云端實(shí)時防御方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明提供一種云端實(shí)時防御方法及系統(tǒng),所述方法包括以下步驟:接收客戶端發(fā)送的第一查詢信息����;所述第一查詢信息包括客戶端所采集到的第一程序行為;根據(jù)所述第一查詢信息獲取文件行為結(jié)果庫中與所述第一程序行為相匹配的行為分析結(jié)果���;其中�����,所述文件行為結(jié)果庫用于存儲對各客戶端上傳的第二程序行為進(jìn)行鑒定識別后的行為分析結(jié)果���;將所述行為分析結(jié)果發(fā)送給所述客戶端。本發(fā)明的一種云端實(shí)時防御方法及系統(tǒng)有效減少了主動防御的誤報次數(shù)�����,提升了對未知惡意程序的攔截效果���,并且降低了系統(tǒng)資源的占用率,提高了主動防御的響應(yīng)速度�。
【專利說明】云端實(shí)時防御方法及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及互聯(lián)網(wǎng)安全領(lǐng)域,特別是涉及一種云端實(shí)時防御方法以及一種云端實(shí)時防御系統(tǒng)。
【背景技術(shù)】
[0002]隨著互聯(lián)網(wǎng)不斷與人類生活融合��,經(jīng)濟(jì)��、政治����、文化等等人類現(xiàn)實(shí)社會的主體已經(jīng)與互聯(lián)網(wǎng)這個虛擬的世界不斷的關(guān)聯(lián)和接軌了,現(xiàn)實(shí)社會的主要元素與互聯(lián)網(wǎng)這個虛擬化的社會界限也越來越模糊�����。隨之而來的是現(xiàn)實(shí)世界的問題也在虛擬的互聯(lián)網(wǎng)中出現(xiàn)和爆發(fā)���。其中安全就是一個非常關(guān)鍵和敏感的互聯(lián)網(wǎng)問題�����,而病毒木馬則是這一問題的一個主要的源頭和推動者����。目前���,安全防御的盾與病毒木馬的矛之間的對抗已經(jīng)越來越激烈��。
[0003]傳統(tǒng)的防御方法中����,主要是對病毒木馬進(jìn)行特征識別,這是基于已經(jīng)識別出事病毒木馬的基礎(chǔ)上��,通過分析和提取特征來識別同類再出現(xiàn)的文件���。然而��,采用傳統(tǒng)的方法雖然能夠有效的打擊已知的惡意程序及其變種��,但是對于新的病毒木馬或者是未發(fā)現(xiàn)的未知潛伏病毒木馬���,這種檢測方式就顯得捉襟見肘了。面對這個日益嚴(yán)重的問題����,主動防御技術(shù)應(yīng)運(yùn)而生。
[0004]主動防御不再是固守對已知文件進(jìn)行特征提取的思路���,而是通過歸納總結(jié)什么是惡意程序�、惡意程序的行為是不是有所特征�,通過對已知惡意程序的行為進(jìn)行分析和學(xué)習(xí)來提取行為序列的特征,從而攔截惡意程序�。主動防御技術(shù)給未知惡意程序的打擊提供了非常高效的方法,因?yàn)闊o論程序代碼如何變更��,惡意的行為是不會時刻有新的技術(shù)手段的�,從而極大的提高了防御方的可控性。
[0005]目前的主動防御技術(shù)��,主要分為兩類����,一類是基于單點(diǎn)云查攔截的主動防御,即只是對系統(tǒng)單個動作行為進(jìn)行監(jiān)控���,然后對動作的操作者文件進(jìn)行特征云查����,通過云查得到的文件黑白結(jié)果�����,來做攔截還是放行的處理�;另外一類是多步行為匹配的主動防御,即對系統(tǒng)多個動作進(jìn)行關(guān)聯(lián)檢測���,通過內(nèi)置本地行為特征庫�����,匹配行為序列的方式來判斷這個程序的行為是否是惡意的從而進(jìn)行攔截�。
[0006]但是,上述的主動防御方法中�����,無論是單點(diǎn)攔截還是多步行為匹配�,都要依賴白名單來做到非白即黑,對于白名單的依賴程度較大��。然而白名單的收集往往是滯后的����,很難保證不誤報或誤報可控,導(dǎo)致傳統(tǒng)的主動防御方法對未知的惡意程序攔截的易用性不高�����,比較容易發(fā)生誤報���。
【發(fā)明內(nèi)容】
[0007]基于此��,有必要針對上述高誤報的問題�,提供一種云端實(shí)時防御方法及系統(tǒng)���。
[0008]為實(shí)現(xiàn)上述目的�,本發(fā)明實(shí)施例中采用如下的技術(shù)方案:
[0009]一種云端實(shí)時防御方法�,包括以下步驟:
[0010]接收客戶端發(fā)送的第一查詢信息;所述第一查詢信息包括客戶端所采集到的第一程序行為���;
[0011]根據(jù)所述第一查詢信息獲取文件行為結(jié)果庫中與所述第一程序行為相匹配的行為分析結(jié)果��;其中�,所述文件行為結(jié)果庫用于存儲對各客戶端上傳的第二程序行為進(jìn)行鑒定識別后的行為分析結(jié)果��;
[0012]將所述行為分析結(jié)果發(fā)送給所述客戶端�����。
[0013]一種云端實(shí)時防御方法���,包括以下步驟:
[0014]當(dāng)檢測到預(yù)設(shè)的系統(tǒng)事件被觸發(fā)后�,對該系統(tǒng)事件所對應(yīng)的第一程序行為進(jìn)行采集;
[0015]發(fā)送第一查詢信息給服務(wù)器���;所述第一查詢信息包括所采集到的第一程序行為��;
[0016]接收服務(wù)器所反饋的與所述第一程序行為相匹配的行為分析結(jié)果����,并根據(jù)所述行為分析結(jié)果執(zhí)行相應(yīng)的處理動作。
[0017]一種云端實(shí)時防御系統(tǒng)�,包括服務(wù)器,所述服務(wù)器包括:
[0018]第一接收模塊����,用于接收客戶端發(fā)送的第一查詢信息;所述第一查詢信息包括客戶端所采集到的第一程序行為�;
[0019]結(jié)果獲取模塊,用于根據(jù)所述第一查詢信息獲取文件行為結(jié)果庫中與所述第一程序行為相匹配的行為分析結(jié)果�;其中,所述文件行為結(jié)果庫用于存儲對各客戶端上傳的第二程序行為進(jìn)行鑒定識別后的行為分析結(jié)果���;
[0020]結(jié)果發(fā)送模塊���,用于將所述行為分析結(jié)果發(fā)送給所述客戶端。
[0021]一種云端實(shí)時防御系統(tǒng)��,包括客戶端,所述客戶端包括:
[0022]程序行為采集模塊��,用于當(dāng)檢測到預(yù)設(shè)的系統(tǒng)事件被觸發(fā)后�����,對該系統(tǒng)事件所對應(yīng)的第一程序行為進(jìn)行采集����;
[0023]第一發(fā)送模塊�,用于發(fā)送第一查詢信息給服務(wù)器;所述第一查詢信息包括所采集到的第一程序行為�����;
[0024]處理模塊���,用于接收服務(wù)器所反饋的與所述第一程序行為相匹配的行為分析結(jié)果�����,并根據(jù)所述行為分析結(jié)果執(zhí)行相應(yīng)的處理動作��。
[0025]由以上方案可以看出����,本發(fā)明實(shí)施例中的一種云端實(shí)時防御方法及系統(tǒng),對系統(tǒng)事件所對應(yīng)的程序行為進(jìn)行采集并上傳到服務(wù)器�,然后在服務(wù)器的文件行為結(jié)果庫中查詢與所述程序行為相匹配的行為分析結(jié)果,客戶端可以根據(jù)該行為分析結(jié)果后來執(zhí)行相應(yīng)的處理動作���。采用本發(fā)明實(shí)施例的方案����,通過對程序行為進(jìn)行匹配即可快速判斷出應(yīng)用程序是否為惡意程序�,從而有效減少了主動防御的誤報次數(shù),提升了對未知惡意程序的攔截效果�����;并且由于本發(fā)明實(shí)施例的方案中客戶端只負(fù)責(zé)采集和上傳程序行為�����,不需要進(jìn)行檢測識別����,因此降低了系統(tǒng)資源的占用率,提高了主動防御的響應(yīng)速度��。
【專利附圖】
【附圖說明】
[0026]圖1為本發(fā)明實(shí)施例一中的一種云端實(shí)時防御方法的流程示意圖;
[0027]圖2為本發(fā)明實(shí)施例二中的一種云端實(shí)時防御方法的流程示意圖�����;
[0028]圖3為本發(fā)明實(shí)施例三中的一種云端實(shí)時防御方法的流程示意圖���;
[0029]圖4為本發(fā)明實(shí)施例四中的防御云框架分布示意圖�����;
[0030]圖5為本發(fā)明實(shí)施例中的一種云端實(shí)時防御系統(tǒng)結(jié)構(gòu)示意圖�����;
[0031]圖6為本發(fā)明實(shí)施例中的終端設(shè)備的部分結(jié)構(gòu)示意圖。
【具體實(shí)施方式】
[0032]為了使本發(fā)明的目的���、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白��,以下結(jié)合附圖及實(shí)施例�����,對本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說明��。應(yīng)當(dāng)理解����,此處所描述的具體實(shí)施例僅僅用以解釋本發(fā)明,并不用于限定本發(fā)明�����。
[0033]實(shí)施例一
[0034]圖1示出了本發(fā)明的一種云端實(shí)時防御方法實(shí)施例一的流程示意圖�����。在該實(shí)施例一中��,是以服務(wù)器的處理過程為例進(jìn)行說明�����。
[0035]如圖1所示��,在該實(shí)施例一中����,服務(wù)器的處理過程包括以下步驟:
[0036]步驟S102,服務(wù)器接收客戶端發(fā)送的第一查詢信息�,然后進(jìn)入步驟S104;其中�����,所述第一查詢信息中至少包括客戶端所采集到的第一程序行為�。
[0037]步驟S104�����,服務(wù)器根據(jù)所述第一查詢信息獲取文件行為結(jié)果庫中與所述第一程序行為相匹配的行為分析結(jié)果���,然后進(jìn)入步驟S106;其中�����,所述文件行為結(jié)果庫用于存儲對各客戶端上傳的第二程序行為進(jìn)行鑒定識別后的行為分析結(jié)果���。
[0038]步驟S106�����,服務(wù)器將所述行為分析結(jié)果發(fā)送給所述客戶端���。
[0039]需要說明的是��,應(yīng)用程序在運(yùn)行期間所進(jìn)行的操作即被稱為“程序行為”(Act1n)��,一般泛指應(yīng)用程序進(jìn)行的相對表現(xiàn)較明顯的操作��,例如創(chuàng)建讀寫文件����、訪問注冊表、連接網(wǎng)絡(luò)���、調(diào)用一些應(yīng)用層功能等����。在其中一個實(shí)施例中����,所述程序行為可以包括如下:文件行為、注冊表行為����、網(wǎng)絡(luò)行為或進(jìn)程線程行為等。
[0040]本發(fā)明實(shí)施例中��,所述步驟S104中的文件行為結(jié)果庫是專門用來存儲行為分析結(jié)果的數(shù)據(jù)庫���。服務(wù)器接收到各個客戶端所采集上傳的程序行為后����,進(jìn)行鑒定識別,鑒定識別后的行為分析結(jié)果均保存在所述文件行為結(jié)果庫中���。在其中一個實(shí)施例中���,所述行為分析結(jié)果中可以包括:應(yīng)用程序的黑白屬性以及各屬性對應(yīng)的攔截規(guī)則等。
[0041]在其中一個實(shí)施例中��,在所述步驟S102接收客戶端發(fā)送的第一查詢信息之前�,還可以包括如下步驟:
[0042]步驟S1011,接收客戶端發(fā)送的第二查詢信息�;所述第二查詢信息包括客戶端所采集到的第二程序行為的描述信息。
[0043]本發(fā)明實(shí)施例中的第一程序行為與第二程序雖然都是程序行為��,但是由于客戶端每時每刻都會對應(yīng)用程序的程序行為進(jìn)行采集���,而本步驟發(fā)生在接收客戶端發(fā)送的第一查詢信息之前,因此可以理解���,通常意義上來講���,所述第一查詢信息中的程序行為與第二查詢信息中的程序行為并不是指同一個程序行為��。
[0044]步驟S1012����,根據(jù)所述描述信息判斷文件行為庫中是否已經(jīng)存在對應(yīng)的第二程序行為�;其中,所述文件行為庫用于接收各客戶端上傳的第二程序行為���。
[0045]本發(fā)明實(shí)施例中的文件行為庫是服務(wù)器中專門用來存儲各個客戶端所采集上傳過來的第二程序行為的數(shù)據(jù)庫���,在該數(shù)據(jù)庫中,程序行為一般按MD5(MeSSage DigestAlgorithm MD5���,消息摘要算法第五版)為key進(jìn)行存儲��。
[0046]步驟S1013�,若步驟S1012的判斷結(jié)果為否�,即說明服務(wù)器當(dāng)前的文件行為庫中還不存在對應(yīng)的第二程序行為,則可以發(fā)送上傳所述第二程序行為的通知給客戶端�����,并接收客戶端所上傳的第二程序行為,然后將所接收到的第二程序行為保存到所述文件行為庫中�。
[0047]步驟S1014,對所述第二程序行為進(jìn)行鑒定識別��,并將得到的行為分析結(jié)果保存到所述文件行為結(jié)果庫中����,以供客戶端查詢。
[0048]需要說明的是����,在步驟SlOll中,服務(wù)器所接收到的第二查詢信息中��,并不是包括第二程序行為的數(shù)據(jù)本身��,而是第二程序行為的描述信息�����,這個描述信息相比于第二程序行為本身的數(shù)據(jù)量要小很多��,只有當(dāng)客戶端接收到上傳第二程序行為的通知時��,才會真正意義上將第二程序行為的數(shù)據(jù)發(fā)送給服務(wù)器。
[0049]在其中一個實(shí)施例中�����,對所述第二程序行為進(jìn)行鑒定識別的過程具體可以包括如下步驟:
[0050]從已知的黑文件和白文件中提取出行為規(guī)則特征��;上述的黑文件即為病毒木馬文件���,白文件即為正常程序文件;
[0051]根據(jù)所述行為規(guī)則特征對所述第二程序行為進(jìn)行鑒定識別���,得到所述行為分析結(jié)果O
[0052]在其中一個實(shí)施例中�,還可以接收通過人工分析后所提取出的一些專項(xiàng)的病毒木馬的行為規(guī)則特征��,并加入到前述從已知的黑文件和白文件中提取出的行為規(guī)則特征中去�,以便對那些專項(xiàng)的病毒木馬進(jìn)行打擊。
[0053]事實(shí)上�����,主動防御技術(shù)之所以能檢測一個惡意程序�����,是因?yàn)橹鲃臃烙l(fā)現(xiàn)這個應(yīng)用程序有可疑的程序行為;而主動防御之所以會誤報���,是因?yàn)檫@個可疑的程序行為的本身只是一個系統(tǒng)API (Applicat1n Programming Interface,應(yīng)用程序編程接口 )的調(diào)用���,合法應(yīng)用程序和非法惡意應(yīng)用程序都是可以使用的,所以合法的應(yīng)用程序也有可能被主動防御的行為檢測給攔截下來���,從而造成了誤報�����。那么從極端場景的方式下來設(shè)想�����,假如知道了一個應(yīng)用程序的所有的程序行為����,那么這個應(yīng)用程序是不是危害用戶自然就是一件肯定的事情了��,此時也就不會有誤報的問題出現(xiàn)�。但是當(dāng)知道了這個應(yīng)用程序的所有程序行為后,這個時候雖然已經(jīng)知道這個應(yīng)用程序是有害的����,然而危害已經(jīng)發(fā)生����,再進(jìn)行攔截也已經(jīng)錯過了最佳的時機(jī)��,系統(tǒng)已經(jīng)被破壞����。
[0054]既然知道一個應(yīng)用程序的所有程序行為就能不誤報����,那么假設(shè)一個應(yīng)用程序還沒有運(yùn)行就已經(jīng)知道了這個應(yīng)用程序的所有程序行為,就可以直接判斷是不是惡意應(yīng)用程序了��。這個命題看似是不成立的�,因?yàn)閼?yīng)用程序沒有運(yùn)行,就沒有程序行為的產(chǎn)生���,那自然就不可能知道這個應(yīng)用程序的程序行為����。但是互聯(lián)網(wǎng)時代已經(jīng)不再是以前單機(jī)安全軟件的年代了�,大數(shù)據(jù)決定了這個命題是可以成立的�。因?yàn)楹芏鄷r候��,一個應(yīng)用程序不會只在一個用戶機(jī)器上運(yùn)行���,只要有一個用戶運(yùn)行過這個程序��,那么這個應(yīng)用程序的所有程序行為對于這個用戶就是可見的���,此時如果把這些程序行為上傳到服務(wù)器存儲,那么對于所有連接到這臺服務(wù)器的用戶����,這個應(yīng)用程序的所有程序行為就都是可見的了。這樣一來�,一個應(yīng)用程序在運(yùn)行前就知道它所有的程序行為就成為了可能。
[0055]基于上述理論���,本發(fā)明實(shí)施例的方案中���,分布式上傳程序行為到服務(wù)器并存入數(shù)據(jù)庫,形成一個應(yīng)用程序的程序行為列表集��,一個應(yīng)用程序的所有程序行為都在該數(shù)據(jù)庫中�����。只要擁有了這個龐大的數(shù)據(jù)庫,那么行為匹配算法就有了發(fā)揮空間��,判斷一個應(yīng)用程序的程序行為是不是危害用戶也就有了足夠的信息�����。
[0056]主動防御技術(shù)想要大規(guī)模應(yīng)用且效果極佳���,一般要考慮低誤報、攔截未知以及不占用系統(tǒng)資源三個方面�����。低誤報是主動防御技術(shù)的存活關(guān)鍵��,前面已經(jīng)得到解決���,關(guān)于第二個指標(biāo)攔截未知�����,這里主要靠行為規(guī)則來識別�����。這個規(guī)則可以自動化來處理�,通過機(jī)器學(xué)習(xí)已知黑文件和白文件的行為數(shù)據(jù)集來碰撞提取,還可以是特定的運(yùn)營方案的打擊配合����。月艮務(wù)器有非常大的發(fā)揮空間來處理數(shù)據(jù)鑒定一個應(yīng)用程序的合法還是非法的屬性,得到這個未知應(yīng)用程序的結(jié)果屬性�����。把這個結(jié)果屬性入庫供客戶端查詢�,就可以實(shí)現(xiàn)對未知應(yīng)用程序的攔截。
[0057]第三個指標(biāo)是對系統(tǒng)資源占用低���,由于本發(fā)明實(shí)施列中客戶端只是采集上傳程序行為����,而檢測識別都是在云端的服務(wù)器處理��,因此并不會占用太多系統(tǒng)資源���。
[0058]下面將傳統(tǒng)方案中的單點(diǎn)云查技術(shù)�、行為特征匹配技術(shù)與本發(fā)明實(shí)施例中的云端行為鑒定攔截方案進(jìn)行對比,三個方案的優(yōu)缺點(diǎn)如下表所示:
[0059]
攔截方案I未知攔截效果I誤報_響應(yīng)速度單點(diǎn)云查弱(依賴白名較高(有強(qiáng)白名單的慢(依賴殺毒
單來進(jìn)行非白情況下���,可應(yīng)用部分引擎檢出)
即黑攔截) 高危行為�����,能覆蓋的行為很少)
行為特征匹配i較高(單靠有限幾個較慢(依托于
行為匹配����,部分危害本地庫的更
的誤報是較高的)新)
云端行為鑒定?低(云端可控����,總體快(云端實(shí)時攔截來說誤報風(fēng)險不大)響應(yīng))
[0060]在其中一個實(shí)施例中�����,本發(fā)明的一種云端實(shí)時防御方法還可以包括如下步驟:
[0061]步驟S108�,若所述文件行為結(jié)果庫中不存在與所述第一程序行為相匹配的行為分析結(jié)果,則發(fā)送匹配失敗的信息給客戶端��。
[0062]另外��,在其中一個實(shí)施例中��,所述第一查詢信息還可以包括客戶端所采集到的應(yīng)用程序的文件特征。本發(fā)明實(shí)施例中的文件特征可以包括:文件大小���、文件類型���、文件是否有數(shù)字簽名、文件的描述等�。此時,相對應(yīng)的���,對所述第二程序行為進(jìn)行鑒定識別的過程還可以包括:根據(jù)所述文件特征來對所述第二程序行為進(jìn)行鑒定識別�����。即上述的文件特征可以為服務(wù)器識別惡意應(yīng)用程序提供一部分依據(jù)����,例如檢測到文件含有可信的數(shù)字簽名��,則可以判斷并不是惡意應(yīng)用程序�;另外還可以對程序行為提取的規(guī)則做補(bǔ)充,限定程序行為提取特征的范圍����,比如要小于一定大小的文件才去匹配程序行為提取的規(guī)則���。
[0063]實(shí)施例二
[0064]圖2示出了本發(fā)明的一種云端實(shí)時防御方法實(shí)施例二的流程示意圖。在該實(shí)施例二中����,是以客戶端的處理過程為例進(jìn)行說明。
[0065]如圖2所示��,在該實(shí)施例二中�����,客戶端的處理過程包括以下步驟:
[0066]步驟S202�,當(dāng)客戶端檢測到預(yù)設(shè)的系統(tǒng)事件被觸發(fā)后,對該系統(tǒng)事件所對應(yīng)的第一程序行為進(jìn)行采集�����。
[0067]本發(fā)明實(shí)施例中的系統(tǒng)事件是指應(yīng)用程序調(diào)用系統(tǒng)功能的事件��,包括注冊表操作��、文件操作�、網(wǎng)絡(luò)操作以及一些應(yīng)用層功能操作等。由于這種事件非常多�,因此本發(fā)明實(shí)施例中,預(yù)先布置了系統(tǒng)事件監(jiān)控點(diǎn)����,只對那些高危的系統(tǒng)事件進(jìn)行監(jiān)控。
[0068]步驟S204�����,客戶端發(fā)送第一查詢信息給服務(wù)器�;所述第一查詢信息包括所采集到的第一程序行為。
[0069]步驟S206�����,客戶端接收服務(wù)器所反饋的與所述第一程序行為相匹配的行為分析結(jié)果����,并根據(jù)所述行為分析結(jié)果執(zhí)行相應(yīng)的處理動作。例如����,若所述行為分析結(jié)果表明應(yīng)用程序?yàn)檎5膽?yīng)用程序,則可以放任所述第一程序行為����;否則將進(jìn)行攔截�����。
[0070]在其中一個實(shí)施例中�����,在客戶端發(fā)送第一查詢信息給服務(wù)器之前�,還可以包括如下步驟:
[0071]客戶端發(fā)送第二查詢信息給服務(wù)器����;所述第二查詢信息包括所采集到的第二程序行為的描述信息;
[0072]當(dāng)客戶端接收到服務(wù)器所反饋的上傳所述第二程序行為的通知時���,將所述第二程序行為組包上傳�����。
[0073]所述組包即指將數(shù)據(jù)組成網(wǎng)絡(luò)請求包��。
[0074]在其中一個實(shí)施例中,本發(fā)明的一種云端實(shí)時防御方法還可以包括如下步驟:
[0075]當(dāng)客戶端接收到服務(wù)器發(fā)送的匹配失敗的信息之后�,允許所述程序行為運(yùn)行;其中,所述匹配失敗的信息為當(dāng)服務(wù)器檢測到文件行為結(jié)果庫中不存在與所述第一程序行為相匹配的行為分析結(jié)果后所發(fā)送的信息�。
[0076]實(shí)施例三
[0077]圖3示出了本發(fā)明的一種云端實(shí)時防御方法實(shí)施例三的流程示意圖。在該實(shí)施例三中�,結(jié)合客戶端以及服務(wù)器的處理過程進(jìn)行說明。
[0078]如圖3所示���,一種云端實(shí)時防御方法���,包括以下步驟:
[0079]步驟S301,客戶端采集第二程序行為�����,生成第二程序行為的描述信息����;
[0080]步驟S302,客戶端發(fā)送第二查詢信息給服務(wù)器����;所述第二查詢信息包括所采集到的第二程序行為的描述信息;
[0081]步驟S303���,服務(wù)器根據(jù)所述描述信息判斷文件行為庫中是否已經(jīng)存在對應(yīng)的第二程序行為�����;
[0082]步驟S304�,若是,則服務(wù)器通知客戶端不需要上傳�;否則服務(wù)器發(fā)送上傳所述第二程序行為的通知給客戶端;
[0083]步驟S305���,當(dāng)客戶端接收到服務(wù)器所反饋的上傳所述第二程序行為的通知時�����,將所述第二程序行為組包上傳到服務(wù)器�;
[0084]步驟S306����,服務(wù)器接收客戶端所上傳的第二程序行為,將所接收到的第二程序行為保存到文件行為庫中��,并對所述第二程序行為進(jìn)行鑒定識別����,將得到的行為分析結(jié)果保存到文件行為結(jié)果庫中;
[0085]步驟S307�����,當(dāng)客戶端檢測到預(yù)設(shè)的系統(tǒng)事件被觸發(fā)后��,對該系統(tǒng)事件所對應(yīng)的第一程序行為進(jìn)行采集���;
[0086]步驟S308�,客戶端發(fā)送第一查詢信息給服務(wù)器��;所述第一查詢信息包括所采集到的第一程序行為���;
[0087]步驟S309��,服務(wù)器接收到客戶端發(fā)送的第一查詢信息后��,根據(jù)所述第一查詢信息獲取文件行為結(jié)果庫中與所述第一程序行為相匹配的行為分析結(jié)果��;
[0088]步驟S310�,服務(wù)器將所述行為分析結(jié)果發(fā)送給所述客戶端����;
[0089]步驟S311,客戶端接收服務(wù)器所反饋的行為分析結(jié)果����,并根據(jù)所述行為分析結(jié)果執(zhí)行相應(yīng)的處理動作�。
[0090]實(shí)施例四
[0091]圖4示出了本發(fā)明實(shí)施例中的一種云端實(shí)時防御方法的具體實(shí)現(xiàn)框架圖�����。在該框架圖中���,包括服務(wù)器與客戶端����,客戶端中設(shè)置有如下功能模塊:主防監(jiān)控點(diǎn)���、本地行為特征庫���、行為采集cache、行為采集器�����、行為云cache����、行為云����;服務(wù)器中設(shè)置有如下功能模塊:行為特征庫�����、MD5行為庫���、MD5結(jié)果庫、行為鑒定器��、黑文件學(xué)習(xí)機(jī)����、白文件學(xué)習(xí)機(jī)、專項(xiàng)運(yùn)營規(guī)則��;下面對各功能模塊的工作過程進(jìn)行詳細(xì)描述:
[0092]I)主防監(jiān)控點(diǎn)監(jiān)控應(yīng)用程序的程序行為��;
[0093]2)行為采集cache�����、行為采集器打包主防監(jiān)控點(diǎn)傳過來的程序行為的信息���,并上傳到MD5行為庫�;
[0094]3)MD5行為庫存儲客戶端采集上傳過來的程序行為的信息,按MD5為key進(jìn)行存儲;
[0095]4)黑文件學(xué)習(xí)機(jī)學(xué)習(xí)已經(jīng)識別的黑文件的行為�,提取行為規(guī)則特征;
[0096]5)白文件學(xué)習(xí)機(jī)學(xué)習(xí)已經(jīng)識別的白文件的行為�,提取行為規(guī)則特征;
[0097]6)專項(xiàng)運(yùn)營規(guī)則是人工通過分析提取的病毒木馬的行為規(guī)則特征��;
[0098]7)行為鑒定器根據(jù)黑文件學(xué)習(xí)機(jī)���、白文件學(xué)習(xí)機(jī)��、專項(xiàng)運(yùn)營規(guī)則三個模塊所生成的行為特征規(guī)則庫����,去掃描后臺MD5行為庫里面的MD5����,對MD5進(jìn)行識別,判斷惡意還是合法;
[0099]8)行為特征庫����,是對于行為鑒定器使用的行為特征里面誤報較低的,可以下發(fā)給客戶端使用,相當(dāng)于客戶端行為攔截的病毒庫��;
[0100]9)本地行為特征庫�����,就是服務(wù)器將行為特征庫下發(fā)給客戶端后的存儲文件�����,這個數(shù)據(jù)庫用于與客戶端主防監(jiān)控點(diǎn)進(jìn)行行為匹配���,匹配成功的程序行為將會按照庫中的識別屬性和攔截規(guī)則來執(zhí)行相應(yīng)的攔截動作;
[0101]10)行為云cache����、行為云,就是主防監(jiān)控點(diǎn)的監(jiān)控事件觸發(fā)后,將事件這個行為的信息����,發(fā)送到服務(wù)器查詢MD5結(jié)果庫里面配置的行為攔截規(guī)則,然后根據(jù)服務(wù)器返回的攔截規(guī)則執(zhí)行對應(yīng)的處理動作���;
[0102]11)MD5結(jié)果庫����,就是行為鑒定器識別后的結(jié)果存儲的數(shù)據(jù)庫,這個數(shù)據(jù)庫會存儲MD5識別的黑白屬性以及各屬性對應(yīng)的客戶端攔截規(guī)則���,供行為云查詢�。
[0103]根據(jù)上述云端實(shí)時防御方法���,本發(fā)明實(shí)施例中還提供一種云端實(shí)時防御系統(tǒng)����。本發(fā)明的一種云端實(shí)時防御系統(tǒng)�,可以只包括客戶端、服務(wù)器中的一個�,也可以同時包括客戶端和服務(wù)器。為方便說明��,圖5中以結(jié)合客戶端和服務(wù)器為例����,示出了本發(fā)明實(shí)施例的一種云端實(shí)時防御系統(tǒng)的結(jié)構(gòu)不意圖。
[0104]如圖5所示����,一種云端實(shí)時防御系統(tǒng)�,包括服務(wù)器����,所述服務(wù)器包括10:
[0105]第一接收模塊102,用于接收客戶端發(fā)送的第一查詢信息�;所述第一查詢信息包括客戶端所采集到的第一程序行為;
[0106]結(jié)果獲取模塊104����,用于根據(jù)所述第一查詢信息獲取文件行為結(jié)果庫中與所述第一程序行為相匹配的行為分析結(jié)果;其中����,所述文件行為結(jié)果庫用于存儲對各客戶端上傳的第二程序行為進(jìn)行鑒定識別后的行為分析結(jié)果;
[0107]結(jié)果發(fā)送模塊106���,用于將所述行為分析結(jié)果發(fā)送給所述客戶端。
[0108]在其中一個實(shí)施例中��,所述服務(wù)器還可以包括:
[0109]第二接收模塊����,用于接收客戶端發(fā)送的第二查詢信息;所述第二查詢信息包括客戶端所采集到的第二程序行為的描述信息�;
[0110]判斷模塊,用于根據(jù)所述描述信息判斷文件行為庫中是否已經(jīng)存在對應(yīng)的第二程序行為;其中�����,所述文件行為庫用于接收各客戶端上傳的第二程序行為�����;
[0111]通訊模塊�����,用于在所述判斷模塊的判斷結(jié)果為否的情況下����,發(fā)送上傳所述第二程序行為的通知給客戶端,并接收客戶端所上傳的第二程序行為���,將所接收到的第二程序行為保存到所述文件行為庫中��;
[0112]識別模塊�,用于對所述第二程序行為進(jìn)行鑒定識別��,并將得到的行為分析結(jié)果保存到所述文件行為結(jié)果庫中���。
[0113]在其中一個實(shí)施例中��,所述識別模塊可以包括:
[0114]特征提取模塊��,用于從已知的黑文件和白文件中提取出行為規(guī)則特征����;
[0115]鑒定模塊,用于根據(jù)所述行為規(guī)則特征對所述第二程序行為進(jìn)行鑒定識別���,得到所述行為分析結(jié)果����。
[0116]在其中一個實(shí)施例中��,所述行為分析結(jié)果中可以包括:應(yīng)用程序的黑白屬性以及各屬性對應(yīng)的攔截規(guī)則等�����。
[0117]在其中一個實(shí)施例中����,所述服務(wù)器還可以包括:
[0118]失敗信息發(fā)送模塊�����,用于若所述文件行為結(jié)果庫中不存在與所述第一程序行為相匹配的行為分析結(jié)果時,發(fā)送匹配失敗的信息給客戶端�。
[0119]在其中一個實(shí)施例中,所述程序行為可以包括:文件行為�����、注冊表行為����、網(wǎng)絡(luò)行為或進(jìn)程線程行為等。
[0120]在其中一個實(shí)施例中����,所述第一查詢信息還可以包括客戶端所采集到的應(yīng)用程序的文件特征。此時�,所述識別模塊還可以進(jìn)一步的包括:
[0121]輔助鑒定模塊,用于根據(jù)所述文件特征來對所述第二程序行為進(jìn)行鑒定識別����。即本發(fā)明實(shí)施例中的文件特征可以為服務(wù)器識別惡意應(yīng)用程序提供一部分依據(jù)。
[0122]另外����,本實(shí)施例中的一種云端實(shí)時防御系統(tǒng)��,還可以包括客戶端20���,如圖5所示,所述客戶端20包括:
[0123]程序行為采集模塊202����,用于當(dāng)檢測到預(yù)設(shè)的系統(tǒng)事件被觸發(fā)后,對該系統(tǒng)事件所對應(yīng)的第一程序行為進(jìn)行采集�����;
[0124]第一發(fā)送模塊204,用于發(fā)送第一查詢信息給服務(wù)器����;所述第一查詢信息包括所采集到的第一程序行為;
[0125]處理模塊206�����,用于接收服務(wù)器所反饋的與所述第一程序行為相匹配的行為分析結(jié)果�,并根據(jù)所述行為分析結(jié)果執(zhí)行相應(yīng)的處理動作。
[0126]在其中一個實(shí)施例中����,所述客戶端還可以包括:
[0127]第二發(fā)送模塊,用于發(fā)送第二查詢信息給服務(wù)器����;所述第二查詢信息包括所采集到的第二程序行為的描述信息;
[0128]上傳模塊���,用于當(dāng)接收到服務(wù)器所反饋的上傳所述第二程序行為的通知時�,將所述第二程序行為組包上傳��。
[0129]在其中一個實(shí)施例中���,所述客戶端還可以包括:
[0130]放行模塊����,用于當(dāng)接收到服務(wù)器發(fā)送的匹配失敗的信息之后����,允許所述程序行為運(yùn)行;其中����,所述匹配失敗的信息為當(dāng)服務(wù)器檢測到文件行為結(jié)果庫中不存在與所述第一程序行為相匹配的行為分析結(jié)果后所發(fā)送的信息。
[0131]上述一種云端實(shí)時防御系統(tǒng)的其它技術(shù)特征與本發(fā)明的一種云端實(shí)時防御方法相同��,此處不予贅述。
[0132]通過以上方案可以看出��,本發(fā)明實(shí)施例中的一種云端實(shí)時防御方法及系統(tǒng)����,對系統(tǒng)事件所對應(yīng)的程序行為進(jìn)行采集并上傳到服務(wù)器,然后在服務(wù)器的文件行為結(jié)果庫中查詢與所述程序行為相匹配的行為分析結(jié)果���,客戶端可以根據(jù)該行為分析結(jié)果后來執(zhí)行相應(yīng)的處理動作���。采用本發(fā)明實(shí)施例的方案,通過對程序行為進(jìn)行匹配即可快速判斷出應(yīng)用程序是否為惡意程序���,從而有效減少了主動防御的誤報次數(shù)��,提升了對未知惡意程序的攔截效果���;并且由于本發(fā)明實(shí)施例的方案中客戶端只負(fù)責(zé)采集和上傳程序行為,不需要進(jìn)行檢測識別���,因此降低了系統(tǒng)資源的占用率����,提高了主動防御的響應(yīng)速度。
[0133]本領(lǐng)域普通技術(shù)人員可以理解的是����,實(shí)現(xiàn)上述本發(fā)明實(shí)施例方法中的全部或部分流程����,是可以通過計算機(jī)程序來指令相關(guān)的硬件來完成,所述的程序可存儲于一計算機(jī)可讀取存儲介質(zhì)中�����,該程序在執(zhí)行時�,可包括如上述各方法的實(shí)施例的流程。其中�,所述的存儲介質(zhì)可為磁碟、光盤���、只讀存儲記憶體(Read-Only Memory, ROM)或隨機(jī)存儲記憶體(Random Access Memory, RAM)等���。因此,根據(jù)上述本發(fā)明實(shí)施例方案,本發(fā)明還提供一種包含計算機(jī)可讀程序的存儲介質(zhì),當(dāng)該存儲介質(zhì)中的計算機(jī)可讀程序執(zhí)行時�����,可以實(shí)現(xiàn)上述任何一種方式中的本發(fā)明的智能心跳保活方法��。
[0134]如上所述的本發(fā)明實(shí)施例的方法�,可以以軟件的形式安裝于相應(yīng)的機(jī)器設(shè)備上,并在該軟件運(yùn)行時通過控制相關(guān)的處理設(shè)備來完成上述的智能心跳?����;畹倪^程��。相應(yīng)地�����,上述智能心跳?��;钕到y(tǒng)可以是設(shè)置安裝在相應(yīng)的終端設(shè)備上����,也可以是相應(yīng)的終端設(shè)備本身�,這里的終端設(shè)備可以是手機(jī)、平板電腦����、PDA(Personal Digital Assistant,個人數(shù)字助理)��、車載電腦等任意終端設(shè)備����。
[0135]據(jù)此���,基于上述本發(fā)明的方案,本發(fā)明還提供一種終端設(shè)備���,該終端設(shè)備可以是手機(jī)��、平板電腦���、PDA (Personal Digital Assistant,個人數(shù)字助理)、車載電腦等任意一種可以進(jìn)行路徑導(dǎo)航的終端設(shè)備�。
[0136]據(jù)此,以下以其中一種終端設(shè)備為例�����,圖6中示出了該終端設(shè)備的部分結(jié)構(gòu)框圖���。參考圖6�,該終端設(shè)備包括:存儲器610、輸入單元620��、顯示單元630�����、處理器640����、通信模塊650等部件。本領(lǐng)域技術(shù)人員可以理解����,圖6中示出的結(jié)構(gòu),僅僅是與本發(fā)明實(shí)施例方案相關(guān)的部分結(jié)構(gòu)的框圖�,并不構(gòu)成對應(yīng)用在本發(fā)明方案中的終端設(shè)備的限定,具體的終端設(shè)備可以包括比圖示中更多或更少的部件���,或者組合某些部件����,或者不同的部件布置����。
[0137]下面結(jié)合圖6對該終端設(shè)備的各個構(gòu)成部件進(jìn)行具體的介紹���。
[0138]存儲器610可用于存儲軟件程序以及模塊,處理器640通過運(yùn)行存儲在存儲器610的軟件程序以及模塊��,從而執(zhí)行與該終端設(shè)備相關(guān)的各種功能應(yīng)用以及數(shù)據(jù)處理�����。存儲器610可主要包括存儲程序區(qū)和存儲數(shù)據(jù)區(qū)�,其中���,存儲程序區(qū)可存儲操作系統(tǒng)�����、至少一個功能所需的應(yīng)用程序(比如聲音播放功能���、圖像播放功能等)等;存儲數(shù)據(jù)區(qū)可存儲根據(jù)終端設(shè)備的使用所創(chuàng)建的數(shù)據(jù)等�����。此外,存儲器610可以包括高速隨機(jī)存取存儲器�����,還可以包括非易失性存儲器��,例如至少一個磁盤存儲器件�、閃存器件、或其他易失性固態(tài)存儲器件����。
[0139]輸入單元620可用于接收輸入的數(shù)字、字符或者其他信息���,以及產(chǎn)生與終端設(shè)備的用戶設(shè)置以及功能控制有關(guān)的鍵信號輸入�����。具體在本發(fā)明實(shí)施例的方案中��,可以通過該輸入單元620來接受用戶確定的目的地信息�。
[0140]具體地��,以終端設(shè)備為手機(jī)為例�����,該輸入單元620可包括觸控面板以及其他輸入設(shè)備。觸控面板�����,也稱為觸摸屏����,可收集用戶在其上或附近的觸摸操作(比如用戶使用手指、觸筆等任何適合的物體或附件在觸控面板上或在觸控面板附近的操作)�,并根據(jù)預(yù)先設(shè)定的程式驅(qū)動相應(yīng)的連接裝置?�?蛇x的�,觸控面板可包括觸摸檢測裝置和觸摸控制器兩個部分。其中��,觸摸檢測裝置檢測用戶的觸摸方位����,并檢測觸摸操作帶來的信號�,將信號傳送給觸摸控制器;觸摸控制器從觸摸檢測裝置上接收觸摸信息��,并將它轉(zhuǎn)換成觸點(diǎn)坐標(biāo),再送給處理器640����,并能接收處理器640發(fā)來的命令并加以執(zhí)行。此外�,可以采用電阻式、電容式���、紅外線以及表面聲波等多種類型實(shí)現(xiàn)觸控面板�����。除了觸控面板�����,輸入單元620還可以包括其他輸入設(shè)備�。具體地����,其他輸入設(shè)備可以包括但不限于物理鍵盤、功能鍵(比如音量控制按鍵�、開關(guān)按鍵等)、軌跡球、鼠標(biāo)����、操作桿等中的一種或多種。
[0141]顯示單元630可用于顯示由用戶輸入的信息或提供給用戶的信息以及各種菜單����。顯示單元630可包括顯示面板,可選的,可以采用液晶顯示器(Liquid Crystal Display,IXD)、有機(jī)發(fā)光二極管(Organic Light-Emitting D1de, OLED)等形式來配置顯示面板�。
[0142]終端設(shè)備通過通信模塊650可以實(shí)現(xiàn)與服務(wù)器之間的通信,該通信模塊650可以采用任何可能的方式實(shí)現(xiàn)��,例如WiFi模塊��、藍(lán)牙通信���、光纖通信等等�����,通過通信模塊650實(shí)現(xiàn)了終端設(shè)備與服務(wù)器之間的通信���,從而可以使得終端設(shè)備能夠向服務(wù)器發(fā)送相關(guān)信息�,并接收由服務(wù)器返回的相關(guān)信息。
[0143]處理器640是終端設(shè)備的控制中心����,利用各種接口和線路連接整個終端設(shè)備的各個部分�����,通過運(yùn)行或執(zhí)行存儲在存儲器610內(nèi)的軟件程序和/或模塊�����,以及調(diào)用存儲在存儲器610內(nèi)的數(shù)據(jù)���,執(zhí)行終端設(shè)備的各種功能和數(shù)據(jù)處理,從而對終端設(shè)備進(jìn)行整體監(jiān)控���?��?蛇x的,處理器640可包括一個或多個處理單元���。
[0144]以上所述實(shí)施例僅表達(dá)了本發(fā)明的幾種實(shí)施方式�����,其描述較為具體和詳細(xì)����,但并不能因此而理解為對本發(fā)明專利范圍的限制。應(yīng)當(dāng)指出的是�����,對于本領(lǐng)域的普通技術(shù)人員來說��,在不脫離本發(fā)明構(gòu)思的前提下���,還可以做出若干變形和改進(jìn)���,這些都屬于本發(fā)明的保護(hù)范圍。因此���,本發(fā)明專利的保護(hù)范圍應(yīng)以所附權(quán)利要求為準(zhǔn)�。
【權(quán)利要求】
1.一種云端實(shí)時防御方法����,其特征在于,包括以下步驟: 接收客戶端發(fā)送的第一查詢信息�����;所述第一查詢信息包括客戶端所采集到的第一程序行為�����; 根據(jù)所述第一查詢信息獲取文件行為結(jié)果庫中與所述第一程序行為相匹配的行為分析結(jié)果�����;其中�,所述文件行為結(jié)果庫用于存儲對各客戶端上傳的第二程序行為進(jìn)行鑒定識別后的行為分析結(jié)果; 將所述行為分析結(jié)果發(fā)送給所述客戶端��。
2.根據(jù)權(quán)利要求1所述的云端實(shí)時防御方法���,其特征在于�,在接收客戶端發(fā)送的第一查詢信息之前�����,還包括步驟: 接收客戶端發(fā)送的第二查詢信息�;所述第二查詢信息包括客戶端所采集到的第二程序行為的描述信息; 根據(jù)所述描述信息判斷文件行為庫中是否已經(jīng)存在對應(yīng)的第二程序行為�����;其中,所述文件行為庫用于接收各客戶端上傳的第二程序行為�; 若否,則發(fā)送上傳所述第二程序行為的通知給客戶端�����,并接收客戶端所上傳的第二程序行為���,將所接收到的第二程序行為保存到所述文件行為庫中����; 對所述第二程序行為進(jìn)行鑒定識別���,并將得到的行為分析結(jié)果保存到所述文件行為結(jié)果庫中���。
3.根據(jù)權(quán)利要求2所述的云端實(shí)時防御方法,其特征在于�,對所述第二程序行為進(jìn)行鑒定識別的過程包括: 從已知的黑文件和白文件中提取出行為規(guī)則特征; 根據(jù)所述行為規(guī)則特征對所述第二程序行為進(jìn)行鑒定識別���,得到所述行為分析結(jié)果���。
4.根據(jù)權(quán)利要求3所述的云端實(shí)時防御方法�����,其特征在于,所述第一查詢信息還包括客戶端所采集到的應(yīng)用程序的文件特征�; 對所述第二程序行為進(jìn)行鑒定識別的過程還包括:根據(jù)所述文件特征來對所述第二程序行為進(jìn)行鑒定識別。
5.根據(jù)權(quán)利要求2所述的云端實(shí)時防御方法�,其特征在于,所述行為分析結(jié)果中包括:應(yīng)用程序的黑白屬性以及各屬性對應(yīng)的攔截規(guī)則�。
6.根據(jù)權(quán)利要求1所述的云端實(shí)時防御方法,其特征在于���,還包括步驟: 若所述文件行為結(jié)果庫中不存在與所述第一程序行為相匹配的行為分析結(jié)果�,則發(fā)送匹配失敗的信息給客戶端�。
7.根據(jù)權(quán)利要求1至6任意一項(xiàng)所述的云端實(shí)時防御方法,其特征在于�����,所述程序行為包括:文件行為����、注冊表行為����、網(wǎng)絡(luò)行為或進(jìn)程線程行為�。
8.—種云端實(shí)時防御方法,其特征在于�,包括以下步驟: 當(dāng)檢測到預(yù)設(shè)的系統(tǒng)事件被觸發(fā)后,對該系統(tǒng)事件所對應(yīng)的第一程序行為進(jìn)行采集��; 發(fā)送第一查詢信息給服務(wù)器�����;所述第一查詢信息包括所采集到的第一程序行為��; 接收服務(wù)器所反饋的與所述第一程序行為相匹配的行為分析結(jié)果��,并根據(jù)所述行為分析結(jié)果執(zhí)行相應(yīng)的處理動作�。
9.根據(jù)權(quán)利要求8所述的云端實(shí)時防御方法,其特征在于���,在發(fā)送第一查詢信息給服務(wù)器之前���,還包括步驟: 發(fā)送第二查詢信息給服務(wù)器;所述第二查詢信息包括所采集到的第二程序行為的描述信息�; 當(dāng)接收到服務(wù)器所反饋的上傳所述第二程序行為的通知時���,將所述第二程序行為組包上傳。
10.根據(jù)權(quán)利要求8或9所述的云端實(shí)時防御方法���,其特征在于���,還包括步驟: 當(dāng)接收到服務(wù)器發(fā)送的匹配失敗的信息之后,允許所述程序行為運(yùn)行�;其中�����,所述匹配失敗的信息為當(dāng)服務(wù)器檢測到文件行為結(jié)果庫中不存在與所述第一程序行為相匹配的行為分析結(jié)果后所發(fā)送的信息�。
11.一種云端實(shí)時防御系統(tǒng),其特征在于��,包括服務(wù)器�����,所述服務(wù)器包括: 第一接收模塊�����,用于接收客戶端發(fā)送的第一查詢信息;所述第一查詢信息包括客戶端所采集到的第一程序行為����; 結(jié)果獲取模塊,用于根據(jù)所述第一查詢信息獲取文件行為結(jié)果庫中與所述第一程序行為相匹配的行為分析結(jié)果�����;其中���,所述文件行為結(jié)果庫用于存儲對各客戶端上傳的第二程序行為進(jìn)行鑒定識別后的行為分析結(jié)果���; 結(jié)果發(fā)送模塊,用于將所述行為分析結(jié)果發(fā)送給所述客戶端�����。
12.根據(jù)權(quán)利要求11所述的云端實(shí)時防御系統(tǒng)����,其特征在于,所述服務(wù)器還包括: 第二接收模塊�����,用于接收客戶端發(fā)送的第二查詢信息;所述第二查詢信息包括客戶端所采集到的第二程序行為的描述信息�����; 判斷模塊����,用于根據(jù)所述描述信息判斷文件行為庫中是否已經(jīng)存在對應(yīng)的第二程序行為;其中���,所述文件行為庫用于接收各客戶端上傳的第二程序行為�����; 通訊模塊,用于在所述判斷模塊的判斷結(jié)果為否的情況下���,發(fā)送上傳所述第二程序行為的通知給客戶端����,并接收客戶端所上傳的第二程序行為���,將所接收到的第二程序行為保存到所述文件行為庫中�; 識別模塊,用于對所述第二程序行為進(jìn)行鑒定識別���,并將得到的行為分析結(jié)果保存到所述文件行為結(jié)果庫中�。
13.根據(jù)權(quán)利要求12所述的云端實(shí)時防御系統(tǒng)���,其特征在于�,所述識別模塊包括: 特征提取模塊��,用于從已知的黑文件和白文件中提取出行為規(guī)則特征����; 鑒定模塊,用于根據(jù)所述行為規(guī)則特征對所述第二程序行為進(jìn)行鑒定識別��,得到所述行為分析結(jié)果���。
14.根據(jù)權(quán)利要求13所述的云端實(shí)時防御系統(tǒng)��,其特征在于���,所述第一查詢信息還包括客戶端所采集到的應(yīng)用程序的文件特征; 所述識別模塊還包括: 輔助鑒定模塊,用于根據(jù)所述文件特征來對所述第二程序行為進(jìn)行鑒定識別���。
15.根據(jù)權(quán)利要求12所述的云端實(shí)時防御系統(tǒng)����,其特征在于�,所述行為分析結(jié)果中包括:應(yīng)用程序的黑白屬性以及各屬性對應(yīng)的攔截規(guī)則。
16.根據(jù)權(quán)利要求11所述的云端實(shí)時防御系統(tǒng)��,其特征在于�,所述服務(wù)器還包括: 失敗信息發(fā)送模塊,用于若所述文件行為結(jié)果庫中不存在與所述第一程序行為相匹配的行為分析結(jié)果時����,發(fā)送匹配失敗的信息給客戶端。
17.根據(jù)權(quán)利要求11至16任意一項(xiàng)所述的云端實(shí)時防御系統(tǒng)�,其特征在于,所述程序行為包括:文件行為�����、注冊表行為���、網(wǎng)絡(luò)行為或進(jìn)程線程行為。
18.—種云端實(shí)時防御系統(tǒng),其特征在于�,包括客戶端,所述客戶端包括: 程序行為采集模塊��,用于當(dāng)檢測到預(yù)設(shè)的系統(tǒng)事件被觸發(fā)后����,對該系統(tǒng)事件所對應(yīng)的第一程序行為進(jìn)行采集; 第一發(fā)送模塊��,用于發(fā)送第一查詢信息給服務(wù)器���;所述第一查詢信息包括所采集到的第一程序行為�; 處理模塊�,用于接收服務(wù)器所反饋的與所述第一程序行為相匹配的行為分析結(jié)果,并根據(jù)所述行為分析結(jié)果執(zhí)行相應(yīng)的處理動作�。
19.根據(jù)權(quán)利要求18所述的云端實(shí)時防御系統(tǒng),其特征在于��,所述客戶端還包括: 第二發(fā)送模塊���,用于發(fā)送第二查詢信息給服務(wù)器�����;所述第二查詢信息包括所采集到的第二程序行為的描述信息�����; 上傳模塊��,用于當(dāng)接收到服務(wù)器所反饋的上傳所述第二程序行為的通知時����,將所述第二程序行為組包上傳。
20.根據(jù)權(quán)利要求18或19所述的云端實(shí)時防御系統(tǒng)��,其特征在于�,所述客戶端還包括: 放行模塊,用于當(dāng)接收到服務(wù)器發(fā)送的匹配失敗的信息之后�,允許所述程序行為運(yùn)行;其中�����,所述匹配失敗的信息為當(dāng)服務(wù)器檢測到文件行為結(jié)果庫中不存在與所述第一程序行為相匹配的行為分析結(jié)果后所發(fā)送的信息����。
【文檔編號】G06F21/56GK104135479SQ201410367587
【公開日】2014年11月5日 申請日期:2014年7月29日 優(yōu)先權(quán)日:2014年7月29日
【發(fā)明者】聶子瀟 申請人:騰訊科技(深圳)有限公司