[发明专利]一种恶意软件拦截方法、装置及终端

权利要求书

1.一种恶意软件拦截方法，所述方法包括步骤：

对可疑文件进行静态分析或者防御，获取到静态分析或者防御的结果；

若静态分析或者防御的结果为所述可疑文件为可疑的恶意软件，则触发对所述可疑文件进行动态分析；

获取到动态分析结果并上传到云端服务器中；

获取所述云端服务器发送的恶意软件拦截信息，所述恶意软件拦截信息为所述云端服务器根据上传的动态分析结果和存储的恶意软件样本进行比对而生成。

2.根据权利要求1所述的一种恶意软件拦截方法，其特征在于，所述可疑文件通过以下方式进行识别：

若应用软件的信息摘要算法值或者哈希值不在特征库中，则识别该应用软件为可疑文件。

3.根据权利要求1所述的一种恶意软件拦截方法，其特征在于，所述触发对所述可疑文件进行动态分析包括：

将所述可疑文件载入可控且被监控的环境中，并对所述可疑文件进行动态分析。

4.一种恶意软件拦截装置，所述装置包括静态分析模块、触发模块、上传模块及获取模块；

所述静态分析模块，用于对可疑文件进行静态分析或者防御，获取到静态分析或者防御的结果；

所述触发模块，用于若所述静态分析模块的静态分析或者防御的结果为所述可疑文件为可疑的恶意软件，则触发对所述可疑文件进行动态分析；

所述上传模块，用于获取到所述触发模块的动态分析结果并上传到云端服务器中；

所述获取模块，用于获取所述云端服务器发送的恶意软件拦截信息，所述恶意软件拦截信息为所述云端服务器根据上传的动态分析结果和存储的恶意软件样本进行比对而生成。

5.根据权利要求4所述的一种恶意软件拦截装置，其特征在于，所述装置还包括识别模块；

所述识别模块，用于若应用软件的信息摘要算法值或者哈希值不在特征库中，则识别该应用软件为可疑文件。

6.根据权利要求4所述的一种恶意软件拦截装置，其特征在于，所述触发模块包括载入单元和触发单元；

所述载入单元，用于若所述静态分析模块的静态分析结果为所述可疑文件为可疑的恶意软件，则将所述可疑文件载入可控且被监控的环境中；

所述触发单元，用于触发对所述可疑文件进行动态分析。

7.一种终端，所述终端包括发送模块、接收模块及处理器；

所述处理器用于对所述终端的可疑文件进行静态分析或者防御，获取到静态分析或者防御的结果；若静态分析或者防御的结果为所述可疑文件为可疑的恶意软件，则触发对所述可疑文件进行动态分析；

所述发送模块，用于将所述处理器的动态分析结果上传到云端服务器中；

所述接收模块，用于接收所述云端服务器发送的恶意软件拦截信息，所述恶意软件拦截信息为所述云端服务器根据上传的动态分析结果和存储的恶意软件样本进行比对而生成。

8.根据权利要求7所述的一种终端，其特征在于，所述处理器，还用于若应用软件的信息摘要算法值或者哈希值不在特征库中，则识别该应用软件为可疑文件。

9.根据权利要求7所述的一种终端，其特征在于，所述处理器，还用于将所述可疑文件载入可控且被监控的环境中，并对所述可疑文件进行动态分析。

10.一种恶意软件拦截方法，所述方法包括步骤：

接收终端上传的动态分析结果，其中动态分析结果为所述终端对可疑文件进行静态分析或者防御，获取到静态分析或者防御的结果；若静态分析或者防御的结果为所述可疑文件为可疑的恶意软件，则触发对所述可疑文件进行动态分析并生成的；

将上传的动态分析结果和存储的恶意软件样本进行比对并生成恶意软件拦截信息；

将所述生成的恶意软件拦截信息发送给所述终端。