[发明专利]一种恶意软件拦截方法、装置及终端

说明书

技术领域

本发明涉及网络安全技术领域，尤其涉及一种恶意软件拦截方法、装置及终端。

背景技术

程序静态分析(Program Static Analysis)是指在不运行代码的方式下，通过词法分析、语法分析、控制流、数据流分析等技术对程序代码进行扫描，验证代码是否满足规范性、安全性、可靠性、可维护性等指标的一种代码分析技术。目前静态分析技术向模拟执行的技术发展以能够发现更多传统意义上动态测试才能发现的缺陷，例如符号执行、抽象解释、值依赖分析等等并采用数学约束求解工具进行路径约减或者可达性分析以减少误报增加效率。

“零日漏洞”(zero-day)又叫零时差攻击，是指被发现后立即被恶意利用的安全漏洞。通俗地讲，即安全补丁与瑕疵曝光的同一日内，相关的恶意程序就出现。这种攻击往往具有很大的突发性与破坏性。

在实现本发明的过程中，发明人发现现有技术至少存在以下问题：静态分析可以捕捉到一些零日漏洞，但却不能捕捉到所有零日漏洞。如果黑客通过精心设计，利用合法应用来发动攻击(比如：隐藏在合法word文档里宏命令的网络钓鱼攻击)，哪怕是最优秀的纯静态分析防御也无法捕捉到。

发明内容

本发明的主要目的在于提出一种恶意软件拦截方法、装置及终端，旨在解决现有技术存在的问题。

为实现上述目的，本发明实施例第一方面提供一种恶意软件拦截方法，所述方法包括步骤：

对可疑文件进行静态分析或者防御，获取到静态分析或者防御的结果；

若静态分析或者防御的结果为所述可疑文件为可疑的恶意软件，则触发对所述可疑文件进行动态分析；

获取到动态分析结果并上传到云端服务器中；

获取所述云端服务器发送的恶意软件拦截信息，所述恶意软件拦截信息为所述云端服务器根据上传的动态分析结果和存储的恶意软件样本进行比对而生成。

此外，为实现上述目的，本发明实施例第二方面提供一种恶意软件拦截装置，所述装置包括静态分析模块、触发模块、上传模块及获取模块；

所述静态分析模块，用于对可疑文件进行静态分析或者防御，获取到静态分析或者防御的结果；

所述触发模块，用于若所述静态分析模块的静态分析或者防御的结果为所述可疑文件为可疑的恶意软件，则触发对所述可疑文件进行动态分析；

所述上传模块，用于获取到所述触发模块的动态分析结果并上传到云端服务器中；

所述获取模块，用于获取所述云端服务器发送的恶意软件拦截信息，所述恶意软件拦截信息为所述云端服务器根据上传的动态分析结果和存储的恶意软件样本进行比对而生成。

此外，为实现上述目的，本发明实施例第三方面提供一种终端，所述终端包括发送模块、接收模块及处理器；

所述处理器用于对所述终端的可疑文件进行静态分析或者防御，获取到静态分析或者防御的结果；若静态分析或者防御的结果为所述可疑文件为可疑的恶意软件，则触发对所述可疑文件进行动态分析；

所述发送模块，用于将所述处理器的动态分析结果上传到云端服务器中；

所述接收模块，用于接收所述云端服务器发送的恶意软件拦截信息，所述恶意软件拦截信息为所述云端服务器根据上传的动态分析结果和存储的恶意软件样本进行比对而生成。

再者，为实现上述目的，本发明实施例第四方面提供一种恶意软件拦截方法，所述方法包括步骤：

接收终端上传的动态分析结果，其中动态分析结果为所述终端对可疑文件进行静态分析或者防御，获取到静态分析或者防御的结果；若静态分析或者防御的结果为所述可疑文件为可疑的恶意软件，则触发对所述可疑文件进行动态分析并生成的；

将上传的动态分析结果和存储的恶意软件样本进行比对并生成恶意软件拦截信息；

将所述生成的恶意软件拦截信息发送给所述终端。

本发明实施例提供的恶意软件拦截方法、装置及终端，可以在发现威胁的终端上将其拦截，防止进一步扩散到其他系统并对终端造成严重危害。使“零号病人”免于损失系统中所有的资料。而且，拦截的过程耗费时间非常短，且不需要人工干预。

附图说明

图1为实现本发明各个实施例的移动终端的硬件结构示意图；

图2为如图1所示的移动终端的无线通信系统示意图；

图3为本发明第一实施例提供的恶意软件拦截方法流程示意图；

图4为本发明第二实施例提供的恶意软件拦截装置结构示意图；

图5为本发明第二实施例提供的恶意软件拦截装置另一结构示意图；