[发明专利]一种预防恶意程序的方法、系统及装置

权利要求书

1.一种预防恶意程序的方法，其特征在于，包括：

中心模拟设备接收来自至少一个终端的至少一个可疑程序；

根据所述至少一个可疑程序的行为特征，判断所述至少一个可疑程序是否为恶意程序，根据判断结果更新中心数据库，以使所述中心数据库将更新结果向其它终端发送；所述根据判断结果更新中心数据库包括：所述中心模拟设备根据所述判断结果向所述中心数据库发送可疑程序和更新消息；

将对所述至少一个可疑程序的判断结果向对应的终端发送。

2.如权利要求1所述的方法，其特征在于，所述接收可疑程序包括：

接收可疑程序的代码；或

接收可疑程序的关键数据。

3.如权利要求1或2所述的方法，其特征在于，在所述接收来自至少一个终端的可疑程序之前还包括：

终端收集所述可疑程序的行为特征；

所述终端将所述可疑程序的行为特征与所述终端的行为库进行匹配；

所述终端根据所述匹配的结果判断是否需要发送所述可疑程序，如果需要，则将所述可疑程序发送出去。

4.如权利要求3所述的方法，其特征在于，所述可疑程序的行为特征包括：

数字签名、或系统属性、或程序发布者名称、或程序结构中的一种或几种。

5.如权利要求1所述的方法，其特征在于，所述根据判断结果向中心数据库发送所述可疑程序和更新消息包括：

当判断所述可疑程序为恶意程序时，向所述中心数据库发送所述可疑程序和更新消息，所述更新消息包括：将所述可疑程序存储到所述中心数据库的恶意程序库中的指示，或者所述可疑程序为恶意程序的判断结果；

当判断所述可疑程序不是恶意程序时，向所述中心数据库发送所述可疑程序和更新消息，所述更新消息包括：将所述可疑程序存储到所述中心数据库的白名单中的指示，或者所述可疑程序不是恶意程序的判断结果。

6.如权利要求1所述的方法，其特征在于，在所述将对至少一个可疑程序的判断结果向对应的终端发送之后，还包括：

所述终端根据所述判断结果对所述可疑程序进行相应的处理；

所述处理包括：当所述可疑程序为恶意程序时，删除所述可疑程序。

7.一种网络系统，其特征在于，包括：

至少一个终端，用于向中心模拟设备发送可疑程序；接收来自所述中心模拟设备对所述可疑程序的判断结果；根据所述判断结果对所述可疑程序进行处理；

中心模拟设备，用于接收来自所述至少一个终端的可疑程序；根据接收的所述至少一个可疑程序的行为特征，判断所述至少一个可疑程序是否为恶意程序，根据判断结果更新中心数据库；将对所述至少一个可疑程序的判断结果向对应的终端发送；

中心数据库，用于将更新结果向其它终端发送；还用于与所述中心模拟设备进行交互，接收来自所述中心模拟设备的可疑程序。

8.一种网络装置，其特征在于，包括：

信息收集模块，用于收集可疑程序的行为特征；

判断模块，用于将所述可疑程序的行为特征与终端的行为库进行匹配；

信息存储模块，用于存储默认行为库其中对应的不同行为特征的权值；

数据发送模块，用于根据所述匹配的结果判断是否需要发送所述可疑程序，如果需要，则将所述可疑程序发送给中心模拟设备。

9.如权利要求8所述的网络装置，其特征在于，还包括：

接收模块，用于接收来自所述中心模拟设备对所述可疑程序的判断结果；

处理模块，用于根据所述接收模块接收到的来自所述中心模拟设备对所述可疑程序的判断结果，进行相应的处理，所述处理包括：

当所述可疑程序为恶意程序时，删除所述可疑程序。

10.一种网络装置，其特征在于，包括：

接收模块，用于接收来自至少一个终端的至少一个可疑程序；

判断模块，用于根据所述至少一个可疑程序的行为特征，判断所述至少一个可疑程序是否为恶意程序；

更新模块，用于根据所述判断模块得到的判断结果更新中心数据库，以使所述中心数据库将更新结果向其它终端发送；

发送模块，用于将对所述至少一个可疑程序的判断结果向对应的终端发送。