WO2016095479A1

WO2016095479A1 - 一种病毒处理方法、装置、***、设备和计算机存储介质

Info

Publication number: WO2016095479A1
Application number: PCT/CN2015/082604
Authority: WO
Inventors: 邹荣新; 梅银明; 项柱; 胡汉中
Original assignee: 百度在线网络技术（北京）有限公司
Priority date: 2014-12-19
Filing date: 2015-06-29
Publication date: 2016-06-23
Also published as: CN104573515A; JP6644001B2; EP3236381A1; JP2017511923A; US10192053B2; EP3236381B1; KR20160125960A; US20170316206A1; EP3236381A4

Abstract

一种病毒处理方法、装置、***、设备和计算机存储介质，客户端将扫描日志上报给云端服务平台，和/或在根据扫描日志鉴定出病毒家族信息后将病毒家族信息上报给云端服务平台。云端服务平台对扫描日志进行鉴定后得到的病毒家族信息，和/或接收到来自客户端的病毒家族信息后，将病毒家族信息对应的病毒清除指令下发给客户端，供客户端执行病毒清除指令。这种由云端针对病毒家族信息进行病毒清除指令下发的方式，相比较单纯由客户端进行行为分析和删除文件的方式，对病毒的处理更加个性化和精准，提高了机器***的安全性。

Description

一种病毒处理方法、装置、***、设备和计算机存储介质

本申请要求了申请日为2014年12月19日，申请号为201410802502.6发明名称为“一种病毒处理方法、装置和***”的中国专利申请的优先权。

技术领域

本发明涉及计算机应用技术领域，特别涉及一种病毒处理方法、装置、***、设备和计算机存储介质。

背景技术

随着互联网的快速发展，基于病毒模式聚集网站流量，并通过流量广告变现的灰色产业利益链已经形成。每日新增的流氓软件已经数以百计，使用各种猥琐的技术，通过进程、注册表、文件等方式相互捆绑或守护，不断更新病毒体的行为特征，防止杀毒软件进行查杀。

目前互联网式病毒文件流行的方式是：通过云端控制指令在机器***修改用户默认的浏览器主页以及搜索引擎，修改关键词搜索排名，劫持浏览器弹出广告，恶意篡改桌面快捷方式关联，安装用户不需要的浏览器插件恶意软件，窃取用户的隐私内容等。而传统的杀毒软件主要查杀文件的恶意行为，发现恶意行为时删除相应的文件。当遇到这类互联网式病毒文件时，单纯在机器***的客户端进行行为分析和删除文件往往无法完全清除病毒体，机器***安全性较差。

发明内容

有鉴于此，本发明提供了一种病毒处理方法、装置、***、设备和计算机存储介质，以便于提高机器***的安全性。

具体技术方案如下：

本发明提供了一种病毒处理方法，该方法包括：

确定客户端扫描的病毒体行为所对应的病毒家族信息；

根据病毒家族信息与病毒清除指令之间的对应关系，将确定的病毒家族信息所对应的病毒清除指令下发给所述客户端，以供所述客户端执行所述病毒清除指令进行病毒体的清除。

根据本发明一优选实施方式，所述确定客户端扫描的病毒体行为所对应的病毒家族信息包括：

接收所述客户端上报的扫描日志，所述扫描日志包含所述客户端扫描的病毒体行为信息；

将所述病毒体行为信息与云端的行为链脚本库进行匹配，确定恶意病毒体行为对应的病毒家族信息，其中所述行为链脚本库包含病毒家族的恶意病毒体行为信息。

接收所述客户端上报的鉴定结果；

从所述鉴定结果中获取病毒家族信息，所述病毒家族信息是所述客户端将扫描的病毒体行为信息与客户端本地的行为链脚本库进行匹配后确定的，其中所述行为链脚本库包含病毒家族的恶意病毒体行为信息。

根据本发明一优选实施方式，该方法还包括：

对客户端上报的扫描日志进行分析得到更新病毒体行为信息；

利用更新病毒体行为信息更新云端的行为链脚本库。

根据本发明一优选实施方式，如果将扫描日志包含的病毒体行为信息与云端的行为链脚本库进行匹配确定出的病毒家族信息与从所述鉴定结果中获取的病毒家族信息不一致，则采用将扫描日志包含的病毒体行为信息与云端的行为链脚本库进行匹配确定出的病毒家族信息来确定下发的病毒清除指令，或者采用人为鉴定出的病毒家族信息来确定下发的病毒清除指令

根据本发明一优选实施方式，所述病毒体行为信息为对以下内容中的至少一种进行扫描后得到的行为信息：

进程、加载模块、驱动、服务、Rootkit、启动项、IE相关的项目、引导病毒、***目录、桌面目录、开始菜单、常用软件、脚本、***组件、登录部分、***启动项等。

根据本发明一优选实施方式，所述病毒清除指令包括以下操作的指令：

锁定默认主页、修改默认浏览器搜索主页、下载指定工具软件或清除恶意病毒体行为的关联内容。

本发明还提供了一种病毒处理方法，该方法包括：

扫描病毒体行为；

将扫描日志上报云端服务平台；和/或，利用本地的行为链脚本库，对所述病毒体行为进行鉴定，如果鉴定出恶意病毒体行为，则将恶意病毒体行为对应的病毒家族信息上报给云端服务平台，其中所述行为链脚本库包含病毒家族的恶意病毒体行为信息；

接收并执行所述云端服务平台下发的病毒清除指令。

根据本发明一优选实施方式，该方法还包括：如果鉴定出恶意病毒体行为，则清除恶意病毒体行为的关联内容。

根据本发明一优选实施方式，该方法还包括：

加载云端的行为链脚本库，利用云端的行为链脚本库更新所述本地的行为链脚本库。

本发明还提供了一种病毒处理装置，该装置包括：

病毒确定单元，用于确定客户端扫描的病毒体行为所对应的病毒家族信息；

指令下发单元，用于根据病毒家族信息与病毒清除指令之间的对应关系，将所述病毒确定单元确定的病毒家族信息所对应的病毒清除指令下发给所述客户端，以供所述客户端执行所述病毒清除指令进行病毒体的清除。

根据本发明一优选实施方式，所述病毒确定单元包括：

第一接收子单元，用于接收所述客户端上报的扫描日志，所述扫描日志包含所述客户端扫描的病毒体行为信息；

匹配子单元，用于将所述病毒体行为信息与云端的行为链脚本库进行匹配，确定恶意病毒体行为对应的病毒家族信息，其中所述行为链脚本库包含病毒家族的恶意病毒体行为信息。

根据本发明一优选实施方式，所述病毒确定单元包括：

第二接收子单元，用于接收所述客户端上报的鉴定结果；

获取子单元，用于从所述鉴定结果中获取病毒家族信息，所述病毒家族信息是所述客户端将扫描的病毒体行为信息与客户端本地的行为链脚本库进行匹配后确定的，其中所述行为链脚本库包含病毒家族的恶意病毒体行为信息。

根据本发明一优选实施方式，该装置还包括：

联合分析单元，用于对客户端上报的扫描日志进行分析得到更新病毒体行为信息；

库更新单元，用于利用更新病毒体行为信息更新云端的行为链脚本库。

根据本发明一优选实施方式，如果所述匹配子单元确定出的病毒家族信息与所述获取子单元获取的病毒家族信息不一致，则所述指令下发单元采用所述匹配子单元确定出的病毒家族信息来确定下发的病毒清楚指令，或者采用人为鉴定出的病毒家族信息来确定下发的病毒清除指令。

本发明还提供了一种病毒处理装置，该装置包括：日志上报单元和病毒鉴定单元中的至少一个、行为扫描单元以及指令处理单元；

所述行为扫描单元，用于扫描病毒体行为；

所述日志上报单元，用于将扫描日志上报云端服务平台；

所述病毒鉴定单元，用于利用本地的行为链脚本库，对所述病毒体行为进行鉴定，如果鉴定出恶意病毒体行为，则将恶意病毒体行为对应的病毒家族信息上报给云端服务平台，其中所述行为链脚本库包含病毒家族的恶意病毒体行为信息；

所述指令处理单元，用于接收并执行所述云端服务平台下发的病毒清除指令。

根据本发明一优选实施方式，该装置还包括：

病毒清除单元，用于如果所述病毒鉴定单元鉴定出恶意病毒体行为，则清除恶意病毒体行为的关联内容。

根据本发明一优选实施方式，该装置还包括：

库更新单元，用于加载云端的行为链脚本库，利用云端的行为链脚本库更新所述本地的行为链脚本库。

本发明还提供了一种病毒处理的***，该***包括：客户端和云端处理平台；

所述云端处理平台包括上述第一种装置；

所述客户端包括上述第二种装置。

由以上技术方案可以看出，在本发明中客户端将扫描日志上报给云端服务平台，和/或在根据扫描日志鉴定出病毒家族信息后将病毒家族信息上报给云端服务平台。云端服务平台对扫描日志进行鉴定后得到的病毒家族信息，和/或接收到来自客户端的病毒家族信息后，将病毒家族信息对应的病毒清除指令下发给客户端，供客户端执行病毒清除指令。本发明这种由云端针对病毒家族信息进行病毒清除指令下发的方式，相比较单纯由客户端进行行为分析和删除文件的方式，对病毒的处理更加个性化和精准，提高了机器***的安全性。

附图说明

图1为本发明实施例提供的***结构图；

图2为本发明实施例提供的客户端执行的病毒处理方法流程图；

图3为本发明实施例提供的云端服务平台执行的病毒处理方法流程图；

图4为本发明实施例提供的一种装置结构图；

图5为本发明实施例提供的另一种装置结构图。

具体实施方式

为了使本发明的目的、技术方案和优点更加清楚，下面结合附图和具体实施例对本发明进行详细描述。

本发明实施例主要基于如图1中所示的***，该***中包括客户端和云端服务平台，其中客户端可以设置于诸如PC、手机、平板电脑等机器***中，负责该机器***的安全。

其中在本发明实施例中，客户端可以具备以下功能：

1)扫描病毒体行为，这是客户端最基本的功能。在此说明本发明实施例中涉及的几个概念：“病毒体”指的是病毒母体，即病毒传播的初始文件，母体执行后会产生各种子文件及其相关行为，病毒母体本身的文件并不一定都是恶意的。“恶意病毒体”指的是恶意病毒母体，即本身能释放出恶意子文件或恶意的网络行为。“病毒体行为”包括病毒母体可能的所有行为，例如病毒体行为可以是对以下内容进行扫描后得到的行为信息：进程、加载模块、驱动、服务、Rootkit(Rootkit是指其主要功能为隐藏其他程式进程的软件，可能是一个或一个以上的软件组合)、启动项、IE相关的项目、引导病毒、***目录、桌面目录、开始菜单、常用软件、脚本、***组件、登录部分、***启动项等。“恶意病毒体行为”为恶意病毒母体的行为。

2)将扫描日志上报云端服务平台，该扫描日志包含该客户端扫描的病毒体行为信息，上报给云端服务平台供其进行分析。

3)利用本地的行为链脚本库，对病毒体行为进行鉴定。其中行为链脚本库包含病毒家族的恶意病毒体行为信息，将客户端扫描的病毒体行为信息与行为链脚本库进行匹配，以确定扫描的病毒体行为是否为恶意病毒体行为，并可以进一步确定出病毒家族信息。其中，“病毒家族”指的是一组行为相似的恶意病毒体的统称，属于同一病毒家族的恶意病毒体通常属于同一制作者或者来源于同一病毒源文件(例如由同一病毒源文件修改得到)。例如，在行为链脚本库中，将属于同一病毒家族的恶意病毒体行为信息进行了整合，通过恶意病毒体行为能够确定出其对应的病毒家族信息。

另外，客户端本地的行为链脚本库可以是加载云端服务平台的行为链脚本库后存储于本地得到的。举例来说，客户端可以周期性地从云端服务平台加载行为链脚本库并对本地的行为链脚本库进行更新，即下述的功能6)。

4)如果鉴定出恶意病毒体行为，则将恶意病毒体行为对应的病毒家族信息上报给云端服务平台。这里的病毒家族信息可以是诸如病毒家族ID(标识)等信息。也就是说，如果客户端本地已经鉴定得到病毒家族ID，则将病毒家族ID直接上报给云端服务平台。

5)如果鉴定出恶意病毒体行为，则清除该客户端所在机器***中的恶意病毒体行为的关联内容。除了上报病毒家族信息之外，在客户端本地可以存在病毒清除的机制，清除客户端所在机器***中恶意病毒体行为的关联内容，诸如：停止恶意病毒体的服务，删除恶意病毒体的文件，删除恶意病毒体的注册表项或相关活动项，修复浏览器默认主页。在进行上述清除处理之后，还可以进一步对可能影响机器***运行的文件进行初始化修复处理，即将其恢复至初始状态，从而确保机器***能够正常工作。

6)加载云端的行为链脚本库，利用云端的行为链脚本库更新本地的行为链脚本库。

云端服务平台可以具备以下功能：

1)确定客户端扫描的病毒体行为所对应的病毒家族信息。在此，本功能的实现可以采用以下两种方式：

第一种方式、接收客户端上报的扫描日志，该扫描日志包含了客户端扫描的病毒体行为信息，将该病毒体行为信息与云端的行为链脚本库进行匹配，确定恶意病毒体行为信息对应的病毒家族信息。同样，该行为链脚本库中也包含病毒家族的恶意病毒体行为信息。该行为链脚本库是由各机器***中客户端上报的扫描日志进行分析后得到的，也可以结合人工分析和设置的因素。

第二种方式、直接接收客户端上报的鉴定结果，该鉴定结果中包含客户端将扫描的病毒体行为信息与客户端本地的行为链脚本库进行匹配后确定的病毒家族信息。

2)根据病毒家族信息与病毒清除指令之间的对应关系，将病毒家族信息所对应的病毒清除指令下发给客户端。在云端服务平台中维护着病毒家族信息与病毒清除指令之间的对应关系，这些病毒清除指令用于指导客户端进行操作以对相应病毒家族的行为进行清除。这一对应关系可以采用人工设置的方式。

上述的病毒清除指令可以包括但不限于：锁定默认主页的指令、修改默认浏览器搜索主页的指令或者下载指定工具软件等。上述指定工具软件可以是诸如安全卫士软件、***修复小工具、恶意插件清除工具、浏览器保护工具等。

上述病毒家族信息对应的病毒清除指令是云端可配置的，可以根据实时捕获的流行病毒行为分析，增加或调整对应病毒清除指令。

也就是说，云端服务平台能够有针对性地给予客户端以清除一类病毒的指导意见，避免了客户端只有单纯地删除文件所带来的无法完全清除病毒体的问题。

3)对各机器***的客户端上报的扫描日志进行联合分析得到更新病毒体行为，利用更新病毒体行为更新云端的行为链脚本库。

下面结合具体实施例对客户端和云端服务平台所执行的方法流程进行描述。图2为本发明实施例提供的客户端执行的病毒处理方法流程图，如图2中所示，该流程主要包括以下步骤：

在201中，客户端扫描机器***中的病毒体行为，例如扫描进程、加载模块、驱动、服务、Rootkit、启动项、IE相关的项目、引导病毒、 ***目录、桌面目录、开始菜单、常用软件、脚本、***组件、登录部分、***启动项等。

在202中，客户端将扫描日志上报给云端服务平台。

在203中客户端利用本地的行为链脚本库对扫描的病毒体行为进行鉴定，如果鉴定出恶意病毒体行为，则执行204，图2中仅示出该种情况，如果未鉴定出恶意病毒体行为，则监听客户端与云端服务平台进行通信的接口。需要说明的是，监听客户端与云端服务平台进行通信的接口并不一定是未鉴定出恶意病毒体行为后才执行的操作，也可以保持持续监听。

需要说明的是，上述步骤202和203可以以任意的顺序先后执行，也可以同时执行。图2仅是其中一种执行顺序。

由于行为链脚本库中包含的是病毒家族的恶意病毒体行为信息，因此可以将客户端扫描的病毒体行为与行为链脚本库进行匹配，这里的匹配可以是行为特征的匹配，也可以是脚本的匹配等，如果存在一致的行为特征或脚本，则确定鉴定出恶意病毒体行为，确定该恶意病毒体行为对应的病毒家族信息。

在204中，将恶意病毒体行为对应的病毒家族信息上报给云端服务平台。客户端在上报病毒家族信息时，可以同时上报所在机器***的信息，例如GUID(Globally Unique Identifier，全局唯一标识符)，以便云端服务平台能够区分上报信息的机器***。

在205中，由于鉴定出了恶意病毒体行为，因此在客户端可以对恶意病毒体行为的关联内容进行清除。上述204和205可以按照任意的顺序先后执行，也可以同时执行，图2仅为其中一种执行顺序。在204之后，客户端开始监听客户端与云端服务平台进行通信的接口，一旦监听到云端服务平台下发的病毒清除指令，则执行206，即接收并执行云端服务平台下发的病毒清除指令。

图3为本发明实施例提供的云端服务平台执行的病毒处理方法流程图，如图3中所示，该流程可以包括以下步骤：

在301中，云端服务平台接收客户端上报的扫描日志，该扫描日志包含客户端扫描的病毒体行为信息。

在302中，将扫描日志中的病毒体行为信息与云端的行为链脚本库进行匹配，确定恶意病毒体行为信息对应的病毒家族信息。由于云端的行为链脚本库是综合各机器***的客户端上报的扫描日志进行分析后得到的，因此在针对一个客户端进行病毒体行为的鉴别时，实际上也是关联分析了其他机器***的扫描日志。

上述步骤301和302是其中一个执行分支，即接收到扫描日志后的情况，在302之后执行步骤304。还有一个分支，即如果接收到客户端上报的病毒家族信息，即步骤303，则直接执行步骤304。

在步骤304中，根据病毒家族信息与病毒清除指令之间的对应关系，将病毒家族信息对应的病毒清除指令下发给客户端。上述病毒家族信息与病毒清除指令之间的对应关系是在云端服务平台预先加载的，针对各病毒家族分别设置对应的病毒清除指令以指导客户端进行病毒体的清除。

另外，还可能存在这样的情况，假设对于同一客户端，云端服务平台根据客户端上报的扫描日志确定出的病毒家族信息与该客户端上报的病毒家族信息不一致，也就是说，云端服务平台与客户端的鉴定结果不一致时，可以采用云端服务平台的鉴定结果为准，即将云端服务平台确定出的病毒家族信息对应的病毒清除指令下发给客户端。当然，也可以采用其他策略，例如当云端服务平台与客户端的鉴定结果不一致时，可以人为参与鉴定，将人为鉴定出的病毒家族信息对应的病毒清除指令下发给客户端。

下面对本发明提供的装置进行详细描述，图4为本发明实施例提供的第一种装置结构图，该装置设置于云端服务平台中，如图4所示，该装置可以包括：病毒确定单元41和指令下发单元42，还可以进一步包括联合分析单元43和库更新单元44。

其中病毒确定单元41负责确定客户端扫描的病毒体行为所对应的病毒家族信息。具体地，该病毒确定单元41可以采用以下两种方式中的至少一种确定病毒家族信息，图4中以同时采用以下两种方式时的结构为例。

第一种方式：病毒确定单元41根据客户端上报的扫描日志在云端服务平台进行病毒鉴定，此时病毒确定单元41可以具体包括：第一接收子单元401和匹配子单元402。

其中第一接收子单元401负责接收客户端上报的扫描日志，扫描日志包含客户端扫描的病毒体行为信息。匹配子单元402将病毒体行为信息与云端的行为链脚本库进行匹配，确定恶意病毒体行为信息对应的病毒家族信息，其中行为链脚本库包含病毒家族的恶意病毒体行为信息。

第二种方式：病毒确定单元41直接接收客户端上报的病毒家族信息，即在客户端进行病毒鉴定，此时病毒确定单元41具体包括：第二接收子单元411和获取子单元412。

第二接收子单元411接收客户端上报的鉴定结果。获取子单元412 从鉴定结果中获取病毒家族信息，病毒家族信息是客户端将扫描的病毒体行为与客户端本地的行为链脚本库进行匹配后确定的，其中行为链脚本库包含病毒家族的恶意病毒体行为信息。

指令下发单元42，用于根据病毒家族信息与病毒清除指令之间的对应关系，将病毒确定单元41确定的病毒家族信息所对应的病毒清除指令下发给客户端，以供客户端执行病毒清除指令进行病毒体的清除。在云端服务平台中维护着病毒家族信息与病毒清除指令之间的对应关系，这些病毒清除指令用于指导客户端进行操作以对相应病毒家族的行为进行清除。这一对应关系可以采用人工设置的方式。

另外，有可能存在这样的情况，假设上述确定病毒家族信息的两种方式确定出的病毒家族信息不同，则可以将云端服务平台确定出的病毒家族信息对应的病毒清除指令下发给客户端。当然，也可以采用其他策略，例如当云端服务平台与客户端的鉴定结果不一致时，可以人为参与鉴定，将人为鉴定出的病毒家族信息对应的病毒清除指令下发给客户端。

上述的行为链脚本库是由各机器***中客户端上报的扫描日志进行分析后得到的，也可以结合人工分析和设置的因素。随着病毒的不断更新，会持续出现新的病毒体行为，因此，云端服务平台需要及时对行为链脚本库进行更新。有鉴于此，联合分析单元43对客户端上报的扫描日志进行分析得到更新病毒体行为，然后库更新单元44利用更新病毒体行为更新云端的行为链脚本库。

图5为本发明实施例提供的另一种病毒处理装置的结构图，该装置设置于机器***中的客户端，如图5中所示，该装置可以具体包括：日志上报单元52和病毒鉴定单元53中的至少一个(图5中以同时包含这两个单元的情况为例)、行为扫描单元51以及指令处理单元54，还可以进一步包括病毒清除单元55和库更新单元56。

其中，行为扫描单元51负责扫描病毒体行为信息，即扫描机器***中恶意病毒体可能的所有行为内容，病毒体行为信息可以是对以下内容中的至少一种进行扫描后得到的行为信息：网络修复、进程、加载模块、驱动、服务、Rootkit、启动项、IE相关的项目、引导病毒、***目录、桌面目录、开始菜单、常用软件、脚本、***组件、登录部分、***启动项等。

日志上报单元52负责将扫描日志上报云端服务平台，扫描日志中包含了行为扫描单元51扫描的病毒体行为信息，上报给云端服务平台供其进行分析鉴定。

病毒鉴定单元53利用本地的行为链脚本库，对病毒体行为进行鉴定，如果鉴定出恶意病毒体行为，则将恶意病毒体行为信息对应的病毒家族信息上报给云端服务平台，其中行为链脚本库包含病毒家族的恶意病毒体行为信息。

指令处理单元54接收并执行云端服务平台下发的病毒清除指令。具体地，病毒清除指令可以包括但不限于以下操作的指令：锁定默认主页、修改默认浏览器搜索主页、下载指定工具软件或清除恶意病毒体行为的关联内容。

更进一步地，如果病毒鉴定单元53鉴定出恶意病毒体行为，则病毒清除单元55清除恶意病毒体行为的关联内容。其中，清除恶意病毒体行为的关联内容可以包括但不限于：停止恶意病毒体的服务，删除恶意病毒体的文件、注册表项或相关活动项，修复浏览器默认主页。

客户端本地的行为链脚本库是加载云端服务平台的行为链脚本库后存储于本地得到的，客户端可以周期性地从云端服务平台加载行为链脚本库并对本地的行为链脚本库进行更新。此时，库更新单元56加载云端的行为链脚本库，利用云端的行为链脚本库更新本地的行为链脚本库。

由以上描述可以看出，本发明提供的方法、装置和***具备以下优点：

1)本发明这种由云端针对病毒家族信息进行病毒清除指令下发的方式，相比较单纯由客户端进行行为分析和删除文件的方式，对病毒的处理更加个性化和精准，提高了机器***的安全性。

2)本发明中云端服务平台针对病毒家族信息下发的病毒清除指令并不局限于清除恶意病毒体行为的关联内容，还可以是诸如锁定默认主页、修改默认浏览器搜索主页、下载指定工具软件等，对病毒的处理更加多样化，有助于彻底清除病毒，加强机器***的安全性。

3)云端服务平台能够联合各机器***的客户端上报的扫描日志进行行为链脚本库的更新，从而及时地满足互联网式病毒更新快的特征。

4)在云端服务平台中针对病毒家族信息的病毒清除指令能够灵活配置，并可以及时增加或调整，从而满足互联网时代的快速响应要求。

在本发明所提供的几个实施例中，应该理解到，所揭露的***，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

上述以软件功能单元的形式实现的集成的单元，可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)或处理器(processor)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read-Only Memory，ROM)、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。

Claims

一种病毒处理方法，其特征在于，该方法包括：

确定客户端扫描的病毒体行为所对应的病毒家族信息；

根据病毒家族信息与病毒清除指令之间的对应关系，将确定的病毒家族信息所对应的病毒清除指令下发给所述客户端，以供所述客户端执行所述病毒清除指令进行病毒体的清除。
根据权利要求1所述的方法，其特征在于，所述确定客户端扫描的病毒体行为所对应的病毒家族信息包括：

接收所述客户端上报的扫描日志，所述扫描日志包含所述客户端扫描的病毒体行为信息；

将所述病毒体行为信息与云端的行为链脚本库进行匹配，确定恶意病毒体行为对应的病毒家族信息，其中所述行为链脚本库包含病毒家族的恶意病毒体行为信息。
根据权利要求1所述的方法，其特征在于，所述确定客户端扫描的病毒体行为所对应的病毒家族信息包括：

接收所述客户端上报的鉴定结果；

从所述鉴定结果中获取病毒家族信息，所述病毒家族信息是所述客户端将扫描的病毒体行为信息与客户端本地的行为链脚本库进行匹配后确定的，其中所述行为链脚本库包含病毒家族的恶意病毒体行为信息。
根据权利要求2所述方法，其特征在于，该方法还包括：

对客户端上报的扫描日志进行分析得到更新病毒体行为信息；

利用更新病毒体行为信息更新云端的行为链脚本库。
根据权利要求2所述的方法，其特征在于，所述确定客户端扫描的病毒体行为所对应的病毒家族信息还包括：

接收所述客户端上报的鉴定结果；

从所述鉴定结果中获取病毒家族信息，所述病毒家族信息是所述客户端将扫描的病毒体行为信息与客户端本地的行为链脚本库进行匹配后确定的，其中所述行为链脚本库包含病毒家族的恶意病毒体行为信息。
根据权利要求5所述的方法，其特征在于，该方法还包括：

如果将扫描日志包含的病毒体行为信息与云端的行为链脚本库进行匹配确定出的病毒家族信息与从所述鉴定结果中获取的病毒家族信息不一致，则采用将扫描日志包含的病毒体行为信息与云端的行为链脚本库进行匹配确定出的病毒家族信息来确定下发的病毒清除指令，或者采用人为鉴定出的病毒家族信息来确定下发的病毒清除指令。
根据权利要求1至6任一权项所述的方法，其特征在于，所述病毒体行为信息为对以下内容中的至少一种进行扫描后得到的行为信息：

进程、加载模块、驱动、服务、Rootkit、启动项、IE相关的项目、引导病毒、***目录、桌面目录、开始菜单、常用软件、脚本、***组件、登录部分、***启动项等。
根据权利要求1至6任一权项所述的方法，其特征在于，所述病毒清除指令包括以下操作的指令：

锁定默认主页、修改默认浏览器搜索主页、下载指定工具软件或清除恶意病毒体行为的关联内容。
一种病毒处理方法，其特征在于，该方法包括：

扫描病毒体行为；

将扫描日志上报云端服务平台；和/或，利用本地的行为链脚本库，对所述病毒体行为进行鉴定，如果鉴定出恶意病毒体行为，则将恶意病毒体行为对应的病毒家族信息上报给云端服务平台，其中所述行为链脚本库包含病毒家族的恶意病毒体行为信息；

接收并执行所述云端服务平台下发的病毒清除指令。
根据权利要求9所述的方法，其特征在于，该方法还包括：如果鉴定出恶意病毒体行为，则清除恶意病毒体行为的关联内容。
根据权利要求9所述的方法，其特征在于，该方法还包括：

加载云端的行为链脚本库，利用云端的行为链脚本库更新所述本地的行为链脚本库。
根据权利要求9至11任一权项所述的方法，其特征在于，所述病毒清除指令包括以下操作的指令：

锁定默认主页、修改默认浏览器搜索主页、下载指定工具软件或清除恶意病毒体行为的关联内容。
一种病毒处理装置，其特征在于，该装置包括：

病毒确定单元，用于确定客户端扫描的病毒体行为所对应的病毒家族信息；

指令下发单元，用于根据病毒家族信息与病毒清除指令之间的对应关系，将所述病毒确定单元确定的病毒家族信息所对应的病毒清除指令下发给所述客户端，以供所述客户端执行所述病毒清除指令进行病毒体的清除。
根据权利要求13所述的装置，其特征在于，所述病毒确定单元包括：

第一接收子单元，用于接收所述客户端上报的扫描日志，所述扫描日志包含所述客户端扫描的病毒体行为信息；

匹配子单元，用于将所述病毒体行为信息与云端的行为链脚本库进行匹配，确定恶意病毒体行为对应的病毒家族信息，其中所述行为链脚本库包含病毒家族的恶意病毒体行为信息。
根据权利要求13所述的装置，其特征在于，所述病毒确定单元包括：

第二接收子单元，用于接收所述客户端上报的鉴定结果；

获取子单元，用于从所述鉴定结果中获取病毒家族信息，所述病毒家族信息是所述客户端将扫描的病毒体行为信息与客户端本地的行为链脚本库进行匹配后确定的，其中所述行为链脚本库包含病毒家族的恶意病毒体行为信息。
根据权利要求14所述的装置，其特征在于，该装置还包括：

联合分析单元，用于对客户端上报的扫描日志进行分析得到更新病毒体行为信息；

库更新单元，用于利用更新病毒体行为信息更新云端的行为链脚本库。
根据权利要求14所述的装置，其特征在于，所述病毒确定单元还包括：

第二接收子单元，用于接收所述客户端上报的鉴定结果；

获取子单元，用于从所述鉴定结果中获取病毒家族信息，所述病毒家族信息是所述客户端将扫描的病毒体行为信息与客户端本地的行为链脚本库进行匹配后确定的，其中所述行为链脚本库包含病毒家族的恶意病毒体行为信息。
根据权利要求17所述的装置，其特征在于，如果所述匹配子单元确定出的病毒家族信息与所述获取子单元获取的病毒家族信息不一致，则所述指令下发单元采用所述匹配子单元确定出的病毒家族信息来确定下发的病毒清楚指令，或者采用人为鉴定出的病毒家族信息来确定下发的病毒清除指令。
根据权利要求13至18任一权项所述的装置，其特征在于，所述病毒体行为信息为对以下内容中的至少一种进行扫描后得到的行为信息：

进程、加载模块、驱动、服务、Rootkit、启动项、IE相关的项目、引导病毒、***目录、桌面目录、开始菜单、常用软件、脚本、***组件、登录部分、***启动项等。
根据权利要求13至18任一权项所述的装置，其特征在于，所述病毒清除指令包括以下操作的指令：

锁定默认主页、修改默认浏览器搜索主页、下载指定工具软件或清除恶意病毒体行为的关联内容。
一种病毒处理装置，其特征在于，该装置包括：日志上报单元和病毒鉴定单元中的至少一个、行为扫描单元以及指令处理单元；

所述行为扫描单元，用于扫描病毒体行为；

所述日志上报单元，用于将扫描日志上报云端服务平台；

所述病毒鉴定单元，用于利用本地的行为链脚本库，对所述病毒体行为进行鉴定，如果鉴定出恶意病毒体行为，则将恶意病毒体行为对应的病毒家族信息上报给云端服务平台，其中所述行为链脚本库包含病毒家族的恶意病毒体行为信息；

所述指令处理单元，用于接收并执行所述云端服务平台下发的病毒清除指令。
根据权利要求21所述的装置，其特征在于，该装置还包括：

病毒清除单元，用于如果所述病毒鉴定单元鉴定出恶意病毒体行为，则清除恶意病毒体行为的关联内容。
根据权利要求21所述的装置，其特征在于，该装置还包括：

库更新单元，用于加载云端的行为链脚本库，利用云端的行为链脚本库更新所述本地的行为链脚本库。
根据权利要求21至23任一权项所述的装置，其特征在于，所述病毒清除指令包括以下操作的指令：

锁定默认主页、修改默认浏览器搜索主页、下载指定工具软件或清除恶意病毒体行为的关联内容。
一种病毒处理的***，该***包括：客户端和云端处理平台；

所述云端处理平台包括如权利要求13至18任一权项所述的装置；

所述客户端包括如权利要求21至23任一权项所述的装置。
一种设备，包括

一个或者多个处理器；

存储器；

一个或者多个程序，所述一个或者多个程序存储在所述存储器中，当被所述一个或者多个处理器执行时：

确定客户端扫描的病毒体行为所对应的病毒家族信息；

根据病毒家族信息与病毒清除指令之间的对应关系，将确定的病毒家族信息所对应的病毒清除指令下发给所述客户端，以供所述客户端执行所述病毒清除指令进行病毒体的清除。
一种设备，包括

一个或者多个处理器；

存储器；

一个或者多个程序，所述一个或者多个程序存储在所述存储器中，当被所述一个或者多个处理器执行时：

扫描病毒体行为；

将扫描日志上报云端服务平台；和/或，利用本地的行为链脚本库，对所述病毒体行为进行鉴定，如果鉴定出恶意病毒体行为，则将恶意病毒体行为对应的病毒家族信息上报给云端服务平台，其中所述行为链脚本库包含病毒家族的恶意病毒体行为信息；

接收并执行所述云端服务平台下发的病毒清除指令。
一种非易失性计算机存储介质，所述计算机存储介质存储有一个或者多个程序，当所述一个或者多个程序被一个设备执行时，使得所述设备：

确定客户端扫描的病毒体行为所对应的病毒家族信息；

根据病毒家族信息与病毒清除指令之间的对应关系，将确定的病毒家族信息所对应的病毒清除指令下发给所述客户端，以供所述客户端执行所述病毒清除指令进行病毒体的清除。
一种非易失性计算机存储介质，所述计算机存储介质存储有一个或者多个程序，当所述一个或者多个程序被一个设备执行时，使得所述设备：

扫描病毒体行为；

将扫描日志上报云端服务平台；和/或，利用本地的行为链脚本库，对所述病毒体行为进行鉴定，如果鉴定出恶意病毒体行为，则将恶意病毒体行为对应的病毒家族信息上报给云端服务平台，其中所述行为链脚本库包含病毒家族的恶意病毒体行为信息；

接收并执行所述云端服务平台下发的病毒清除指令。