前記挙動チェーンスクリプトライブラリは、悪意のあるウイルス挙動情報と、挙動が類似するウイルス群であるウイルスファミリーのウイルスファミリー情報とが互いに関連付けられたライブラリである、
ことを特徴とする機器。
メモリと、
前記メモリに記憶され、前記1つ以上のプロセッサにより実行される時に、
ウイルス本体挙動をスキャンし、
スキャンログをクラウドサービスプラットフォームに報告し、及び/又は、
ローカルの挙動チェーンスクリプトライブラリを利用して、前記ウイルス本体挙動を識別し、悪意のあるウイルス本体挙動が識別された場合、前記悪意のあるウイルス本体挙動に対応するウイルスファミリーの情報をクラウドサービスプラットフォームに報告し、
前記クラウドサービスプラットフォームにより送信されたウイルス除去命令を受信して前記ウイルス除去命令を実行する1つ以上のプログラムと、
を備え、
前記ウイルスファミリーは、挙動が類似する一群のウイルスからなり、
前記挙動チェーンスクリプトライブラリは、悪意のあるウイルス挙動情報と、挙動が類似するウイルス群であるウイルスファミリーのウイルスファミリー情報とが互いに関連付けられたライブラリである、
ことを特徴とする機器。
【請求項24】
不揮発性コンピュータ記憶媒体であって、1つ以上のプログラムが記憶され、前記1つ以上のプログラムが1つの機器により実行される時に、前記機器は、
クライアントによりスキャンされたウイルス本体挙動に対応するウイルスファミリーの情報を決定し、
前記ウイルスファミリーの情報とウイルス除去命令との対応関係に基づいて、決定されたウイルスファミリーの情報に対応するウイルス除去命令を前記クライアントに送信し、これにより、前記クライアントが前記ウイルス除去命令を実行してウイルス本体の除去を行い、
前記クライアントにより報告された、前記クライアントによりスキャンされたウイルス本体挙動情報を含むスキャンログを受信し、
前記ウイルス本体挙動情報と、クラウドの挙動チェーンスクリプトライブラリとをマッチングすることで、悪意のあるウイルス本体挙動に対応するウイルスファミリーの情報を決定し、
前記挙動チェーンスクリプトライブラリは、悪意のあるウイルス挙動情報と、挙動が類似するウイルス群であるウイルスファミリーのウイルスファミリー情報とが互いに関連付けられたライブラリであり、
前記ウイルスファミリーは、挙動が類似する一群のウイルス本体からなる、
ことを特徴とする不揮発性コンピュータ記憶媒体。
クライアントによりスキャンされたウイルス本体挙動に対応するウイルスファミリーの情報を決定し、
前記ウイルスファミリーの情報とウイルス除去命令との対応関係に基づいて、決定されたウイルスファミリーの情報に対応するウイルス除去命令を前記クライアントに送信し、これにより、前記クライアントが前記ウイルス除去命令を実行してウイルス本体の除去を行い、
前記クライアントにより報告された、前記クライアントによりスキャンされたウイルス本体挙動情報を含むスキャンログを受信し、
前記ウイルス本体挙動情報と、クラウドの挙動チェーンスクリプトライブラリとをマッチングすることで、悪意のあるウイルス本体挙動に対応するウイルスファミリーの情報を決定し、
前記挙動チェーンスクリプトライブラリは、悪意のあるウイルス挙動情報と、挙動が類似するウイルス群であるウイルスファミリーのウイルスファミリー情報とが互いに関連付けられたライブラリであり、
前記ウイルスファミリーは、挙動が類似する一群のウイルス本体からなる、
ことを特徴とする不揮発性コンピュータ記憶媒体。
【請求項25】
不揮発性コンピュータ記憶媒体であって、1つ以上のプログラムが記憶され、前記1つ以上のプログラムが1つの機器により実行される時、前記機器は、
ウイルス本体挙動をスキャンし、
スキャンログをクラウドサービスプラットフォームに報告し、及び/又は、
ローカルの挙動チェーンスクリプトライブラリを利用して、前記ウイルス本体挙動を識別し、悪意のあるウイルス本体挙動が識別された場合、前記悪意のあるウイルス本体挙動に対応するウイルスファミリーの情報をクラウドサービスプラットフォームに報告し、
前記クラウドサービスプラットフォームにより送信されたウイルス除去命令を受信して前記ウイルス除去命令を実行し、
前記ウイルスファミリーは、挙動が類似する一群のウイルス本体からなり、
前記挙動チェーンスクリプトライブラリは、悪意のあるウイルス挙動情報と、挙動が類似するウイルス群であるウイルスファミリーのウイルスファミリー情報とが互いに関連付けられたライブラリである、
ことを特徴とする不揮発性コンピュータ記憶媒体。
ウイルス本体挙動をスキャンし、
スキャンログをクラウドサービスプラットフォームに報告し、及び/又は、
ローカルの挙動チェーンスクリプトライブラリを利用して、前記ウイルス本体挙動を識別し、悪意のあるウイルス本体挙動が識別された場合、前記悪意のあるウイルス本体挙動に対応するウイルスファミリーの情報をクラウドサービスプラットフォームに報告し、
前記クラウドサービスプラットフォームにより送信されたウイルス除去命令を受信して前記ウイルス除去命令を実行し、
前記ウイルスファミリーは、挙動が類似する一群のウイルス本体からなり、
前記挙動チェーンスクリプトライブラリは、悪意のあるウイルス挙動情報と、挙動が類似するウイルス群であるウイルスファミリーのウイルスファミリー情報とが互いに関連付けられたライブラリである、
ことを特徴とする不揮発性コンピュータ記憶媒体。
【発明の詳細な説明】
【優先権主張】
【0001】
本願は、出願日が2014年12月19日であり、出願番号が201410802502.6であり、発明の名称が「ウイルス処理方法、装置及びシステム」である中国特許出願の優先権を主張する。
【技術分野】
【0002】
本発明は、コンピュータ応用技術分野に関し、特にウイルス処理方法、装置、システム、機器及びコンピュータ記憶媒体に関する。
【背景技術】
【0003】
インターネットの急速な発展に伴い、ウイルスモードに基づきサイトのトラフィックを集め、且つ広告トラフィックによって経済的利益を得るグレー産業利益チェーンが形成された。毎日、新たに増加される不正なソフトウェアが何百もあり、各種の不正な技術を用いて、プロセス、レジストリ、ファイル等の方式によって互いにバンドルしたり守護したりし、ウイルス本体の挙動特徴を絶えずに更新し、ウイルス対策ソフトによる除去を防止する。
【0004】
現在、インターネット型ウイルスファイルの伝播方式は、クラウド制御命令によってマシンシステムでユーザのデフォルトブラウザホーム及び検索エンジンを変更し、キーワード検索ランキングを変更し、ブラウザをハイジャックして広告をポップアップし、デスクトップショートカットのリンク先を不正に改竄し、ユーザに対して不要なブラウザプラグイン等の悪意のあるソフトウェアをインストールし、ユーザのプライバシーを盗み取る等である。従来のウイルス対策ソフトは主にファイルの悪意のある挙動を監視し、悪意のある挙動を発見すると対応するファイルを削除する。このようなインターネット型ウイルスファイルを発見する場合、単にマシンシステムのクライアントで挙動分析及びファイル削除を行うことによってウイルス本体を完全に除去することができず、マシンシステムのセキュリティーが悪い。
【発明の概要】
【発明が解決しようとする課題】
【0005】
これに鑑みて、本発明はウイルス処理方法、装置、システム、機器及びコンピュータ記憶媒体を提供して、マシンシステムのセキュリティーを向上させる。
【課題を解決するための手段】
【0006】
具体的な解決手段は以下のとおりである。
【0007】
本発明はウイルス処理方法を提供し、この方法は、クライアントによりスキャンされたウイルス本体挙動に対応するウイルスファミリー情報を決定するステップと、
ウイルスファミリー情報とウイルス除去命令との対応関係に基づいて、決定されたウイルスファミリー情報に対応するウイルス除去命令を前記クライアントに送信し、これによって、前記クライアントが前記ウイルス除去命令を実行してウイルス本体の除去を行うステップと、を含む。
【0008】
本発明の好ましい実施形態によれば、前記のクライアントによりスキャンされたウイルス本体挙動に対応するウイルスファミリー情報を決定するステップにおいては、前記クライアントにより報告された、前記クライアントによりスキャンされたウイルス本体挙動情報を含むスキャンログを受信するステップと、
前記ウイルス本体挙動情報と、ウイルスファミリーの悪意のあるウイルス本体挙動情報を含むクラウドの挙動チェーンスクリプトライブラリとをマッチングし、悪意のあるウイルス本体挙動に対応するウイルスファミリー情報を決定するステップと、を含む。
【0009】
本発明の好ましい実施形態によれば、前記のクライアントによりスキャンされたウイルス本体挙動に対応するウイルスファミリー情報を決定するステップにおいては、前記クライアントにより報告された識別結果を受信するステップと、
前記クライアントがスキャンされたウイルス本体挙動情報と、ウイルスファミリーの悪意のあるウイルス本体挙動情報を含むクライアントローカルの挙動チェーンスクリプトライブラリとをマッチングして決定したウイルスファミリー情報を前記識別結果から取得するステップと、を含む。
【0010】
本発明の好ましい実施形態によれば、この方法は、クライアントにより報告されたスキャンログを分析して更新されたウイルス本体挙動情報を取得するステップと、
更新されたウイルス本体挙動情報を利用してクラウドの挙動チェーンスクリプトライブラリを更新するステップと、をさらに含む。
【0011】
本発明の好ましい実施形態によれば、スキャンログに含まれるウイルス本体挙動情報と、クラウドの挙動チェーンスクリプトライブラリとをマッチングして決定されたウイルスファミリー情報が前記識別結果から取得されたウイルスファミリー情報と一致しない場合、スキャンログに含まれるウイルス本体挙動情報と、クラウドの挙動チェーンスクリプトライブラリとをマッチングして決定されたウイルスファミリー情報によって、送信するウイルス除去命令を決定し、又は人為的に識別されたウイルスファミリー情報によって、送信するウイルス除去命令を決定する。
【0012】
本発明の好ましい実施形態によれば、前記ウイルス本体挙動情報は、プロセス、ロードモジュール、ドライバ、サービス、Rootkit、スタートアップ項目、IE関連項目、ブートウイルス、システムディレクトリ、デスクトップディレクトリ、スタートメニュー、一般的なソフトウェア、スクリプト、システムコンポーネント、ログインセクション、システムスタートアップ項目等の少なくとも1つをスキャンして取得された挙動情報である。
【0013】
本発明の好ましい実施形態によれば、前記ウイルス除去命令は、デフォルトのホームページをロックする命令、デフォルトブラウザの検索ホームを変更する命令、指定されたツールソフトウェアをダウンロードする命令又は悪意のあるウイルス本体挙動の関連コンテンツを除去する命令を含む。
【0014】
本発明はさらにウイルス処理方法を提供し、この方法は、ウイルス本体挙動をスキャンするステップと、
スキャンログをクラウドサービスプラットフォームに報告するステップと、及び/又は、
ウイルスファミリーの悪意のあるウイルス本体挙動情報を含むローカルの挙動チェーンスクリプトライブラリを利用して、前記ウイルス本体挙動を識別し、悪意のあるウイルス本体挙動と識別された場合、悪意のあるウイルス本体挙動に対応するウイルスファミリー情報をクラウドサービスプラットフォームに報告するステップと、
前記クラウドサービスプラットフォームにより送信されたウイルス除去命令を受信して実行するステップと、を含む。
【0015】
本発明の好ましい実施形態によれば、この方法は、悪意のあるウイルス本体挙動と識別された場合、悪意のあるウイルス本体挙動の関連コンテンツを除去するステップをさらに含む。
【0016】
本発明の好ましい実施形態によれば、この方法は、クラウドの挙動チェーンスクリプトライブラリをロードし、クラウドの挙動チェーンスクリプトライブラリを利用して前記ローカルの挙動チェーンスクリプトライブラリを更新するステップをさらに含む。
【0017】
本発明の好ましい実施形態によれば、前記ウイルス除去命令は、デフォルトのホームページをロックする命令、デフォルトブラウザの検索ホームを変更する命令、指定されたツールソフトウェアをダウンロードする命令又は悪意のあるウイルス本体挙動の関連コンテンツを除去する命令を含む。
【0018】
本発明はさらにウイルス処理装置を提供し、この装置は、クライアントによりスキャンされたウイルス本体挙動に対応するウイルスファミリー情報を決定するためのウイルス決定ユニットと、
ウイルスファミリー情報とウイルス除去命令との対応関係に基づいて、前記ウイルス決定ユニットにより決定されたウイルスファミリー情報に対応するウイルス除去命令を前記クライアントに送信し、これにより、前記クライアントが前記ウイルス除去命令を実行してウイルス本体の除去を行うための命令送信ユニットと、を備える。
【0019】
本発明の好ましい実施形態によれば、前記ウイルス決定ユニットは、前記クライアントにより報告された、前記クライアントによりスキャンされたウイルス本体挙動情報を含むスキャンログを受信するための第1受信サブユニットと、
前記ウイルス本体挙動情報と、ウイルスファミリーの悪意のあるウイルス本体挙動情報を含むクラウドの挙動チェーンスクリプトライブラリとをマッチングし、悪意のあるウイルス本体挙動に対応するウイルスファミリー情報を決定するためのマッチングサブユニットと、を備える。
【0020】
本発明の好ましい実施形態によれば、前記ウイルス決定ユニットは、前記クライアントにより報告された識別結果を受信するための第2受信サブユニットと、
前記クライアントがスキャンされたウイルス本体挙動情報と、ウイルスファミリーの悪意のあるウイルス本体挙動情報を含むクライアントローカルの挙動チェーンスクリプトライブラリとをマッチングして決定したウイルスファミリー情報を前記識別結果から取得するための取得サブユニットと、を備える。
【0021】
本発明の好ましい実施形態によれば、当該装置は、クライアントにより報告されたスキャンログを分析して更新されたウイルス本体挙動情報を取得するための結合分析ユニットと、
更新されたウイルス本体挙動情報を利用してクラウドの挙動チェーンスクリプトライブラリを更新するためのライブラリ更新ユニットと、をさらに備える。
【0022】
本発明の好ましい実施形態によれば、前記マッチングサブユニットにより決定されたウイルスファミリー情報が前記取得サブユニットにより取得されたウイルスファミリー情報と一致しない場合、前記命令送信ユニットが、前記マッチングサブユニットにより決定されたウイルスファミリー情報によって、送信するウイルス除去命令を決定し、又は人為的に識別されたウイルスファミリー情報によって、送信するウイルス除去命令を決定する。
【0023】
本発明の好ましい実施形態によれば、前記ウイルス本体挙動情報は、プロセス、ロードモジュール、ドライバ、サービス、Rootkit、スタートアップ項目、IE関連項目、ブートウイルス、システムディレクトリ、デスクトップディレクトリ、スタートメニュー、一般的なソフトウェア、スクリプト、システムコンポーネント、ログインセクション、システムスタートアップ項目等の少なくとも1つをスキャンして取得された挙動情報である。
【0024】
本発明の好ましい実施形態によれば、前記ウイルス除去命令は、デフォルトのホームページをロックする命令、デフォルトブラウザの検索ホームを変更する命令、指定されたツールソフトウェアをダウンロードする命令又は悪意のあるウイルス本体挙動の関連コンテンツを除去する命令を含む。
【0025】
本発明はさらにウイルス処理装置を提供し、当該装置は、ログ報告ユニットとウイルス識別ユニットの少なくとも1つと、挙動スキャンユニットと、命令処理ユニットと、を備え、前記挙動スキャンユニットは、ウイルス本体挙動をスキャンすることに用いられ、
前記ログ報告ユニットは、スキャンログをクラウドサービスプラットフォームに報告することに用いられ、
前記ウイルス識別ユニットは、ウイルスファミリーの悪意のあるウイルス本体挙動情報を含むローカルの挙動チェーンスクリプトライブラリを利用して、前記ウイルス本体挙動を識別し、悪意のあるウイルス本体挙動が識別された場合、悪意のあるウイルス本体挙動に対応するウイルスファミリー情報をクラウドサービスプラットフォームに報告することに用いられ、
前記命令処理ユニットは、前記クラウドサービスプラットフォームにより送信されたウイルス除去命令を受信して実行することに用いられる。
【0026】
本発明の好ましい実施形態によれば、当該装置は、前記ウイルス識別ユニットにより悪意のあるウイルス本体挙動が識別された場合、悪意のあるウイルス本体挙動の関連コンテンツを除去するためのウイルス除去ユニットをさらに備える。
【0027】
本発明の好ましい実施形態によれば、当該装置は、クラウドの挙動チェーンスクリプトライブラリをロードし、クラウドの挙動チェーンスクリプトライブラリを利用して前記ローカルの挙動チェーンスクリプトライブラリを更新するためのライブラリ更新ユニットをさらに備える。
【0028】
本発明の好ましい実施形態によれば、前記ウイルス除去命令は、デフォルトのホームページをロックする命令、デフォルトブラウザの検索ホームを変更する命令、指定されたツールソフトウェアをダウンロードする命令又は悪意のあるウイルス本体挙動の関連コンテンツを除去する命令を含む。
【0029】
本発明はさらにウイルス処理システムを提供し、このシステムは、上記第1種の装置を含むクラウド処理プラットフォームと、
上記第2種の装置を含むクライアントと、を備える。
【発明の効果】
【0030】
以上の解決手段から分かるように、本発明において、クライアントは、スキャンログをクラウドサービスプラットフォームに報告し、及び/又はスキャンログに基づいてウイルスファミリー情報を識別した後にウイルスファミリー情報をクラウドサービスプラットフォームに報告する。クラウドサービスプラットフォームは、スキャンログを識別してウイルスファミリー情報を取得し、及び/又はクライアントからのウイルスファミリー情報を受信した場合、ウイルスファミリー情報に対応するウイルス除去命令をクライアントに送信し、こてにより、クライアントがウイルス除去命令を実行する。本発明によるクラウドがウイルスファミリー情報に対してウイルス除去命令の送信を行う方式は、単にクライアントが挙動分析及びファイル削除を行う方式に比べて、ウイルスに対する処理がより個性化で正確であり、マシンシステムのセキュリティーを向上させる。
【図面の簡単な説明】
【0031】
【図1】本発明の実施例に係るシステム構造図である。
【図2】本発明の実施例に係るクライアントにより実行されるウイルス処理方法のフローチャートである。
【図3】本発明の実施例に係るクラウドサービスプラットフォームにより実行されるウイルス処理方法のフローチャートである。
【図4】本発明の実施例に係る装置構造図である。
【図5】本発明の実施例に係る別の装置構造図である。
【発明を実施するための形態】
【0032】
本発明の目的、解決手段及び利点をより明確にするために、以下、図面及び具体的な実施例を参照しながら本発明を詳しく説明する。
【0033】
本発明の実施例は主に図1に示されるシステムに基づくものであり、当該システムはクライアントとクラウドサービスプラットフォームを備え、クライアントがPC、携帯電話、タブレットパソコン等のマシンシステムに設置され、当該マシンシステムのセキュリティーを担当する。
【0034】
本発明の実施例において、クライアントは以下の機能を有してもよい。
【0035】
1)ウイルス本体挙動をスキャンし、これはクライアントの最も基本的な機能である。ここで本発明の実施例にかかるいくつかの概念を説明する。「ウイルス本体」とは、ウイルスの母体を指し、即ちウイルス伝播の最初のファイルであり、母体ファイルが実行されると各種のサブファイル及びその関連挙動を生じ、親ウイルス自体のファイルが必ずしも悪意のあるものではない。「悪意のあるウイルス本体」とは、悪意のある親ウイルスを指し、即ち自体が悪意のあるサブファイルをリリースし又は悪意のあるネットワーク挙動を行うことができる。「ウイルス本体挙動」は親ウイルスのすべての可能な挙動を含み、例えば、ウイルス本体挙動は、プロセス、ロードモジュール、ドライバ、サービス、Rootkit(Rootkitとは、主な機能が他のプログラムプロセスを隠すソフトウェアを指し、1つのソフトウェア又は1つ以上のソフトウェアの組み合わせである可能性がある)、スタートアップ項目、IE関連項目、ブートウイルス、システムディレクトリ、デスクトップディレクトリ、スタートメニュー、一般的なソフトウェア、スクリプト、システムコンポーネント、ログインセクション、システムスタートアップ項目等をスキャンして取得された挙動情報である。「悪意のあるウイルス本体挙動」は悪意のある親ウイルスの挙動である。
【0036】
2)当該クライアントによりスキャンされたウイルス本体挙動情報を含むスキャンログをクラウドサービスプラットフォームに報告し、これにより、クラウドサービスプラットフォームが分析を行う。
【0037】
3)ローカルの挙動チェーンスクリプトライブラリを利用して、ウイルス本体挙動を識別する。挙動チェーンスクリプトライブラリがウイルスファミリーの悪意のあるウイルス本体挙動情報を含み、クライアントによりスキャンされたウイルス本体挙動情報と挙動チェーンスクリプトライブラリとをマッチングして、スキャンされたウイルス本体挙動が悪意のあるウイルス本体挙動であるか否かを決定し、さらにウイルスファミリー情報を決定することができる。「ウイルスファミリー」とは、挙動が類似する1組の悪意のあるウイルス本体の総称であり、同一のウイルスファミリーに属する悪意のあるウイルス本体が一般的に同一の作成者に属し又は同一のウイルスソースファイルからのものである(例えば、同一のウイルスソースファイルから変更して得られる)。例えば、挙動チェーンスクリプトライブラリにおいて、同一のウイルスファミリーに属する悪意のあるウイルス本体挙動情報を整合し、悪意のあるウイルス本体挙動によってそれに対応するウイルスファミリー情報を決定することができる。
【0038】
さらに、クライアントローカルの挙動チェーンスクリプトライブラリはクラウドサービスプラットフォームの挙動チェーンスクリプトライブラリをロードしてローカルに記憶して得られるものであってもよい。例えば、クライアントは周期的にクラウドサービスプラットフォームから挙動チェーンスクリプトライブラリをロードしてローカルの挙動チェーンスクリプトライブラリを更新することができ、即ち下記の機能6)である。
【0039】
4)悪意のあるウイルス本体挙動が識別された場合、悪意のあるウイルス本体挙動に対応するウイルスファミリー情報をクラウドサービスプラットフォームに報告する。ここでのウイルスファミリー情報は例えばウイルスファミリーID(識別子)等の情報であってもよい。つまり、クライアントローカルによってウイルスファミリーIDが識別された場合、ウイルスファミリーIDをクラウドサービスプラットフォームに直接報告する。
【0040】
5)悪意のあるウイルス本体挙動が識別された場合、当該クライアントが所在するマシンシステムにおける悪意のあるウイルス本体挙動の関連コンテンツを除去する。ウイルスファミリー情報を報告する以外に、クライアントローカルにウイルス除去メカニズムが存在してもよく、クライアントが所在するマシンシステムにおける悪意のあるウイルス本体挙動の関連コンテンツを除去し、例えば、悪意のあるウイルス本体のサービスを停止し、悪意のあるウイルス本体のファイルを削除し、悪意のあるウイルス本体のレジストリエントリ又は関連活動項目を削除し、ブラウザデフォルトのホームページを修復する。上記除去処理が実行された後に、さらにマシンシステムの実行に影響を与える可能性があるファイルに対して初期化修復処理を行うことができ、即ち、それを初期状態に回復させることにより、マシンシステムの正常な作動を確保する。
【0041】
6)クラウドの挙動チェーンスクリプトライブラリをロードし、クラウドの挙動チェーンスクリプトライブラリを利用してローカルの挙動チェーンスクリプトライブラリを更新する。
【0042】
クラウドサービスプラットフォームは以下の機能を有してもよい。
【0043】
1)クライアントによりスキャンされたウイルス本体挙動に対応するウイルスファミリー情報を決定する。ここで、以下の2つの方式によって本機能を実現することができる。第1の方式は、クライアントにより報告された、クライアントによりスキャンされたウイルス本体挙動情報を含むスキャンログを受信し、当該ウイルス本体挙動情報とクラウドの挙動チェーンスクリプトライブラリとをマッチングし、悪意のあるウイルス本体挙動情報に対応するウイルスファミリー情報を決定する。同様に、当該挙動チェーンスクリプトライブラリにウイルスファミリーの悪意のあるウイルス本体挙動情報も含む。当該挙動チェーンスクリプトライブラリは各マシンシステムのクライアントにより報告されたスキャンログを分析して得られたものであり、人工分析と設定された要素とを結合して得られてもよい。
第2の方式は、クライアントにより報告された識別結果を直接受信し、当該識別結果にはクライアントがスキャンされたウイルス本体挙動情報と、クライアントローカルの挙動チェーンスクリプトライブラリとをマッチングして決定したウイルスファミリー情報を含む。
【0044】
2)ウイルスファミリー情報とウイルス除去命令との対応関係に基づいて、ウイルスファミリー情報に対応するウイルス除去命令をクライアントに送信する。クラウドサービスプラットフォームにウイルスファミリー情報とウイルス除去命令との対応関係が維持され、これらのウイルス除去命令は対応するウイルスファミリーの挙動を除去するようにクライアントの操作を指導することに用いられる。この対応関係は手動で設定してもよい。
【0045】
上記のウイルス除去命令は、デフォルトのホームページをロックする命令、デフォルトブラウザの検索ホームを変更する命令又は指定されたツールソフトウェアをダウンロードする命令等を含むが、それらに限定されない。上記指定されたツールソフトウェアは、例えばセキュリティーガードソフトウェア、システム修復ツール、悪意のあるプラグインの除去ツール、ブラウザ保護ツール等であってもよい。
【0046】
上記ウイルスファミリー情報に対応するウイルス除去命令はクラウドによって設定可能であり、リアルタイムに捕捉される流行ウイルス挙動分析に基づいて、対応するウイルス除去命令を増加又は調整することができる。
【0047】
つまり、クラウドサービスプラットフォームは的を射て一種類のウイルスを除去する指導意見をクライアントに提供することができ、クライアントが単にファイルを削除する原因でウイルス本体を完全に除去できない問題を避ける。
【0048】
3)各マシンシステムのクライアントにより報告されたスキャンログを結合分析して更新ウイルス本体挙動を取得し、更新ウイルス本体挙動を利用してクラウドの挙動チェーンスクリプトライブラリを更新する。
【0049】
以下、具体的な実施例を参照してクライアントとクラウドサービスプラットフォームにより実行される方法のフローを説明する。図2は本発明の実施例に係るクライアントにより実行されるウイルス処理方法のフローチャートであり、図2に示すように、当該フローは主に以下のステップを含む。
【0050】
ステップ201では、クライアントはマシンシステムにおけるウイルス本体挙動をスキャンし、例えばプロセス、ロードモジュール、ドライバ、サービス、Rootkit、スタートアップ項目、IE関連項目、ブートウイルス、システムディレクトリ、デスクトップディレクトリ、スタートメニュー、一般的なソフトウェア、スクリプト、システムコンポーネント、ログインセクション、システムスタートアップ項目等をスキャンする。
【0051】
ステップ202では、クライアントはスキャンログをクラウドサービスプラットフォームに報告する。
【0052】
ステップ203では、クライアントはローカルの挙動チェーンスクリプトライブラリを利用してスキャンされたウイルス本体挙動を識別し、悪意のあるウイルス本体挙動が識別された場合、ステップ204を実行し、図2にこの場合のみが示され、悪意のあるウイルス本体挙動が識別されていない場合、クライアントとクラウドサービスプラットフォームとが通信するインターフェースを監視する。なお、クライアントとクラウドサービスプラットフォームとが通信するインターフェースを監視することは、必ずしも悪意のあるウイルス本体挙動が識別されていない場合に実行する操作ではなく、持続的に監視してもよい。
【0053】
なお、上記ステップ202とステップ203は任意の順序で実行してもよく、同時に実行してもよい。図2はそのうちの1つの実行順序に過ぎない。
【0054】
挙動チェーンスクリプトライブラリに含まれるのはウイルスファミリーの悪意のあるウイルス本体挙動情報であるため、クライアントによりスキャンされたウイルス本体挙動と、挙動チェーンスクリプトライブラリとをマッチングすることができ、ここでのマッチングは挙動特徴のマッチングであってもよく、スクリプトのマッチング等であってもよい。一致する挙動特徴又はスクリプトが存在する場合に、悪意のあるウイルス本体挙動が識別されたと決定し、当該悪意のあるウイルス本体挙動に対応するウイルスファミリー情報を決定する。
【0055】
ステップ204では、悪意のあるウイルス本体挙動に対応するウイルスファミリー情報をクラウドサービスプラットフォームに報告する。クライアントはウイルスファミリー情報を報告するとともに、所在するマシンシステムの情報、例えばGUID(Globally Unique Identifier、グローバル一意識別子)を報告することができ、それによりクラウドサービスプラットフォームが情報を報告するマシンシステムを区別することができる。
【0056】
ステップ205では、悪意のあるウイルス本体挙動が識別されたため、クライアントで悪意のあるウイルス本体挙動の関連コンテンツを除去することができる。上記ステップ204及びステップ205は任意の順序で実行してもよく、同時に実行してもよく、図2はそのうちの1つの実行順序に過ぎない。ステップ204の後、クライアントはクライアントとクラウドサービスプラットフォームとが通信するインターフェースを監視し、クラウドサービスプラットフォームにより送信されたウイルス除去命令を監視したと、ステップ206を実行し、即ち、クラウドサービスプラットフォームにより送信されたウイルス除去命令を受信して実行する。
【0058】
ステップ301では、クラウドサービスプラットフォームは、クライアントにより報告された、クライアントによりスキャンされたウイルス本体挙動情報を含むスキャンログを受信する。
【0059】
ステップ302では、スキャンログにおけるウイルス本体挙動情報と、クラウドの挙動チェーンスクリプトライブラリとをマッチングし、悪意のあるウイルス本体挙動情報に対応するウイルスファミリー情報を決定する。クラウドの挙動チェーンスクリプトライブラリが各マシンシステムのクライアントにより報告されたスキャンログをまとめて分析することによって取得されるため、1つのクライアントに対してウイルス本体挙動の識別を行う時に、実際に他のマシンシステムのスキャンログを結合分析する。
【0060】
上記ステップ301及びステップ302はそのうちの1つの実行分岐であり、即ち、スキャンログが受信された後の場合であり、ステップ302の後にステップ304を実行する。もう一つの分岐があり、即ち、クライアントにより報告されたウイルスファミリー情報が受信された場合、即ちステップ303であり、ステップ304を直接実行する。
【0061】
ステップ304では、ウイルスファミリー情報とウイルス除去命令との対応関係に基づいて、ウイルスファミリー情報に対応するウイルス除去命令をクライアントに送信する。上記ウイルスファミリー情報とウイルス除去命令との対応関係はクラウドサービスプラットフォームで予めロードされ、各ウイルスファミリーに対してそれぞれ対応するウイルス除去命令を設定してクライアントによるウイルス本体の除去を指導する。
【0062】
さらに、以下の場合が存在する可能性がある。仮に、同一のクライアントに対して、クラウドサービスプラットフォームがクライアントにより報告されたスキャンログに基づいて決定したウイルスファミリー情報と当該クライアントにより報告されたウイルスファミリー情報とが一致しない場合、つまり、クラウドサービスプラットフォームの識別結果とクライアントの識別結果が一致しない場合、クラウドサービスプラットフォームの識別結果を基準としてもよく、即ち、クラウドサービスプラットフォームにより決定されたウイルスファミリー情報に対応するウイルス除去命令をクライアントに送信する。勿論、他のポリシーを採用してもよく、例えばクラウドサービスプラットフォームとクライアントの識別結果が一致しない場合、人為的に識別することができ、人為的に識別されたウイルスファミリー情報に対応するウイルス除去命令をクライアントに送信する。
【0063】
以下、本発明に係る装置を詳しく説明し、図4は本発明の実施例に係る第1の装置の構造図であり、当該装置はクラウドサービスプラットフォームに設けられ、図4に示すように、当該装置は、ウイルス決定ユニット41と命令送信ユニット42を備えてもよく、さらに結合分析ユニット43とライブラリ更新ユニット44を備えてもよい。
【0064】
ウイルス決定ユニット41は、クライアントによりスキャンされたウイルス本体挙動に対応するウイルスファミリー情報を決定することに用いられる。具体的に、当該ウイルス決定ユニット41は、以下の2つの方式のうちの少なくとも1つを採用してウイルスファミリー情報を決定することができ、図4は同時に以下の2つの方式を採用する場合の構造を例とする。
【0065】
第1の方式において、ウイルス決定ユニット41はクライアントにより報告されたスキャンログに基づいてクラウドサービスプラットフォームでウイルス識別を行い、この場合、ウイルス決定ユニット41は具体的に第1受信サブユニット401とマッチングサブユニット402を備えてもよい。
【0066】
第1受信サブユニット401は、クライアントにより報告された、クライアントによりスキャンされたウイルス本体挙動情報を含むスキャンログを受信することに用いられる。マッチングサブユニット402は、ウイルス本体挙動情報と、ウイルスファミリーの悪意のあるウイルス本体挙動情報を含むクラウドの挙動チェーンスクリプトライブラリとをマッチングし、悪意のあるウイルス本体挙動情報に対応するウイルスファミリー情報を決定する。
【0067】
第2の方式において、ウイルス決定ユニット41は、クライアントにより報告されたウイルスファミリー情報を直接受信し、即ち、クライアントでウイルス識別を行い、この場合、ウイルス決定ユニット41は具体的に第2受信サブユニット411と取得サブユニット412を備えてもよい。
【0068】
第2受信サブユニット411はクライアントにより報告された識別結果を受信する。取得サブユニット412は、クライアントがスキャンされたウイルス本体挙動と、ウイルスファミリーの悪意のあるウイルス本体挙動情報を含むクライアントローカルの挙動チェーンスクリプトライブラリとをマッチングして決定されたウイルスファミリー情報を識別結果から取得する。
【0069】
命令送信ユニット42は、ウイルスファミリー情報とウイルス除去命令との対応関係に基づいて、ウイルス決定ユニット41により決定されたウイルスファミリー情報に対応するウイルス除去命令をクライアントに送信し、これにより、クライアントがウイルス除去命令を実行にしてウイルス本体の除去を行う。クラウドサービスプラットフォームにウイルスファミリー情報とウイルス除去命令との対応関係が維持され、これらのウイルス除去命令は対応するウイルスファミリーの挙動を除去するようにクライアントの操作を指導することに用いられる。この対応関係は手動で設定してもよい。
【0070】
上記のウイルス除去命令は、デフォルトのホームページをロックする命令、デフォルトブラウザの検索ホームを変更する命令又は指定されたツールソフトウェアをダウンロードする命令等を含むが、それらに限定されない。上記指定されたツールソフトウェアは、例えばセキュリティーガードソフトウェア、システム修復ツール、悪意のあるプラグインの除去ツール、ブラウザ保護ツール等であってもよい。
【0071】
上記ウイルスファミリー情報に対応するウイルス除去命令はクラウドよって設定可能であり、リアルタイムに捕捉される流行ウイルス挙動分析に基づいて、対応するウイルス除去命令を増加又は調整することができる。
【0072】
さらに、以下の場合が存在する可能性がある。ウイルスファミリー情報を決定する上記2つの方式で決定されたウイルスファミリー情報が異なると仮定すると、クラウドサービスプラットフォームにより決定されたウイルスファミリー情報に対応するウイルス除去命令をクライアントに送信することができる。勿論、他のポリシーを採用してもよく、例えばクラウドサービスプラットフォームの識別結果とクライアントの識別結果が一致しない場合、人為的に識別することができ、人為的に識別されたウイルスファミリー情報に対応するウイルス除去命令をクライアントに送信する。
【0073】
上記挙動チェーンスクリプトライブラリは各マシンシステムにおけるクライアントにより報告されたスキャンログを分析して得られてもよく、人工分析と設定された要素を結合して得られてもよい。ウイルスが絶えずに更新するに伴って、新たなウイルス本体挙動が持続的に現れ、従って、クラウドサービスプラットフォームは挙動チェーンスクリプトライブラリをタイムリーに更新する必要がある。これに鑑みて、結合分析ユニット43はクライアントにより報告されたスキャンログを分析して更新ウイルス本体挙動を取得し、次に、ライブラリ更新ユニット44は更新ウイルス本体挙動を利用してクラウドの挙動チェーンスクリプトライブラリを更新する。
【0074】
図5は本発明の実施例に係る別のウイルス処理装置の構造図であり、当該装置はマシンシステムにおけるクライアントに設けられ、図5に示すように、当該装置は具体的にログ報告ユニット52とウイルス識別ユニット53の少なくとも1つ(図5はこの2つのユニットを同時に備える場合を例とする)、挙動スキャンユニット51及び命令処理ユニット54を備えてもよく、さらにウイルス除去ユニット55とライブラリ更新ユニット56を備えてもよい。
【0075】
挙動スキャンユニット51は、ウイルス本体挙動情報をスキャンし、即ち、マシンシステムにおける悪意のあるウイルス本体のすべての可能な挙動コンテンツをスキャンすることに用いられ、ウイルス本体挙動情報は、ネットワーク修復、プロセス、ロードモジュール、ドライバ、サービス、Rootkit、スタートアップ項目、IE関連項目、ブートウイルス、システムディレクトリ、デスクトップディレクトリ、スタートメニュー、一般的なソフトウェア、スクリプト、システムコンポーネント、ログインセクション、システムスタートアップ項目等の少なくとも1つをスキャンして取得された挙動情報であってもよい。
【0076】
ログ報告ユニット52は、挙動スキャンユニット51によりスキャンされたウイルス本体挙動情報を含むスキャンログをクラウドサービスプラットフォームに報告し、これにより、クラウドサービスプラットフォームが分析識別を行う。
【0077】
ウイルス識別ユニット53は、ウイルスファミリーの悪意のあるウイルス本体挙動情報を含むローカルの挙動チェーンスクリプトライブラリを利用して、ウイルス本体挙動を識別し、悪意のあるウイルス本体挙動が識別された場合、悪意のあるウイルス本体挙動情報に対応するウイルスファミリー情報をクラウドサービスプラットフォームに報告する。
【0078】
命令処理ユニット54はクラウドサービスプラットフォームにより送信されたウイルス除去命令を受信して実行する。具体的に、ウイルス除去命令は、デフォルトのホームページをロックする命令、デフォルトブラウザの検索ホームを変更する命令、指定されたツールソフトウェアをダウンロードする命令又は悪意のあるウイルス本体挙動の関連コンテンツを除去する命令を含むが、それらに限定されない。
【0079】
さらに、ウイルス識別ユニット53が悪意のあるウイルス本体挙動が識別された場合、ウイルス除去ユニット55は悪意のあるウイルス本体挙動の関連コンテンツを除去する。悪意のあるウイルス本体挙動の関連コンテンツを除去することは、悪意のあるウイルス本体のサービスを停止し、悪意のあるウイルス本体のファイル、レジストリエントリ又は関連活動項目を削除し、ブラウザデフォルトのホームページを修復することを含むが、それらに限定されない。
【0080】
クライアントのローカルの挙動チェーンスクリプトライブラリはクラウドサービスプラットフォームの挙動チェーンスクリプトライブラリをロードしてローカルに記憶されて得られるものであり、クライアントは周期的にクラウドサービスプラットフォームから挙動チェーンスクリプトライブラリをロードしてローカルの挙動チェーンスクリプトライブラリを更新することができる。この時、ライブラリ更新ユニット56はクラウドの挙動チェーンスクリプトライブラリをロードし、クラウドの挙動チェーンスクリプトライブラリを利用してローカルの挙動チェーンスクリプトライブラリを更新する。
【0081】
以上の説明から分かるように、本発明に係る方法、装置及びシステムは以下の利点を有する。
【0082】
1)本発明によるクラウドがウイルスファミリー情報に対してウイルス除去命令の送信を行う方式は、単にクライアントが挙動分析及びファイル削除を行う方式に比べて、ウイルスに対する処理がより個性化で正確であり、マシンシステムのセキュリティーを向上させる。
【0083】
2)本発明において、クラウドサービスプラットフォームがウイルスファミリー情報に対して送信するウイルス除去命令は、悪意のあるウイルス本体挙動の関連コンテンツの除去に限定せず、例えばデフォルトのホームページをロックする命令、デフォルトブラウザの検索ホームを変更する命令、指定されたツールソフトウェアをダウンロードする命令等であってもよく、ウイルスに対する処理が多様化され、ウイルスを完全に除去することに寄与し、マシンシステムのセキュリティーを向上させる。
【0084】
3)クラウドサービスプラットフォームが各マシンシステムのクライアントにより報告されたスキャンログを結合して挙動チェーンスクリプトライブラリの更新を行うことができ、それによりインターネット型ウイルスの更新が速いという特徴にタイムリーに適応する。
【0085】
4)クラウドサービスプラットフォームでウイルスファミリー情報に対するウイルス除去命令を柔軟に設定でき、且つタイムリーに増加又は調整でき、それによりインターネット時代の迅速な応答需要を満たす。
【0086】
本発明で提供されるいくつかの実施例では、開示されたシステム、装置及び方法は、他のやり方で実施され得ることを理解すべきである。例えば、以上に説明された装置の実施例は例示的なものに過ぎず、例えば、前記ユニットの分割は、論理的機能の分割に過ぎず、実際の実装形態では他の分割であってもよい。
【0087】
分離部材として説明されたユニットは、物理的に分離しているものであってもよいし、物理的に分離しているものでなくてもよく、ユニットとして示された部材は、物理的ユニットであってもよいし、物理的ユニットでなくてもよく、即ち、1つの位置に配置されてもよく、複数のネットワークユニットに分散していてもよい。本実施例の解決手段の目的を達成するための実際の需要に応じて、ユニットの一部又は全体を選択してもよい。
【0088】
さらに、本発明の各実施例における各機能ユニットは、1つの処理ユニットに集積されてもよく、又はユニットのそれぞれが単独で物理的に存在してもよく、又は2つ以上のユニットが1つのユニットに集積されてもよい。上記集積されたユニットは、ハードウェアの形態によって実現されてもよく、又はハードウェアプラスソフトウェア機能ユニットの形態で実現されてもよい。
【0089】
ソフトウェア機能ユニットの形態で実現された上記集積ユニットは、コンピュータ可読記憶媒体に記憶されてもよい。上記ソフトウェア機能ユニットは、記憶媒体に記憶され、コンピュータ機器(例えばパーソナルコンピュータ、サーバ、又はネットワーク装置等であってもよい)またはプロセッサ(processor)が本発明の各実施例による前記方法の一部のステップを実行するように用いられるいくつかの命令を含んでいる。前述の記憶媒体には、USBフラッシュディスク、ポータブルハードディスク、読取り専用メモリ(Read−Only Memory、ROM)、ランダムアクセスメモリ(Random Access Memory、RAM)、磁気ディスク、又は光ディスクなどの、プログラムコードを記憶することができる任意の媒体が含まれる。
【0090】
以上は本発明の好ましい実施例に過ぎず、本発明を制限するものではなく、本発明の精神及び原則以内に行ったいかなる変更、等価な置換、改良等は、いずれも本発明の保護範囲に含まれる。