[发明专利]一种基于云安全的恶意软件追踪方法

说明书

技术领域

本发明涉及计算机软件领域，特别涉及一种基于云安全的恶意软件追踪方法。

背景技术

随着计算机技术在社会生活中各个领域的广泛运用，恶意程序也如同其附属品一样接踵而来。由于这些恶意程序所具有的感染性、复制性及破坏性，其已成为困扰计算机使用的一个重大问题。

恶意程序是一个概括性的术语，指任何故意创建用来执行未经授权并通常是有害行为的软件程序。计算机病毒、后门程序、键盘记录器、密码盗取者、Word和Excel宏病毒、引导区病毒、脚本病毒（如batch,windows shell,java等）、木马、犯罪软件、间谍软件和广告软件等等，都是一些可以称之为恶意程序的例子。以木马为例，木马能够盗取网银密码、盗取网游装备、泄露隐私照片等等。

可以看出，恶意程序对计算机设备以及用户造成的危害是巨大的，因此如何对恶意程序进行查杀就显得更为重要。传统的查杀方式是特征库匹配，但是随着恶意程序爆发式的增长，又由于特征库的生成与更新相对于病毒的产生通常滞后，导致传统特征库匹配的查杀方式越来愈力不从心。于是出现了主动防御技术，主动防御是基于程序行为自主分析判断的实时防护技术，不以病毒的特征码作为判断病毒的依据，而是从最原始的病毒定义出发，直接将程序的行为作为判断病毒的依据，解决了传统安全软件无法防御未知恶意软件的弊端，从技术上实现了恶意程序的主动防御。

然而，一些恶意程序可以通过生成新的可执行文件或创建快捷方式等，诱导用户运行该恶意程序派生出的文件，由于现有方案无法对这些派生出的文件进行准确定位，从而导致一些恶意程序能够绕过主动防御拦截，降低了主动防御的有效性。

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的一种基于云安全的恶意软件追踪方法。

依据本发明的一个方面，本发明实施例提供了一种追踪软件的方法，包括：

记录已获知的需要追踪的软件在设备本地生成的文件的信息至第一数据库，该文件具有与该软件相同的记录标识；以及，记录从网络中下载至设备中的下载文件的信息及该下载文件的记录标识至第二数据库；

当设备中的软件被启动时，查询第一数据库和/或第二数据库判断该软件是否为需要追踪的软件；

若软件为需要追踪的软件，根据在查询第一数据库和/或第二数据库时获知的该软件的记录标识，从第二数据库中获取对应的下载文件的信息，得到指示软件的源头的追踪信息；以及，将软件在设备本地生成的文件的信息记录在第一数据库中，并为该文件设置与软件相同的记录标识。

其中，上述将软件在设备本地生成的文件的信息记录在第一数据库中包括：

提取文件的文件路径中的各级文件目录，按照预定算法对提取出的每一级文件目录对应的字符串进行运算，将各级文件目录的运算值组合在一起得到该文件的文件指纹；将文件的信息记录在第一数据库中该文件的文件指纹所指示的位置。

其中，上述查询第一数据库和/或第二数据库判断该软件是否为待追踪软件包括：判断软件的进程链上是否存在至少一个进程的相关文件被记录在第一数据库和/或第二数据库中，若是，确认软件为需要追踪的软件，若否，确认软件不是需要追踪的软件。

其中，上述进程的相关文件包括进程的exe文件，以及，当进程是通过快捷方式启动时，进程的相关文件包括快捷方式文件；当进程为批处理进程时，进程的相关文件包括批处理文件；当进程为脚本进程时，进程的相关文件包括脚本文件；当进程为rundll32或regsvr32进程时，进程的相关文件包括相关的动态链接库DLL文件；当为解压缩进程时，该进程的相关文件包括解压缩文件。

其中，上述查询第一数据库和/或第二数据库判断该软件是否为需要追踪的软件包括：

提取软件的进程链上当前进程的当前文件的文件路径中的各级文件目录，按照预定算法对提取出的每一级文件目录对应的字符串进行运算，将各级文件目录的运算值组合在一起得到该当前文件的查询值；利用查询值对第一数据库中的文件指纹进行匹配；当匹配成功时，确认软件为需要追踪的软件；当匹配失败时，在第二数据库中查询当前文件，当查询到当前文件时，确认软件为需要追踪的软件；否则，确认软件不是需要追踪的软件。

其中，上述将软件在设备本地生成的文件的信息记录在第一数据库中包括：