基于特征向量的反病毒云檢測方法及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域��,特別涉及一種基于特征向量的反病毒云檢測方法及系統(tǒng)。
【背景技術(shù)】
[0002]隨著計算機中的惡意代碼呈現(xiàn)出爆炸式增長的趨勢��,用戶對惡意代碼的檢測時效性要求越來越高���,如未及時更新反病毒引擎的病毒特征庫���,導(dǎo)致用戶計算機在用戶未知情況下隨時可能遭受新出現(xiàn)的惡意代碼的威脅。尤其在地下產(chǎn)業(yè)鏈利益驅(qū)使下�,高速發(fā)展并出現(xiàn)的大量新的未知惡意木馬,時時刻刻對用戶計算機造成巨大威脅����。
[0003]目前反病毒軟件(集成反病毒引擎)主要利用本地病毒特征庫對惡意代碼進行查殺。而對于新出現(xiàn)的惡意代碼的查殺需要依靠實時更新病毒特征庫得以保障���,但是現(xiàn)在的反病毒軟件一般設(shè)置每天每隔幾小時升級一次��,有些殺毒軟件甚至一天升級一次��。這對于實時防御新增的惡意代碼可能束手無策���,如反病毒引擎廠商新發(fā)現(xiàn)了一個具有重大危害的木馬并新增到了反病毒引擎廠商的服務(wù)器病毒特征庫中�����,但是由于用戶計算機中的反病毒軟件未及時更新服務(wù)器的病毒特征庫至本地病毒特征庫中,可能導(dǎo)致用戶計算機遭受此木馬的危害而不得而知��。
[0004]現(xiàn)在也出現(xiàn)了一類基于云安全的惡意程序判別系統(tǒng)和云計算惡意代碼分析系統(tǒng)��,此類系統(tǒng)可準(zhǔn)實時防御新增的惡意代碼�����,保障用戶客戶端機器免遭危害�。但是此類系統(tǒng)側(cè)重于云端后臺分析判定,其云端主要通過多引擎對照分析客戶端上傳的未知惡意樣本文件后判別樣本黑白���,然后提取全文HASH存入黑白名單庫���,依靠云端分析來逐漸更新擴充黑白名單庫,并定時或準(zhǔn)實時更新給客戶端防御軟件�����。這樣勢必導(dǎo)致云端服務(wù)器壓力增加����,而不能快速響應(yīng)用戶客戶端機器請求,如云端服務(wù)器需實時接受樣本、存儲樣本�����、啟動多引擎對照掃描樣本��、樣本黑白決策����、逐漸形成黑白名單海量數(shù)據(jù)庫。
【發(fā)明內(nèi)容】
[0005]本發(fā)明提供了一種基于特征向量的反病毒云檢測方法及系統(tǒng)�,能夠解決云端服務(wù)器對未知文件整體檢測響應(yīng)慢,存儲壓力大的問題����,及時響應(yīng)客戶端請求,并反饋檢測結(jié)果O
[0006]一種基于特征向量的反病毒云檢測方法����,包括:
客戶端反病毒引擎檢測待檢測文件,若待檢測文件未檢出����,則判斷待檢測文件格式;根據(jù)待檢測文件格式�,提取待檢測文件的云特征向量�;所述云特征向量由根據(jù)文件格式預(yù)設(shè)的文件特征提取位置���,所提取的文件特征hash值組成;其中預(yù)設(shè)的文件特征提取位置一般為已知格式中����,易出現(xiàn)惡意代碼的位置,并且針對不同格式的文件�,其所預(yù)設(shè)的文件特征提取位置不同,因此提取特征hash的數(shù)量也不同�����,云特征向量即為一組hash值��;
客戶端將所述云特征向量發(fā)送到云端服務(wù)器�,并等待接收云端服務(wù)器檢測結(jié)果;
判斷云端服務(wù)器檢測結(jié)果是否為惡意�����,如果是�����,則告警并攔截所述待檢測文件,否則忽略所述待檢測文件��;
云端服務(wù)器接收客戶端發(fā)送的云特征向量�����;
判斷所述云特征向量是否在云端服務(wù)器特征庫中��,如果是���,則判定待檢測文件為惡意���,并記錄對應(yīng)病毒名稱,否則�,判定待檢測文件非惡意;
將云端服務(wù)器判斷結(jié)果發(fā)送到客戶端�����。
[0007]所述的方法中���,所述客戶端與云端服務(wù)器間通過TCP協(xié)議傳輸特征向量及判斷結(jié)果��。通過TCP協(xié)議進行數(shù)據(jù)傳輸?shù)膬?yōu)勢是穩(wěn)定���,且不易丟包�����,能夠保證數(shù)據(jù)的準(zhǔn)確性。
[0008]所述的方法中�����,所述云端服務(wù)器根據(jù)預(yù)設(shè)時間��,清除云端服務(wù)器特征庫中的超時特征�。定時清除超時特征,能夠維持云端病毒庫特征數(shù)量在一定范圍內(nèi)����,以便能快速檢索并響應(yīng)檢測請求。
[0009]所述的方法中����,所述云端服務(wù)器在清除云端服務(wù)器特征庫中的超時特征之前,將超時特征備份到備份特征庫中���。
[0010]所述的方法中����,所述云端服務(wù)器還包括對新增惡意代碼樣本進行云特征向量提取,并增加到云端服務(wù)器特征庫中�����。及時增加新惡意代碼的云特征向量到云端服務(wù)器特征庫中��,以維持云端特征庫中的惡意代碼特征為當(dāng)前新出現(xiàn)且危害較大的惡意代碼特征����,以便保持云端特征庫的時效性。
[0011]本發(fā)明還提供了一種基于特征向量的反病毒云檢測系統(tǒng)�����,包括:
客戶端反病毒引擎模塊����,用于檢測待檢測文件,若待檢測文件未檢出�,則進入特征提取豐吳塊;
特征提取模塊�����,用于判斷待檢測文件格式,并根據(jù)待檢測文件格式��,提取待檢測文件的云特征向量�;所述云特征向量由根據(jù)文件格式預(yù)設(shè)的文件特征提取位置,所提取的文件特征hash值組成�;
數(shù)據(jù)傳輸模塊,用于客戶端將所述云特征向量發(fā)送到云端服務(wù)器����,并等待接收云端服務(wù)器檢測結(jié)果�����;
檢測結(jié)果判定模塊�����,用于判斷云端服務(wù)器檢測結(jié)果是否為惡意����,如果是,則告警并攔截所述待檢測文件�,否則忽略所述待檢測文件;
云端數(shù)據(jù)接收模塊���,用于云端服務(wù)器接收客戶端發(fā)送的云特征向量�;
云端檢測模塊,用于判斷所述云特征向量是否在云端服務(wù)器特征庫中�,如果是,則判定待檢測文件為惡意��,并記錄對應(yīng)病毒名稱����,否則,判定待檢測文件非惡意����;
云端數(shù)據(jù)發(fā)送模塊,用于將云端服務(wù)器判斷結(jié)果發(fā)送到客戶端����。
[0012]所述的系統(tǒng)中,所述客戶端與云端服務(wù)器間通過TCP協(xié)議傳輸特征向量及判斷結(jié)果O
[0013]所述的系統(tǒng)中����,所述云端服務(wù)器還包括特征庫維護模塊,用于根據(jù)預(yù)設(shè)時間����,清除云端服務(wù)器特征庫中的超時特征��。
[0014]所述的系統(tǒng)中��,所述特征庫維護模塊在清除云端服務(wù)器特征庫中的超時特征之前���,將超時特征備份到備份特征庫中。
[0015]所述的系統(tǒng)中�,所述特征庫維護模塊還用于對新增惡意代碼樣本進行云特征向量提取,并增加到云端服務(wù)器特征庫中����。
[0016]本發(fā)明通過客戶端提取待檢測文件云特征向量的方法,提取文件易受惡意代碼感染位置的hash值����,針對不同文件格式提取不同位置的特征組成云特征向量��,并且云端服務(wù)器僅存儲特征庫�,不需要存儲待檢測文件或新增惡意文件,降低了云端服務(wù)器的壓力��,并且通過及時維護更新的特征庫檢測�,提高了檢測的時效性,保證云端服務(wù)器的快速響應(yīng)速度。
[0017]本發(fā)明提供了一種基于特征向量的反病毒云檢測方法及系統(tǒng)����,針對客戶端反病毒引擎未檢出的文件,提取云特征向量�,并將云特征向量發(fā)送給云服務(wù)器進行檢測,客戶端根據(jù)云服務(wù)器的檢測結(jié)果�����,對文件進行查殺處理���。本發(fā)明方法改變了現(xiàn)有云檢測需要傳輸并檢測整個文件的方式��,提高了云端服務(wù)器對惡意代碼檢測的時效性����,利用云端快速實時檢測惡意代碼威脅���。
【附圖說明】
[0018]為了更清楚地說明本發(fā)明或現(xiàn)有技術(shù)中的技術(shù)方案���,下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹,顯而易見地��,下面描述中的附圖僅僅是本發(fā)明中記載的一些實施例,對于本領(lǐng)域普通技術(shù)人員來講�����,在不付出創(chuàng)造性勞動的前提下�����,還可以根據(jù)這些附圖獲得其他的附圖��。
[0019]圖1為基于特征向量的反病毒云檢測方法客戶端流程圖�����;
圖2為基于特征向量的反病毒云檢測方法云端服務(wù)器流程圖����;
圖3為基于特征向量的反病毒云檢測系統(tǒng)結(jié)構(gòu)示意圖。
【具體實施方式】
[0020]為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明實施例中的技術(shù)方案����,并使本發(fā)明的上述目的�����、特征和優(yōu)點能夠更加明顯易懂,下面結(jié)合附圖對本發(fā)明中技術(shù)方案作進一步詳細(xì)的說明�。
[0021]本發(fā)明提供了一種基于特征向量的反病毒云檢測方法及系統(tǒng),能夠解決云端服務(wù)器對未知文件整體檢測響應(yīng)慢��,存儲壓力大的問題�,及時響應(yīng)客戶端請求,并反饋檢測結(jié)果O
[0022]一種基于特征向量的反病毒云檢測方法���,包括客戶端及云端服務(wù)器��,客戶端流程如圖1所示為:
S101:客戶端反病毒引擎檢測待檢測文件�����,若待檢測文件未檢出��,即反病毒引擎中無法檢測到待檢測文件是否為惡意����,則判斷待檢測文件格式���;
S102:根據(jù)待檢測文件格式�����,提取待檢測文件的云特征向量�;所述云特征向量由根據(jù)文件格式預(yù)設(shè)的文件特征提取位置,所提取的文件特征hash值組成�����;其中預(yù)設(shè)的文件特征提取位置一般為已知格式中�,易出現(xiàn)惡意代碼的位置,并且針對不同格式的文件�,其所預(yù)設(shè)的文件特征提取位置不同,因此提取特征hash的數(shù)量也不同�����,如對于可執(zhí)行文件�����,會提取多個特征�。因此云特征向量即為一組hash值,如[HASH1�,HASH2,HASH3……];
S103:客戶端將所述云特征向量發(fā)送到云端服務(wù)器���,并等待接收云端服務(wù)器檢測結(jié)果;<