一種惡意軟件攔截方法、裝置及終端制造方法及圖紙

本發明專利技術公開了一種惡意軟件攔截方法、裝置及終端，該方法包括步驟：對可疑文件進行靜態分析或者防御，獲取到靜態分析或者防御的結果；若靜態分析或者防御的結果為所述可疑文件為可疑的惡意軟件，則觸發對所述可疑文件進行動態分析；獲取到動態分析結果并上傳到云端服務器中；獲取所述云端服務器發送的惡意軟件攔截信息，所述惡意軟件攔截信息為所述云端服務器根據上傳的動態分析結果和存儲的惡意軟件樣本進行比對而生成。本發明專利技術公開的惡意軟件攔截方法、裝置及終端，可以在發現威脅的終端上將其攔截，防止進一步擴散到其他系統并對終端造成嚴重危害。使“零號病人”免于損失系統中所有的資料。而且，攔截的過程耗費時間非常短，且不需要人工干預。

Malicious software intercepting method, device and terminal

The invention discloses a malware blocking method, and terminal device, the method comprises the following steps: static analysis or defense of suspicious files, access to the results of static analysis or defense; if the static analysis results for the defense or the suspicious file for suspicious malware, triggering the dynamic analysis on the suspicious files; access to the dynamic analysis results and uploaded to the cloud server; acquiring and sending the cloud server malware to intercept information, the malicious software to intercept information for the cloud server to compare the results of dynamic storage and upload malware samples generated. The invention discloses a malicious software intercepting method, a device and a terminal, which can intercept the detected terminal to prevent further spreading to other systems and cause serious harm to the terminal. Keep zero patient free from all the data in the system. Moreover, the interception process takes a very short time and does not require manual intervention.

【技術實現步驟摘要】
一種惡意軟件攔截方法、裝置及終端
本專利技術涉及網絡安全
，尤其涉及一種惡意軟件攔截方法、裝置及終端。
技術介紹
程序靜態分析(ProgramStaticAnalysis)是指在不運行代碼的方式下，通過詞法分析、語法分析、控制流、數據流分析等技術對程序代碼進行掃描，驗證代碼是否滿足規范性、安全性、可靠性、可維護性等指標的一種代碼分析技術。目前靜態分析技術向模擬執行的技術發展以能夠發現更多傳統意義上動態測試才能發現的缺陷，例如符號執行、抽象解釋、值依賴分析等等并采用數學約束求解工具進行路徑約減或者可達性分析以減少誤報增加效率。“零日漏洞”(zero-day)又叫零時差攻擊，是指被發現后立即被惡意利用的安全漏洞。通俗地講，即安全補丁與瑕疵曝光的同一日內，相關的惡意程序就出現。這種攻擊往往具有很大的突發性與破壞性。在實現本專利技術的過程中，專利技術人發現現有技術至少存在以下問題：靜態分析可以捕捉到一些零日漏洞，但卻不能捕捉到所有零日漏洞。如果黑客通過精心設計，利用合法應用來發動攻擊(比如：隱藏在合法word文檔里宏命令的網絡釣魚攻擊)，哪怕是最優秀的純靜態分析防御也無法捕捉到。
技術實現思路
本專利技術的主要目的在于提出一種惡意軟件攔截方法、裝置及終端，旨在解決現有技術存在的問題。為實現上述目的，本專利技術實施例第一方面提供一種惡意軟件攔截方法，所述方法包括步驟：對可疑文件進行靜態分析或者防御，獲取到靜態分析或者防御的結果；若靜態分析或者防御的結果為所述可疑文件為可疑的惡意軟件，則觸發對所述可疑文件進行動態分析；獲取到動態分析結果并上傳到云端服務器中；獲取所述云端服務器發送的惡意軟件攔截信息，所述惡意軟件攔截信息為所述云端服務器根據上傳的動態分析結果和存儲的惡意軟件樣本進行比對而生成。此外，為實現上述目的，本專利技術實施例第二方面提供一種惡意軟件攔截裝置，所述裝置包括靜態分析模塊、觸發模塊、上傳模塊及獲取模塊；所述靜態分析模塊，用于對可疑文件進行靜態分析或者防御，獲取到靜態分析或者防御的結果；所述觸發模塊，用于若所述靜態分析模塊的靜態分析或者防御的結果為所述可疑文件為可疑的惡意軟件，則觸發對所述可疑文件進行動態分析；所述上傳模塊，用于獲取到所述觸發模塊的動態分析結果并上傳到云端服務器中；所述獲取模塊，用于獲取所述云端服務器發送的惡意軟件攔截信息，所述惡意軟件攔截信息為所述云端服務器根據上傳的動態分析結果和存儲的惡意軟件樣本進行比對而生成。此外，為實現上述目的，本專利技術實施例第三方面提供一種終端，所述終端包括發送模塊、接收模塊及處理器；所述處理器用于對所述終端的可疑文件進行靜態分析或者防御，獲取到靜態分析或者防御的結果；若靜態分析或者防御的結果為所述可疑文件為可疑的惡意軟件，則觸發對所述可疑文件進行動態分析；所述發送模塊，用于將所述處理器的動態分析結果上傳到云端服務器中；所述接收模塊，用于接收所述云端服務器發送的惡意軟件攔截信息，所述惡意軟件攔截信息為所述云端服務器根據上傳的動態分析結果和存儲的惡意軟件樣本進行比對而生成。再者，為實現上述目的，本專利技術實施例第四方面提供一種惡意軟件攔截方法，所述方法包括步驟：接收終端上傳的動態分析結果，其中動態分析結果為所述終端對可疑文件進行靜態分析或者防御，獲取到靜態分析或者防御的結果；若靜態分析或者防御的結果為所述可疑文件為可疑的惡意軟件，則觸發對所述可疑文件進行動態分析并生成的；將上傳的動態分析結果和存儲的惡意軟件樣本進行比對并生成惡意軟件攔截信息；將所述生成的惡意軟件攔截信息發送給所述終端。本專利技術實施例提供的惡意軟件攔截方法、裝置及終端，可以在發現威脅的終端上將其攔截，防止進一步擴散到其他系統并對終端造成嚴重危害。使“零號病人”免于損失系統中所有的資料。而且，攔截的過程耗費時間非常短，且不需要人工干預。附圖說明圖1為實現本專利技術各個實施例的移動終端的硬件結構示意圖；圖2為如圖1所示的移動終端的無線通信系統示意圖；圖3為本專利技術第一實施例提供的惡意軟件攔截方法流程示意圖；圖4為本專利技術第二實施例提供的惡意軟件攔截裝置結構示意圖；圖5為本專利技術第二實施例提供的惡意軟件攔截裝置另一結構示意圖；圖6為本專利技術第二實施例提供的惡意軟件攔截裝置中觸發模塊結構示意圖；圖7為本專利技術第三實施例提供的終端結構示意圖；圖8為本專利技術第四實施例提供的惡意軟件攔截方法流程示意圖。本專利技術目的的實現、功能特點及優點將結合實施例，參照附圖做進一步說明。具體實施方式應當理解，此處所描述的具體實施例僅僅用以解釋本專利技術，并不用于限定本專利技術。現在將參考附圖描述實現本專利技術各個實施例的移動終端。在后續的描述中，使用用于表示元件的諸如“模塊”、“部件”或“單元”的后綴僅為了有利于本專利技術的說明，其本身并沒有特定的意義。因此，"模塊"與"部件"可以混合地使用。移動終端可以以各種形式來實施。例如，本專利技術中描述的終端可以包括諸如移動電話、智能電話、筆記本電腦、數字廣播接收器、PDA(個人數字助理)、PAD(平板電腦)、PMP(便攜式多媒體播放器)、導航裝置等等的移動終端以及諸如數字TV、臺式計算機等等的固定終端。下面，假設終端是移動終端。然而，本領域技術人員將理解的是，除了特別用于移動目的的元件之外，根據本專利技術的實施方式的構造也能夠應用于固定類型的終端。圖1為實現本專利技術各個實施例的移動終端的硬件結構示意。移動終端100可以包括無線通信單元110、A/V(音頻/視頻)輸入單元120、用戶輸入單元130、感測單元140、輸出單元150、存儲器160、接口單元170、控制器180和電源單元190等等。圖1示出了具有各種組件的移動終端，但是應理解的是，并不要求實施所有示出的組件。可以替代地實施更多或更少的組件。將在下面詳細描述移動終端的元件。無線通信單元110通常包括一個或多個組件，其允許移動終端100與無線通信系統或網絡之間的無線電通信。例如，無線通信單元可以包括廣播接收模塊111、移動通信模塊112、無線互聯網模塊113、短程通信模塊114和位置信息模塊115中的至少一個。廣播接收模塊111經由廣播信道從外部廣播管理服務器接收廣播信號和/或廣播相關信息。廣播信道可以包括衛星信道和/或地面信道。廣播管理服務器可以是生成并發送廣播信號和/或廣播相關信息的服務器或者接收之前生成的廣播信號和/或廣播相關信息并且將其發送給終端的服務器。廣播信號可以包括TV廣播信號、無線電廣播信號、數據廣播信號等等。而且，廣播信號可以進一步包括與TV或無線電廣播信號組合的廣播信號。廣播相關信息也可以經由移動通信網絡提供，并且在該情況下，廣播相關信息可以由移動通信模塊112來接收。廣播信號可以以各種形式存在，例如，其可以以數字多媒體廣播(DMB)的電子節目指南(EPG)、數字視頻廣播手持(DVB-H)的電子服務指南(ESG)等等的形式而存在。廣播接收模塊111可以通過使用各種類型的廣播系統接收信號廣播。特別地，廣播接收模塊111可以通過使用諸如多媒體廣播-地面(DMB-T)、數字多媒體廣播-衛星(DMB-S)、數字視頻廣播-手持(DVB-H)，前向鏈路媒體(MediaFLO@)的數據廣播系統、地面數字廣播綜合服務(ISDB-T)等等的數字廣播系統接收數字廣播。廣播接收模塊111本文檔來自技高網...

【技術保護點】
一種惡意軟件攔截方法，所述方法包括步驟：對可疑文件進行靜態分析或者防御，獲取到靜態分析或者防御的結果；若靜態分析或者防御的結果為所述可疑文件為可疑的惡意軟件，則觸發對所述可疑文件進行動態分析；獲取到動態分析結果并上傳到云端服務器中；獲取所述云端服務器發送的惡意軟件攔截信息，所述惡意軟件攔截信息為所述云端服務器根據上傳的動態分析結果和存儲的惡意軟件樣本進行比對而生成。

【技術特征摘要】
1.一種惡意軟件攔截方法，所述方法包括步驟：對可疑文件進行靜態分析或者防御，獲取到靜態分析或者防御的結果；若靜態分析或者防御的結果為所述可疑文件為可疑的惡意軟件，則觸發對所述可疑文件進行動態分析；獲取到動態分析結果并上傳到云端服務器中；獲取所述云端服務器發送的惡意軟件攔截信息，所述惡意軟件攔截信息為所述云端服務器根據上傳的動態分析結果和存儲的惡意軟件樣本進行比對而生成。2.根據權利要求1所述的一種惡意軟件攔截方法，其特征在于，所述可疑文件通過以下方式進行識別：若應用軟件的信息摘要算法值或者哈希值不在特征庫中，則識別該應用軟件為可疑文件。3.根據權利要求1所述的一種惡意軟件攔截方法，其特征在于，所述觸發對所述可疑文件進行動態分析包括：將所述可疑文件載入可控且被監控的環境中，并對所述可疑文件進行動態分析。4.一種惡意軟件攔截裝置，所述裝置包括靜態分析模塊、觸發模塊、上傳模塊及獲取模塊；所述靜態分析模塊，用于對可疑文件進行靜態分析或者防御，獲取到靜態分析或者防御的結果；所述觸發模塊，用于若所述靜態分析模塊的靜態分析或者防御的結果為所述可疑文件為可疑的惡意軟件，則觸發對所述可疑文件進行動態分析；所述上傳模塊，用于獲取到所述觸發模塊的動態分析結果并上傳到云端服務器中；所述獲取模塊，用于獲取所述云端服務器發送的惡意軟件攔截信息，所述惡意軟件攔截信息為所述云端服務器根據上傳的動態分析結果和存儲的惡意軟件樣本進行比對而生成。5.根據權利要求4所述的一種惡意軟件攔截裝置，其特征在于，所述裝置還包括識別模塊；所述識別模塊，用于若應用軟件的信息摘要算法值或者哈希值不在特征庫中，則識別該...

【專利技術屬性】
技術研發人員：楊文峰，
申請(專利權)人：努比亞技術有限公司，
類型：發明
國別省市：廣東,44