[发明专利]对抗免杀测试的云查杀方法、装置及系统

说明书

技术领域

本发明涉及网络安全技术领域，具体涉及一种对抗免杀测试的云查杀方法、装置及系统。

背景技术

如今的木马，在经济利益的驱使下，已经呈产业化运作趋势，不少木马，由专业的“公司”制作，形成了完整的开发->测试->市场推广的完整组织链条。而随着用户上网安全意识的提高，如今大多数用户都已经安装了杀毒软件，木马一旦被杀毒软件捕获，即被删除，木马“公司”为了维护自己的经济利益，就会想尽一切办法来逃避杀毒软件的查杀。其中一种手段就是“免杀测试”，也就是说，木马由“公司”的开发团队开发出来以后，通常会由测试团队负责，用主流的杀毒软件进行扫描，如果扫描提示病毒，那么测试不通过，开发团队会重新对木马进行修改，直到杀毒软件都不提示为止。

在这种情况下，传统杀毒软件的病毒识别方法就遇到了挑战。无论设计多么精巧的杀毒软件，其对特定软件的扫描结果都是固定的——要么是病毒，要么不是病毒。这样，木马的制作“公司”只要经过多次尝试，总能找到绕过杀毒软件检测的方法，制作出任何杀毒软件都不能识别的木马，并在互联网上传播。

因此，亟待提出一套与免杀测试对抗的方案，使免杀测试无效。

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的对抗免杀测试的云查杀方法、装置及系统。

依据本发明的一个方面，提供一种对抗免杀测试的云查杀方法，其中云查杀系统包括云端和客户端，所述方法包括：云端接收客户端发送的对样本进行病毒查杀的云查杀请求；云端解析所述云查杀请求，判断所述云查杀请求是否为免杀测试的云查杀请求；如果所述云查杀请求是免杀测试的云查杀请求，所述云端向客户端返回所述样本未携带病毒的云查杀结果；如果所述云查杀请求不是免杀测试的云查杀请求，将样本与云端的病毒库进行比对，确定样本是否携带病毒并进行相应的病毒查杀。

可选的，所述判断所述云查杀请求是否为免杀测试的云查杀请求包括：记录发送所述云查杀请求的IP；判断所述云查杀请求的IP是否在预置的IP黑名单中，如果是，则确定所述云查杀请求是免杀测试的云查杀请求。

可选的，所述IP黑名单的设置方法包括：统计单位时间内某IP发送的云查杀请求的次数；如果单位时间内该IP发送的云查杀请求的次数大于预置的请求阈值，则将该IP添加到IP黑名单中。

可选的，所述判断所述云查杀请求是否为免杀测试的云查杀请求包括：记录发送所述云查杀请求的客户端识别号；判断所述云查杀请求的IP是否在预置的设备识别号黑名单中，如果是，则确定所述云查杀请求是免杀测试的云查杀请求。

可选的，所述设备识别号黑名单的设置方法包括：统计单位时间内某设备识别号对应的客户端发送的云查杀请求的次数；如果单位时间内该设备识别号对应的客户端发送的云查杀请求的次数大于预置的请求阈值，则将该设备识别号添加到设备识别号黑名单中。

可选的，所述判断所述云查杀请求是否为免杀测试的云查杀请求包括：记录所述样本的唯一识别特征;监测针对所述唯一识别特征发送的云查杀请求，统计针对该唯一识别特征而发送的云查杀请求的IP的个数及分布；如果统计结果落在预置条件内，则确定所述云查杀请求是免杀测试的云查杀请求。

依据本发明的另一个方面，提供一种对抗免杀测试的云查杀装置，云查杀系统包括云端和客户端，所述装置位于所述云端，包括识别引擎和病毒库，所述装置还包括免杀测试识别模块；所述免杀测试识别模块解析所述客户端发来的对样本进行病毒查杀的云查杀请求，判断所述云查杀请求是否为免杀测试的云查杀请求；如果确定所述云查杀请求是免杀测试的云查杀请求，向客户端返回所述样本未携带病毒的云查杀结果；如果确定所述云查杀请求不是免杀测试的云查杀请求，将非免杀测试的云查杀请求传递给所述识别引擎；所述识别引擎将样本与云端的病毒库进行比对，确定样本是否携带病毒并进行相应的病毒查杀。

可选的，所述免杀测试识别模块包括：IP黑名单设置单元，用于设置并保存IP黑名单;记录单元，用于记录发送所述云查杀请求的IP；判断单元，用于判断所述云查杀请求的IP是否在IP黑名单中，如果是，则确定所述云查杀请求是免杀测试的云查杀请求。

可选的，所述IP黑名单设置单元，用于统计单位时间内某IP发送的云查杀请求的次数；如果单位时间内该IP发送的云查杀请求的次数大于预置的请求阈值，则将该IP添加到IP黑名单中。