恶意软件的检测方法、装置及设备制造方法及图纸

本申请公开了一种恶意软件的检测方法、装置及设备，涉及网络安全技术领域，能够针对恶意软件进行细粒度的查杀，无需将专用查杀代码移植、集成到终端杀毒软件中，保证操作系统的稳定性。其中方法包括：将恶意软件的对抗动作抽象处理为原子操作集合，并封装至驱动模块，原子操作集合包括针对恶意软件清除过程中所有原子操作；响应于恶意软件的扫描结果，接收云服务端派发的对抗触发规则，对抗触发规则为根据恶意软件特征所设置原子操作的触发条件；通过解析对抗触发规则，按照脚本文件指导驱动模块查询出原子操作集合中目标原子操作；利用目标原子操作定位到恶意软件的位置信息，并根据位置信息清除所述恶意软件执行的恶意代码。据位置信息清除所述恶意软件执行的恶意代码。据位置信息清除所述恶意软件执行的恶意代码。

【技术实现步骤摘要】
恶意软件的检测方法、装置及设备


[0001]本申请涉及网络安全
，尤其是涉及到一种恶意软件的检测方法、装置及设备。

技术介绍

[0002]近年来，随着互联网技术的不断发展，以窃取计算机控制和敏感信息为目标的程序迅速增加，特别是近些年来针对Linux系统的各种恶意软件在不断地更新。
[0003]现有的计算机操作系统在权限划分时使用“高权限”和“低权限”两个概念来区分不同的系统权限等级。Ring0表示高权限(系统权限)，Ring3表示低权限(用户权限)，一般来说，客户端针对恶意软件的查杀引擎以及恶意行为拦截模块等工作均在高权限状态，这些模块通常以第三方驱动或内核扩展形态呈现。随着攻防技术的发展，如果计算机病毒或恶意软件携带了驱动级组件，则说明出现了高级恶意软件，Rootkit作为高级恶意软件中的一种，在攻击系统的过程中，通常与反病毒软件具有相同的系统权限和操作能力，一方面可以使用访问重定向等手段干扰、阻断扫描过程，使得反病毒软件无法准确鉴别出Rootkit的存在，另一方面可以使用回写回复、访问拒绝等手段干扰、阻断清除过程，使得反病毒软件无法删除已发现的Rootkit。
[0004]鉴于Rootkit的独特性，针对代码处理基本都是逐个执行，相关技术中可以使用专用查杀工具来处理，而专用查杀工具需要足够专业知识去指导对抗Rootkit，大部分用户不具备Rootkit行为判定和恶意软件家族鉴别等专业能力，很难准确检测到Rootkit。为了进一步检测Rootkit，可将Rootkit的专用查杀代码移植、集成到终端杀毒软件中，但是如果在终端杀毒软件中为大量用户开启Rootkit对抗功能，针对高权限代码的任何错误都导致操作系统的崩溃，极大增强了操作系统的不稳定性。

技术实现思路

[0005]有鉴于此，本申请提供了一种恶意软件的检测方法、装置及设备，主要目的在于解决现有技术恶意软件的检测过程中大量用户开启Rootkit对抗功能会导致操作系统不稳定的问题。
[0006]根据本申请的第一个方面，提供了一种恶意软件的检测方法，应用于客户端，该方法包括：
[0007]将恶意软件的对抗动作抽象处理为原子操作集合，并封装至驱动模块，所述原子操作集合包括针对恶意软件清除过程中所有原子操作；
[0008]响应于恶意软件的扫描结果，接收云服务端派发的对抗触发规则，所述对抗触发规则为根据恶意软件特征所设置原子操作的触发条件，所述对抗触发规则以脚本文件形式描述；
[0009]通过解析所述对抗触发规则，按照所述脚本文件指导所述驱动模块查询出所述原子操作集合中目标原子操作；
[0010]利用所述目标原子操作定位到恶意软件的位置信息，并根据所述位置信息清除所述恶意软件执行的恶意代码。
[0011]进一步地，在所述响应于恶意软件的扫描结果，接收云服务端派发的对抗触发规则之前，所述方法还包括：
[0012]按照预设周期扫描恶意软件，将所述扫描结果发送至云服务端，以使得云服务端根据所述扫描结果确定恶意软件的执行级别，并派发符合执行级别的对抗触发规则；
[0013]所述响应于恶意软件的扫描结果，接收云服务端派发符合执行级别的对抗触发规则，具体包括：
[0014]响应于恶意软件的扫描结果，接收云服务端派发符合执行级别的对抗触发规则。
[0015]进一步地，所述将恶意软件的对抗动作抽象处理为原子操作集合，并封装至驱动模块，具体包括：
[0016]获取针对恶意软件清除过程中涉及的对抗动作，所述对抗动作至少包括检测和删除动作；
[0017]针对所述对抗动作进行量化、去重处理为原子操作集合，并封装至驱动模块。
[0018]进一步地，在所述根据所述位置信息清除所述恶意软件执行的恶意代码之前，所述方法还包括：
[0019]根据所述位置信息采集所述恶意软件执行的恶意代码；
[0020]通过接入预设远程接口，将所述恶意代码作为恶意样本数据回传至云服务端进行清除干预。
[0021]根据本申请的第二个方面，提供了一种恶意软件的检测方法，应用于云服务端，该方法包括：
[0022]针对恶意软件的恶意特征，获取恶意软件清除过程中所有原子操作的触发条件；
[0023]将所述原子操作的触发条件整理为对抗触发规则集，所述对抗触发规则集中的对抗触发规则以脚本文件形式描述；
[0024]当接收到恶意软件的扫描结果，向客户端派发对抗触发规则。
[0025]进一步地，在所述将所述原子操作的触发条件整理为对抗触发规则集之后，所述方法还包括：
[0026]根据不同客户端的属性特征为所述对抗触发规则集中的对抗触发规则设置执行级别；
[0027]所述当接收到恶意软件的扫描结果，向客户端派发对抗触发规则，具体包括：
[0028]当接收到恶意软件的扫描结果，向客户端派发符合执行级别的对抗触发规则。
[0029]进一步地，在所述当接收到恶意软件的扫描结果，根据所述扫描结果向客户端派发符合执行级别的对抗触发规则之前，所述方法还包括：
[0030]利用预设时间内恶意软件样本的爆发情况，从所述对抗触发规则集中筛选目标对抗触发规则，所述目标对抗触发规则为恶意软件样本清除过程中所有原子操作的触发条件；
[0031]向客户端派发目标对抗触发规则。
[0032]进一步地，在所述将所述原子操作的触发条件整理为对抗触发规则集之后，所述方法还包括：
[0033]针对所述对抗触发规则集中的对抗触发规则进行在离线测试环境进行功能验证。
[0034]根据本申请的第三个方面，提供了一种客户端，该客户端包括：
[0035]处理单元，用于将恶意软件的对抗动作抽象处理为原子操作集合，并封装至驱动模块，所述原子操作集合包括针对恶意软件清除过程中所有原子操作；
[0036]接收单元，用于响应于恶意软件的扫描结果，接收云服务端派发的对抗触发规则，所述对抗触发规则为根据恶意软件特征所设置原子操作的触发条件，所述对抗触发规则以脚本文件形式描述；
[0037]查询单元，用于通过解析所述对抗触发规则，按照所述脚本文件指导所述驱动模块查询出所述原子操作集合中目标原子操作；
[0038]清除单元，用于利用所述目标原子操作定位到恶意软件的位置信息，并根据所述位置信息清除所述恶意软件执行的恶意代码。
[0039]进一步地，所述装置还包括：
[0040]扫描单元，用于在所述响应于恶意软件的扫描结果，接收云服务端派发的对抗触发规则之前，按照预设周期扫描恶意软件，将所述扫描结果发送至云服务端，以使得云服务端根据所述扫描结果确定恶意软件的执行级别，并派发符合执行级别的对抗触发规则；
[0041]所述接收单元，具体用于响应于恶意软件的扫描结果，接收云服务端派发符合执行级别的对抗触发规则。
[0042]进一步地，所述处理单元包括：
[0043]获取模块，用于获取针对恶意软件清除过程中涉及的本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种恶意软件的检测方法，应用于客户端，其特征在于，包括：将恶意软件的对抗动作抽象处理为原子操作集合，并封装至驱动模块，所述原子操作集合包括针对恶意软件清除过程中所有原子操作；响应于恶意软件的扫描结果，接收云服务端派发的对抗触发规则，所述对抗触发规则为根据恶意软件特征所设置原子操作的触发条件，所述对抗触发规则以脚本文件形式描述；通过解析所述对抗触发规则，按照所述脚本文件指导所述驱动模块查询出所述原子操作集合中目标原子操作；利用所述目标原子操作定位到恶意软件的位置信息，并根据所述位置信息清除所述恶意软件执行的恶意代码。2.根据权利要求1所述的方法，其特征在于，在所述响应于恶意软件的扫描结果，接收云服务端派发的对抗触发规则之前，所述方法还包括：按照预设周期扫描恶意软件，将所述扫描结果发送至云服务端，以使得云服务端根据所述扫描结果确定恶意软件的执行级别，并派发符合执行级别的对抗触发规则；所述响应于恶意软件的扫描结果，接收云服务端派发符合执行级别的对抗触发规则，具体包括：响应于恶意软件的扫描结果，接收云服务端派发符合执行级别的对抗触发规则。3.根据权利要求1所述的方法，其特征在于，所述将恶意软件的对抗动作抽象处理为原子操作集合，并封装至驱动模块，具体包括：获取针对恶意软件清除过程中涉及的对抗动作，所述对抗动作至少包括检测和删除动作；针对所述对抗动作进行量化、去重处理为原子操作集合，并封装至驱动模块。4.根据权利要求1
‑
3中任一项所述的方法，其特征在于，在所述根据所述位置信息清除所述恶意软件执行的恶意代码之前，所述方法还包括：根据所述位置信息采集所述恶意软件执行的恶意代码；通过接入预设远程接口，将所述恶意代码作为恶意样本数据回传至云服务端进行清除干预。5.一种恶意软件的检测方法，应用于云服务端，其特征在于，包括：针对恶意软件的恶意特征，获取恶意软件清除过程中所有原子操作的触发条件；将所述原子操作的触发条件整理为对抗触发规则集，所述对抗触发规则集中的对抗触发规则以脚本文件形式描述；当接收到恶意软件的扫描结果，向客户端派发对抗触发...

【专利技术属性】
技术研发人员：王宇，陈宇森，李福，段定龙，
申请(专利权)人：杭州薮猫科技有限公司，
类型：发明
国别省市：