一种恶意软件拦截方法、装置及终端制造方法及图纸

本发明专利技术公开了一种恶意软件拦截方法、装置及终端，该方法包括步骤：对可疑文件进行静态分析或者防御，获取到静态分析或者防御的结果；若静态分析或者防御的结果为所述可疑文件为可疑的恶意软件，则触发对所述可疑文件进行动态分析；获取到动态分析结果并上传到云端服务器中；获取所述云端服务器发送的恶意软件拦截信息，所述恶意软件拦截信息为所述云端服务器根据上传的动态分析结果和存储的恶意软件样本进行比对而生成。本发明专利技术公开的恶意软件拦截方法、装置及终端，可以在发现威胁的终端上将其拦截，防止进一步扩散到其他系统并对终端造成严重危害。使“零号病人”免于损失系统中所有的资料。而且，拦截的过程耗费时间非常短，且不需要人工干预。

Malicious software intercepting method, device and terminal

The invention discloses a malware blocking method, and terminal device, the method comprises the following steps: static analysis or defense of suspicious files, access to the results of static analysis or defense; if the static analysis results for the defense or the suspicious file for suspicious malware, triggering the dynamic analysis on the suspicious files; access to the dynamic analysis results and uploaded to the cloud server; acquiring and sending the cloud server malware to intercept information, the malicious software to intercept information for the cloud server to compare the results of dynamic storage and upload malware samples generated. The invention discloses a malicious software intercepting method, a device and a terminal, which can intercept the detected terminal to prevent further spreading to other systems and cause serious harm to the terminal. Keep zero patient free from all the data in the system. Moreover, the interception process takes a very short time and does not require manual intervention.

【技术实现步骤摘要】
一种恶意软件拦截方法、装置及终端
本专利技术涉及网络安全
，尤其涉及一种恶意软件拦截方法、装置及终端。
技术介绍
程序静态分析(ProgramStaticAnalysis)是指在不运行代码的方式下，通过词法分析、语法分析、控制流、数据流分析等技术对程序代码进行扫描，验证代码是否满足规范性、安全性、可靠性、可维护性等指标的一种代码分析技术。目前静态分析技术向模拟执行的技术发展以能够发现更多传统意义上动态测试才能发现的缺陷，例如符号执行、抽象解释、值依赖分析等等并采用数学约束求解工具进行路径约减或者可达性分析以减少误报增加效率。“零日漏洞”(zero-day)又叫零时差攻击，是指被发现后立即被恶意利用的安全漏洞。通俗地讲，即安全补丁与瑕疵曝光的同一日内，相关的恶意程序就出现。这种攻击往往具有很大的突发性与破坏性。在实现本专利技术的过程中，专利技术人发现现有技术至少存在以下问题：静态分析可以捕捉到一些零日漏洞，但却不能捕捉到所有零日漏洞。如果黑客通过精心设计，利用合法应用来发动攻击(比如：隐藏在合法word文档里宏命令的网络钓鱼攻击)，哪怕是最优秀的纯静态分析防御也无法捕捉到。
技术实现思路
本专利技术的主要目的在于提出一种恶意软件拦截方法、装置及终端，旨在解决现有技术存在的问题。为实现上述目的，本专利技术实施例第一方面提供一种恶意软件拦截方法，所述方法包括步骤：对可疑文件进行静态分析或者防御，获取到静态分析或者防御的结果；若静态分析或者防御的结果为所述可疑文件为可疑的恶意软件，则触发对所述可疑文件进行动态分析；获取到动态分析结果并上传到云端服务器中；获取所述云端服务器发送的恶意软件拦截信息，所述恶意软件拦截信息为所述云端服务器根据上传的动态分析结果和存储的恶意软件样本进行比对而生成。此外，为实现上述目的，本专利技术实施例第二方面提供一种恶意软件拦截装置，所述装置包括静态分析模块、触发模块、上传模块及获取模块；所述静态分析模块，用于对可疑文件进行静态分析或者防御，获取到静态分析或者防御的结果；所述触发模块，用于若所述静态分析模块的静态分析或者防御的结果为所述可疑文件为可疑的恶意软件，则触发对所述可疑文件进行动态分析；所述上传模块，用于获取到所述触发模块的动态分析结果并上传到云端服务器中；所述获取模块，用于获取所述云端服务器发送的恶意软件拦截信息，所述恶意软件拦截信息为所述云端服务器根据上传的动态分析结果和存储的恶意软件样本进行比对而生成。此外，为实现上述目的，本专利技术实施例第三方面提供一种终端，所述终端包括发送模块、接收模块及处理器；所述处理器用于对所述终端的可疑文件进行静态分析或者防御，获取到静态分析或者防御的结果；若静态分析或者防御的结果为所述可疑文件为可疑的恶意软件，则触发对所述可疑文件进行动态分析；所述发送模块，用于将所述处理器的动态分析结果上传到云端服务器中；所述接收模块，用于接收所述云端服务器发送的恶意软件拦截信息，所述恶意软件拦截信息为所述云端服务器根据上传的动态分析结果和存储的恶意软件样本进行比对而生成。再者，为实现上述目的，本专利技术实施例第四方面提供一种恶意软件拦截方法，所述方法包括步骤：接收终端上传的动态分析结果，其中动态分析结果为所述终端对可疑文件进行静态分析或者防御，获取到静态分析或者防御的结果；若静态分析或者防御的结果为所述可疑文件为可疑的恶意软件，则触发对所述可疑文件进行动态分析并生成的；将上传的动态分析结果和存储的恶意软件样本进行比对并生成恶意软件拦截信息；将所述生成的恶意软件拦截信息发送给所述终端。本专利技术实施例提供的恶意软件拦截方法、装置及终端，可以在发现威胁的终端上将其拦截，防止进一步扩散到其他系统并对终端造成严重危害。使“零号病人”免于损失系统中所有的资料。而且，拦截的过程耗费时间非常短，且不需要人工干预。附图说明图1为实现本专利技术各个实施例的移动终端的硬件结构示意图；图2为如图1所示的移动终端的无线通信系统示意图；图3为本专利技术第一实施例提供的恶意软件拦截方法流程示意图；图4为本专利技术第二实施例提供的恶意软件拦截装置结构示意图；图5为本专利技术第二实施例提供的恶意软件拦截装置另一结构示意图；图6为本专利技术第二实施例提供的恶意软件拦截装置中触发模块结构示意图；图7为本专利技术第三实施例提供的终端结构示意图；图8为本专利技术第四实施例提供的恶意软件拦截方法流程示意图。本专利技术目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。具体实施方式应当理解，此处所描述的具体实施例仅仅用以解释本专利技术，并不用于限定本专利技术。现在将参考附图描述实现本专利技术各个实施例的移动终端。在后续的描述中，使用用于表示元件的诸如“模块”、“部件”或“单元”的后缀仅为了有利于本专利技术的说明，其本身并没有特定的意义。因此，"模块"与"部件"可以混合地使用。移动终端可以以各种形式来实施。例如，本专利技术中描述的终端可以包括诸如移动电话、智能电话、笔记本电脑、数字广播接收器、PDA(个人数字助理)、PAD(平板电脑)、PMP(便携式多媒体播放器)、导航装置等等的移动终端以及诸如数字TV、台式计算机等等的固定终端。下面，假设终端是移动终端。然而，本领域技术人员将理解的是，除了特别用于移动目的的元件之外，根据本专利技术的实施方式的构造也能够应用于固定类型的终端。图1为实现本专利技术各个实施例的移动终端的硬件结构示意。移动终端100可以包括无线通信单元110、A/V(音频/视频)输入单元120、用户输入单元130、感测单元140、输出单元150、存储器160、接口单元170、控制器180和电源单元190等等。图1示出了具有各种组件的移动终端，但是应理解的是，并不要求实施所有示出的组件。可以替代地实施更多或更少的组件。将在下面详细描述移动终端的元件。无线通信单元110通常包括一个或多个组件，其允许移动终端100与无线通信系统或网络之间的无线电通信。例如，无线通信单元可以包括广播接收模块111、移动通信模块112、无线互联网模块113、短程通信模块114和位置信息模块115中的至少一个。广播接收模块111经由广播信道从外部广播管理服务器接收广播信号和/或广播相关信息。广播信道可以包括卫星信道和/或地面信道。广播管理服务器可以是生成并发送广播信号和/或广播相关信息的服务器或者接收之前生成的广播信号和/或广播相关信息并且将其发送给终端的服务器。广播信号可以包括TV广播信号、无线电广播信号、数据广播信号等等。而且，广播信号可以进一步包括与TV或无线电广播信号组合的广播信号。广播相关信息也可以经由移动通信网络提供，并且在该情况下，广播相关信息可以由移动通信模块112来接收。广播信号可以以各种形式存在，例如，其可以以数字多媒体广播(DMB)的电子节目指南(EPG)、数字视频广播手持(DVB-H)的电子服务指南(ESG)等等的形式而存在。广播接收模块111可以通过使用各种类型的广播系统接收信号广播。特别地，广播接收模块111可以通过使用诸如多媒体广播-地面(DMB-T)、数字多媒体广播-卫星(DMB-S)、数字视频广播-手持(DVB-H)，前向链路媒体(MediaFLO@)的数据广播系统、地面数字广播综合服务(ISDB-T)等等的数字广播系统接收数字广播。广播接收模块111本文档来自技高网...

【技术保护点】
一种恶意软件拦截方法，所述方法包括步骤：对可疑文件进行静态分析或者防御，获取到静态分析或者防御的结果；若静态分析或者防御的结果为所述可疑文件为可疑的恶意软件，则触发对所述可疑文件进行动态分析；获取到动态分析结果并上传到云端服务器中；获取所述云端服务器发送的恶意软件拦截信息，所述恶意软件拦截信息为所述云端服务器根据上传的动态分析结果和存储的恶意软件样本进行比对而生成。

【技术特征摘要】
1.一种恶意软件拦截方法，所述方法包括步骤：对可疑文件进行静态分析或者防御，获取到静态分析或者防御的结果；若静态分析或者防御的结果为所述可疑文件为可疑的恶意软件，则触发对所述可疑文件进行动态分析；获取到动态分析结果并上传到云端服务器中；获取所述云端服务器发送的恶意软件拦截信息，所述恶意软件拦截信息为所述云端服务器根据上传的动态分析结果和存储的恶意软件样本进行比对而生成。2.根据权利要求1所述的一种恶意软件拦截方法，其特征在于，所述可疑文件通过以下方式进行识别：若应用软件的信息摘要算法值或者哈希值不在特征库中，则识别该应用软件为可疑文件。3.根据权利要求1所述的一种恶意软件拦截方法，其特征在于，所述触发对所述可疑文件进行动态分析包括：将所述可疑文件载入可控且被监控的环境中，并对所述可疑文件进行动态分析。4.一种恶意软件拦截装置，所述装置包括静态分析模块、触发模块、上传模块及获取模块；所述静态分析模块，用于对可疑文件进行静态分析或者防御，获取到静态分析或者防御的结果；所述触发模块，用于若所述静态分析模块的静态分析或者防御的结果为所述可疑文件为可疑的恶意软件，则触发对所述可疑文件进行动态分析；所述上传模块，用于获取到所述触发模块的动态分析结果并上传到云端服务器中；所述获取模块，用于获取所述云端服务器发送的恶意软件拦截信息，所述恶意软件拦截信息为所述云端服务器根据上传的动态分析结果和存储的恶意软件样本进行比对而生成。5.根据权利要求4所述的一种恶意软件拦截装置，其特征在于，所述装置还包括识别模块；所述识别模块，用于若应用软件的信息摘要算法值或者哈希值不在特征库中，则识别该...

【专利技术属性】
技术研发人员：杨文峰，
申请(专利权)人：努比亚技术有限公司，
类型：发明
国别省市：广东,44