本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及一種惡意軟件攔截方法、裝置及終端。

背景技術(shù)：

程序靜態(tài)分析(Program Static Analysis)是指在不運(yùn)行代碼的方式下，通過詞法分析、語法分析、控制流、數(shù)據(jù)流分析等技術(shù)對程序代碼進(jìn)行掃描，驗(yàn)證代碼是否滿足規(guī)范性、安全性、可靠性、可維護(hù)性等指標(biāo)的一種代碼分析技術(shù)。目前靜態(tài)分析技術(shù)向模擬執(zhí)行的技術(shù)發(fā)展以能夠發(fā)現(xiàn)更多傳統(tǒng)意義上動態(tài)測試才能發(fā)現(xiàn)的缺陷，例如符號執(zhí)行、抽象解釋、值依賴分析等等并采用數(shù)學(xué)約束求解工具進(jìn)行路徑約減或者可達(dá)性分析以減少誤報(bào)增加效率。

“零日漏洞”(zero-day)又叫零時差攻擊，是指被發(fā)現(xiàn)后立即被惡意利用的安全漏洞。通俗地講，即安全補(bǔ)丁與瑕疵曝光的同一日內(nèi)，相關(guān)的惡意程序就出現(xiàn)。這種攻擊往往具有很大的突發(fā)性與破壞性。

在實(shí)現(xiàn)本發(fā)明的過程中，發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)至少存在以下問題：靜態(tài)分析可以捕捉到一些零日漏洞，但卻不能捕捉到所有零日漏洞。如果黑客通過精心設(shè)計(jì)，利用合法應(yīng)用來發(fā)動攻擊(比如：隱藏在合法word文檔里宏命令的網(wǎng)絡(luò)釣魚攻擊)，哪怕是最優(yōu)秀的純靜態(tài)分析防御也無法捕捉到。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明的主要目的在于提出一種惡意軟件攔截方法、裝置及終端，旨在解決現(xiàn)有技術(shù)存在的問題。

為實(shí)現(xiàn)上述目的，本發(fā)明實(shí)施例第一方面提供一種惡意軟件攔截方法，所述方法包括步驟：

對可疑文件進(jìn)行靜態(tài)分析或者防御，獲取到靜態(tài)分析或者防御的結(jié)果；

若靜態(tài)分析或者防御的結(jié)果為所述可疑文件為可疑的惡意軟件，則觸發(fā)對所述可疑文件進(jìn)行動態(tài)分析；

獲取到動態(tài)分析結(jié)果并上傳到云端服務(wù)器中；

獲取所述云端服務(wù)器發(fā)送的惡意軟件攔截信息，所述惡意軟件攔截信息為所述云端服務(wù)器根據(jù)上傳的動態(tài)分析結(jié)果和存儲的惡意軟件樣本進(jìn)行比對而生成。

此外，為實(shí)現(xiàn)上述目的，本發(fā)明實(shí)施例第二方面提供一種惡意軟件攔截裝置，所述裝置包括靜態(tài)分析模塊、觸發(fā)模塊、上傳模塊及獲取模塊；

所述靜態(tài)分析模塊，用于對可疑文件進(jìn)行靜態(tài)分析或者防御，獲取到靜態(tài)分析或者防御的結(jié)果；

所述觸發(fā)模塊，用于若所述靜態(tài)分析模塊的靜態(tài)分析或者防御的結(jié)果為所述可疑文件為可疑的惡意軟件，則觸發(fā)對所述可疑文件進(jìn)行動態(tài)分析；

所述上傳模塊，用于獲取到所述觸發(fā)模塊的動態(tài)分析結(jié)果并上傳到云端服務(wù)器中；

所述獲取模塊，用于獲取所述云端服務(wù)器發(fā)送的惡意軟件攔截信息，所述惡意軟件攔截信息為所述云端服務(wù)器根據(jù)上傳的動態(tài)分析結(jié)果和存儲的惡意軟件樣本進(jìn)行比對而生成。

此外，為實(shí)現(xiàn)上述目的，本發(fā)明實(shí)施例第三方面提供一種終端，所述終端包括發(fā)送模塊、接收模塊及處理器；

所述處理器用于對所述終端的可疑文件進(jìn)行靜態(tài)分析或者防御，獲取到靜態(tài)分析或者防御的結(jié)果；若靜態(tài)分析或者防御的結(jié)果為所述可疑文件為可疑的惡意軟件，則觸發(fā)對所述可疑文件進(jìn)行動態(tài)分析；

所述發(fā)送模塊，用于將所述處理器的動態(tài)分析結(jié)果上傳到云端服務(wù)器中；

所述接收模塊，用于接收所述云端服務(wù)器發(fā)送的惡意軟件攔截信息，所述惡意軟件攔截信息為所述云端服務(wù)器根據(jù)上傳的動態(tài)分析結(jié)果和存儲的惡意軟件樣本進(jìn)行比對而生成。

再者，為實(shí)現(xiàn)上述目的，本發(fā)明實(shí)施例第四方面提供一種惡意軟件攔截方法，所述方法包括步驟：

接收終端上傳的動態(tài)分析結(jié)果，其中動態(tài)分析結(jié)果為所述終端對可疑文件進(jìn)行靜態(tài)分析或者防御，獲取到靜態(tài)分析或者防御的結(jié)果；若靜態(tài)分析或者防御的結(jié)果為所述可疑文件為可疑的惡意軟件，則觸發(fā)對所述可疑文件進(jìn)行動態(tài)分析并生成的；

將上傳的動態(tài)分析結(jié)果和存儲的惡意軟件樣本進(jìn)行比對并生成惡意軟件攔截信息；

將所述生成的惡意軟件攔截信息發(fā)送給所述終端。

本發(fā)明實(shí)施例提供的惡意軟件攔截方法、裝置及終端，可以在發(fā)現(xiàn)威脅的終端上將其攔截，防止進(jìn)一步擴(kuò)散到其他系統(tǒng)并對終端造成嚴(yán)重危害。使“零號病人”免于損失系統(tǒng)中所有的資料。而且，攔截的過程耗費(fèi)時間非常短，且不需要人工干預(yù)。

附圖說明

圖1為實(shí)現(xiàn)本發(fā)明各個實(shí)施例的移動終端的硬件結(jié)構(gòu)示意圖；

圖2為如圖1所示的移動終端的無線通信系統(tǒng)示意圖；

圖3為本發(fā)明第一實(shí)施例提供的惡意軟件攔截方法流程示意圖；

圖4為本發(fā)明第二實(shí)施例提供的惡意軟件攔截裝置結(jié)構(gòu)示意圖；

圖5為本發(fā)明第二實(shí)施例提供的惡意軟件攔截裝置另一結(jié)構(gòu)示意圖；

圖6為本發(fā)明第二實(shí)施例提供的惡意軟件攔截裝置中觸發(fā)模塊結(jié)構(gòu)示意圖；

圖7為本發(fā)明第三實(shí)施例提供的終端結(jié)構(gòu)示意圖；

圖8為本發(fā)明第四實(shí)施例提供的惡意軟件攔截方法流程示意圖。

本發(fā)明目的的實(shí)現(xiàn)、功能特點(diǎn)及優(yōu)點(diǎn)將結(jié)合實(shí)施例，參照附圖做進(jìn)一步說明。

具體實(shí)施方式

應(yīng)當(dāng)理解，此處所描述的具體實(shí)施例僅僅用以解釋本發(fā)明，并不用于限定本發(fā)明。

現(xiàn)在將參考附圖描述實(shí)現(xiàn)本發(fā)明各個實(shí)施例的移動終端。在后續(xù)的描述中，使用用于表示元件的諸如“模塊”、“部件”或“單元”的后綴僅為了有利于本發(fā)明的說明，其本身并沒有特定的意義。因此，"模塊"與"部件"可以混合地使用。

移動終端可以以各種形式來實(shí)施。例如，本發(fā)明中描述的終端可以包括諸如移動電話、智能電話、筆記本電腦、數(shù)字廣播接收器、PDA(個人數(shù)字助理)、PAD(平板電腦)、PMP(便攜式多媒體播放器)、導(dǎo)航裝置等等的移動終端以及諸如數(shù)字TV、臺式計(jì)算機(jī)等等的固定終端。下面，假設(shè)終端是移動終端。然而，本領(lǐng)域技術(shù)人員將理解的是，除了特別用于移動目的的元件之外，根據(jù)本發(fā)明的實(shí)施方式的構(gòu)造也能夠應(yīng)用于固定類型的終端。

圖1為實(shí)現(xiàn)本發(fā)明各個實(shí)施例的移動終端的硬件結(jié)構(gòu)示意。

移動終端100可以包括無線通信單元110、A/V(音頻/視頻)輸入單元120、用戶輸入單元130、感測單元140、輸出單元150、存儲器160、接口單元170、控制器180和電源單元190等等。圖1示出了具有各種組件的移動終端，但是應(yīng)理解的是，并不要求實(shí)施所有示出的組件?？梢蕴娲貙?shí)施更多或更少的組件。將在下面詳細(xì)描述移動終端的元件。

無線通信單元110通常包括一個或多個組件，其允許移動終端100與無線通信系統(tǒng)或網(wǎng)絡(luò)之間的無線電通信。例如，無線通信單元可以包括廣播接收模塊111、移動通信模塊112、無線互聯(lián)網(wǎng)模塊113、短程通信模塊114和位置信息模塊115中的至少一個。

廣播接收模塊111經(jīng)由廣播信道從外部廣播管理服務(wù)器接收廣播信號和/或廣播相關(guān)信息。廣播信道可以包括衛(wèi)星信道和/或地面信道。廣播管理服務(wù)器可以是生成并發(fā)送廣播信號和/或廣播相關(guān)信息的服務(wù)器或者接收之前生成的廣播信號和/或廣播相關(guān)信息并且將其發(fā)送給終端的服務(wù)器。廣播信號可以包括TV廣播信號、無線電廣播信號、數(shù)據(jù)廣播信號等等。而且，廣播信號可以進(jìn)一步包括與TV或無線電廣播信號組合的廣播信號。廣播相關(guān)信息也可以經(jīng)由移動通信網(wǎng)絡(luò)提供，并且在該情況下，廣播相關(guān)信息可以由移動通信模塊112來接收。廣播信號可以以各種形式存在，例如，其可以以數(shù)字多媒體廣播(DMB)的電子節(jié)目指南(EPG)、數(shù)字視頻廣播手持(DVB-H)的電子服務(wù)指南(ESG)等等的形式而存在。廣播接收模塊111可以通過使用各種類型的廣播系統(tǒng)接收信號廣播。特別地，廣播接收模塊111可以通過使用諸如多媒體廣播-地面(DMB-T)、數(shù)字多媒體廣播-衛(wèi)星(DMB-S)、數(shù)字視頻廣播-手持(DVB-H)，前向鏈路媒體(MediaFLO@)的數(shù)據(jù)廣播系統(tǒng)、地面數(shù)字廣播綜合服務(wù)(ISDB-T)等等的數(shù)字廣播系統(tǒng)接收數(shù)字廣播。廣播接收模塊111可以被構(gòu)造為適合提供廣播信號的各種廣播系統(tǒng)以及上述數(shù)字廣播系統(tǒng)。經(jīng)由廣播接收模塊111接收的廣播信號和/或廣播相關(guān)信息可以存儲在存儲器160(或者其它類型的存儲介質(zhì))中。

移動通信模塊112將無線電信號發(fā)送到基站(例如，接入點(diǎn)、節(jié)點(diǎn)B等等)、外部終端以及服務(wù)器中的至少一個和/或從其接收無線電信號。這樣的無線電信號可以包括語音通話信號、視頻通話信號、或者根據(jù)文本和/或多媒體消息發(fā)送和/或接收的各種類型的數(shù)據(jù)。

無線互聯(lián)網(wǎng)模塊113支持移動終端的無線互聯(lián)網(wǎng)接入。該模塊可以內(nèi)部或外部地耦接到終端。該模塊所涉及的無線互聯(lián)網(wǎng)接入技術(shù)可以包括WLAN(無線LAN)(Wi-Fi)、Wibro(無線寬帶)、Wimax(全球微波互聯(lián)接入)、HSDPA(高速下行鏈路分組接入)等等。

短程通信模塊114是用于支持短程通信的模塊。短程通信技術(shù)的一些示例包括藍(lán)牙TM、射頻識別(RFID)、紅外數(shù)據(jù)協(xié)會(IrDA)、超寬帶(UWB)、紫蜂TM等等。

位置信息模塊115是用于檢查或獲取移動終端的位置信息的模塊。位置信息模塊的典型示例是GPS(全球定位系統(tǒng))。根據(jù)當(dāng)前的技術(shù)，GPS模塊115計(jì)算來自三個或更多衛(wèi)星的距離信息和準(zhǔn)確的時間信息并且對于計(jì)算的信息應(yīng)用三角測量法，從而根據(jù)經(jīng)度、緯度和高度準(zhǔn)確地計(jì)算三維當(dāng)前位置信息。當(dāng)前，用于計(jì)算位置和時間信息的方法使用三顆衛(wèi)星并且通過使用另外的一顆衛(wèi)星校正計(jì)算出的位置和時間信息的誤差。此外，GPS模塊115能夠通過實(shí)時地連續(xù)計(jì)算當(dāng)前位置信息來計(jì)算速度信息。

A/V輸入單元120用于接收音頻或視頻信號。A/V輸入單元120可以包括相機(jī)121和麥克風(fēng)122，相機(jī)121對在視頻捕獲模式或圖像捕獲模式中由圖像捕獲裝置獲得的靜態(tài)圖片或視頻的圖像數(shù)據(jù)進(jìn)行處理。處理后的圖像幀可以顯示在顯示單元151上。經(jīng)相機(jī)121處理后的圖像幀可以存儲在存儲器160(或其它存儲介質(zhì))中或者經(jīng)由無線通信單元110進(jìn)行發(fā)送，可以根據(jù)移動終端的構(gòu)造提供兩個或更多相機(jī)121。麥克風(fēng)122可以在電話通話模式、記錄模式、語音識別模式等等運(yùn)行模式中經(jīng)由麥克風(fēng)接收聲音(音頻數(shù)據(jù))，并且能夠?qū)⑦@樣的聲音處理為音頻數(shù)據(jù)。處理后的音頻(語音)數(shù)據(jù)可以在電話通話模式的情況下轉(zhuǎn)換為可經(jīng)由移動通信模塊112發(fā)送到移動通信基站的格式輸出。麥克風(fēng)122可以實(shí)施各種類型的噪聲消除(或抑制)算法以消除(或抑制)在接收和發(fā)送音頻信號的過程中產(chǎn)生的噪聲或者干擾。

用戶輸入單元130可以根據(jù)用戶輸入的命令生成鍵輸入數(shù)據(jù)以控制移動終端的各種操作。用戶輸入單元130允許用戶輸入各種類型的信息，并且可以包括鍵盤、鍋?zhàn)衅⒂|摸板(例如，檢測由于被接觸而導(dǎo)致的電阻、壓力、電容等等的變化的觸敏組件)、滾輪、搖桿等等。特別地，當(dāng)觸摸板以層的形式疊加在顯示單元151上時，可以形成觸摸屏。

感測單元140檢測移動終端100的當(dāng)前狀態(tài)，(例如，移動終端100的打開或關(guān)閉狀態(tài))、移動終端100的位置、用戶對于移動終端100的接觸(即，觸摸輸入)的有無、移動終端100的取向、移動終端100的加速或減速移動和方向等等，并且生成用于控制移動終端100的操作的命令或信號。例如，當(dāng)移動終端100實(shí)施為滑動型移動電話時，感測單元140可以感測該滑動型電話是打開還是關(guān)閉。另外，感測單元140能夠檢測電源單元190是否提供電力或者接口單元170是否與外部裝置耦接。感測單元140可以包括接近傳感器141。

接口單元170用作至少一個外部裝置與移動終端100連接可以通過的接口。例如，外部裝置可以包括有線或無線頭戴式耳機(jī)端口、外部電源(或電池充電器)端口、有線或無線數(shù)據(jù)端口、存儲卡端口、用于連接具有識別模塊的裝置的端口、音頻輸入/輸出(I/O)端口、視頻I/O端口、耳機(jī)端口等等。識別模塊可以是存儲用于驗(yàn)證用戶使用移動終端100的各種信息并且可以包括用戶識別模塊(UIM)、客戶識別模塊(SIM)、通用客戶識別模塊(USIM)等等。另外，具有識別模塊的裝置(下面稱為"識別裝置")可以采取智能卡的形式，因此，識別裝置可以經(jīng)由端口或其它連接裝置與移動終端100連接。接口單元170可以用于接收來自外部裝置的輸入(例如，數(shù)據(jù)信息、電力等等)并且將接收到的輸入傳輸?shù)揭苿咏K端100內(nèi)的一個或多個元件或者可以用于在移動終端和外部裝置之間傳輸數(shù)據(jù)。

另外，當(dāng)移動終端100與外部底座連接時，接口單元170可以用作允許通過其將電力從底座提供到移動終端100的路徑或者可以用作允許從底座輸入的各種命令信號通過其傳輸?shù)揭苿咏K端的路徑。從底座輸入的各種命令信號或電力可以用作用于識別移動終端是否準(zhǔn)確地安裝在底座上的信號。輸出單元150被構(gòu)造為以視覺、音頻和/或觸覺方式提供輸出信號(例如，音頻信號、視頻信號、警報(bào)信號、振動信號等等)。輸出單元150可以包括顯示單元151、音頻輸出模塊152、警報(bào)單元153等等。

顯示單元151可以顯示在移動終端100中處理的信息。例如，當(dāng)移動終端100處于電話通話模式時，顯示單元151可以顯示與通話或其它通信(例如，文本消息收發(fā)、多媒體文件下載等等)相關(guān)的用戶界面(UI)或圖形用戶界面(GUI)。當(dāng)移動終端100處于視頻通話模式或者圖像捕獲模式時，顯示單元151可以顯示捕獲的圖像和/或接收的圖像、示出視頻或圖像以及相關(guān)功能的UI或GUI等等。

同時，當(dāng)顯示單元151和觸摸板以層的形式彼此疊加以形成觸摸屏?xí)r，顯示單元151可以用作輸入裝置和輸出裝置。顯示單元151可以包括液晶顯示器(LCD)、薄膜晶體管LCD(TFT-LCD)、有機(jī)發(fā)光二極管(OLED)顯示器、柔性顯示器、三維(3D)顯示器等等中的至少一種。這些顯示器中的一些可以被構(gòu)造為透明狀以允許用戶從外部觀看，這可以稱為透明顯示器，典型的透明顯示器可以例如為TOLED(透明有機(jī)發(fā)光二極管)顯示器等等。根據(jù)特定想要的實(shí)施方式，移動終端100可以包括兩個或更多顯示單元(或其它顯示裝置)，例如，移動終端可以包括外部顯示單元(未示出)和內(nèi)部顯示單元(未示出)。觸摸屏可用于檢測觸摸輸入壓力以及觸摸輸入位置和觸摸輸入面積。

音頻輸出模塊152可以在移動終端處于呼叫信號接收模式、通話模式、記錄模式、語音識別模式、廣播接收模式等等模式下時，將無線通信單元110接收的或者在存儲器160中存儲的音頻數(shù)據(jù)轉(zhuǎn)換音頻信號并且輸出為聲音。而且，音頻輸出模塊152可以提供與移動終端100執(zhí)行的特定功能相關(guān)的音頻輸出(例如，呼叫信號接收聲音、消息接收聲音等等)。音頻輸出模塊152可以包括揚(yáng)聲器、蜂鳴器等等。

警報(bào)單元153可以提供輸出以將事件的發(fā)生通知給移動終端100。典型的事件可以包括呼叫接收、消息接收、鍵信號輸入、觸摸輸入等等。除了音頻或視頻輸出之外，警報(bào)單元153可以以不同的方式提供輸出以通知事件的發(fā)生。例如，警報(bào)單元153可以以振動的形式提供輸出，當(dāng)接收到呼叫、消息或一些其它進(jìn)入通信(incomingcommunication)時，警報(bào)單元153可以提供觸覺輸出(即，振動)以將其通知給用戶。通過提供這樣的觸覺輸出，即使在用戶的移動電話處于用戶的口袋中時，用戶也能夠識別出各種事件的發(fā)生。警報(bào)單元153也可以經(jīng)由顯示單元151或音頻輸出模塊152提供通知事件的發(fā)生的輸出。

存儲器160可以存儲由控制器180執(zhí)行的處理和控制操作的軟件程序等等，或者可以暫時地存儲己經(jīng)輸出或?qū)⒁敵龅臄?shù)據(jù)(例如，電話簿、消息、靜態(tài)圖像、視頻等等)。而且，存儲器160可以存儲關(guān)于當(dāng)觸摸施加到觸摸屏?xí)r輸出的各種方式的振動和音頻信號的數(shù)據(jù)。

存儲器160可以包括至少一種類型的存儲介質(zhì)，所述存儲介質(zhì)包括閃存、硬盤、多媒體卡、卡型存儲器(例如，SD或DX存儲器等等)、隨機(jī)訪問存儲器(RAM)、靜態(tài)隨機(jī)訪問存儲器(SRAM)、只讀存儲器(ROM)、電可擦除可編程只讀存儲器(EEPROM)、可編程只讀存儲器(PROM)、磁性存儲器、磁盤、光盤等等。而且，移動終端100可以與通過網(wǎng)絡(luò)連接執(zhí)行存儲器160的存儲功能的網(wǎng)絡(luò)存儲裝置協(xié)作。

控制器180通常控制移動終端的總體操作。例如，控制器180執(zhí)行與語音通話、數(shù)據(jù)通信、視頻通話等等相關(guān)的控制和處理。另外，控制器180可以包括用于再現(xiàn)(或回放)多媒體數(shù)據(jù)的多媒體模塊181，多媒體模塊181可以構(gòu)造在控制器180內(nèi)，或者可以構(gòu)造為與控制器180分離?？刂破?80可以執(zhí)行模式識別處理，以將在觸摸屏上執(zhí)行的手寫輸入或者圖片繪制輸入識別為字符或圖像。

電源單元190在控制器180的控制下接收外部電力或內(nèi)部電力并且提供操作各元件和組件所需的適當(dāng)?shù)碾娏Α?/p>

這里描述的各種實(shí)施方式可以以使用例如計(jì)算機(jī)軟件、硬件或其任何組合的計(jì)算機(jī)可讀介質(zhì)來實(shí)施。對于硬件實(shí)施，這里描述的實(shí)施方式可以通過使用特定用途集成電路(ASIC)、數(shù)字信號處理器(DSP)、數(shù)字信號處理裝置(DSPD)、可編程邏輯裝置(PLD)、現(xiàn)場可編程門陣列(FPGA)、處理器、控制器、微控制器、微處理器、被設(shè)計(jì)為執(zhí)行這里描述的功能的電子單元中的至少一種來實(shí)施，在一些情況下，這樣的實(shí)施方式可以在控制器180中實(shí)施。對于軟件實(shí)施，諸如過程或功能的實(shí)施方式可以與允許執(zhí)行至少一種功能或操作的單獨(dú)的軟件模塊來實(shí)施。軟件代碼可以由以任何適當(dāng)?shù)木幊陶Z言編寫的軟件應(yīng)用程序(或程序)來實(shí)施，軟件代碼可以存儲在存儲器160中并且由控制器180執(zhí)行。

至此，己經(jīng)按照其功能描述了移動終端。下面，為了簡要起見，將描述諸如折疊型、直板型、擺動型、滑動型移動終端等等的各種類型的移動終端中的滑動型移動終端作為示例。因此，本發(fā)明能夠應(yīng)用于任何類型的移動終端，并且不限于滑動型移動終端。

如圖1中所示的移動終端100可以被構(gòu)造為利用經(jīng)由幀或分組發(fā)送數(shù)據(jù)的諸如有線和無線通信系統(tǒng)以及基于衛(wèi)星的通信系統(tǒng)來操作。

現(xiàn)在將參考圖2描述其中根據(jù)本發(fā)明的移動終端能夠操作的通信系統(tǒng)。

這樣的通信系統(tǒng)可以使用不同的空中接口和/或物理層。例如，由通信系統(tǒng)使用的空中接口包括例如頻分多址(FDMA)、時分多址(TDMA)、碼分多址(CDMA)和通用移動通信系統(tǒng)(UMTS)(特別地，長期演進(jìn)(LTE))、全球移動通信系統(tǒng)(GSM)等等。作為非限制性示例，下面的描述涉及CDMA通信系統(tǒng)，但是這樣的教導(dǎo)同樣適用于其它類型的系統(tǒng)。

參考圖2，CDMA無線通信系統(tǒng)可以包括多個移動終端100、多個基站(BS)270、基站控制器(BSC)275和移動交換中心(MSC)280。MSC280被構(gòu)造為與公共電話交換網(wǎng)絡(luò)(PSTN)290形成接口。MSC280還被構(gòu)造為與可以經(jīng)由回程線路耦接到基站270的BSC275形成接口?；爻叹€路可以根據(jù)若干己知的接口中的任一種來構(gòu)造，所述接口包括例如E1/T1、ATM，IP、PPP、幀中繼、HDSL、ADSL或xDSL。將理解的是，如圖2中所示的系統(tǒng)可以包括多個BSC2750。

每個BS270可以服務(wù)一個或多個分區(qū)(或區(qū)域)，由多向天線或指向特定方向的天線覆蓋的每個分區(qū)放射狀地遠(yuǎn)離BS270?；蛘?，每個分區(qū)可以由用于分集接收的兩個或更多天線覆蓋。每個BS270可以被構(gòu)造為支持多個頻率分配，并且每個頻率分配具有特定頻譜(例如，1.25MHz,5MHz等等)。

分區(qū)與頻率分配的交叉可以被稱為CDMA信道。BS270也可以被稱為基站收發(fā)器子系統(tǒng)(BTS)或者其它等效術(shù)語。在這樣的情況下，術(shù)語"基站"可以用于籠統(tǒng)地表示單個BSC275和至少一個BS270?；疽部梢员环Q為"蜂窩站"?；蛘?，特定BS270的各分區(qū)可以被稱為多個蜂窩站。

如圖2中所示，廣播發(fā)射器(BT)295將廣播信號發(fā)送給在系統(tǒng)內(nèi)操作的移動終端100。如圖1中所示的廣播接收模塊111被設(shè)置在移動終端100處以接收由BT295發(fā)送的廣播信號。在圖2中，示出了幾個全球定位系統(tǒng)(GPS)衛(wèi)星300。衛(wèi)星300幫助定位多個移動終端100中的至少一個。

在圖2中，描繪了多個衛(wèi)星300，但是理解的是，可以利用任何數(shù)目的衛(wèi)星獲得有用的定位信息。如圖1中所示的GPS模塊115通常被構(gòu)造為與衛(wèi)星300配合以獲得想要的定位信息。替代GPS跟蹤技術(shù)或者在GPS跟蹤技術(shù)之外，可以使用可以跟蹤移動終端的位置的其它技術(shù)。另外，至少一個GPS衛(wèi)星300可以選擇性地或者額外地處理衛(wèi)星DMB傳輸。

作為無線通信系統(tǒng)的一個典型操作，BS270接收來自各種移動終端100的反向鏈路信號。移動終端100通常參與通話、消息收發(fā)和其它類型的通信。特定基站270接收的每個反向鏈路信號被在特定BS270內(nèi)進(jìn)行處理。獲得的數(shù)據(jù)被轉(zhuǎn)發(fā)給相關(guān)的BSC275。BSC提供通話資源分配和包括BS270之間的軟切換過程的協(xié)調(diào)的移動管理功能。BSC275還將接收到的數(shù)據(jù)路由到MSC280，其提供用于與PSTN290形成接口的額外的路由服務(wù)。類似地，PSTN290與MSC280形成接口，MSC與BSC275形成接口，并且BSC275相應(yīng)地控制BS270以將正向鏈路信號發(fā)送到移動終端100。

基于上述移動終端硬件結(jié)構(gòu)以及通信系統(tǒng)，提出本發(fā)明方法各個實(shí)施例。

如圖3所示，本發(fā)明第一實(shí)施例提供的一種惡意軟件攔截方法，該方法用于終端中，包括步驟：

10、對可疑文件進(jìn)行靜態(tài)分析或者防御，獲取到靜態(tài)分析或者防御的結(jié)果。

在本實(shí)施例中，防御可包括沙箱、IPS、防火墻、殺毒網(wǎng)關(guān)、終端殺毒等等。

沙箱技術(shù)，英文名sandbox。這種技術(shù)現(xiàn)在在計(jì)算機(jī)安全防御中得以運(yùn)用，是比較新的技術(shù)。具體來說沙箱是一種安全軟件，可以將一個程序放入沙箱運(yùn)行，這樣它所創(chuàng)建/修改/刪除的所有文件和注冊表都會被虛擬化重定向，也就是說所有操作都是虛擬的，真實(shí)的文件和注冊表不會被改動，這樣可以確保病毒無法對系統(tǒng)關(guān)鍵部位進(jìn)行改動而破壞系統(tǒng)。結(jié)合虛擬機(jī)以及沙箱技術(shù)，就可以方便搭建出所需要的軟件操作環(huán)境，來進(jìn)行對真實(shí)機(jī)器影響巨大的操作，而不用擔(dān)心對真實(shí)機(jī)器造成破壞，并可隨時恢復(fù)系統(tǒng)狀態(tài)。

IPS(Intrusion Prevention System)是電腦網(wǎng)絡(luò)安全設(shè)施，是對防病毒軟件(Antivirus Programs)和防火墻(Packet Filter,Application Gateway)的補(bǔ)充。入侵預(yù)防系統(tǒng)(Intrusion-prevention system)是一部能夠監(jiān)視網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)資料傳輸行為的計(jì)算機(jī)網(wǎng)絡(luò)安全設(shè)備，能夠即時的中斷、調(diào)整或隔離一些不正?；蚴蔷哂袀π缘木W(wǎng)絡(luò)資料傳輸行為。

程序靜態(tài)分析(Program Static Analysis)是指在不運(yùn)行代碼的方式下，通過詞法分析、語法分析、控制流、數(shù)據(jù)流分析等技術(shù)對程序代碼進(jìn)行掃描，驗(yàn)證代碼是否滿足規(guī)范性、安全性、可靠性、可維護(hù)性等指標(biāo)的一種代碼分析技術(shù)。

在本實(shí)施例中，可疑文件通過以下方式進(jìn)行識別：

若應(yīng)用軟件的信息摘要算法(Message-Digest Algorithm 5，MD5)值或者哈希值不在特征庫中，則識別該應(yīng)用軟件為可疑文件。在該步驟中，該可疑文件是無法判斷是否安全的文件或者應(yīng)用程序。

11、若靜態(tài)分析或者防御的結(jié)果為可疑文件為可疑的惡意軟件，則觸發(fā)對可疑文件進(jìn)行動態(tài)分析。

具體地，可將所述可疑文件載入可控且被監(jiān)控的環(huán)境中，并對所述可疑文件進(jìn)行動態(tài)分析。

12、獲取到動態(tài)分析結(jié)果并上傳到云端服務(wù)器中。

13、獲取云端服務(wù)器發(fā)送的惡意軟件攔截信息，惡意軟件攔截信息為云端服務(wù)器根據(jù)上傳的動態(tài)分析結(jié)果和存儲的惡意軟件樣本進(jìn)行比對而生成。

具體地，云端服務(wù)器將該可疑文件的動態(tài)分析結(jié)果與云端存儲的惡意軟件樣本進(jìn)行比對，如果其行為符合已知惡意行為的范疇，例如刪除子進(jìn)程、覆蓋文件以及更改注冊表等已知的惡意行為，將會立即通知終端并采取行動來攔截該威脅。

以勒索軟件攔截為例：

1、通過隱藏在郵件附件中逃避前線防御，或者通過破壞網(wǎng)站到達(dá)終端。

2、一旦到達(dá)終端，將開啟激活程序：與加密密鑰服務(wù)器通信，搜索系統(tǒng)中重要的用戶文件，復(fù)制、移動、重命名以及加密這些文件。

3、進(jìn)行勒索。

靜態(tài)分析，一旦勒索軟件躲過了層層搜查，那么將長驅(qū)直入。即使后來意識到發(fā)生問題，立即切斷該終端與網(wǎng)絡(luò)的聯(lián)系，但仍然失去了該終端及上面的所有內(nèi)容。相反，如果防御體系可以觀察灰色代碼的實(shí)際行為，那么，只要它在終端上有所動作，就有機(jī)會檢測并阻止。

即使這時候勒索軟件已經(jīng)運(yùn)行了，但并不會造成實(shí)質(zhì)性的危害。在對他進(jìn)行分析的幾秒鐘內(nèi)，它可能開始與加密密鑰服務(wù)器進(jìn)行通信，甚至于加密了一兩個文件，但是，在它采取實(shí)質(zhì)性攻擊之前就會被阻截并修復(fù)。

本發(fā)明實(shí)施例提供的惡意軟件攔截方法，可以在發(fā)現(xiàn)威脅的終端上將其攔截，防止進(jìn)一步擴(kuò)散到其他系統(tǒng)并對終端造成嚴(yán)重危害。使“零號病人”免于損失系統(tǒng)中所有的資料。而且，攔截的過程耗費(fèi)時間非常短，且不需要人工干預(yù)。

如圖4所示，本發(fā)明第二實(shí)施例提供與第一實(shí)施例相對應(yīng)的一種惡意軟件攔截裝置，該裝置包括靜態(tài)分析模塊20、觸發(fā)模塊21、上傳模塊22及獲取模塊23；

靜態(tài)分析模塊20，用于對可疑文件進(jìn)行靜態(tài)分析或者防御，獲取到靜態(tài)分析或者防御的結(jié)果。

在本實(shí)施例中，防御可包括沙箱、IPS、防火墻、殺毒網(wǎng)關(guān)、終端殺毒等等。

沙箱技術(shù)，英文名sandbox。這種技術(shù)現(xiàn)在在計(jì)算機(jī)安全防御中得以運(yùn)用，是比較新的技術(shù)。具體來說沙箱是一種安全軟件，可以將一個程序放入沙箱運(yùn)行，這樣它所創(chuàng)建/修改/刪除的所有文件和注冊表都會被虛擬化重定向，也就是說所有操作都是虛擬的，真實(shí)的文件和注冊表不會被改動，這樣可以確保病毒無法對系統(tǒng)關(guān)鍵部位進(jìn)行改動而破壞系統(tǒng)。結(jié)合虛擬機(jī)以及沙箱技術(shù)，就可以方便搭建出所需要的軟件操作環(huán)境，來進(jìn)行對真實(shí)機(jī)器影響巨大的操作，而不用擔(dān)心對真實(shí)機(jī)器造成破壞，并可隨時恢復(fù)系統(tǒng)狀態(tài)。

IPS(Intrusion Prevention System)是電腦網(wǎng)絡(luò)安全設(shè)施，是對防病毒軟件(Antivirus Programs)和防火墻(Packet Filter,Application Gateway)的補(bǔ)充。入侵預(yù)防系統(tǒng)(Intrusion-prevention system)是一部能夠監(jiān)視網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)資料傳輸行為的計(jì)算機(jī)網(wǎng)絡(luò)安全設(shè)備，能夠即時的中斷、調(diào)整或隔離一些不正常或是具有傷害性的網(wǎng)絡(luò)資料傳輸行為。

程序靜態(tài)分析(Program Static Analysis)是指在不運(yùn)行代碼的方式下，通過詞法分析、語法分析、控制流、數(shù)據(jù)流分析等技術(shù)對程序代碼進(jìn)行掃描，驗(yàn)證代碼是否滿足規(guī)范性、安全性、可靠性、可維護(hù)性等指標(biāo)的一種代碼分析技術(shù)。

觸發(fā)模塊21，用于若靜態(tài)分析模塊20的靜態(tài)分析或者防御的結(jié)果為所述可疑文件為可疑的惡意軟件，則觸發(fā)對所述可疑文件進(jìn)行動態(tài)分析。

如圖6所示，在本實(shí)施例中，觸發(fā)模塊20可包括載入單元201和觸發(fā)單元202；

載入單元201，用于若所述靜態(tài)分析模塊20的靜態(tài)分析結(jié)果為所述可疑文件為可疑的惡意軟件，則將所述可疑文件載入可控且被監(jiān)控的環(huán)境中；

觸發(fā)單元202，用于觸發(fā)對所述可疑文件進(jìn)行動態(tài)分析。

上傳模塊22，用于獲取到所述觸發(fā)模塊的動態(tài)分析結(jié)果并上傳到云端服務(wù)器中；

獲取模塊23，用于獲取所述云端服務(wù)器發(fā)送的惡意軟件攔截信息，所述惡意軟件攔截信息為所述云端服務(wù)器根據(jù)上傳的動態(tài)分析結(jié)果和存儲的惡意軟件樣本進(jìn)行比對而生成。

具體地，云端服務(wù)器將該可疑文件的動態(tài)分析結(jié)果與云端存儲的惡意軟件樣本進(jìn)行比對，如果其行為符合已知惡意行為的范疇，例如刪除子進(jìn)程、覆蓋文件以及更改注冊表等已知的惡意行為，將會立即通知終端并采取行動來攔截該威脅。

如圖5所示，在本實(shí)施例中，該裝置還可包括識別模塊24；

識別模塊24，用于若應(yīng)用軟件的信息摘要算法值或者哈希值不在特征庫中，則識別該應(yīng)用軟件為可疑文件。

以勒索軟件攔截為例：

1、通過隱藏在郵件附件中逃避前線防御，或者通過破壞網(wǎng)站到達(dá)終端。

2、一旦到達(dá)終端，將開啟激活程序：與加密密鑰服務(wù)器通信，搜索系統(tǒng)中重要的用戶文件，復(fù)制、移動、重命名以及加密這些文件。

3、進(jìn)行勒索。

靜態(tài)分析，一旦勒索軟件躲過了層層搜查，那么將長驅(qū)直入。即使后來意識到發(fā)生問題，立即切斷該終端與網(wǎng)絡(luò)的聯(lián)系，但仍然失去了該終端及上面的所有內(nèi)容。相反，如果防御體系可以觀察灰色代碼的實(shí)際行為，那么，只要它在終端上有所動作，就有機(jī)會檢測并阻止。

即使這時候勒索軟件已經(jīng)運(yùn)行了，但并不會造成實(shí)質(zhì)性的危害。在對他進(jìn)行分析的幾秒鐘內(nèi)，它可能開始與加密密鑰服務(wù)器進(jìn)行通信，甚至于加密了一兩個文件，但是，在它采取實(shí)質(zhì)性攻擊之前就會被阻截并修復(fù)。

本發(fā)明實(shí)施例提供的惡意軟件攔截裝置，可以在發(fā)現(xiàn)威脅的終端上將其攔截，防止進(jìn)一步擴(kuò)散到其他系統(tǒng)并對終端造成嚴(yán)重危害。使“零號病人”免于損失系統(tǒng)中所有的資料。而且，攔截的過程耗費(fèi)時間非常短，且不需要人工干預(yù)。

本發(fā)明進(jìn)一步提供一種終端。

參照圖7，圖7為本發(fā)明第三實(shí)施例提供的一種終端，該終端包括：發(fā)送模塊31、接收模塊32及處理器30；

處理器30，用于對所述終端的可疑文件進(jìn)行靜態(tài)分析或者防御，獲取到靜態(tài)分析或者防御的結(jié)果；若靜態(tài)分析或者防御的結(jié)果為所述可疑文件為可疑的惡意軟件，則觸發(fā)對所述可疑文件進(jìn)行動態(tài)分析。

在本實(shí)施例中，防御可包括沙箱、IPS、防火墻、殺毒網(wǎng)關(guān)、終端殺毒等等。

沙箱技術(shù)，英文名sandbox。這種技術(shù)現(xiàn)在在計(jì)算機(jī)安全防御中得以運(yùn)用，是比較新的技術(shù)。具體來說沙箱是一種安全軟件，可以將一個程序放入沙箱運(yùn)行，這樣它所創(chuàng)建/修改/刪除的所有文件和注冊表都會被虛擬化重定向，也就是說所有操作都是虛擬的，真實(shí)的文件和注冊表不會被改動，這樣可以確保病毒無法對系統(tǒng)關(guān)鍵部位進(jìn)行改動而破壞系統(tǒng)。結(jié)合虛擬機(jī)以及沙箱技術(shù)，就可以方便搭建出所需要的軟件操作環(huán)境，來進(jìn)行對真實(shí)機(jī)器影響巨大的操作，而不用擔(dān)心對真實(shí)機(jī)器造成破壞，并可隨時恢復(fù)系統(tǒng)狀態(tài)。

IPS(Intrusion Prevention System)是電腦網(wǎng)絡(luò)安全設(shè)施，是對防病毒軟件(Antivirus Programs)和防火墻(Packet Filter,Application Gateway)的補(bǔ)充。入侵預(yù)防系統(tǒng)(Intrusion-prevention system)是一部能夠監(jiān)視網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)資料傳輸行為的計(jì)算機(jī)網(wǎng)絡(luò)安全設(shè)備，能夠即時的中斷、調(diào)整或隔離一些不正?；蚴蔷哂袀π缘木W(wǎng)絡(luò)資料傳輸行為。

程序靜態(tài)分析(Program Static Analysis)是指在不運(yùn)行代碼的方式下，通過詞法分析、語法分析、控制流、數(shù)據(jù)流分析等技術(shù)對程序代碼進(jìn)行掃描，驗(yàn)證代碼是否滿足規(guī)范性、安全性、可靠性、可維護(hù)性等指標(biāo)的一種代碼分析技術(shù)。

發(fā)送模塊31，用于將處理器30的動態(tài)分析結(jié)果上傳到云端服務(wù)器中。

接收模塊32，用于接收所述云端服務(wù)器發(fā)送的惡意軟件攔截信息，所述惡意軟件攔截信息為所述云端服務(wù)器根據(jù)上傳的動態(tài)分析結(jié)果和存儲的惡意軟件樣本進(jìn)行比對而生成。

具體地，云端服務(wù)器將該可疑文件的動態(tài)分析結(jié)果與云端存儲的惡意軟件樣本進(jìn)行比對，如果其行為符合已知惡意行為的范疇，例如刪除子進(jìn)程、覆蓋文件以及更改注冊表等已知的惡意行為，將會立即通知終端并采取行動來攔截該威脅。

在本實(shí)施例中，處理器30還用于若應(yīng)用軟件的信息摘要算法值或者哈希值不在特征庫中，則識別該應(yīng)用軟件為可疑文件。

在本實(shí)施例中，處理器30還用于將所述可疑文件載入可控且被監(jiān)控的環(huán)境中，并對所述可疑文件進(jìn)行動態(tài)分析。

以勒索軟件攔截為例：

1、通過隱藏在郵件附件中逃避前線防御，或者通過破壞網(wǎng)站到達(dá)終端。

2、一旦到達(dá)終端，將開啟激活程序：與加密密鑰服務(wù)器通信，搜索系統(tǒng)中重要的用戶文件，復(fù)制、移動、重命名以及加密這些文件。

3、進(jìn)行勒索。

靜態(tài)分析，一旦勒索軟件躲過了層層搜查，那么將長驅(qū)直入。即使后來意識到發(fā)生問題，立即切斷該終端與網(wǎng)絡(luò)的聯(lián)系，但仍然失去了該終端及上面的所有內(nèi)容。相反，如果防御體系可以觀察灰色代碼的實(shí)際行為，那么，只要它在終端上有所動作，就有機(jī)會檢測并阻止。

即使這時候勒索軟件已經(jīng)運(yùn)行了，但并不會造成實(shí)質(zhì)性的危害。在對他進(jìn)行分析的幾秒鐘內(nèi)，它可能開始與加密密鑰服務(wù)器進(jìn)行通信，甚至于加密了一兩個文件，但是，在它采取實(shí)質(zhì)性攻擊之前就會被阻截并修復(fù)。

本發(fā)明實(shí)施例提供的終端，可以在發(fā)現(xiàn)威脅的終端上將其攔截，防止進(jìn)一步擴(kuò)散到其他系統(tǒng)并對終端造成嚴(yán)重危害。使“零號病人”免于損失系統(tǒng)中所有的資料。而且，攔截的過程耗費(fèi)時間非常短，且不需要人工干預(yù)。

請?jiān)賲⒖紙D8所示，本發(fā)明第四實(shí)施例提供的一種惡意軟件攔截方法，該方法用于云端服務(wù)器中，包括步驟：

40、接收終端上傳的動態(tài)分析結(jié)果，其中動態(tài)分析結(jié)果為所述終端對可疑文件進(jìn)行靜態(tài)分析或者防御，獲取到靜態(tài)分析或者防御的結(jié)果；若靜態(tài)分析或者防御的結(jié)果為所述可疑文件為可疑的惡意軟件，則觸發(fā)對所述可疑文件進(jìn)行動態(tài)分析并生成的；

41、將上傳的動態(tài)分析結(jié)果和存儲的惡意軟件樣本進(jìn)行比對并生成惡意軟件攔截信息；

42、將所述生成的惡意軟件攔截信息發(fā)送給所述終端。

本發(fā)明實(shí)施例提供的惡意軟件攔截方法，可以在發(fā)現(xiàn)威脅的終端上將其攔截，防止進(jìn)一步擴(kuò)散到其他系統(tǒng)并對終端造成嚴(yán)重危害。使“零號病人”免于損失系統(tǒng)中所有的資料。而且，攔截的過程耗費(fèi)時間非常短，且不需要人工干預(yù)。

需要說明的是，在本文中，術(shù)語“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含，從而使得包括一系列要素的過程、方法、物品或者裝置不僅包括那些要素，而且還包括沒有明確列出的其他要素，或者是還包括為這種過程、方法、物品或者裝置所固有的要素。在沒有更多限制的情況下，由語句“包括一個……”限定的要素，并不排除在包括該要素的過程、方法、物品或者裝置中還存在另外的相同要素。

上述本發(fā)明實(shí)施例序號僅僅為了描述，不代表實(shí)施例的優(yōu)劣。

通過以上的實(shí)施方式的描述，本領(lǐng)域的技術(shù)人員可以清楚地了解到上述實(shí)施例方法可借助軟件加必需的通用硬件平臺的方式來實(shí)現(xiàn)，當(dāng)然也可以通過硬件，但很多情況下前者是更佳的實(shí)施方式?；谶@樣的理解，本發(fā)明的技術(shù)方案本質(zhì)上或者說對現(xiàn)有技術(shù)做出貢獻(xiàn)的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來，該計(jì)算機(jī)軟件產(chǎn)品存儲在一個存儲介質(zhì)(如ROM/RAM、磁碟、光盤)中，包括若干指令用以使得一臺終端設(shè)備(可以是手機(jī)，計(jì)算機(jī)，服務(wù)器，空調(diào)器，或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個實(shí)施例所述的方法。

以上僅為本發(fā)明的優(yōu)選實(shí)施例，并非因此限制本發(fā)明的專利范圍，凡是利用本發(fā)明說明書及附圖內(nèi)容所作的等效結(jié)構(gòu)或等效流程變換，或直接或間接運(yùn)用在其他相關(guān)的技術(shù)領(lǐng)域，均同理包括在本發(fā)明的專利保護(hù)范圍內(nèi)。