[发明专利]一种预防恶意程序的方法、系统及装置

说明书

技术领域

本发明涉及信息技术领域，特别是涉及一种预防恶意程序的方法、系统及装置。

背景技术

病毒是指在计算机程序中插入的破坏计算机功能或是破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或程序代码，往往会利用计算机操作系统的弱点进行传播。一种新的病毒技术出现后，该新病毒会迅速发展，接着反该新病毒的技术也会发展，从而抑制该新病毒的流传，在操作系统升级后，该新病毒会调整为新的方式，产生另外一种新的病毒。

现有技术中，是采用特征码查毒技术对病毒进行查杀的，该特征码查毒技术是基于对已知同一病毒或同类病毒的某一部分代码相同的反病毒技术。在查病毒时采用特征码查毒，在杀病毒时采用人工编的制解毒代码杀毒，特征码查毒实际上是人工查毒经验的简单表述，是人工辨识病毒的一般方法，采用了“同一病毒或同类病毒的某一部分代码相同”的原理，如果病毒及其变种、变形病毒具有同一性，则可以对这种同一性进行描述，并通过对程序体与描述结果，即特征码进行比较来查找病毒。

在实现本发明过程中，发明人发现现有技术中至少存在如下问题：

并非所有病毒都可以描述病毒的特征码，无法用特征码描述的病毒无法通过特征码查毒，特征码的描述取决于人的主观因素，需要通过手动进行上报，而且是非分布式上报的，但非分布式上报病毒的效率不高，从而使查毒存在很严重的滞后性。

发明内容

本发明实施例提供一种预防恶意程序的方法、系统及装置，以快速查找病毒。

为了达到上述目的，本发明实施例提出了一种预防恶意程序的方法，包括：

中心模拟设备接收来自至少一个终端的至少一个可疑程序；

根据所述至少一个可疑程序的行为特征，判断所述至少一个可疑程序是否为恶意程序，根据判断结果更新中心数据库，以使所述中心数据库将更新结果向其它终端发送；所述根据判断结果更新中心数据库包括：所述中心模拟设备根据所述判断结果向所述中心数据库发送可疑程序和更新消息；

将对所述至少一个可疑程序的判断结果向对应的终端发送。

本发明实施例还提出了一种网络系统，包括：

至少一个终端，用于向中心模拟设备发送可疑程序；接收来自所述中心模拟设备对所述可疑程序的判断结果；根据所述判断结果对所述可疑程序进行处理；

中心模拟设备，用于接收来自所述至少一个终端的可疑程序；根据接收的所述至少一个可疑程序的行为特征，判断所述至少一个可疑程序是否为恶意程序，根据判断结果更新中心数据库；将对所述至少一个可疑程序的判断结果向对应的终端发送；

中心数据库，用于将更新结果向其它终端发送；还用于与所述中心模拟设备进行交互，接收来自所述中心模拟设备的可疑程序。

本发明实施例还提出了一种网络装置，包括：

信息收集模块，用于收集可疑程序的行为特征；

判断模块，用于将所述可疑程序的行为特征与终端的行为库进行匹配；

信息存储模块，用于存储默认行为库其中对应的不同行为特征的权值；

数据发送模块，用于根据所述匹配的结果判断是否需要发送所述可疑程序，如果需要，则将所述可疑程序发送给中心模拟设备。

本发明实施例还提出了一种网络装置，包括：

接收模块，用于接收来自至少一个终端的至少一个可疑程序；

判断模块，用于根据所述至少一个可疑程序的行为特征，判断所述至少一个可疑程序是否为恶意程序；

更新模块，用于根据所述判断模块得到的判断结果更新中心数据库，以使所述中心数据库将更新结果向其它终端发送；

发送模块，用于将对所述至少一个可疑程序的判断结果向对应的终端发送。

本发明实施例还提出了一种网络装置，包括：

交互模块，用于与中心模拟设备进行交互，接收来自所述中心模拟设备的可疑程序和更新消息；

第一存储模块，用于存储恶意程序；当所述交互模块接收到的更新消息包括将所述可疑程序存储到所述第一存储模块中的指示或者所述可疑程序为恶意程序的判断结果时，将所述可疑程序存储到所述第一存储模块中；

第二存储模块，用于存储白名单；当所述交互模块接收到的更新消息包括将所述可疑程序存储到所述第二存储模块中的指示或者所述可疑程序不是恶意程序的判断结果时，将所述可疑程序更新到所述第二存储模块中；

发送模块，用于将所述第一存储模块和所述第二存储模块中存储的更新信息发送出去。

与现有技术相比，本发明实施例具有以下优点：