用于在数据分析系统中分析恶意软件的设备和方法

摘要

提供一种用于在数据分析系统中分析恶意软件的设备和方法。所述设备包括数据分析单元和控制器。数据分析单元使用恶意代码信息和病毒信息的筛选数据信息将数据分为首要有害数据和首要无害数据。控制器筛选或删除首要有害数据并将精确分析首要无害数据的请求发送到看护服务器。数据分析单元使用从看护服务器接收的精确分析结果从首要无害数据中分出次要有害数据。

说明书

技术领域

本发明涉及一种用于在便携式终端中分析恶意软件（诸如感染病毒的数 据、恶意代码等）的设备和方法。

背景技术

近年来，便携式终端已经迅速成为现代人的必需品。服务提供商和系统 制造商正在竞相开发各种产品和服务以服务于这个快速发展中的市场。例如， 便携式终端正进化成为用于电话簿、游戏、短消息、电子邮件（e-mail）消 息、早上唤醒呼叫、MPEG-1音频层3（MP3）播放器、日程管理功能、数码相 机、多媒体消息、无线互联网服务和各种其它产品和服务的多媒体设备。

近几年，随着智能电话硬件性能被提高并且应用程序被引进，智能电话 正开始取代现有计算机。不幸的是，作为这种进化的结果，攻击便携式终端 的移动恶意软件正开始出现。这种恶意软件正造成严重损害，诸如引起便携 式终端的错误操作、删除数据或是无视用户意图而泄露用户个人信息。

为了解决这些问题，安全企业（security enterpri se）提供适应移动环 境的反病毒软件。所述软件能够检测并删除恶意软件。一般而言，恶意软件 检测方案列出并存储关于恶意软件的信息并且根据列表确定数据是否是恶意 软件。恶意软件的列表由安全企业提供。然而，因为数据库可能未完全更新， 所以便携式终端可能无法检测到恶意软件。

虽然未包括在从安全企业发送到便携式终端的列表中的新恶意软件被发 现，但是，因为关于新恶意软件的信息尚未被更新，所以便携式终端可能无 法检测到所述恶意软件。因此，为了解决这个问题，需要一种用于在数据分 析系统中实时检测恶意软件的设备和方法。

因此，需要一种用于执行装置的自我诊断而没有当从计算机或用户界面 手动选择自我诊断项目时引起的不便的系统和方法。

发明内容

本发明的各方面将解决至少上述问题和/或缺点并将提供至少以下优点。 因此，本发明的一方面将提供一种用于在数据分析系统中提高恶意软件分析 能力的设备和方法。

本发明的另一方面将提供一种用于在便携式终端中进行处理以通过看护 服务器（care sever）分析未被确定为恶意软件的数据的设备和方法。

本发明的另一方面将提供一种用于在看护服务器中确认便携式终端的持 有数据列表和分析恶意软件的设备和方法。

本发明的另一方面将提供一种用于在看护服务器中根据恶意软件分析结 果更新有害数据列表或无害数据列表的设备和方法。

以上各方面可通过提供一种用于在数据分析系统中分析恶意软件的设备 和方法而被实现。

根据本发明的一方面，提供一种用于在便携式终端中分析恶意软件的设 备。所述设备包括数据分析单元和控制器。数据分析单元基于恶意代码信息 和病毒信息的筛选数据信息将数据分为首要有害数据和首要无害数据。控制 器筛选或删除首要有害数据并将分析首要无害数据的请求发送到看护服务 器。数据分析单元基于从看护服务器接收的分析结果从首要无害数据中分出 次要有害数据。

根据本发明的另一方面，提供一种用于在看护服务器中分析恶意软件的 设备。所述设备包括数据分析单元、搜索引擎和服务器控制器。当从便携式 终端接收到分析请求时，数据分析单元将与请求相应的数据与无害数据信息 和有害数据信息进行比较。当与请求相应的数据未包括在无害数据信息和有 害数据信息中时，搜索引擎分析与请求相应的数据。服务器控制器将分析结 果提供给便携式终端，并且基于分析结果更新无害数据信息和有害数据信息。

根据本发明的另一方面，提供一种用于在便携式终端中分析恶意软件的 方法。所述方法包括基于恶意代码信息和病毒信息的筛选数据信息将数据分 为首要有害数据和首要无害数据，筛选或删除首要有害数据，将分析首要无 害数据的请求发送到看护服务器，并且基于从看护服务器接收的分析结果从 首要无害数据中分出次要有害数据。

根据本发明的另一方面，提供一种用于在看护服务器中分析恶意软件的 方法。所述方法包括，当从便携式终端接收到分析请求时，将与请求相应的 数据与无害数据信息和有害数据信息进行比较并将比较结果提供给便携式终 端，并且，当与请求相应的数据未包括在无害数据信息和有害数据信息中时， 通过搜索引擎分析与请求相应的数据，将分析结果提供给便携式终端，并且 基于分析结果更新无害数据信息和有害数据信息。

根据本发明的另一方面，提供一种电子装置。所述电子装置包括一个或 多个用于执行计算机程序的处理器、用于存储数据和指令的存储器和在存储 器中存储的被构造为由所述一个或多个处理器执行的一个或多个模块。所述 一个或多个模块基于恶意代码信息和病毒信息的筛选数据信息将数据分为首 要有害数据和首要无害数据，筛选或删除首要有害数据，将分析首要无害数 据的请求发送到看护服务器，并且基于从看护服务器接收的精确分析结果从 首要无害数据中分出次要有害数据。

根据本发明的另一方面，提供一种看护服务器。所述看护服务器包括一 个或多个用于执行计算机程序的处理器、用于存储数据和指令的存储器和在 存储器中存储的被构造为由所述一个或多个处理器执行的一个或多个模块。 当从便携式终端接收到分析请求时，所述一个或多个模块将与请求相应的数 据与无害数据信息和有害数据信息进行比较，将比较结果提供给便携式终端， 当与请求相应的数据未包括在无害数据信息和有害数据信息中时，所述一个 或多个模块通过搜索引擎分析与请求相应的数据，将分析结果提供给便携式 终端，并且基于分析结果更新无害数据信息和有害数据信息。

从以下结合附图公开本发明的示例性实施例的详细描述，本发明的其它 方面、优点和突出特点将对本领域的技术人员而言变得清楚。

附图说明

通过结合附图进行的以下描述，本发明的特定示例性实施例的上述及其 它方面、特点和优点将会变得更清楚，其中：

图1是示出根据本发明的示例性实施例的执行数据分析处理的数据分析 系统的构造的框图；

图2是示出根据本发明的示例性实施例的便携式终端的数据分析处理的 流程图；

图3是示出根据本发明的另一示例性实施例的便携式终端的数据分析处 理的流程图；

图4是示出根据本发明的示例性实施例的看护服务器的数据分析处理的 流程图；

图5是示出根据本发明的另一期望示例性实施例的看护服务器的数据分 析处理的流程图；

图6是示出根据本发明的示例性实施例的数据分析系统的构造的框图； 和

图7是示出根据本发明的另一期望示例性实施例的数据分析系统的构造 的框图。

贯穿附图，应注意到：同样的附图标号被用于描述相同的或类似的元件、 特点和结构。

具体实施方式

提供参照附图的以下描述以促进对由权利要求及其等同物限定的本发明 的示例性实施例的全面理解。虽然以下描述包括各种特定细节以促进所述理 解，但是这些细节将被认为仅仅是示例性的。因此，本领域的普通技术人员 将认识到：在不脱离本发明的范围和精神的前提下，可做出描述于此的实施 例的各种改变和调整。此外，为了清晰和简洁，众所周知的功能和构造的描 述可被省略。

在以下描述和权利要求中使用的术语和词汇不限于文献含义，而是仅被 发明人用来实现对本发明的清晰和一致的理解。因此，本领域的技术人员应 清楚：提供本发明的示例性实施例的以下描述仅用于示意目的而并不是为了 限制由权利要求及其等同物限定的本发明的目的。

将理解：除非上下文清晰地另有指示，否则单数形式包括复数的指示物。 因此，例如，引用“组件表面”包括引用一个或多个所述表面。

本发明的示例性实施例提高了数据分析系统中的恶意软件分析能力。以 下描述数据分析系统，其中，便携式终端将针对未被便携式终端确定为恶意 软件的数据的分析请求发送到看护服务器，并且看护服务器将分析结果提供 给便携式终端。便携式终端可以是移动电话、媒体播放器、平板电脑、手提 电脑或个人数字助理（PDA）。便携式终端可以是任何便携式电子装置，包括 具有所述装置中的两个或多个功能的组合的装置。使用于此的恶意软件指的 是恶意代码并且也可包括恶意程序或应用、病毒程序、程序漏洞信息等。

图1是示出根据本发明的示例性实施例的执行数据分析处理的数据分析 系统的构造的框图。

参照图1，数据分析系统包括便携式终端100和看护服务器120。

便携式终端100可包括控制器102、数据分析单元104、指纹 （fingerprint）产生器106、存储器单元108、输入单元110、显示单元112 和通信单元114。

控制器102控制便携式终端100的一般操作。例如，控制器102执行用 于语音呼叫和数据通信的处理和控制。除了一般操作外，控制器102确定数 据的有害性。这将检测恶意软件（例如，暴露于病毒的数据和能够恶意地控 制便携式终端100的数据）的存在。控制器102可从便携式终端100删除有 害数据。

控制器102还通过将被确定不是恶意软件的数据发送到看护服务器120 以请求对所述数据的分析，以防便携式终端100还未更新用于恶意软件检测 的信息。

数据分析单元104在控制器102的控制下执行分析便携式终端100的数 据的自我分析处理。数据分析单元104通过对存储在便携式终端100中的数 据与筛选数据信息之间的比较来执行数据分析处理。

所述筛选数据信息指的是诸如恶意代码、病毒等的数据的列表。数据分 析单元104可使用从服务提供商提供的信息更新筛选数据信息。

例如，当包括在筛选数据信息中的数据已被存储在便携式终端100中时， 数据分析单元104可确定恶意软件已被存储在便携式终端100中。

指纹产生器106在控制器102的控制下产生关于需要精确分析处理的数 据的信息。指纹产生器106可使用需要分析的数据本身作为指纹，并将所述 数据发送到看护服务器120。指纹产生器106也可使用需要分析的数据的标 识符（ID）及其哈希函数等作为指纹，并将所述ID或哈希函数代替所述数据 本身发送到看护服务器120。

控制器102、数据分析单元104和指纹产生器106的操作可由存储在存 储器单元108中的特定软件模块（例如，一组指令）执行。控制器102、数 据分析单元104和指纹产生器106的操作可在软件或硬件中构建。数据分析 单元104和指纹产生器106也可被定义为控制器。控制器102可以是处理器， 并且数据分析单元104和指纹产生器106可以是另一（单独的）处理器。

存储器单元108由只读存储器（ROM）、随机存取存储器（RAM）和/或快 闪ROM组成。ROM存储用于处理和控制所述控制器102、数据分析单元104、 指纹产生器106的程序的微代码和各种参考数据。

RAM是控制器102的工作存储器并且存储在便携式终端100上的程序的 执行期间产生的临时数据。快闪ROM存储各种可更新的保管数据（诸如电话 簿、发出的消息、收到的消息等），并存储包括恶意软件（诸如恶意代码、病 毒等）的列表的筛选数据信息。

存储器单元108存储用于根据本发明执行控制器102、数据分析单元104 和指纹产生器106的操作的软件模块。

输入单元110包括数字键按钮“0”到“9”、菜单按钮、取消按钮、OK 按钮、通话按钮、结束按钮、互联网按钮、导航键（或方向键）按钮和多个 功能键，诸如字符输入键。所述按钮的数量和布置可根据便携式终端100的 设计和功能而变化。输入单元110将与由用户按下的键相应的键输入数据提 供给控制器102。根据本发明的示例性实施例，输入单元110将用于执行数 据分析处理的用户输入数据提供给控制器102。

显示单元112显示在便携式终端100的操作期间产生的状态信息、字符、 运动图像、静止图像等。显示单元112可以是彩色液晶显示器（LCD）、有源 矩阵有机发光二极管（AMOLED）等。显示单元112可包括触摸输入装置，在 这种情况下，显示单元112可被用作除输入单元110之外的或代替输入单元 110的便携式终端的输入装置。显示单元112输出分析潜在恶意软件的结果。

通信单元114发送/接收并处理通过天线（未示出）输入/输出的数据的 无线信号。针对发送，通信单元114通过信道编码和扩频来处理原始数据， 将原始数据转换为射频（RF）信号并发送RF信号。针对接收，通信单元114 将接收的RF信号转换为基带信号，通过解扩和信道解码来处理基带信号，并 将所述信号恢复为原始数据。通信单元114与看护服务器120（和网络上的 其它装置）进行通信并发送/接收需要数据分析的数据信息及其结果。

数据分析单元104和指纹产生器106的作用可由便携式终端100的控制 器102来实施。虽然为了便于描述，数据分析单元104和指纹产生器106作 为示例性构造被分离地构建并于此示出，但是所述描述并未意图限制本发明 的范围和精神。本领域的技术人员将理解：可在本发明的范围内做出构造的 各种修改。例如，所有这些单元可由控制器102来执行。

看护服务器120可包括服务器控制器122、数据分析单元124、搜索引擎 130和通信单元132。数据分析单元124可包括有害数据列表126和非有害数 据列表128。

看护服务器120包括用于确定数据的有害性的搜索引擎130。搜索引擎 130可包括使用不同分析技术的多个搜索引擎，以便提高数据的有害性确定 率。看护服务器120可利用每个搜索引擎分析数据并确定所述数据的有害性。 例如，看护服务器120可包括搜索引擎A、搜索引擎B和搜索引擎C，并使用 搜索引擎A、搜索引擎B、搜索引擎C分析数据。

看护服务器120的服务器控制器122确定数据的有害性，将由便携式终 端100请求的数据与有害数据列表进行比较并确定所述数据的有害性。当从 便携式终端100接收到针对未包括在有害数据列表中的数据的请求时，服务 器控制器122通过搜索引擎130确定所述数据的有害性，将结果通知便携式 终端100，并使用所述结果进行处理以更新有害数据列表。

看护服务器120的数据分析单元124在服务器控制器122的控制下确定 由便携式终端100请求的数据的有害性，并根据搜索引擎130的分析结果更 新有害数据列表。

当由便携式终端100请求的数据包括在有害数据列表126中时，数据分 析单元124将所述数据的有害性通知便携式终端100。此外，当由便携式终 端100请求的数据包括在非有害数据列表128中时，数据分析单元124将所 述数据的无害性通知便携式终端100。

有害数据列表126是包括通过搜索引擎130分析的数据之中的被确定为 有害的数据的信息的列表，并且非有害数据列表128是包括通过搜索引擎130 分析的数据之中的被确定为无害的数据的信息的列表。

搜索引擎130分析由便携式终端100请求的数据，以便确定所述数据的 有害性，确定是否有异常代码或报头，将分析结果提供给数据分析单元124， 并更新有害数据列表。

如上所述，搜索引擎130可由使用不同分析技术的多个搜索引擎组成并 使用各个搜索引擎来分析数据。

通信单元132与便携式终端100进行通信，接收需要数据分析处理的数 据信息，并发送数据的分析结果。

构成看护服务器的元件的操作可由存储在看护服务器120中的特定软件 模块（即，一组指令）执行。

图2是示出根据本发明的期望示例性实施例的便携式终端的数据分析处 理的流程图。

参照图2，数据分析处理可包括扫描存储在便携式终端中的数据并确定 便携式终端中是否存在恶意软件。数据分析处理确定是否已经安装了能够随 意地控制便携式终端的操作的程序（即，恶意软件）。

在步骤201，便携式终端开始数据分析处理。便携式终端进行至步骤203 并选择将被分析的数据。

便携式终端进行至步骤205并搜索筛选数据信息。便携式终端进行至步 骤207并确定在步骤203中选择的数据是否是包括在筛选数据信息中的数据。

所述筛选数据信息指的是恶意软件（诸如恶意代码、病毒等）的列表。 便携式终端可使用从安全企业接收的信息更新筛选数据。

如果在步骤207确定包括在筛选数据信息中的数据被选择，则便携式终 端进行至步骤223并进行处理以删除在步骤203选择的数据。便携式终端返 回步骤203并针对其它未被分析的数据执行数据分析处理。当所述数据在步 骤203被确定为被暴露于病毒或被损害时，便携式终端可执行数据恢复处理 （即，使用疫苗（vaccine）程序的数据看护）。

与之相反，如果在步骤207确定未包括在筛选数据信息中的数据被选择， 则便携式终端进行至步骤209并允许访问被选择的数据。便携式终端进行至 步骤211并产生关于被选择的数据的指纹。虽然便携式终端已经确定被选择 的数据不太可能是恶意软件，但是便携式终端产生所述数据的指纹以便从看 护服务器获得次要意见。便携式终端可使用在步骤203选择的数据作为指纹， 或者产生所述数据的ID及其哈希函数等作为指纹。

便携式终端进行至步骤213并将产生的指纹发送到看护服务器。便携式 终端进行至步骤215并从看护服务器接收关于数据的有害性信息。看护服务 器（用于管理恶意软件的服务器）分析与从便携式终端接收的指纹关联的数 据并确定所述数据是否是恶意软件。

便携式终端进行至步骤217并确认从看护服务器接收的有害性信息。

如果在步骤217从看护服务器确定与指纹关联的所述数据相应于有害信 息，则便携式终端进行至步骤219并进行处理以拒绝访问所述数据和/或删除 所述数据。便携式终端进行至步骤221并在步骤221确定数据分析处理是否 结束。

与之相反，如果在步骤217从看护服务器确定与指纹关联的所述数据相 应于无害信息，则在步骤221便携式终端确定数据分析处理是否结束。

如果在步骤221确定数据分析处理未结束，则便携式终端返回步骤203 并针对其它未被分析的数据执行数据分析处理。与之相反，如果在步骤221 确定数据分析处理结束，则便携式终端结束数据分析处理。

图3是示出根据本发明的另一示例性实施例的便携式终端的数据分析处 理的流程图。

参照图3，在步骤301，便携式终端开始数据分析处理。便携式终端进行 至步骤303并选择想要分析的数据。

便携式终端进行至步骤305并搜索筛选数据信息。便携式终端进行至步 骤307并确定在步骤303选择的数据是否是包括在筛选数据信息中的数据。

所述筛选数据信息指的是恶意软件的列表。便携式终端可使用从安全企 业接收的信息更新筛选数据。

如果在步骤307确定包括在筛选数据信息中的数据被选择，则便携式终 端进行至步骤323并进行处理以删除在步骤303选择的数据。便携式终端返 回步骤303并针对其它未被分析的数据执行数据分析处理。

与之相反，如果在步骤307确定未包括在筛选数据信息中的数据被选择， 则便携式终端进行至步骤309并允许访问被选择的数据。便携式终端进行至 步骤311并产生关于被选择的数据的指纹。这将考虑以下情况：虽然便携式 终端已经确定被选择的数据不是恶意软件，但是，由于未能更新筛选数据信 息等，便携式终端可能未检测到恶意软件。

因此，便携式终端产生所述数据的指纹以便从看护服务器获得另一判断。 便携式终端可使用所述数据本身作为指纹，或者基于所述数据的ID及其哈希 函数等产生指纹。

便携式终端进行至步骤313并将产生的指纹发送到看护服务器。便携式 终端进行至步骤315并从看护服务器接收关于所述数据的有害性信息。看护 服务器（用于管理病毒、恶意代码等的服务器）分析与从便携式终端接收的 指纹关联的数据并确定所述数据是否是恶意软件。

便携式终端进行至步骤317并确认从看护服务器接收的有害性信息。

如果在步骤317从看护服务器确定与指纹关联的数据相应于有害信息， 则便携式终端进行至步骤319并进行处理以拒绝访问所述数据和/或删除所 述数据。便携式终端进行至步骤321并在步骤321确定数据分析处理是否结 束。

与之相反，如果在步骤317从看护服务器确定与指纹关联的数据相应于 无害信息，则便携式终端进行至步骤325，释放对访问被选择的数据的筛选， 并且进行至步骤321并确定数据分析处理是否完成。便携式终端筛选对被确 定不具有不良影响的数据的访问直到便携式终端从看护服务器接收到所述数 据无害的判断。

如果在步骤321确定数据分析处理未结束，则便携式终端返回步骤303 并针对其它未被分析的数据执行数据分析处理。与之相反，如果在步骤321 确定数据分析处理结束，则便携式终端结束数据分析处理。

图4是示出根据本发明的示例性实施例的看护服务器的数据分析处理的 流程图。

参照图4，看护服务器（用于管理病毒、恶意代码等的服务器）分析与 由便携式终端发送的指纹关联的数据并确定所述数据是否是恶意软件。看护 服务器可包括多个搜索引擎并且使用所述搜索引擎中的一个或多个执行针对 与指纹关联的数据的搜索。搜索引擎（用于检测数据的有害性的引擎）可以 是疫苗引擎、恶意代码引擎等。

在步骤401，看护服务器从便携式终端接收关于数据的指纹。所述指纹 是关于被便携式终端最初确定不是恶意软件的数据的信息。便携式终端可将 数据、所述数据的ID及其哈希函数等作为指纹发送到看护服务器。

看护服务器进行至步骤403并确定与指纹关联的数据是否包括在有害数 据列表中。所述有害数据列表指的是以下数据的列表，其中，看护服务器在 使用多个搜索引擎分析所述数据后确定所述数据是有害的。

如果在步骤403确定与指纹关联的数据是包括在有害数据列表中的数 据，则看护服务器进行至步骤415并通知便携式终端与指纹关联的数据相应 于有害数据。

与之相反，如果在步骤403确定与指纹关联的数据是未包括在有害数据 列表中的数据，则看护服务器进行至步骤405并确定与指纹关联的数据是否 包括在非有害数据列表中。所述非有害数据列表指的是以下数据的列表，其 中，看护服务器在使用多个搜索引擎进行分析后确定所述数据是无害的。

如果在步骤405确定与指纹关联的数据是包括在非有害数据列表中的数 据，则看护服务器进行至步骤417并通知便携式终端与指纹关联的数据相应 于非有害数据。

与之相反，如果在步骤405确定与指纹关联的数据是未包括在非有害数 据列表中的数据，则看护服务器进行至步骤407并针对所述指纹执行数据分 析处理。看护服务器进行至步骤409并在步骤409确定数据分析处理的结果。

如上所述，看护服务器可具有多个具备不同性能的搜索引擎并使用各个 搜索引擎确定数据的有害性。

如果在步骤409确定与指纹关联的数据是有害数据，则看护服务器进行 至步骤411并进行处理以将由便携式终端请求的数据的信息添加到有害数据 列表。

与之相反，如果在步骤409确定与指纹关联的数据是非有害数据，则看 护服务器进行至步骤419并进行处理以将由便携式终端请求的数据的信息添 加到非有害数据列表。

在如上更新所述数据列表之后，看护服务器进行至步骤413，将数据分 析结果通知便携式终端并结束所述处理。

图5是示出根据本发明的另一示例性实施例的看护服务器的数据分析处 理的流程图。

参照图5，在步骤501，看护服务器从便携式终端接收持有数据列表。所 述持有数据列表指的是存储在便携式终端中的数据的列表。

看护服务器进行至步骤503并将从便携式终端接收的持有数据列表与有 害数据列表进行比较。看护服务器进行至步骤505并提取包括在有害数据列 表中的便携式终端的持有数据。

看护服务器进行至步骤507并将提取的数据的列表发送到便携式终端。 因此，便携式终端可确定包括在从看护服务器接收的列表中的数据是有害数 据，并恢复或删除所述数据。

图6是示出根据本发明的期望示例性实施例的数据分析系统的构造的框 图。

参照图6，数据分析系统可包括便携式终端600和看护服务器602。

通过数据分析处理，便携式终端600确定暴露于病毒的数据是否被存储 在便携式终端600中或者能够随意地控制便携式终端600的操作的程序是否 已经被安装。

因此，便携式终端600在步骤610将先前存储的数据与筛选数据信息进 行比较。便携式终端600在步骤612产生未包括在筛选数据信息中的数据的 列表并在步骤613将所述列表发送到看护服务器602。

这是因为，虽然便携式终端600可确定包括在筛选数据信息中的数据是 恶意软件，但是，因为会存在筛选数据信息未被更新的情况，所以便携式终 端600将针对未包括在筛选数据信息中的数据的分析请求发送到看护服务器 602。

在接收到未包括在筛选数据信息中的数据的所述列表后，看护服务器 602首先在步骤614使用有害数据列表确定未包括在筛选数据信息中的数据 的有害性。

看护服务器602管理包括非有害数据列表616和有害数据列表622的有 害数据列表，并确定从便携式终端600接收的数据是包括在非有害数据列表 616中还是包括在有害数据列表622中。

看护服务器602在步骤618和步骤624通知便携式终端600从便携式终 端600接收的列表中包括的数据之中的包括在非有害数据列表616中的数据 和包括在有害数据列表622中的数据。因此，便携式终端600在步骤620登 记非有害数据的无害性以允许访问非有害数据，并在步骤626删除有害数据。

看护服务器602在步骤628将从便携式终端600接收的列表中包括的数 据之中的未包括在有害数据列表中的数据（即，被确定为既不是有害数据也 不是非有害数据的数据）提供给多个搜索引擎632，并在步骤630二次确定 未包括在有害数据列表中的数据的有害性。看护服务器602执行分析以便将 关于看护服务器未曾分析过的数据的信息包括在有害数据列表中。

看护服务器602通过所述多个搜索引擎632检测数据的有害性，在步骤 634通知搜索结果，并在步骤636更新有害数据列表。

看护服务器602可将精确分析结果发送到便携式终端600。

图7是示出根据本发明的另一示例性实施例的数据分析系统的构造的框 图。

参照图7，数据分析系统包括便携式终端700和看护服务器702。

通过数据分析处理，便携式终端700确定暴露于病毒的数据是否存在或 者能够随意地控制便携式终端的操作的程序是否已经被安装。

因此，便携式终端700在步骤710产生持有数据列表（即，先前存储在 便携式终端700中的数据的列表），并在步骤712将所述列表发送到看护服务 器702。

因为便携式终端700不能确定所述数据是否是恶意软件，所以便携式终 端700将存储的数据的列表提供给看护服务器702并允许看护服务器702确 定所述数据是否包括恶意软件。

看护服务器702在步骤714使用由看护服务器702管理的有害数据列表 确定数据的有害性。看护服务器702管理有害数据列表并确定从便携式终端 700接收的持有数据是否包括在有害数据列表716中。

看护服务器702从包括在从便携式终端700接收的持有数据列表中的数 据之中确认包括在有害数据列表716中的数据，并在步骤718将所述数据通 知便携式终端700。因此，便携式终端700在步骤720使用从看护服务器702 接收的信息删除有害数据。

看护服务器702在步骤722将从便携式终端700接收的持有数据列表中 包括的数据之中的未包括在有害数据列表中的数据（即，未被确定为有害数 据的数据）提供给多个搜索引擎726，并在步骤724确定未包括在有害数据 列表中的数据的有害性。看护服务器702执行分析以便将关于看护服务器702 未曾分析过的数据的信息包括在有害数据列表中。

看护服务器702通过多个搜索引擎检测数据的有害性，确定看护服务器 已经分析过的数据是有害的还是无害的，在步骤728通知搜索结果，并在步 骤730更新有害数据列表。

看护服务器702可将分析结果发送到便携式终端700。

根据本发明的示例性实施例的方法可在硬件、软件中或以二者的组合的 形式被实施。

在软件实施的情况下，存储一个或多个程序（即，软件模块）的计算机 可读存储介质可被提供。存储在计算机可读存储介质中的一个或多个程序被 配置为可由电子装置（诸如便携式终端）内的一个或多个处理器执行。一个 或多个程序包括用于使电子装置能够执行根据在本发明的权利要求和/或说 明书中公开的示例性实施例的所述方法的指令。

所述程序（即，软件模块或软件）可被存储在随机存取存储器（RAM）、 包括闪存的非易失性存储器、只读存储器（ROM）、电可擦除可编程ROM （EEPROM）、磁盘存储装置、压缩盘ROM（CD-ROM）、数字通用盘（DVD）或其 它形式的光存储装置和磁带中。所述程序也可被存储在由所述组件中的一些 或全部组件的组合构建的存储器中。类似地，多个存储器可被提供。

所述程序可被存储在可附连于电子装置的存储装置并可通过通信网络 （诸如互联网、内联网、局域网（LAN）、无线LAN（WLAN），或存储区域网络 （SAN），或它们的组合）访问的存储装置中。所述存储装置可通过外部端口 访问所述电子装置。

此外，在通信网络上的单独的存储装置可访问便携式电子装置。

例如，电子装置的模块（包括一个或多个处理器、存储器和存储在存储 器中的被配置为由所述一个或多个处理器执行的一个或多个模块）可包括指 令，其中，所述指令用于使用筛选数据信息（诸如恶意代码信息、病毒信息 等）将数据分为首要有害数据和首要无害数据，筛选或删除首要有害数据， 将针对首要无害数据的分析请求发送到看护服务器并使用从看护服务器接收 的精确分析结果从首要无害数据中分出次要有害数据。

所述模块可包括用于将关于次要有害数据的信息包括在筛选数据信息中 的指令。

所述模块可包括用于筛选对被分出的次要有害数据的访问或删除次要有 害数据的指令。

所述模块可包括用于将持有数据信息（即，存储在便携式终端中的数据 的信息）发送到看护服务器，从看护服务器接收包括在持有数据信息中的有 害数据信息，并使用接收的有害数据信息删除有害数据的指令。

根据本发明的另一示例性实施例，看护服务器的模块（包括一个或多个 处理器、存储器和存储在存储器中的被配置为由所述一个或多个处理器执行 的一个或多个模块）可包括指令，其中，当从便携式终端接收到精确分析请 求时，所述指令用于将与请求相应的数据与无害数据信息和有害数据信息进 行比较并将比较结果提供给便携式终端，并且，当与请求相应的数据未包括 在无害数据信息和有害数据信息中时，所述指令用于通过搜索引擎分析数据， 将精确分析结果提供给便携式终端并更新无害数据信息和有害数据信息。

所述模块可包括用于使用多个搜索引擎分析恶意软件的指令，其中，所 述多个搜索引擎使用不同分析技术。

根据本发明，所述模块可包括指令，其中，当从便携式终端接收到持有 数据信息时，所述指令用于将持有数据信息与有害数据信息进行比较并将比 较结果提供给便携式终端，并且，当持有数据信息未包括在有害数据信息中 时，所述指令用于通过搜索引擎精确地分析数据、将精确分析结果提供给便 携式终端并更新有害数据信息。

如上所述，本发明的示例性实施例提高了数据分析系统中的恶意软件分 析能力。便携式终端将针对未被便携式终端确定为恶意软件的数据的分析请 求发送到看护服务器，并且看护服务器将分析结果提供给便携式终端，从而 能够提高恶意软件分析性能。

虽然参照本发明的某些示例性实施例，本发明已经被示出并被描述，但 是，本领域的技术人员将理解：在不脱离由权利要求及其等同物限定的本发 明的精神和范围的前提下，可做出各种形式和细节上的改变。