技術領域

本發明涉及計算機軟件領域，特別涉及一種基于云安全的惡意軟件追蹤方法。

背景技術

隨著計算機技術在社會生活中各個領域的廣泛運用，惡意程序也如同其附屬品一樣接踵而來。由于這些惡意程序所具有的感染性、復制性及破壞性，其已成為困擾計算機使用的一個重大問題。

惡意程序是一個概括性的術語，指任何故意創建用來執行未經授權并通常是有害行為的軟件程序。計算機病毒、后門程序、鍵盤記錄器、密碼盜取者、Word和Excel宏病毒、引導區病毒、腳本病毒（如batch,windows?shell,java等）、木馬、犯罪軟件、間諜軟件和廣告軟件等等，都是一些可以稱之為惡意程序的例子。以木馬為例，木馬能夠盜取網銀密碼、盜取網游裝備、泄露隱私照片等等。

可以看出，惡意程序對計算機設備以及用戶造成的危害是巨大的，因此如何對惡意程序進行查殺就顯得更為重要。傳統的查殺方式是特征庫匹配，但是隨著惡意程序爆發式的增長，又由于特征庫的生成與更新相對于病毒的產生通常滯后，導致傳統特征庫匹配的查殺方式越來愈力不從心。于是出現了主動防御技術，主動防御是基于程序行為自主分析判斷的實時防護技術，不以病毒的特征碼作為判斷病毒的依據，而是從最原始的病毒定義出發，直接將程序的行為作為判斷病毒的依據，解決了傳統安全軟件無法防御未知惡意軟件的弊端，從技術上實現了惡意程序的主動防御。

然而，一些惡意程序可以通過生成新的可執行文件或創建快捷方式等，誘導用戶運行該惡意程序派生出的文件，由于現有方案無法對這些派生出的文件進行準確定位，從而導致一些惡意程序能夠繞過主動防御攔截，降低了主動防御的有效性。

發明內容

鑒于上述問題，提出了本發明以便提供一種克服上述問題或者至少部分地解決上述問題的一種基于云安全的惡意軟件追蹤方法。

依據本發明的一個方面，本發明實施例提供了一種追蹤軟件的方法，包括：

記錄已獲知的需要追蹤的軟件在設備本地生成的文件的信息至第一數據庫，該文件具有與該軟件相同的記錄標識；以及，記錄從網絡中下載至設備中的下載文件的信息及該下載文件的記錄標識至第二數據庫；

當設備中的軟件被啟動時，查詢第一數據庫和/或第二數據庫判斷該軟件是否為需要追蹤的軟件；

若軟件為需要追蹤的軟件，根據在查詢第一數據庫和/或第二數據庫時獲知的該軟件的記錄標識，從第二數據庫中獲取對應的下載文件的信息，得到指示軟件的源頭的追蹤信息；以及，將軟件在設備本地生成的文件的信息記錄在第一數據庫中，并為該文件設置與軟件相同的記錄標識。

其中，上述將軟件在設備本地生成的文件的信息記錄在第一數據庫中包括：

提取文件的文件路徑中的各級文件目錄，按照預定算法對提取出的每一級文件目錄對應的字符串進行運算，將各級文件目錄的運算值組合在一起得到該文件的文件指紋；將文件的信息記錄在第一數據庫中該文件的文件指紋所指示的位置。

其中，上述查詢第一數據庫和/或第二數據庫判斷該軟件是否為待追蹤軟件包括：判斷軟件的進程鏈上是否存在至少一個進程的相關文件被記錄在第一數據庫和/或第二數據庫中，若是，確認軟件為需要追蹤的軟件，若否，確認軟件不是需要追蹤的軟件。

其中，上述進程的相關文件包括進程的exe文件，以及，當進程是通過快捷方式啟動時，進程的相關文件包括快捷方式文件；當進程為批處理進程時，進程的相關文件包括批處理文件；當進程為腳本進程時，進程的相關文件包括腳本文件；當進程為rundll32或regsvr32進程時，進程的相關文件包括相關的動態鏈接庫DLL文件；當為解壓縮進程時，該進程的相關文件包括解壓縮文件。

其中，上述查詢第一數據庫和/或第二數據庫判斷該軟件是否為需要追蹤的軟件包括：

提取軟件的進程鏈上當前進程的當前文件的文件路徑中的各級文件目錄，按照預定算法對提取出的每一級文件目錄對應的字符串進行運算，將各級文件目錄的運算值組合在一起得到該當前文件的查詢值；利用查詢值對第一數據庫中的文件指紋進行匹配；當匹配成功時，確認軟件為需要追蹤的軟件；當匹配失敗時，在第二數據庫中查詢當前文件，當查詢到當前文件時，確認軟件為需要追蹤的軟件；否則，確認軟件不是需要追蹤的軟件。

其中，上述將軟件在設備本地生成的文件的信息記錄在第一數據庫中包括：