[发明专利]解析多引擎检测结果的方法和装置

说明书

技术领域

本发明涉及病毒分析引擎检测结果的解析技术，更具体地，涉及解析多引擎检测结果的方法和装置。 

背景技术

近些年，移动终端的使用越来越普及。移动终端中可用的应用程序也越来越多。第三方开发的许多定制应用加入了很多个性化的功能和特征，给用户带来了便利。但是针对这些日益增多的定制应用，其安全性问题开始凸显。比如，第三方可能出于各种目的在定制应用中内置病毒或者扣费等恶意软件。为了应对这种安全性问题，可以使用病毒分析引擎针对待测样本（如，定制应用的安装包）进行扫描。为了获取全面的综合检测结果，常常使用多种不同引擎对应用进行扫描。 

一般情况下，因为每个引擎具有自己定义的一些特有的检测规则，所以不同的病毒分析引擎扫描相同应用产生的测试结果往往会有所差异。例如，用病毒引擎A和引擎B分别对应用进行特征码扫描和静态源码扫描时，病毒引擎A和B将分别根据自己的检测方式来与应用的行为进行比较，从而判断是否存在风险甚或风险的级别。每个引擎产生自己的扫描结果，这些扫描结果通常通过XML方式进行存储。本文中，如本领域中所熟知的，XML（extensible markup language），即可扩展标记语言，是用于标记电子文件使其具有结构性的标记语言，可以用来标记数据、定义数据类型，是一种允许用户对自己的标记语言进行定义的源语言。 

现有技术中最常见的展示多引擎扫描结果的方案是直接解析不同引擎扫描得到的不同组合方式的XML文件，将XML文件中的节点中的数据存储到数据集中，然后将数据填充到客户端组件中。该方案的缺点在于：需要对不同引擎的扫描结果逐个进行判断与解析，无法通过组件化的方 式进行解析与展示。尤其是，因为不同引擎的检测方式的不确定性，在增加新的引擎时，服务端与客户端需要通过专门的程序对新引擎的扫描结果进行处理。这样会导致代码臃肿，且缺乏灵活性。 

另一种现有方案是通过属性文件配置方式，如enginename_engineid_nodelist1=nodename1,nodename2,nodename3@childnode1|childnode2，来解析多引擎的扫描结果。在这种方案中，根据XML的层次结构来定义属性文件配置方式，并通过解析定义的字符串来解析XML，根据节点名称查找XML中的节点上对应的值，再根据特定的分割符来判断是否解析子节点，最后将数据转换为json（JavaScript Object Notation，一种轻量级的数据交换格式）格式返回到客户端。这种方案适用于引擎的扫描结果是层级数固定的XML文件的情况，但是不适合引擎扫描结果的XML文件的层级数不固定的情况。而且这种方案需要的配置繁琐，且缺乏灵活性，客户端无法实现多样化的展示。 

因此，需要一种能够克服上述问题中的一些或全部问题的改进的解析多种分析引擎检测结果的方案。 

发明内容

本发明的目的在于提供一种用于解析多引擎的检测结果的方法和装置。其可以解决多种病毒分析引擎的检测结果的不确定性问题。优选地，本发明的方案还可以提供对多种病毒分析引擎的检测结果的多样化展示。 

根据本发明的第一方面，提供了一种用于解析多引擎的检测结果的方法。该方法可以包括：检测步骤，由至少两种病毒分析引擎对病毒样本进行检测，以生成各个引擎的检测结果；解析步骤，将各个引擎的检测结果分别与预定义的各个引擎的解析模板进行匹配，以生成完整的解析记录；以及输出步骤，输出所生成的完整的解析记录以向用户展示。 

在本发明的一些实施例中，所述检测步骤可以包括：通过异步并行技术调度所述至少两个分析引擎对病毒样本进行检测。 

在本发明的一些实施例中，所述解析步骤可以包括：通过节点模型技术对检测结果中的节点数据进行对象序列化，以及通过名称匹配将预 定义的各个引擎的模板中的变量与序列化的数据动态绑定，以形成所述完整的解析记录的文本输出。优选地，所述文本输出的格式可以包括：超文本链接标示语言HTML格式。 

在本发明的一些实施例中，展示所述完整的解析记录可以包括：采用标签技术或者采用列表技术在浏览器中展示各个引擎的检测结果。 

根据本发明的第二方面，提供了一种用于解析多引擎的检测结果的装置，包括：检测单元，配置为：由至少两种病毒分析引擎对病毒样本进行检测，以生成各个引擎的检测结果；解析单元，配置为：将各个引擎的检测结果分别与预定义的各个引擎的解析模板进行匹配，以生成完整的解析记录；以及输出单元，配置为：输出所生成的完整的解析记录以向用户展示。