本發(fā)明涉及互聯(lián)網(wǎng)技術(shù)領(lǐng)域，具體而言，本發(fā)明涉及終端設(shè)備、分布式云端檢測系統(tǒng)以及樣本檢測的方法。

背景技術(shù)：

隨著信息技術(shù)的發(fā)展，互聯(lián)網(wǎng)以及終端也隨之發(fā)展，因而將產(chǎn)生大量的數(shù)據(jù)，并且通過對這些產(chǎn)生的數(shù)據(jù)進行分析，以實現(xiàn)對互聯(lián)網(wǎng)以及終端的檢測，確?；ヂ?lián)網(wǎng)以及終端的信息安全。

目前，一種樣本檢測的方法，研究人員獲取大量的樣本，并通過靜態(tài)即動態(tài)等檢測方法，對獲取到的大量樣本進行研究分析，然而當通過現(xiàn)有技術(shù)的方法，對樣本進行檢測時，由于人工對大量樣本進行檢測分析，將導致花費巨大，并且消耗大量的時間，進而導致對樣本的檢測效率較低。

技術(shù)實現(xiàn)要素：

為克服上述技術(shù)問題或者至少部分地解決上述技術(shù)問題，特提出以下技術(shù)方案：

本發(fā)明的實施例根據(jù)一個方面，提供了一種樣本檢測的方法，應(yīng)用于分布式云端檢測系統(tǒng)，分布式云端檢測系統(tǒng)包括：多個單節(jié)點沙箱；方法包括：

根據(jù)第一預設(shè)規(guī)則確定多個待處理的任務(wù)信息，并將多個待處理的任務(wù)信息發(fā)送至共享隊列；

當接收到至少一個請求消息后，根據(jù)各個請求消息從共享隊列中獲取其各自對應(yīng)的任務(wù)信息，并通過多個單節(jié)點沙箱分別執(zhí)行為其分配的任務(wù)，得到任務(wù)執(zhí)行過程中產(chǎn)生的數(shù)據(jù)；

將任務(wù)執(zhí)行過程中產(chǎn)生的數(shù)據(jù)發(fā)送至對應(yīng)的數(shù)據(jù)庫。

具體地，單節(jié)點沙箱執(zhí)行任務(wù)的方式包括：

讀取優(yōu)先級最高的任務(wù)信息；

確定優(yōu)先級最高的任務(wù)信息中是否包含具體的樣本；

若包含具體的樣本，則對具體的參數(shù)環(huán)境進行修正；

當修正完畢之后，根據(jù)當前資源的使用情況、以及任務(wù)信息中的參數(shù)配置信息確定執(zhí)行該任務(wù)；

當該任務(wù)執(zhí)行完畢之后，修改相應(yīng)的任務(wù)狀態(tài)。

可選地，根據(jù)當前資源的使用情況、以及任務(wù)信息中的參數(shù)配置信息確定執(zhí)行該任務(wù)的步驟之后，還包括：

若確定執(zhí)行該任務(wù)，則將該任務(wù)在虛擬機中運行，并將運行中產(chǎn)生的數(shù)據(jù)存儲至本地磁盤。

可選地，確定優(yōu)先級最高的任務(wù)信息中是否包含具體的樣本的步驟之后，還包括：

若優(yōu)先級最高的任務(wù)信息中未包含具體的樣本，僅包含md5標識符，則根據(jù)md5標識符下載對應(yīng)的樣本；

根據(jù)當前正在執(zhí)行的任務(wù)個數(shù)，確定是否執(zhí)行包含該下載樣本的任務(wù)；

若確定執(zhí)行包含該下載樣本的任務(wù)，則根據(jù)該下載樣本，生成json文件，json文件中包含任務(wù)的具體信息；

根據(jù)任務(wù)的具體信息，生成指定格式的報告，并修改相應(yīng)的任務(wù)狀態(tài)。

可選地，根據(jù)本地資源的使用狀態(tài)信息和/或本地數(shù)據(jù)庫中的任務(wù)積壓狀態(tài)信息，向服務(wù)器發(fā)送任務(wù)請求，任務(wù)請求用于向服務(wù)器請求任務(wù)信息；

接收服務(wù)器返回的任務(wù)信息，并將任務(wù)信息存儲至本地數(shù)據(jù)庫。

具體地，任務(wù)信息中包含任務(wù)數(shù)據(jù)；

將任務(wù)信息存儲至本地數(shù)據(jù)庫的步驟，包括：

壓縮任務(wù)數(shù)據(jù)，并將壓縮后的任務(wù)數(shù)據(jù)存儲至本地數(shù)據(jù)庫。

具體地，將任務(wù)執(zhí)行過程中產(chǎn)生的數(shù)據(jù)發(fā)送至對應(yīng)的數(shù)據(jù)庫的步驟，包括：

通過第二預設(shè)規(guī)則，篩選任務(wù)執(zhí)行過程中產(chǎn)生的數(shù)據(jù)中屬于黑數(shù)據(jù)的數(shù)據(jù)，并將屬于黑數(shù)據(jù)的數(shù)據(jù)至黑數(shù)據(jù)庫。

可選地，每隔預設(shè)時間，清理數(shù)據(jù)庫。

本發(fā)明的實施例根據(jù)另一個方面，還提供了一種分布式云端檢測系統(tǒng)，包括：

沙箱集群入口模塊，用于根據(jù)第一預設(shè)規(guī)則確定多個待處理的任務(wù)信息；將多個待處理的任務(wù)信息發(fā)送至共享隊列；當接收到至少一個請求消息后，根據(jù)各個請求消息從共享隊列中獲取其各自對應(yīng)的任務(wù)信息；

單節(jié)點沙箱模塊，用于通過多個單節(jié)點沙箱分別執(zhí)行為其分配的任務(wù)，得到任務(wù)執(zhí)行過程中產(chǎn)生的數(shù)據(jù)；

可擴充式的分布式存儲集群模塊，還用于將單節(jié)點沙箱模塊任務(wù)執(zhí)行過程中產(chǎn)生的數(shù)據(jù)發(fā)送至對應(yīng)的數(shù)據(jù)庫。

具體地，單節(jié)點沙箱模塊，具體用于讀取優(yōu)先級最高的任務(wù)信息；確定優(yōu)先級最高的任務(wù)信息中是否包含具體的樣本；當包含具體的樣本時，對具體的參數(shù)環(huán)境進行修正；當修正完畢之后，根據(jù)當前資源的使用情況、以及任務(wù)信息中的參數(shù)配置信息確定執(zhí)行該任務(wù)；當該任務(wù)執(zhí)行完畢之后，修改相應(yīng)的任務(wù)狀態(tài)。

可選地，單節(jié)點沙箱模塊，具體還用于若確定執(zhí)行該任務(wù)，則將該任務(wù)在虛擬機中運行，并將運行中產(chǎn)生的數(shù)據(jù)存儲至本地磁盤。

可選地，單節(jié)點沙箱模塊，具體還用于當優(yōu)先級最高的任務(wù)信息中未包含具體的樣本，僅包含md5標識符時，根據(jù)md5標識符下載對應(yīng)的樣本；根據(jù)當前正在執(zhí)行的任務(wù)個數(shù)，確定是否執(zhí)行包含下載模塊下載的該下載樣本的任務(wù)；當確定執(zhí)行包含該下載樣本的任務(wù)時，根據(jù)下載模塊下載的該下載樣本，生成json文件，json文件中包含任務(wù)的具體信息；根據(jù)任務(wù)的具體信息，生成指定格式的報告；修改相應(yīng)的任務(wù)狀態(tài)。

可選地，分布式云端檢測系統(tǒng)還包括：單節(jié)點沙箱數(shù)據(jù)請求以及資源清理模塊；

單節(jié)點沙箱數(shù)據(jù)請求以及資源清理模塊，用于根據(jù)本地資源的使用狀態(tài)信息和/或本地數(shù)據(jù)庫中的任務(wù)積壓狀態(tài)信息，向服務(wù)器發(fā)送任務(wù)請求，任務(wù)請求用于向服務(wù)器請求任務(wù)信息；接收服務(wù)器返回的任務(wù)信息；將任務(wù)信息存儲至本地數(shù)據(jù)庫。

具體地，可擴充式的分布式存儲集群模塊，具體用于通過第二預設(shè)規(guī)則，篩選任務(wù)執(zhí)行過程中產(chǎn)生的數(shù)據(jù)中屬于黑數(shù)據(jù)的數(shù)據(jù)，并將屬于黑數(shù)據(jù)的數(shù)據(jù)至黑數(shù)據(jù)庫。

可選地，單節(jié)點沙箱數(shù)據(jù)請求以及資源清理模塊，還用于每隔預設(shè)時間，清理數(shù)據(jù)庫。

可選地，分布式云端檢測系統(tǒng)還包括：分布式云端檢測系統(tǒng)監(jiān)控模塊；

分布式云端檢測系統(tǒng)監(jiān)測模塊，用于監(jiān)控沙箱集群入口模塊、單節(jié)點沙箱模塊、可擴充式的分布式存儲集群模塊以及單節(jié)點沙箱數(shù)據(jù)請求以及資源清理模塊。

本發(fā)明的實施例根據(jù)又一個方面，還提供了一種終端設(shè)備，終端設(shè)備的結(jié)構(gòu)中包括處理器和存儲器，存儲器用于存儲支持收發(fā)裝置執(zhí)行上述方法的程序，處理器被配置為用于執(zhí)行存儲器中存儲的程序。

本發(fā)明的實施例根據(jù)又一方面，還提供了一種計算機存儲介質(zhì)，用于儲存為上述終端設(shè)備所用的計算機軟件指令，其包含用于執(zhí)行上述方面為終端設(shè)備所設(shè)計的程序。

本發(fā)明提供了一種分布式云端檢測系統(tǒng)、終端設(shè)備以及樣本檢測的方法，與現(xiàn)有的樣本檢測的方法相比，本發(fā)明應(yīng)用于分布式云端檢測系統(tǒng)，分布式云端檢測系統(tǒng)包括：多個單節(jié)點沙箱；根據(jù)第一預設(shè)規(guī)則確定多個待處理的任務(wù)信息，并將多個待處理的任務(wù)信息發(fā)送至共享隊列，然后當接收到至少一個請求消息后，根據(jù)各個請求消息從共享隊列中獲取其各自對應(yīng)的任務(wù)，并通過多個單節(jié)點沙箱分別執(zhí)行為其分配任務(wù)，得到任務(wù)執(zhí)行過程中產(chǎn)生的數(shù)據(jù)，然后將任務(wù)執(zhí)行過程中產(chǎn)生的數(shù)據(jù)發(fā)送至對應(yīng)的數(shù)據(jù)庫，即分布式云端檢測系統(tǒng)中設(shè)置有多個單節(jié)點沙箱，并且可以通過多個單節(jié)點沙箱同時執(zhí)行為其分配的任務(wù)，并且得到任務(wù)執(zhí)行過程中產(chǎn)生的數(shù)據(jù)，并能夠?qū)a(chǎn)生的數(shù)據(jù)發(fā)送至對應(yīng)的數(shù)據(jù)庫，以實現(xiàn)對樣本的檢測，由于通過多個單節(jié)點沙箱對樣本進行檢測，而不需要人工對大量的樣本一一進行檢測，從而可以降低樣本檢測的花費，又由于通過多個單節(jié)點沙箱同時執(zhí)行不同的任務(wù)，從而可以減少樣本檢測的時間消耗，進而可以提高對樣本的檢測效率。

本發(fā)明附加的方面和優(yōu)點將在下面的描述中部分給出，這些將從下面的描述中變得明顯，或通過本發(fā)明的實踐了解到。

附圖說明

本發(fā)明上述的和/或附加的方面和優(yōu)點從下面結(jié)合附圖對實施例的描述中將變得明顯和容易理解，其中：

圖1為本發(fā)明實施例的一種樣本檢測的方法流程圖；

圖2為本發(fā)明實施例的分布式云端檢測系統(tǒng)示意圖；

圖3為本發(fā)明實施例中終端設(shè)備的結(jié)構(gòu)示意圖。

具體實施方式

下面詳細描述本發(fā)明的實施例，所述實施例的示例在附圖中示出，其中自始至終相同或類似的標號表示相同或類似的元件或具有相同或類似功能的元件。下面通過參考附圖描述的實施例是示例性的，僅用于解釋本發(fā)明，而不能解釋為對本發(fā)明的限制。

本技術(shù)領(lǐng)域技術(shù)人員可以理解，除非特意聲明，這里使用的單數(shù)形式“一”、“一個”、“所述”和“該”也可包括復數(shù)形式。應(yīng)該進一步理解的是，本發(fā)明的說明書中使用的措辭“包括”是指存在所述特征、整數(shù)、步驟、操作、元件和/或組件，但是并不排除存在或添加一個或多個其他特征、整數(shù)、步驟、操作、元件、組件和/或它們的組。應(yīng)該理解，當我們稱元件被“連接”或“耦接”到另一元件時，它可以直接連接或耦接到其他元件，或者也可以存在中間元件。此外，這里使用的“連接”或“耦接”可以包括無線連接或無線耦接。這里使用的措辭“和/或”包括一個或更多個相關(guān)聯(lián)的列出項的全部或任一單元和全部組合。

本技術(shù)領(lǐng)域技術(shù)人員可以理解，除非另外定義，這里使用的所有術(shù)語(包括技術(shù)術(shù)語和科學術(shù)語)，具有與本發(fā)明所屬領(lǐng)域中的普通技術(shù)人員的一般理解相同的意義。還應(yīng)該理解的是，諸如通用字典中定義的那些術(shù)語，應(yīng)該被理解為具有與現(xiàn)有技術(shù)的上下文中的意義一致的意義，并且除非像這里一樣被特定定義，否則不會用理想化或過于正式的含義來解釋。

本技術(shù)領(lǐng)域技術(shù)人員可以理解，這里所使用的“終端”、“終端設(shè)備”既包括無線信號接收器的設(shè)備，其僅具備無發(fā)射能力的無線信號接收器的設(shè)備，又包括接收和發(fā)射硬件的設(shè)備，其具有能夠在雙向通信鏈路上，進行雙向通信的接收和發(fā)射硬件的設(shè)備。這種設(shè)備可以包括：蜂窩或其他通信設(shè)備，其具有單線路顯示器或多線路顯示器或沒有多線路顯示器的蜂窩或其他通信設(shè)備；pcs(personalcommunicationsservice，個人通信系統(tǒng))，其可以組合語音、數(shù)據(jù)處理、傳真和/或數(shù)據(jù)通信能力；pda(personaldigitalassistant，個人數(shù)字助理)，其可以包括射頻接收器、尋呼機、互聯(lián)網(wǎng)/內(nèi)聯(lián)網(wǎng)訪問、網(wǎng)絡(luò)瀏覽器、記事本、日歷和/或gps(globalpositioningsystem，全球定位系統(tǒng))接收器；常規(guī)膝上型和/或掌上型計算機或其他設(shè)備，其具有和/或包括射頻接收器的常規(guī)膝上型和/或掌上型計算機或其他設(shè)備。這里所使用的“終端”、“終端設(shè)備”可以是便攜式、可運輸、安裝在交通工具(航空、海運和/或陸地)中的，或者適合于和/或配置為在本地運行，和/或以分布形式，運行在地球和/或空間的任何其他位置運行。這里所使用的“終端”、“終端設(shè)備”還可以是通信終端、上網(wǎng)終端、音樂/視頻播放終端，例如可以是pda、mid(mobileinternetdevice，移動互聯(lián)網(wǎng)設(shè)備)和/或具有音樂/視頻播放功能的移動電話，也可以是智能電視、機頂盒等設(shè)備。

實施例一

本發(fā)明實施例提供了一種樣本檢測的方法，如圖1所示，應(yīng)用于分布式云端檢測系統(tǒng)，分布式云端檢測系統(tǒng)包括：多個單節(jié)點沙箱；包括：

步驟101、根據(jù)第一預設(shè)規(guī)則確定多個待處理的任務(wù)信息，并將多個待處理的任務(wù)信息發(fā)送至共享隊列。

對于本發(fā)明實施例，第一預設(shè)規(guī)則可以包括任務(wù)的優(yōu)先級以及其他綜合因素。

對于本發(fā)明實施例，步驟101之前，收集原始數(shù)據(jù)，該原始數(shù)據(jù)中包含針對各種類型的網(wǎng)絡(luò)惡意行為的分析結(jié)果，例如包含有關(guān)惡意網(wǎng)頁的url以及有關(guān)各種漏洞、病毒、木馬、攻擊的樣本目標。

本實施例中，所收集的原始數(shù)據(jù)包含針對各種類型的網(wǎng)絡(luò)惡意行為的分析結(jié)果，例如包含有關(guān)惡意網(wǎng)頁的url以及有關(guān)各種漏洞、病毒、木馬、攻擊的樣本目標。除此之外，樣本目標還包括：0day，nday，暴露期0day，位置掛馬信息，重要網(wǎng)站以及位置掛馬跟進等等。其中，0day為已經(jīng)被發(fā)現(xiàn)(有可能未被公開)，而官方還沒有相關(guān)補丁的漏洞。這些漏洞被發(fā)現(xiàn)后立即被惡意利用，例如利用0day可以修改注冊表、下載文件、運行系統(tǒng)文件。樣本目標的格式可以是文件、可執(zhí)行程序等。在本發(fā)明實施例中不做限定。

對于本發(fā)明實施例，所收集的原始威脅數(shù)據(jù)可以是客戶端上傳的數(shù)據(jù)，這里的客戶端可以是用于檢測各種網(wǎng)絡(luò)惡意行為的用戶端。在實際應(yīng)用中，客戶端可以通過預設(shè)的進程列表對登錄過程或支付過程中的危險進程進行監(jiān)控；或者通過預設(shè)的安全的文件列表對登錄過程或支付過程中傳輸?shù)奈募M行監(jiān)控；或者對登錄過程或支付過程中的瀏覽器調(diào)用行為進行監(jiān)控；或者對登錄過程或支付過程中的鍵盤輸入內(nèi)容的調(diào)用進行監(jiān)控；或者對登錄過程或支付過程中客戶端傳輸?shù)臄?shù)據(jù)對象進行監(jiān)控。

例如，當監(jiān)控到客戶端向與登錄過程或支付過程無關(guān)的對象傳輸與登錄或支付相關(guān)的數(shù)據(jù)時，則應(yīng)當攔截所傳輸?shù)臄?shù)據(jù)對象；或者對登錄過程或支付過程中所開啟的網(wǎng)頁進行監(jiān)控，例如，在登錄過程或支付過程中，用戶可能開啟的支付網(wǎng)頁為惡意第三方偽造的與真實支付網(wǎng)頁類似的網(wǎng)頁，因此需要對所開啟的網(wǎng)頁進行監(jiān)控。

其中，在監(jiān)控可執(zhí)行文件等文件時，不僅可以監(jiān)控到文件的實時下載情況，還可以監(jiān)控文件被啟動時以及被啟動后的實時運行情況?？蛻舳嗽跈z測得到威脅數(shù)據(jù)之后，生成日志暫存于日志緩沖清單中。客戶端的日志記錄線程輪詢?nèi)罩揪彌_清單并依照先進先出的方式依次處理日志，將日志內(nèi)容追加寫入日志記錄文件中，由外部相關(guān)調(diào)度模塊進程獲取并處理該日志文件并進行上傳。例如，可以由客戶端發(fā)送消息獲取請求，根據(jù)消息獲取請求中的請求推送時間和已接收消息列表，從消息隊列中獲取未向該客戶端發(fā)送過的新消息，并向客戶端反饋響應(yīng)消息，該響應(yīng)消息中包括第二推送時間和新消息列表，新消息列表中包括本次向客戶端下發(fā)的所有新消息的消息id和消息內(nèi)容，第二推送時間為新消息的推送時間。其中，所上傳的威脅數(shù)據(jù)可以包含環(huán)境和文件基本信息、檢出功能點觸發(fā)數(shù)據(jù)等。其中環(huán)境和文件基本信息以流水日志等形式輸出，檢出功能點觸發(fā)數(shù)據(jù)以行為日志actions.log的形式輸出。以樣本為例，環(huán)境和文件基本信息具體為樣本進程文件md5，樣本進程文件路徑，主要系統(tǒng)模塊名稱和文件版本等；檢出功能點觸發(fā)數(shù)據(jù)具體為所涉及的進程id和/或線程id，被篡改函數(shù)的名稱，篡改后的指針值，檢出時所在hookedapi等。

對于本發(fā)明實施例，基于樣本的來源信息和/或經(jīng)對樣本篩選確定的樣本可靠度，來建立檢測任務(wù)，并為上述檢測任務(wù)確定檢測優(yōu)先級。若經(jīng)篩選確定的樣本可靠度較高，則確定該檢測任務(wù)具有較高的檢測優(yōu)先級；若經(jīng)篩選確定的樣本可靠度較低，則確定該檢測任務(wù)具有較低的檢測優(yōu)先級。其中，該可靠度與屬于黑數(shù)據(jù)的可能性和與重要站點的關(guān)聯(lián)性有關(guān)。

步驟102、當接收到至少一個請求消息后，根據(jù)各個請求消息從共享隊列中獲取其各自對應(yīng)的任務(wù)信息，并通過多個單節(jié)點沙箱執(zhí)行為其分配的任務(wù)，得到任務(wù)執(zhí)行過程中產(chǎn)生的數(shù)據(jù)。

對于本發(fā)明實施例，當接收到至少一個請求消息后，根據(jù)各個請求消息從共享隊列中獲取其各自對應(yīng)的任務(wù)。在本發(fā)明實施例中，調(diào)度節(jié)點可以將檢測任務(wù)分配給各個單節(jié)點沙箱，各個單節(jié)點沙箱分別執(zhí)行為其分配的任務(wù)，得到任務(wù)檢測結(jié)果。

對于本發(fā)明實施例，調(diào)度節(jié)點在接收到下發(fā)的檢測任務(wù)后，將檢測任務(wù)分發(fā)給分布式云端檢測系統(tǒng)。為了進一步提升威脅數(shù)據(jù)檢測的安全性，本發(fā)明中分布式云端檢測系統(tǒng)可具體為分布式沙箱集群系統(tǒng)，分布式沙箱集群系統(tǒng)采用沙箱技術(shù)進行檢測分析，沙箱為可疑樣本日志提供了一個封閉的運行環(huán)境，這樣，即使可疑樣本日志對應(yīng)的樣本確實存在漏洞，也不會對服務(wù)器側(cè)造成損害。

對于本發(fā)明實施例，在分布式集群系統(tǒng)中部署有靜態(tài)引擎和動態(tài)引擎分別對威脅檢測任務(wù)進行靜態(tài)分析和動態(tài)分析。其中，靜態(tài)引擎可抽取url信息和/或樣本格式信息進行靜態(tài)分析，所抽取的url信息包含但不限于：ip、域名、url的md5值等等，樣本格式信息包含但不限于：漏洞/病毒名稱、url信息、pe樣本的字符串相似度等等；動態(tài)引擎主要抓取操作系統(tǒng)行為數(shù)據(jù)、漏洞相關(guān)行為數(shù)據(jù)和/或網(wǎng)絡(luò)相關(guān)行為數(shù)據(jù)進行動態(tài)分析。

對于本發(fā)明實施例，以內(nèi)核漏洞為例，動態(tài)引擎對關(guān)鍵行為或功能的相關(guān)api的調(diào)用進行hook，比對相關(guān)函數(shù)的名稱或?qū)傩允欠癖淮鄹幕蛱鎿Q，從而得到內(nèi)核漏洞的鑒定日志。

對于本發(fā)明實施例，通過云查殺的pe文件利用沙箱檢測方式進行再次完整分析檢測。對于非pe文件，如富文本格式(richtextformat，以下簡稱為rtf格式)、pdf格式、doc(一種文件擴展名)格式、docx(一種文件擴展名)格式以及excel格式等等，若文件為能夠繼續(xù)解壓縮的文檔，則返回繼續(xù)進行解壓縮操作，若文件為可檢測的元數(shù)據(jù)，則進行qex靜態(tài)分析、填充數(shù)據(jù)(shellcode)半動態(tài)檢測以及l(fā)ightvm輕量動態(tài)分析。之后，利用沙箱檢測對通過以上三種檢測的元數(shù)據(jù)再次進行檢測。在對文件是否具有惡意行為的檢測時，優(yōu)選地，本發(fā)明實施例中，可以將惡意行為的危險等級分為三個等級。第一，高危，即能夠確認元數(shù)據(jù)為惡意代碼，如確定的木馬樣本、明顯的惡意行為或者能夠觸發(fā)的漏洞利用等。第二，中危，即存在疑似惡意行為，但無法確定的，或者疑似漏洞利用，但尚沒有確定的惡意行為，例如發(fā)現(xiàn)樣本會訪問以下敏感的位置，或者樣本導致程序崩潰，但沒有觸發(fā)執(zhí)行。第三，低危，即非經(jīng)過確認的無惡意文件，可能會危害系統(tǒng)安全，可以理解為存在風險的文件。

本實施例中，分布式集群系統(tǒng)除了利用自己的引擎做分析以外，還可獲取第三方平臺或第三方引擎提供的鑒定信息，從而豐富鑒定結(jié)果。

另外，分布式集群系統(tǒng)還可進行關(guān)聯(lián)分析，具體分析url之間，樣本之間是否具有關(guān)聯(lián)性，通過分析黑數(shù)據(jù)之間的關(guān)聯(lián)性，隨著數(shù)據(jù)越來越多，積累的黑數(shù)據(jù)也越來越多。

對于本發(fā)明實施例，單節(jié)點沙箱執(zhí)行任務(wù)的方式包括以下所示的步驟a-e(圖中未標注)，其中，

步驟a、讀取優(yōu)先級最高的任務(wù)信息。

對于本發(fā)明實施例，調(diào)度節(jié)點從共享隊列中讀取當前優(yōu)先級最高的任務(wù)信息，并將該當前優(yōu)先級最高的任務(wù)信息分配給某一單節(jié)點沙箱，以使得該單節(jié)點沙箱執(zhí)行該任務(wù)。

例如，共享隊列中當前存在三個任務(wù)信息，分別為任務(wù)1的任務(wù)信息、任務(wù)2的任務(wù)信息以及任務(wù)3的任務(wù)信息，并且上述三個任務(wù)信息的優(yōu)先級順序由高到低依次為任務(wù)1的任務(wù)信息、任務(wù)3的任務(wù)信息以及任務(wù)2的任務(wù)信息，則當接收到請求消息之后，調(diào)度節(jié)點先將任務(wù)1的任務(wù)信息分配給該單節(jié)點沙箱，以使得該單節(jié)點沙箱執(zhí)行該任務(wù)1。

步驟b、確定優(yōu)先級最高的任務(wù)信息中是否包含具體的樣本。

對于本發(fā)明實施例，步驟b之后，還包括：若優(yōu)先級最高的任務(wù)信息中未包含具體的樣本，僅包含md5標識符，則根據(jù)md5標識符下載對應(yīng)的樣本；根據(jù)當前正在執(zhí)行的任務(wù)個數(shù)，確定是否執(zhí)行包含該下載樣本的任務(wù)；若確定執(zhí)行包含該下載樣本的任務(wù)，則根據(jù)該下載樣本，生成json文件，json文件中包含任務(wù)的具體信息；根據(jù)任務(wù)的具體信息，生成指定格式的報告，并修改相應(yīng)的任務(wù)狀態(tài)。

對于本發(fā)明實施例，若該優(yōu)先級最高的任務(wù)信息中不包含具體的樣本，僅包含md5值，則從數(shù)據(jù)庫中下載該md5值對應(yīng)的具體樣本，然后根據(jù)該單節(jié)點沙箱當前正在執(zhí)行的任務(wù)個數(shù)，確定是否執(zhí)行包含該下載樣本的任務(wù)。

對于本發(fā)明實施例，根據(jù)該單節(jié)點沙箱當前正在執(zhí)行的任務(wù)個數(shù)與預置閾值的關(guān)系，確定是否執(zhí)行包含該下載樣本的任務(wù)；進一步地，當該單節(jié)點沙箱當前正在執(zhí)行的任務(wù)個數(shù)不大于預置閾值時，確定執(zhí)行該下載樣本的任務(wù)；若該單節(jié)點沙箱當前正在執(zhí)行的任務(wù)個數(shù)大于預置閾值，該單節(jié)點沙箱不執(zhí)行包含該下載樣本的任務(wù)。

對于本發(fā)明實施例，若確定執(zhí)行包含該下載樣本的任務(wù)，則對日志樣本進行處理生成包含任務(wù)的具體信息的json文件，對所有的日志信息進行規(guī)則匹配，生成指定格式的報告，并存儲至指定的存儲組件中，例如，mongodb、ceph等。

步驟c、若包含具體的樣本，則對具體的參數(shù)環(huán)境進行修正。

其中，具體的樣本可以包括網(wǎng)絡(luò)之間互連的協(xié)議(英文全稱：internetprotocol，英文縮寫：ip)、域名等。

對于本發(fā)明實施例，服務(wù)器側(cè)建立云安全查詢接口，瀏覽器可通過該云安全查詢接口將網(wǎng)站的ip地址上報給服務(wù)器。

對于本發(fā)明實施例，對于互聯(lián)網(wǎng)中境外ip地址的危險度高于境內(nèi)ip地址的特點，如果ip地址為境外ip地址，在該ip地址下釣魚網(wǎng)站的數(shù)量與非釣魚網(wǎng)站的數(shù)量的比例高于第一設(shè)定閾值的情況下，將該ip地址存儲到危險ip數(shù)據(jù)庫中。在本發(fā)明實施例中，也可以直接根據(jù)域名下釣魚網(wǎng)站的數(shù)量來確定該域名是否為危險域名，如某域名下釣魚網(wǎng)站的數(shù)量如果高于設(shè)定數(shù)量(如1000個)，則可以確定該域名為危險域名；另外，如果確認某些域名確為高度危險的域名，也可以通過人工輸入將其存儲到危險域名數(shù)據(jù)庫中。

可選地，危險域名數(shù)據(jù)庫不僅可以存儲域名本身，還可以存儲域名的危險度級別。在本發(fā)明實施例中，該危險度級別可以通過域名下釣魚網(wǎng)站數(shù)量與非釣魚網(wǎng)站的數(shù)量的比例來確定，比例越高，危險度級別越高；反之，危險度級別越低。

步驟d、當修正完畢之后，根據(jù)當前資源的使用情況、以及任務(wù)信息中的參數(shù)配置信息確定執(zhí)行該任務(wù)。

對于本發(fā)明實施例，當對具體的參數(shù)環(huán)境進行修正之后，確定當前資源的使用情況是否小于資源剩余閾值，和/或根據(jù)當前任務(wù)信息中的參數(shù)配置信息確定是否執(zhí)行該任務(wù)。在本發(fā)明實施例中，當當前資源的使用情況不小于資源剩余閾值，和/或當前任務(wù)信息中的參數(shù)配置信息支持執(zhí)行該任務(wù)，則確定執(zhí)行該任務(wù)。

對于本發(fā)明實施例，若確定執(zhí)行該任務(wù)，則返回200，若確定不執(zhí)行該任務(wù)，則返回500。在本發(fā)明實施例中不做限定。

對于本發(fā)明實施例，步驟d之后還包括：若確定執(zhí)行該任務(wù)，則將該任務(wù)在虛擬機中運行，并將運行中產(chǎn)生的數(shù)據(jù)存儲至本地磁盤。

對于本發(fā)明實施例，當該任務(wù)在虛擬機中運行之后，將運行結(jié)果存儲至本地磁盤中。

步驟e、當該任務(wù)執(zhí)行完畢之后，修改相應(yīng)的任務(wù)狀態(tài)。

對于本發(fā)明實施例，若該任務(wù)未執(zhí)行，或者該任務(wù)正在執(zhí)行，但未執(zhí)行完畢，則該任務(wù)狀態(tài)為未完成狀態(tài)；若該任務(wù)執(zhí)行完畢之后，將任務(wù)狀態(tài)為未完成狀態(tài)修改為已完成狀態(tài)。在本發(fā)明實施例中，若該任務(wù)未執(zhí)行，則該任務(wù)的狀態(tài)為未執(zhí)行狀態(tài)，若當任務(wù)正在執(zhí)行，但未執(zhí)行完畢，則將該任務(wù)狀態(tài)修改為正在執(zhí)行狀態(tài)；若該任務(wù)執(zhí)行完畢，則將該任務(wù)狀態(tài)修改為已完成狀態(tài)。在本發(fā)明實施例中不做限定。

步驟103、將任務(wù)執(zhí)行過程中產(chǎn)生的數(shù)據(jù)發(fā)送至對應(yīng)的數(shù)據(jù)庫。

對于本發(fā)明實施例，該數(shù)據(jù)庫可以包括黑名單數(shù)據(jù)庫。其中，該黑名單數(shù)據(jù)庫包括：url黑名單數(shù)據(jù)庫、ip黑名單數(shù)據(jù)庫和/或域名黑名單數(shù)據(jù)庫。

對于本發(fā)明實施例，可以根據(jù)任務(wù)執(zhí)行過程中產(chǎn)生的數(shù)據(jù)，確定樣本的危險等級，例如可以將樣本的危險等級分為三個等級，分別為第一等級，高危等級；第二等級，中危等級；第三等級，高危等級。

對于本發(fā)明實施例，高危等級樣本表征該原代碼為惡意代碼，如確定的木馬樣本、具有明顯的惡意行為的樣本、或者能夠觸發(fā)漏洞的樣本等；中危等級樣本為存在疑似惡意行為，但無法確定的樣本，或者疑似漏洞利用但尚沒有確定的惡意行為，例如發(fā)現(xiàn)樣本會訪問以下敏感的位置，或者樣本導致程序崩潰，但沒有觸發(fā)執(zhí)行。低危等級樣本即非經(jīng)過確認的無惡意文件，可能會危害系統(tǒng)安全，可以理解為存在風險的文件。

可選地，首先由客戶端計算機收集程序特征及其對應(yīng)的程序行為，并傳送至服務(wù)器端；然后在服務(wù)器端數(shù)據(jù)庫中記錄不同的程序特征及其對應(yīng)的程序行為，以及黑/白名單；結(jié)合現(xiàn)有已知黑/白名單中的程序特征及其對應(yīng)的程序行為，對未知程序特征及程序行為進行分析，以更新黑/白名單。

對于本發(fā)明實施例，由于在數(shù)據(jù)庫中記錄了程序特征及該特征對應(yīng)的行為記錄，因此可以結(jié)合已知黑/白名單對未知程序進行分析。

例如，如果未知程序特征與現(xiàn)有黑/白名單中的已知程序特征相同，則將該未知程序特征及其程序行為都列入黑/白名單；如果未知程序行為與現(xiàn)有黑/白名單中的已知程序行為相同或近似，則將該未知程序行為及其程序特征都列入黑/白名單。

對于本發(fā)明實施例，由于有些病毒通過變種或加殼等技術(shù)可以改變特征碼，但其行為卻不會有很大改變，因此，通過程序行為記錄的對比分析，可以較為便捷的確定一些未知程序是否為惡意程序，這種對比分析有時候甚至不需要對程序的行為本身做追蹤分析，只需要簡單的與現(xiàn)有黑/白名單中的已知程序行為做比對即可判定未知程序的性質(zhì)。在本發(fā)明實施例中，通過數(shù)據(jù)庫中的記錄分析，可知有一些程序的行為相同或近似，但程序特征不同，這時，只要我們在具有相同或近似行為的程序之間建立行為與特征的關(guān)聯(lián)關(guān)系，并根據(jù)這種關(guān)聯(lián)關(guān)系，就可以更便捷的對未知程序特征及程序行為進行分析，以更新黑/白名單。

本發(fā)明實施例提供了一種樣本檢測的方法，與現(xiàn)有的樣本檢測的方法相比，本發(fā)明實施例應(yīng)用于分布式云端檢測系統(tǒng)，分布式云端檢測系統(tǒng)包括：多個單節(jié)點沙箱；根據(jù)第一預設(shè)規(guī)則確定多個待處理的任務(wù)信息，并將多個待處理的任務(wù)信息發(fā)送至共享隊列，然后當接收到至少一個請求消息后，根據(jù)各個請求消息從共享隊列中獲取其各自對應(yīng)的任務(wù)，并通過多個單節(jié)點沙箱分別執(zhí)行為其分配任務(wù)，得到任務(wù)執(zhí)行過程中產(chǎn)生的數(shù)據(jù)，然后將任務(wù)執(zhí)行過程中產(chǎn)生的數(shù)據(jù)發(fā)送至對應(yīng)的數(shù)據(jù)庫，即分布式云端檢測系統(tǒng)中設(shè)置有多個單節(jié)點沙箱，并且可以通過多個單節(jié)點沙箱同時執(zhí)行為其分配的任務(wù)，并且得到任務(wù)執(zhí)行過程中產(chǎn)生的數(shù)據(jù)，并能夠?qū)a(chǎn)生的數(shù)據(jù)發(fā)送至對應(yīng)的數(shù)據(jù)庫，以實現(xiàn)對樣本的檢測，由于通過多個單節(jié)點沙箱對樣本進行檢測，而不需要人工對大量的樣本一一進行檢測，從而可以降低樣本檢測的花費，又由于通過多個單節(jié)點沙箱同時執(zhí)行不同的任務(wù)，從而可以減少樣本檢測的時間消耗，進而可以提高對樣本的檢測效率。

實施例二

本發(fā)明實施例的另一種可能的實現(xiàn)方式，在實施例一的基礎(chǔ)上，還包括實施例二所示的步驟201-202(圖中未標注)，其中步驟203-205所執(zhí)行的操作與步驟101-103所執(zhí)行的操作相似，在此不再贅述。

步驟201、根據(jù)本地資源的使用狀態(tài)信息和/或本地數(shù)據(jù)庫中的任務(wù)積壓狀態(tài)信息，向服務(wù)器發(fā)送任務(wù)請求。

其中，任務(wù)請求用于向服務(wù)器請求任務(wù)信息。

對于本發(fā)明實施例，recv進程啟動，確定本地資源的使用狀態(tài)信息和/或本地數(shù)據(jù)庫中的任務(wù)積壓狀態(tài)信息。在本發(fā)明實施例中，當本地資源的使用狀態(tài)信息滿足本地資源的預設(shè)使用狀態(tài)信息，和/或本地數(shù)據(jù)庫中的任務(wù)積壓狀態(tài)信息滿足本地數(shù)據(jù)庫中的預設(shè)任務(wù)積壓狀態(tài)，則向服務(wù)器發(fā)送任務(wù)請求消息，以向服務(wù)器請求任務(wù)信息。

步驟202、接收服務(wù)器返回的任務(wù)信息，并將任務(wù)信息存儲至本地數(shù)據(jù)庫。

其中，若該任務(wù)信息中包含任務(wù)數(shù)據(jù)，則將任務(wù)信息存儲至本地數(shù)據(jù)庫的步驟，具體包括：壓縮任務(wù)數(shù)據(jù)，并將壓縮后的任務(wù)數(shù)據(jù)存儲至本地數(shù)據(jù)庫。

對于本發(fā)明實施例，callback進程啟動，通過zip壓縮所有任務(wù)數(shù)據(jù)，并將壓縮后的任務(wù)數(shù)據(jù)存儲至本地數(shù)據(jù)庫。

對于本發(fā)明實施例，通過zip壓縮所有的任務(wù)數(shù)據(jù)，并將壓縮后的任務(wù)數(shù)據(jù)存儲至本地數(shù)據(jù)庫，即通過將待存儲至本地數(shù)據(jù)庫中的數(shù)據(jù)進行壓縮，可以節(jié)省本地數(shù)據(jù)庫中的存儲空間。

對于本發(fā)明實施例，每隔預設(shè)時間清理數(shù)據(jù)庫。

對于本發(fā)明實施例，可以每隔預設(shè)時間清理數(shù)據(jù)庫，該數(shù)據(jù)庫不僅包括本地數(shù)據(jù)庫，還可以包括黑名單數(shù)據(jù)庫等。在本發(fā)明實施例中，當本地數(shù)據(jù)庫接收到request請求后，回傳數(shù)據(jù)，并且當回傳成功后，清理掉本地數(shù)據(jù)庫中存儲的數(shù)據(jù)。

對于本發(fā)明實施例，通過每隔預設(shè)時間清理數(shù)據(jù)庫，能夠?qū)?shù)據(jù)庫中存儲的過期數(shù)據(jù)清理掉或者無用的數(shù)據(jù)清理掉，從而可以避免已過期的數(shù)據(jù)或者無用的數(shù)據(jù)占用數(shù)據(jù)庫的存儲空間，導致待存儲的數(shù)據(jù)無法存儲至數(shù)據(jù)庫，進而可以避免數(shù)據(jù)庫的存儲空間不足的問題。

實施例三

本發(fā)明實施例的另一種可能的實現(xiàn)方式，在實施例一所示的基礎(chǔ)上，步驟103、將任務(wù)執(zhí)行過程中產(chǎn)生的數(shù)據(jù)發(fā)送至對應(yīng)的數(shù)據(jù)庫，包括實施例三所示的步驟303-304(圖中未標注)，其中，

步驟303、通過第二預設(shè)規(guī)則，篩選任務(wù)執(zhí)行過程中產(chǎn)生的數(shù)據(jù)中屬于黑數(shù)據(jù)的數(shù)據(jù)。

步驟304、將屬于黑數(shù)據(jù)的數(shù)據(jù)至黑數(shù)據(jù)庫。

對于本發(fā)明實施例，任務(wù)執(zhí)行過程中產(chǎn)生的數(shù)據(jù)可以稱為鑒定日志，調(diào)度節(jié)點從緩存中提取鑒定日志，將鑒定日志分類派給相應(yīng)的模塊做解析和規(guī)則判定，其中在模塊內(nèi)部預先設(shè)置有各種規(guī)則。在本發(fā)明實施例中，對具體的規(guī)則和規(guī)則數(shù)量不做限定，通常情況下所設(shè)置的規(guī)則能達到數(shù)百條。

例如，當用戶在瀏覽器中打開網(wǎng)頁，網(wǎng)頁上包含swf文件時，客戶端自動喚醒對該swf文件進行檢測，如果檢測到該swf文件可能存在漏洞，就打一條關(guān)于該swf文件的可疑樣本日志，該可疑樣本日志中包含該swf文件的簽名信息、該swf文件的源信息、該swf文件的url地址、客戶端的ip地址等，并將該可疑樣本日志上傳到服務(wù)器端進行進一步地檢測。

其中，可疑樣本日志對應(yīng)的樣本為swf(英文全稱：shockwaveflash)文件是adobe公司的動畫設(shè)計軟件flash的專用格式，被廣泛用于動畫制作、網(wǎng)頁設(shè)計等領(lǐng)域；每個客戶端中的瀏覽器應(yīng)用開啟網(wǎng)頁的過程中在運行swf文件時會對該swf文件進行初步檢測，當檢測出swf文件可能存在安全風險時，將該swf文件的相關(guān)信息作為可疑樣本日志上傳至服務(wù)器端，本例中每個swf文件的可疑樣本日志中包括：該swf文件的簽名信息、該swf文件的url地址、上傳該可疑樣本日志的客戶端的ip地址、上傳時間、該swf文件的源信息等。服務(wù)器在獲取到各客戶端上傳的swf文件的可疑樣本日志后，先通過比對各可疑樣本日志中的swf文件的簽名信息來對對應(yīng)于相同的swf文件的可疑樣本日志進行去重；對于去重后剩下的每條可疑樣本日志，將該可疑樣本日志中的swf文件的url地址輸入到沙箱中，在沙箱中啟動瀏覽器應(yīng)用，根據(jù)該url地址發(fā)送關(guān)于該可疑樣本日志對應(yīng)的swf文件的網(wǎng)絡(luò)請求，對該swf文件進行渲染，直至渲染完成，對swf文件在渲染過程中的中間行為進行記錄，得到掃描日志；根據(jù)該掃描日志判斷該swf文件是否存在漏洞；是則，將指示該swf文件存在漏洞的報警信息發(fā)送至所有上傳該swf文件的可疑樣本日志的客戶端中，該報警信息中還可以包含上傳該swf文件的可疑樣本日志的客戶端的數(shù)量、上傳該swf文件的可疑樣本日志的最早上傳時間、該swf文件的源信息、該swf文件的漏洞的修復補丁包等供相應(yīng)的客戶端了解該swf文件的漏洞的信息；否則，將指示該swf不存在漏洞的漏洞檢測結(jié)果發(fā)送至所有上傳該swf文件的可疑樣本日志的客戶端中，并對該swf文件的唯一標識(如簽名信息)進行記錄，下次再從客戶端獲取到該swf文件的可疑樣本日志時，直接將該swf文件的漏洞檢測結(jié)果返回至相應(yīng)的客戶端。

對于本發(fā)明實施例，通過設(shè)置規(guī)則，利用規(guī)則進行判定能夠快速解決因惡意程序的各種實體變種、行為變種所帶來的不確定性導致安全軟件查殺率下降的問題。具體地，規(guī)則設(shè)置功能可包括語言描述、可視化規(guī)則編輯界面、語言分析器、動態(tài)匹配器等部分。語言描述包含了規(guī)則的類型、規(guī)則編號、規(guī)則id、隨機匹配比率、匹配最大次數(shù)限制、匹配后返回值和匹配條件組。匹配條件組包含多個匹配條件的與、或、非的編程組合。每個匹配條件包含匹配關(guān)鍵詞、匹配操作符以及匹配目標數(shù)據(jù)三個部分。

對于本發(fā)明實施例，通過按照第二預設(shè)規(guī)則對任務(wù)執(zhí)行過程中產(chǎn)生的數(shù)據(jù)進行類別區(qū)分，并將區(qū)分后的數(shù)據(jù)發(fā)送至與其對應(yīng)的數(shù)據(jù)庫，能夠快速解決因惡意程序的各種實體變種、行為變種所帶來的不確定性導致安全軟件查殺率下降的問題。

對于本發(fā)明實施例，分布式云端檢測系統(tǒng)得到鑒定日志之后，調(diào)度節(jié)點對鑒定日志進行緩存，同時調(diào)度節(jié)點將被緩存的鑒定日志存儲至hadoop集群系統(tǒng)中。

對于本發(fā)明實施例，每隔預設(shè)時間清理數(shù)據(jù)庫。

對于本發(fā)明實施例，分布式云端檢測系統(tǒng)包括監(jiān)測端口cubestone，能夠?qū)φ麄€分布式云沙箱系統(tǒng)進行監(jiān)控。在本發(fā)明實施例中，cubestone提供日程所有任務(wù)的監(jiān)控，例如處理性能、任務(wù)失敗率以及任務(wù)結(jié)果的正確率等。

本發(fā)明實施例提供了另一種樣本檢測的方法，通過每隔預設(shè)時間清理數(shù)據(jù)庫，能夠?qū)?shù)據(jù)庫中存儲的過期數(shù)據(jù)清理掉或者無用的數(shù)據(jù)清理掉，從而可以避免已過期的數(shù)據(jù)或者無用的數(shù)據(jù)占用數(shù)據(jù)庫的存儲空間，導致待存儲的數(shù)據(jù)無法存儲至數(shù)據(jù)庫，進而可以避免數(shù)據(jù)庫的存儲空間不足的問題；通過zip壓縮所有的任務(wù)數(shù)據(jù)，并將壓縮后的任務(wù)數(shù)據(jù)存儲至本地數(shù)據(jù)庫，即通過將待存儲至本地數(shù)據(jù)庫中的數(shù)據(jù)進行壓縮，可以節(jié)省本地數(shù)據(jù)庫中的存儲空間；通過按照第二預設(shè)規(guī)則對任務(wù)執(zhí)行過程中產(chǎn)生的數(shù)據(jù)進行類別區(qū)分，并將區(qū)分后的數(shù)據(jù)發(fā)送至與其對應(yīng)的數(shù)據(jù)庫，能夠快速解決因惡意程序的各種實體變種、行為變種所帶來的不確定性導致安全軟件查殺率下降的問題。

本發(fā)明實施例提供了一種分布式云端將檢測系統(tǒng)，如圖2所示，該分布式云端檢測系統(tǒng)包括：沙箱集群入口模塊21、單節(jié)點沙箱模塊22、可擴充式的分布式存儲集群模塊23；其中，

沙箱集群入口模塊21，用于根據(jù)第一預設(shè)規(guī)則確定多個待處理的任務(wù)信息；將多個待處理的任務(wù)信息發(fā)送至共享隊列；當接收到至少一個請求消息后，根據(jù)各個請求消息從共享隊列中獲取其各自對應(yīng)的任務(wù)信息。

單節(jié)點沙箱模塊22，用于通過多個單節(jié)點沙箱分別執(zhí)行為其分配的任務(wù)，得到任務(wù)執(zhí)行過程中產(chǎn)生的數(shù)據(jù)。

可擴充式的分布式存儲集群模塊23，還用于將單節(jié)點沙箱模塊21任務(wù)執(zhí)行過程中產(chǎn)生的數(shù)據(jù)發(fā)送至對應(yīng)的數(shù)據(jù)庫。

單節(jié)點沙箱模塊22，具體用于讀取優(yōu)先級最高的任務(wù)信息；確定優(yōu)先級最高的任務(wù)信息中是否包含具體的樣本；當包含具體的樣本時，對具體的參數(shù)環(huán)境進行修正；當修正完畢之后，根據(jù)當前資源的使用情況、以及任務(wù)信息中的參數(shù)配置信息確定執(zhí)行該任務(wù)；當該任務(wù)執(zhí)行完畢之后，修改相應(yīng)的任務(wù)狀態(tài)。

單節(jié)點沙箱模塊22，具體還用于若確定執(zhí)行該任務(wù)，則將該任務(wù)在虛擬機中運行，并將運行中產(chǎn)生的數(shù)據(jù)存儲至本地磁盤。

單節(jié)點沙箱模塊22，具體還用于當優(yōu)先級最高的任務(wù)信息中未包含具體的樣本，僅包含md5標識符時，根據(jù)md5標識符下載對應(yīng)的樣本；根據(jù)當前正在執(zhí)行的任務(wù)個數(shù)，確定是否執(zhí)行包含下載模塊下載的該下載樣本的任務(wù)；當確定執(zhí)行包含該下載樣本的任務(wù)時，根據(jù)下載模塊下載的該下載樣本，生成json文件，json文件中包含任務(wù)的具體信息；根據(jù)任務(wù)的具體信息，生成指定格式的報告；修改相應(yīng)的任務(wù)狀態(tài)。

進一步地，如圖2所示，分布式云端檢測系統(tǒng)還包括：單節(jié)點沙箱數(shù)據(jù)請求以及資源清理模塊24。

單節(jié)點沙箱數(shù)據(jù)請求以及資源清理模塊24，用于根據(jù)本地資源的使用狀態(tài)信息和/或本地數(shù)據(jù)庫中的任務(wù)積壓狀態(tài)信息，向服務(wù)器發(fā)送任務(wù)請求，任務(wù)請求用于向服務(wù)器請求任務(wù)信息；接收服務(wù)器返回的任務(wù)信息；將任務(wù)信息存儲至本地數(shù)據(jù)庫。

可擴充式的分布式存儲集群模塊23，具體用于通過第二預設(shè)規(guī)則，篩選任務(wù)執(zhí)行過程中產(chǎn)生的數(shù)據(jù)中屬于黑數(shù)據(jù)的數(shù)據(jù)，并將屬于黑數(shù)據(jù)的數(shù)據(jù)至黑數(shù)據(jù)庫。

單節(jié)點沙箱數(shù)據(jù)請求以及資源清理模塊24，還用于每隔預設(shè)時間，清理數(shù)據(jù)庫。

進一步地，如圖2所示，分布式云端檢測系統(tǒng)還包括：分布式云端檢測系統(tǒng)監(jiān)控模塊25。

分布式云端檢測系統(tǒng)監(jiān)測模塊25，用于監(jiān)控沙箱集群入口模塊21、單節(jié)點沙箱模塊22、可擴充式的分布式存儲集群模塊23以及單節(jié)點沙箱數(shù)據(jù)請求以及資源清理模塊24。

本發(fā)明實施例提供了一種分布式云端檢測系統(tǒng)，與現(xiàn)有的樣本檢測的裝置相比，根據(jù)第一預設(shè)規(guī)則確定多個待處理的任務(wù)信息，并將多個待處理的任務(wù)信息發(fā)送至共享隊列，然后當接收到至少一個請求消息后，根據(jù)各個請求消息從共享隊列中獲取其各自對應(yīng)的任務(wù)，并通過多個單節(jié)點沙箱分別執(zhí)行為其分配任務(wù)，得到任務(wù)執(zhí)行過程中產(chǎn)生的數(shù)據(jù)，然后將任務(wù)執(zhí)行過程中產(chǎn)生的數(shù)據(jù)發(fā)送至對應(yīng)的數(shù)據(jù)庫，即分布式云端檢測系統(tǒng)中設(shè)置有多個單節(jié)點沙箱，并且可以通過多個單節(jié)點沙箱同時執(zhí)行為其分配的任務(wù)，并且得到任務(wù)執(zhí)行過程中產(chǎn)生的數(shù)據(jù)，并能夠?qū)a(chǎn)生的數(shù)據(jù)發(fā)送至對應(yīng)的數(shù)據(jù)庫，以實現(xiàn)對樣本的檢測，由于通過多個單節(jié)點沙箱對樣本進行檢測，而不需要人工對大量的樣本一一進行檢測，從而可以降低樣本檢測的花費，又由于通過多個單節(jié)點沙箱同時執(zhí)行不同的任務(wù)，從而可以減少樣本檢測的時間消耗，進而可以提高對樣本的檢測效率。

本發(fā)明實施例提供的分布式云端檢測系統(tǒng)可以適用于上述方法實施例。在此不再贅述。

本發(fā)明實施例還提供了一種終端設(shè)備，如圖3所示，為了便于說明，僅示出了與本發(fā)明實施例相關(guān)的部分，具體技術(shù)細節(jié)未揭示的，請參照本發(fā)明實施例方法部分。該終端設(shè)備可以為包括手機、平板電腦、pda(personaldigitalassistant，個人數(shù)字助理)、pos(pointofsales，銷售終端)、車載電腦等任意終端設(shè)備，以裝置為手機為例：

圖3示出的是與本發(fā)明實施例提供的終端相關(guān)的手機的部分結(jié)構(gòu)的框圖。參考圖3，手機包括：射頻(radiofrequency，rf)電路310、存儲器320、輸入單元330、顯示單元340、傳感器350、音頻電路360、無線保真(wirelessfidelity，wifi)模塊370、處理器380、以及電源390等部件。本領(lǐng)域技術(shù)人員可以理解，圖3中示出的手機結(jié)構(gòu)并不構(gòu)成對手機的限定，可以包括比圖示更多或更少的部件，或者組合某些部件，或者不同的部件布置。

下面結(jié)合圖3對手機的各個構(gòu)成部件進行具體的介紹：

rf電路310可用于收發(fā)信息或通話過程中，信號的接收和發(fā)送，特別地，將基站的下行信息接收后，給處理器380處理；另外，將設(shè)計上行的數(shù)據(jù)發(fā)送給基站。通常，rf電路310包括但不限于天線、至少一個放大器、收發(fā)信機、耦合器、低噪聲放大器(lownoiseamplifier，lna)、雙工器等。此外，rf電路310還可以通過無線通信與網(wǎng)絡(luò)和其他設(shè)備通信。上述無線通信可以使用任一通信標準或協(xié)議，包括但不限于全球移動通訊系統(tǒng)(globalsystemofmobilecommunication，gsm)、通用分組無線服務(wù)(generalpacketradioservice，gprs)、碼分多址(codedivisionmultipleaccess，cdma)、寬帶碼分多址(widebandcodedivisionmultipleaccess,wcdma)、長期演進(longtermevolution，lte)、電子郵件、短消息服務(wù)(shortmessagingservice，sms)等。

存儲器320可用于存儲軟件程序以及模塊，處理器380通過運行存儲在存儲器320的軟件程序以及模塊，從而執(zhí)行手機的各種功能應(yīng)用以及數(shù)據(jù)處理。存儲器320可主要包括存儲程序區(qū)和存儲數(shù)據(jù)區(qū)，其中，存儲程序區(qū)可存儲操作系統(tǒng)、至少一個功能所需的應(yīng)用程序(比如聲音播放功能、圖像播放功能等)等；存儲數(shù)據(jù)區(qū)可存儲根據(jù)手機的使用所創(chuàng)建的數(shù)據(jù)(比如音頻數(shù)據(jù)、電話本等)等。此外，存儲器320可以包括高速隨機存取存儲器，還可以包括非易失性存儲器，例如至少一個磁盤存儲器件、閃存器件、或其他易失性固態(tài)存儲器件。

輸入單元330可用于接收輸入的數(shù)字或字符信息，以及產(chǎn)生與手機的用戶設(shè)置以及功能控制有關(guān)的鍵信號輸入。具體地，輸入單元330可包括觸控面板331以及其他輸入設(shè)備332。觸控面板331，也稱為觸摸屏，可收集用戶在其上或附近的觸摸操作(比如用戶使用手指、觸筆等任何適合的物體或附件在觸控面板331上或在觸控面板331附近的操作)，并根據(jù)預先設(shè)定的程式驅(qū)動相應(yīng)的連接裝置?？蛇x的，觸控面板331可包括觸摸檢測裝置和觸摸控制器兩個部分。其中，觸摸檢測裝置檢測用戶的觸摸方位，并檢測觸摸操作帶來的信號，將信號傳送給觸摸控制器；觸摸控制器從觸摸檢測裝置上接收觸摸信息，并將它轉(zhuǎn)換成觸點坐標，再送給處理器380，并能接收處理器380發(fā)來的命令并加以執(zhí)行。此外，可以采用電阻式、電容式、紅外線以及表面聲波等多種類型實現(xiàn)觸控面板331。除了觸控面板331，輸入單元330還可以包括其他輸入設(shè)備332。具體地，其他輸入設(shè)備332可以包括但不限于物理鍵盤、功能鍵(比如音量控制按鍵、開關(guān)按鍵等)、軌跡球、鼠標、操作桿等中的一種或多種。

顯示單元340可用于顯示由用戶輸入的信息或提供給用戶的信息以及手機的各種菜單。顯示單元340可包括顯示面板341，可選的，可以采用液晶顯示器(liquidcrystaldisplay，lcd)、有機發(fā)光二極管(organiclight-emittingdiode,oled)等形式來配置顯示面板341。進一步的，觸控面板331可覆蓋顯示面板341，當觸控面板331檢測到在其上或附近的觸摸操作后，傳送給處理器380以確定觸摸事件的類型，隨后處理器380根據(jù)觸摸事件的類型在顯示面板341上提供相應(yīng)的視覺輸出。雖然在圖3中，觸控面板331與顯示面板341是作為兩個獨立的部件來實現(xiàn)手機的輸入和輸入功能，但是在某些實施例中，可以將觸控面板331與顯示面板341集成而實現(xiàn)手機的輸入和輸出功能。

手機還可包括至少一種傳感器350，比如光傳感器、運動傳感器以及其他傳感器。具體地，光傳感器可包括環(huán)境光傳感器及接近傳感器，其中，環(huán)境光傳感器可根據(jù)環(huán)境光線的明暗來調(diào)節(jié)顯示面板341的亮度，接近傳感器可在手機移動到耳邊時，關(guān)閉顯示面板341和/或背光。作為運動傳感器的一種，加速計傳感器可檢測各個方向上(一般為三軸)加速度的大小，靜止時可檢測出重力的大小及方向，可用于識別手機姿態(tài)的應(yīng)用(比如橫豎屏切換、相關(guān)游戲、磁力計姿態(tài)校準)、振動識別相關(guān)功能(比如計步器、敲擊)等；至于手機還可配置的陀螺儀、氣壓計、濕度計、溫度計、紅外線傳感器等其他傳感器，在此不再贅述。

音頻電路360、揚聲器361，傳聲器362可提供用戶與手機之間的音頻接口。音頻電路360可將接收到的音頻數(shù)據(jù)轉(zhuǎn)換后的電信號，傳輸?shù)綋P聲器361，由揚聲器361轉(zhuǎn)換為聲音信號輸出；另一方面，傳聲器362將收集的聲音信號轉(zhuǎn)換為電信號，由音頻電路360接收后轉(zhuǎn)換為音頻數(shù)據(jù)，再將音頻數(shù)據(jù)輸出處理器380處理后，經(jīng)rf電路310以發(fā)送給比如另一手機，或者將音頻數(shù)據(jù)輸出至存儲器320以便進一步處理。

wifi屬于短距離無線傳輸技術(shù)，手機通過wifi模塊370可以幫助用戶收發(fā)電子郵件、瀏覽網(wǎng)頁和訪問流式媒體等，它為用戶提供了無線的寬帶互聯(lián)網(wǎng)訪問。雖然圖3示出了wifi模塊370，但是可以理解的是，其并不屬于手機的必須構(gòu)成，完全可以根據(jù)需要在不改變發(fā)明的本質(zhì)的范圍內(nèi)而省略。

處理器380是手機的控制中心，利用各種接口和線路連接整個手機的各個部分，通過運行或執(zhí)行存儲在存儲器320內(nèi)的軟件程序和/或模塊，以及調(diào)用存儲在存儲器320內(nèi)的數(shù)據(jù)，執(zhí)行手機的各種功能和處理數(shù)據(jù)，從而對手機進行整體監(jiān)控?？蛇x的，處理器380可包括一個或多個處理單元；優(yōu)選的，處理器380可集成應(yīng)用處理器和調(diào)制解調(diào)處理器，其中，應(yīng)用處理器主要處理操作系統(tǒng)、用戶界面和應(yīng)用程序等，調(diào)制解調(diào)處理器主要處理無線通信?？梢岳斫獾氖?，上述調(diào)制解調(diào)處理器也可以不集成到處理器380中。

手機還包括給各個部件供電的電源390(比如電池)，優(yōu)選的，電源可以通過電源管理系統(tǒng)與處理器380邏輯相連，從而通過電源管理系統(tǒng)實現(xiàn)管理充電、放電、以及功耗管理等功能。

盡管未示出，手機還可以包括攝像頭、藍牙模塊等，在此不再贅述。

在本發(fā)明實施例中，該裝置所包括的處理器380還具有以下功能：

根據(jù)第一預設(shè)規(guī)則確定多個待處理的任務(wù)信息，并將多個待處理的任務(wù)信息發(fā)送至共享隊列；

當接收到至少一個請求消息后，根據(jù)各個請求消息從共享隊列中獲取其各自對應(yīng)的任務(wù)信息，并通過多個單節(jié)點沙箱分別執(zhí)行為其分配的任務(wù)，得到任務(wù)執(zhí)行過程中產(chǎn)生的數(shù)據(jù)；

將任務(wù)執(zhí)行過程中產(chǎn)生的數(shù)據(jù)發(fā)送至對應(yīng)的數(shù)據(jù)庫。

本發(fā)明實施例提供了一種終端設(shè)備，與現(xiàn)有的樣本檢測的方法相比，本發(fā)明實施例應(yīng)用于分布式云端檢測系統(tǒng)，分布式云端檢測系統(tǒng)包括：多個單節(jié)點沙箱；根據(jù)第一預設(shè)規(guī)則確定多個待處理的任務(wù)信息，并將多個待處理的任務(wù)信息發(fā)送至共享隊列，然后當接收到至少一個請求消息后，根據(jù)各個請求消息從共享隊列中獲取其各自對應(yīng)的任務(wù)，并通過多個單節(jié)點沙箱分別執(zhí)行為其分配任務(wù)，得到任務(wù)執(zhí)行過程中產(chǎn)生的數(shù)據(jù)，然后將任務(wù)執(zhí)行過程中產(chǎn)生的數(shù)據(jù)發(fā)送至對應(yīng)的數(shù)據(jù)庫，即分布式云端檢測系統(tǒng)中設(shè)置有多個單節(jié)點沙箱，并且可以通過多個單節(jié)點沙箱同時執(zhí)行為其分配的任務(wù)，并且得到任務(wù)執(zhí)行過程中產(chǎn)生的數(shù)據(jù)，并能夠?qū)a(chǎn)生的數(shù)據(jù)發(fā)送至對應(yīng)的數(shù)據(jù)庫，以實現(xiàn)對樣本的檢測，由于通過多個單節(jié)點沙箱對樣本進行檢測，而不需要人工對大量的樣本一一進行檢測，從而可以降低樣本檢測的花費，又由于通過多個單節(jié)點沙箱同時執(zhí)行不同的任務(wù)，從而可以減少樣本檢測的時間消耗，進而可以提高對樣本的檢測效率。

本發(fā)明實施例提供的終端設(shè)備可以適用于上述方法實施例。在此不再贅述。

本技術(shù)領(lǐng)域技術(shù)人員可以理解，本發(fā)明包括涉及用于執(zhí)行本申請中所述操作中的一項或多項的設(shè)備。這些設(shè)備可以為所需的目的而專門設(shè)計和制造，或者也可以包括通用計算機中的已知設(shè)備。這些設(shè)備具有存儲在其內(nèi)的計算機程序，這些計算機程序選擇性地激活或重構(gòu)。這樣的計算機程序可以被存儲在設(shè)備(例如，計算機)可讀介質(zhì)中或者存儲在適于存儲電子指令并分別耦聯(lián)到總線的任何類型的介質(zhì)中，所述計算機可讀介質(zhì)包括但不限于任何類型的盤(包括軟盤、硬盤、光盤、cd-rom、和磁光盤)、rom(read-onlymemory，只讀存儲器)、ram(randomaccessmemory，隨即存儲器)、eprom(erasableprogrammableread-onlymemory，可擦寫可編程只讀存儲器)、eeprom(electricallyerasableprogrammableread-onlymemory，電可擦可編程只讀存儲器)、閃存、磁性卡片或光線卡片。也就是，可讀介質(zhì)包括由設(shè)備(例如，計算機)以能夠讀的形式存儲或傳輸信息的任何介質(zhì)。

本技術(shù)領(lǐng)域技術(shù)人員可以理解，可以用計算機程序指令來實現(xiàn)這些結(jié)構(gòu)圖和/或框圖和/或流圖中的每個框以及這些結(jié)構(gòu)圖和/或框圖和/或流圖中的框的組合。本技術(shù)領(lǐng)域技術(shù)人員可以理解，可以將這些計算機程序指令提供給通用計算機、專業(yè)計算機或其他可編程數(shù)據(jù)處理方法的處理器來實現(xiàn)，從而通過計算機或其他可編程數(shù)據(jù)處理方法的處理器來執(zhí)行本發(fā)明公開的結(jié)構(gòu)圖和/或框圖和/或流圖的框或多個框中指定的方案。

本技術(shù)領(lǐng)域技術(shù)人員可以理解，本發(fā)明中已經(jīng)討論過的各種操作、方法、流程中的步驟、措施、方案可以被交替、更改、組合或刪除。進一步地，具有本發(fā)明中已經(jīng)討論過的各種操作、方法、流程中的其他步驟、措施、方案也可以被交替、更改、重排、分解、組合或刪除。進一步地，現(xiàn)有技術(shù)中的具有與本發(fā)明中公開的各種操作、方法、流程中的步驟、措施、方案也可以被交替、更改、重排、分解、組合或刪除。

以上所述僅是本發(fā)明的部分實施方式，應(yīng)當指出，對于本技術(shù)領(lǐng)域的普通技術(shù)人員來說，在不脫離本發(fā)明原理的前提下，還可以做出若干改進和潤飾，這些改進和潤飾也應(yīng)視為本發(fā)明的保護范圍。