云端实时防御方法及系统的制作方法
【专利摘要】本发明提供一种云端实时防御方法及系统,所述方法包括以下步骤:接收客户端发送的第一查询信息;所述第一查询信息包括客户端所采集到的第一程序行为;根据所述第一查询信息获取文件行为结果库中与所述第一程序行为相匹配的行为分析结果;其中,所述文件行为结果库用于存储对各客户端上传的第二程序行为进行鉴定识别后的行为分析结果;将所述行为分析结果发送给所述客户端。本发明的一种云端实时防御方法及系统有效减少了主动防御的误报次数,提升了对未知恶意程序的拦截效果,并且降低了系统资源的占用率,提高了主动防御的响应速度。
【专利说明】云端实时防御方法及系统
【技术领域】
[0001]本发明涉及互联网安全领域,特别是涉及一种云端实时防御方法以及一种云端实时防御系统。
【背景技术】
[0002]随着互联网不断与人类生活融合,经济、政治、文化等等人类现实社会的主体已经与互联网这个虚拟的世界不断的关联和接轨了,现实社会的主要元素与互联网这个虚拟化的社会界限也越来越模糊。随之而来的是现实世界的问题也在虚拟的互联网中出现和爆发。其中安全就是一个非常关键和敏感的互联网问题,而病毒木马则是这一问题的一个主要的源头和推动者。目前,安全防御的盾与病毒木马的矛之间的对抗已经越来越激烈。
[0003]传统的防御方法中,主要是对病毒木马进行特征识别,这是基于已经识别出事病毒木马的基础上,通过分析和提取特征来识别同类再出现的文件。然而,采用传统的方法虽然能够有效的打击已知的恶意程序及其变种,但是对于新的病毒木马或者是未发现的未知潜伏病毒木马,这种检测方式就显得捉襟见肘了。面对这个日益严重的问题,主动防御技术应运而生。
[0004]主动防御不再是固守对已知文件进行特征提取的思路,而是通过归纳总结什么是恶意程序、恶意程序的行为是不是有所特征,通过对已知恶意程序的行为进行分析和学习来提取行为序列的特征,从而拦截恶意程序。主动防御技术给未知恶意程序的打击提供了非常高效的方法,因为无论程序代码如何变更,恶意的行为是不会时刻有新的技术手段的,从而极大的提高了防御方的可控性。
[0005]目前的主动防御技术,主要分为两类,一类是基于单点云查拦截的主动防御,即只是对系统单个动作行为进行监控,然后对动作的操作者文件进行特征云查,通过云查得到的文件黑白结果,来做拦截还是放行的处理;另外一类是多步行为匹配的主动防御,即对系统多个动作进行关联检测,通过内置本地行为特征库,匹配行为序列的方式来判断这个程序的行为是否是恶意的从而进行拦截。
[0006]但是,上述的主动防御方法中,无论是单点拦截还是多步行为匹配,都要依赖白名单来做到非白即黑,对于白名单的依赖程度较大。然而白名单的收集往往是滞后的,很难保证不误报或误报可控,导致传统的主动防御方法对未知的恶意程序拦截的易用性不高,比较容易发生误报。
【发明内容】
[0007]基于此,有必要针对上述高误报的问题,提供一种云端实时防御方法及系统。
[0008]为实现上述目的,本发明实施例中采用如下的技术方案:
[0009]一种云端实时防御方法,包括以下步骤:
[0010]接收客户端发送的第一查询信息;所述第一查询信息包括客户端所采集到的第一程序行为;
[0011]根据所述第一查询信息获取文件行为结果库中与所述第一程序行为相匹配的行为分析结果;其中,所述文件行为结果库用于存储对各客户端上传的第二程序行为进行鉴定识别后的行为分析结果;
[0012]将所述行为分析结果发送给所述客户端。
[0013]一种云端实时防御方法,包括以下步骤:
[0014]当检测到预设的系统事件被触发后,对该系统事件所对应的第一程序行为进行采集;
[0015]发送第一查询信息给服务器;所述第一查询信息包括所采集到的第一程序行为;
[0016]接收服务器所反馈的与所述第一程序行为相匹配的行为分析结果,并根据所述行为分析结果执行相应的处理动作。
[0017]一种云端实时防御系统,包括服务器,所述服务器包括:
[0018]第一接收模块,用于接收客户端发送的第一查询信息;所述第一查询信息包括客户端所采集到的第一程序行为;
[0019]结果获取模块,用于根据所述第一查询信息获取文件行为结果库中与所述第一程序行为相匹配的行为分析结果;其中,所述文件行为结果库用于存储对各客户端上传的第二程序行为进行鉴定识别后的行为分析结果;
[0020]结果发送模块,用于将所述行为分析结果发送给所述客户端。
[0021]一种云端实时防御系统,包括客户端,所述客户端包括:
[0022]程序行为采集模块,用于当检测到预设的系统事件被触发后,对该系统事件所对应的第一程序行为进行采集;
[0023]第一发送模块,用于发送第一查询信息给服务器;所述第一查询信息包括所采集到的第一程序行为;
[0024]处理模块,用于接收服务器所反馈的与所述第一程序行为相匹配的行为分析结果,并根据所述行为分析结果执行相应的处理动作。
[0025]由以上方案可以看出,本发明实施例中的一种云端实时防御方法及系统,对系统事件所对应的程序行为进行采集并上传到服务器,然后在服务器的文件行为结果库中查询与所述程序行为相匹配的行为分析结果,客户端可以根据该行为分析结果后来执行相应的处理动作。采用本发明实施例的方案,通过对程序行为进行匹配即可快速判断出应用程序是否为恶意程序,从而有效减少了主动防御的误报次数,提升了对未知恶意程序的拦截效果;并且由于本发明实施例的方案中客户端只负责采集和上传程序行为,不需要进行检测识别,因此降低了系统资源的占用率,提高了主动防御的响应速度。
【专利附图】
【附图说明】
[0026]图1为本发明实施例一中的一种云端实时防御方法的流程示意图;
[0027]图2为本发明实施例二中的一种云端实时防御方法的流程示意图;
[0028]图3为本发明实施例三中的一种云端实时防御方法的流程示意图;
[0029]图4为本发明实施例四中的防御云框架分布示意图;
[0030]图5为本发明实施例中的一种云端实时防御系统结构示意图;
[0031]图6为本发明实施例中的终端设备的部分结构示意图。
【具体实施方式】
[0032]为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
[0033]实施例一
[0034]图1示出了本发明的一种云端实时防御方法实施例一的流程示意图。在该实施例一中,是以服务器的处理过程为例进行说明。
[0035]如图1所示,在该实施例一中,服务器的处理过程包括以下步骤:
[0036]步骤S102,服务器接收客户端发送的第一查询信息,然后进入步骤S104;其中,所述第一查询信息中至少包括客户端所采集到的第一程序行为。
[0037]步骤S104,服务器根据所述第一查询信息获取文件行为结果库中与所述第一程序行为相匹配的行为分析结果,然后进入步骤S106;其中,所述文件行为结果库用于存储对各客户端上传的第二程序行为进行鉴定识别后的行为分析结果。
[0038]步骤S106,服务器将所述行为分析结果发送给所述客户端。
[0039]需要说明的是,应用程序在运行期间所进行的操作即被称为“程序行为”(Act1n),一般泛指应用程序进行的相对表现较明显的操作,例如创建读写文件、访问注册表、连接网络、调用一些应用层功能等。在其中一个实施例中,所述程序行为可以包括如下:文件行为、注册表行为、网络行为或进程线程行为等。
[0040]本发明实施例中,所述步骤S104中的文件行为结果库是专门用来存储行为分析结果的数据库。服务器接收到各个客户端所采集上传的程序行为后,进行鉴定识别,鉴定识别后的行为分析结果均保存在所述文件行为结果库中。在其中一个实施例中,所述行为分析结果中可以包括:应用程序的黑白属性以及各属性对应的拦截规则等。
[0041]在其中一个实施例中,在所述步骤S102接收客户端发送的第一查询信息之前,还可以包括如下步骤:
[0042]步骤S1011,接收客户端发送的第二查询信息;所述第二查询信息包括客户端所采集到的第二程序行为的描述信息。
[0043]本发明实施例中的第一程序行为与第二程序虽然都是程序行为,但是由于客户端每时每刻都会对应用程序的程序行为进行采集,而本步骤发生在接收客户端发送的第一查询信息之前,因此可以理解,通常意义上来讲,所述第一查询信息中的程序行为与第二查询信息中的程序行为并不是指同一个程序行为。
[0044]步骤S1012,根据所述描述信息判断文件行为库中是否已经存在对应的第二程序行为;其中,所述文件行为库用于接收各客户端上传的第二程序行为。
[0045]本发明实施例中的文件行为库是服务器中专门用来存储各个客户端所采集上传过来的第二程序行为的数据库,在该数据库中,程序行为一般按MD5(MeSSage DigestAlgorithm MD5,消息摘要算法第五版)为key进行存储。
[0046]步骤S1013,若步骤S1012的判断结果为否,即说明服务器当前的文件行为库中还不存在对应的第二程序行为,则可以发送上传所述第二程序行为的通知给客户端,并接收客户端所上传的第二程序行为,然后将所接收到的第二程序行为保存到所述文件行为库中。
[0047]步骤S1014,对所述第二程序行为进行鉴定识别,并将得到的行为分析结果保存到所述文件行为结果库中,以供客户端查询。
[0048]需要说明的是,在步骤SlOll中,服务器所接收到的第二查询信息中,并不是包括第二程序行为的数据本身,而是第二程序行为的描述信息,这个描述信息相比于第二程序行为本身的数据量要小很多,只有当客户端接收到上传第二程序行为的通知时,才会真正意义上将第二程序行为的数据发送给服务器。
[0049]在其中一个实施例中,对所述第二程序行为进行鉴定识别的过程具体可以包括如下步骤:
[0050]从已知的黑文件和白文件中提取出行为规则特征;上述的黑文件即为病毒木马文件,白文件即为正常程序文件;
[0051]根据所述行为规则特征对所述第二程序行为进行鉴定识别,得到所述行为分析结果O
[0052]在其中一个实施例中,还可以接收通过人工分析后所提取出的一些专项的病毒木马的行为规则特征,并加入到前述从已知的黑文件和白文件中提取出的行为规则特征中去,以便对那些专项的病毒木马进行打击。
[0053]事实上,主动防御技术之所以能检测一个恶意程序,是因为主动防御发现这个应用程序有可疑的程序行为;而主动防御之所以会误报,是因为这个可疑的程序行为的本身只是一个系统API (Applicat1n Programming Interface,应用程序编程接口 )的调用,合法应用程序和非法恶意应用程序都是可以使用的,所以合法的应用程序也有可能被主动防御的行为检测给拦截下来,从而造成了误报。那么从极端场景的方式下来设想,假如知道了一个应用程序的所有的程序行为,那么这个应用程序是不是危害用户自然就是一件肯定的事情了,此时也就不会有误报的问题出现。但是当知道了这个应用程序的所有程序行为后,这个时候虽然已经知道这个应用程序是有害的,然而危害已经发生,再进行拦截也已经错过了最佳的时机,系统已经被破坏。
[0054]既然知道一个应用程序的所有程序行为就能不误报,那么假设一个应用程序还没有运行就已经知道了这个应用程序的所有程序行为,就可以直接判断是不是恶意应用程序了。这个命题看似是不成立的,因为应用程序没有运行,就没有程序行为的产生,那自然就不可能知道这个应用程序的程序行为。但是互联网时代已经不再是以前单机安全软件的年代了,大数据决定了这个命题是可以成立的。因为很多时候,一个应用程序不会只在一个用户机器上运行,只要有一个用户运行过这个程序,那么这个应用程序的所有程序行为对于这个用户就是可见的,此时如果把这些程序行为上传到服务器存储,那么对于所有连接到这台服务器的用户,这个应用程序的所有程序行为就都是可见的了。这样一来,一个应用程序在运行前就知道它所有的程序行为就成为了可能。
[0055]基于上述理论,本发明实施例的方案中,分布式上传程序行为到服务器并存入数据库,形成一个应用程序的程序行为列表集,一个应用程序的所有程序行为都在该数据库中。只要拥有了这个庞大的数据库,那么行为匹配算法就有了发挥空间,判断一个应用程序的程序行为是不是危害用户也就有了足够的信息。
[0056]主动防御技术想要大规模应用且效果极佳,一般要考虑低误报、拦截未知以及不占用系统资源三个方面。低误报是主动防御技术的存活关键,前面已经得到解决,关于第二个指标拦截未知,这里主要靠行为规则来识别。这个规则可以自动化来处理,通过机器学习已知黑文件和白文件的行为数据集来碰撞提取,还可以是特定的运营方案的打击配合。月艮务器有非常大的发挥空间来处理数据鉴定一个应用程序的合法还是非法的属性,得到这个未知应用程序的结果属性。把这个结果属性入库供客户端查询,就可以实现对未知应用程序的拦截。
[0057]第三个指标是对系统资源占用低,由于本发明实施列中客户端只是采集上传程序行为,而检测识别都是在云端的服务器处理,因此并不会占用太多系统资源。
[0058]下面将传统方案中的单点云查技术、行为特征匹配技术与本发明实施例中的云端行为鉴定拦截方案进行对比,三个方案的优缺点如下表所示:
[0059]
拦截方案I未知拦截效果I误报_响应速度单点云查弱(依赖白名较高(有强白名单的慢(依赖杀毒
单来进行非白情况下,可应用部分引擎检出)
即黑拦截) 高危行为,能覆盖的行为很少)
行为特征匹配i较高(单靠有限几个较慢(依托于
行为匹配,部分危害本地库的更
的误报是较高的)新)
云端行为鉴定?低(云端可控,总体快(云端实时拦截来说误报风险不大)响应)
[0060]在其中一个实施例中,本发明的一种云端实时防御方法还可以包括如下步骤:
[0061]步骤S108,若所述文件行为结果库中不存在与所述第一程序行为相匹配的行为分析结果,则发送匹配失败的信息给客户端。
[0062]另外,在其中一个实施例中,所述第一查询信息还可以包括客户端所采集到的应用程序的文件特征。本发明实施例中的文件特征可以包括:文件大小、文件类型、文件是否有数字签名、文件的描述等。此时,相对应的,对所述第二程序行为进行鉴定识别的过程还可以包括:根据所述文件特征来对所述第二程序行为进行鉴定识别。即上述的文件特征可以为服务器识别恶意应用程序提供一部分依据,例如检测到文件含有可信的数字签名,则可以判断并不是恶意应用程序;另外还可以对程序行为提取的规则做补充,限定程序行为提取特征的范围,比如要小于一定大小的文件才去匹配程序行为提取的规则。
[0063]实施例二
[0064]图2示出了本发明的一种云端实时防御方法实施例二的流程示意图。在该实施例二中,是以客户端的处理过程为例进行说明。
[0065]如图2所示,在该实施例二中,客户端的处理过程包括以下步骤:
[0066]步骤S202,当客户端检测到预设的系统事件被触发后,对该系统事件所对应的第一程序行为进行采集。
[0067]本发明实施例中的系统事件是指应用程序调用系统功能的事件,包括注册表操作、文件操作、网络操作以及一些应用层功能操作等。由于这种事件非常多,因此本发明实施例中,预先布置了系统事件监控点,只对那些高危的系统事件进行监控。
[0068]步骤S204,客户端发送第一查询信息给服务器;所述第一查询信息包括所采集到的第一程序行为。
[0069]步骤S206,客户端接收服务器所反馈的与所述第一程序行为相匹配的行为分析结果,并根据所述行为分析结果执行相应的处理动作。例如,若所述行为分析结果表明应用程序为正常的应用程序,则可以放任所述第一程序行为;否则将进行拦截。
[0070]在其中一个实施例中,在客户端发送第一查询信息给服务器之前,还可以包括如下步骤:
[0071]客户端发送第二查询信息给服务器;所述第二查询信息包括所采集到的第二程序行为的描述信息;
[0072]当客户端接收到服务器所反馈的上传所述第二程序行为的通知时,将所述第二程序行为组包上传。
[0073]所述组包即指将数据组成网络请求包。
[0074]在其中一个实施例中,本发明的一种云端实时防御方法还可以包括如下步骤:
[0075]当客户端接收到服务器发送的匹配失败的信息之后,允许所述程序行为运行;其中,所述匹配失败的信息为当服务器检测到文件行为结果库中不存在与所述第一程序行为相匹配的行为分析结果后所发送的信息。
[0076]实施例三
[0077]图3示出了本发明的一种云端实时防御方法实施例三的流程示意图。在该实施例三中,结合客户端以及服务器的处理过程进行说明。
[0078]如图3所示,一种云端实时防御方法,包括以下步骤:
[0079]步骤S301,客户端采集第二程序行为,生成第二程序行为的描述信息;
[0080]步骤S302,客户端发送第二查询信息给服务器;所述第二查询信息包括所采集到的第二程序行为的描述信息;
[0081]步骤S303,服务器根据所述描述信息判断文件行为库中是否已经存在对应的第二程序行为;
[0082]步骤S304,若是,则服务器通知客户端不需要上传;否则服务器发送上传所述第二程序行为的通知给客户端;
[0083]步骤S305,当客户端接收到服务器所反馈的上传所述第二程序行为的通知时,将所述第二程序行为组包上传到服务器;
[0084]步骤S306,服务器接收客户端所上传的第二程序行为,将所接收到的第二程序行为保存到文件行为库中,并对所述第二程序行为进行鉴定识别,将得到的行为分析结果保存到文件行为结果库中;
[0085]步骤S307,当客户端检测到预设的系统事件被触发后,对该系统事件所对应的第一程序行为进行采集;
[0086]步骤S308,客户端发送第一查询信息给服务器;所述第一查询信息包括所采集到的第一程序行为;
[0087]步骤S309,服务器接收到客户端发送的第一查询信息后,根据所述第一查询信息获取文件行为结果库中与所述第一程序行为相匹配的行为分析结果;
[0088]步骤S310,服务器将所述行为分析结果发送给所述客户端;
[0089]步骤S311,客户端接收服务器所反馈的行为分析结果,并根据所述行为分析结果执行相应的处理动作。
[0090]实施例四
[0091]图4示出了本发明实施例中的一种云端实时防御方法的具体实现框架图。在该框架图中,包括服务器与客户端,客户端中设置有如下功能模块:主防监控点、本地行为特征库、行为采集cache、行为采集器、行为云cache、行为云;服务器中设置有如下功能模块:行为特征库、MD5行为库、MD5结果库、行为鉴定器、黑文件学习机、白文件学习机、专项运营规则;下面对各功能模块的工作过程进行详细描述:
[0092]I)主防监控点监控应用程序的程序行为;
[0093]2)行为采集cache、行为采集器打包主防监控点传过来的程序行为的信息,并上传到MD5行为库;
[0094]3)MD5行为库存储客户端采集上传过来的程序行为的信息,按MD5为key进行存储;
[0095]4)黑文件学习机学习已经识别的黑文件的行为,提取行为规则特征;
[0096]5)白文件学习机学习已经识别的白文件的行为,提取行为规则特征;
[0097]6)专项运营规则是人工通过分析提取的病毒木马的行为规则特征;
[0098]7)行为鉴定器根据黑文件学习机、白文件学习机、专项运营规则三个模块所生成的行为特征规则库,去扫描后台MD5行为库里面的MD5,对MD5进行识别,判断恶意还是合法;
[0099]8)行为特征库,是对于行为鉴定器使用的行为特征里面误报较低的,可以下发给客户端使用,相当于客户端行为拦截的病毒库;
[0100]9)本地行为特征库,就是服务器将行为特征库下发给客户端后的存储文件,这个数据库用于与客户端主防监控点进行行为匹配,匹配成功的程序行为将会按照库中的识别属性和拦截规则来执行相应的拦截动作;
[0101]10)行为云cache、行为云,就是主防监控点的监控事件触发后,将事件这个行为的信息,发送到服务器查询MD5结果库里面配置的行为拦截规则,然后根据服务器返回的拦截规则执行对应的处理动作;
[0102]11)MD5结果库,就是行为鉴定器识别后的结果存储的数据库,这个数据库会存储MD5识别的黑白属性以及各属性对应的客户端拦截规则,供行为云查询。
[0103]根据上述云端实时防御方法,本发明实施例中还提供一种云端实时防御系统。本发明的一种云端实时防御系统,可以只包括客户端、服务器中的一个,也可以同时包括客户端和服务器。为方便说明,图5中以结合客户端和服务器为例,示出了本发明实施例的一种云端实时防御系统的结构不意图。
[0104]如图5所示,一种云端实时防御系统,包括服务器,所述服务器包括10:
[0105]第一接收模块102,用于接收客户端发送的第一查询信息;所述第一查询信息包括客户端所采集到的第一程序行为;
[0106]结果获取模块104,用于根据所述第一查询信息获取文件行为结果库中与所述第一程序行为相匹配的行为分析结果;其中,所述文件行为结果库用于存储对各客户端上传的第二程序行为进行鉴定识别后的行为分析结果;
[0107]结果发送模块106,用于将所述行为分析结果发送给所述客户端。
[0108]在其中一个实施例中,所述服务器还可以包括:
[0109]第二接收模块,用于接收客户端发送的第二查询信息;所述第二查询信息包括客户端所采集到的第二程序行为的描述信息;
[0110]判断模块,用于根据所述描述信息判断文件行为库中是否已经存在对应的第二程序行为;其中,所述文件行为库用于接收各客户端上传的第二程序行为;
[0111]通讯模块,用于在所述判断模块的判断结果为否的情况下,发送上传所述第二程序行为的通知给客户端,并接收客户端所上传的第二程序行为,将所接收到的第二程序行为保存到所述文件行为库中;
[0112]识别模块,用于对所述第二程序行为进行鉴定识别,并将得到的行为分析结果保存到所述文件行为结果库中。
[0113]在其中一个实施例中,所述识别模块可以包括:
[0114]特征提取模块,用于从已知的黑文件和白文件中提取出行为规则特征;
[0115]鉴定模块,用于根据所述行为规则特征对所述第二程序行为进行鉴定识别,得到所述行为分析结果。
[0116]在其中一个实施例中,所述行为分析结果中可以包括:应用程序的黑白属性以及各属性对应的拦截规则等。
[0117]在其中一个实施例中,所述服务器还可以包括:
[0118]失败信息发送模块,用于若所述文件行为结果库中不存在与所述第一程序行为相匹配的行为分析结果时,发送匹配失败的信息给客户端。
[0119]在其中一个实施例中,所述程序行为可以包括:文件行为、注册表行为、网络行为或进程线程行为等。
[0120]在其中一个实施例中,所述第一查询信息还可以包括客户端所采集到的应用程序的文件特征。此时,所述识别模块还可以进一步的包括:
[0121]辅助鉴定模块,用于根据所述文件特征来对所述第二程序行为进行鉴定识别。即本发明实施例中的文件特征可以为服务器识别恶意应用程序提供一部分依据。
[0122]另外,本实施例中的一种云端实时防御系统,还可以包括客户端20,如图5所示,所述客户端20包括:
[0123]程序行为采集模块202,用于当检测到预设的系统事件被触发后,对该系统事件所对应的第一程序行为进行采集;
[0124]第一发送模块204,用于发送第一查询信息给服务器;所述第一查询信息包括所采集到的第一程序行为;
[0125]处理模块206,用于接收服务器所反馈的与所述第一程序行为相匹配的行为分析结果,并根据所述行为分析结果执行相应的处理动作。
[0126]在其中一个实施例中,所述客户端还可以包括:
[0127]第二发送模块,用于发送第二查询信息给服务器;所述第二查询信息包括所采集到的第二程序行为的描述信息;
[0128]上传模块,用于当接收到服务器所反馈的上传所述第二程序行为的通知时,将所述第二程序行为组包上传。
[0129]在其中一个实施例中,所述客户端还可以包括:
[0130]放行模块,用于当接收到服务器发送的匹配失败的信息之后,允许所述程序行为运行;其中,所述匹配失败的信息为当服务器检测到文件行为结果库中不存在与所述第一程序行为相匹配的行为分析结果后所发送的信息。
[0131]上述一种云端实时防御系统的其它技术特征与本发明的一种云端实时防御方法相同,此处不予赘述。
[0132]通过以上方案可以看出,本发明实施例中的一种云端实时防御方法及系统,对系统事件所对应的程序行为进行采集并上传到服务器,然后在服务器的文件行为结果库中查询与所述程序行为相匹配的行为分析结果,客户端可以根据该行为分析结果后来执行相应的处理动作。采用本发明实施例的方案,通过对程序行为进行匹配即可快速判断出应用程序是否为恶意程序,从而有效减少了主动防御的误报次数,提升了对未知恶意程序的拦截效果;并且由于本发明实施例的方案中客户端只负责采集和上传程序行为,不需要进行检测识别,因此降低了系统资源的占用率,提高了主动防御的响应速度。
[0133]本领域普通技术人员可以理解的是,实现上述本发明实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory, ROM)或随机存储记忆体(Random Access Memory, RAM)等。因此,根据上述本发明实施例方案,本发明还提供一种包含计算机可读程序的存储介质,当该存储介质中的计算机可读程序执行时,可以实现上述任何一种方式中的本发明的智能心跳保活方法。
[0134]如上所述的本发明实施例的方法,可以以软件的形式安装于相应的机器设备上,并在该软件运行时通过控制相关的处理设备来完成上述的智能心跳保活的过程。相应地,上述智能心跳保活系统可以是设置安装在相应的终端设备上,也可以是相应的终端设备本身,这里的终端设备可以是手机、平板电脑、PDA(Personal Digital Assistant,个人数字助理)、车载电脑等任意终端设备。
[0135]据此,基于上述本发明的方案,本发明还提供一种终端设备,该终端设备可以是手机、平板电脑、PDA (Personal Digital Assistant,个人数字助理)、车载电脑等任意一种可以进行路径导航的终端设备。
[0136]据此,以下以其中一种终端设备为例,图6中示出了该终端设备的部分结构框图。参考图6,该终端设备包括:存储器610、输入单元620、显示单元630、处理器640、通信模块650等部件。本领域技术人员可以理解,图6中示出的结构,仅仅是与本发明实施例方案相关的部分结构的框图,并不构成对应用在本发明方案中的终端设备的限定,具体的终端设备可以包括比图示中更多或更少的部件,或者组合某些部件,或者不同的部件布置。
[0137]下面结合图6对该终端设备的各个构成部件进行具体的介绍。
[0138]存储器610可用于存储软件程序以及模块,处理器640通过运行存储在存储器610的软件程序以及模块,从而执行与该终端设备相关的各种功能应用以及数据处理。存储器610可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据终端设备的使用所创建的数据等。此外,存储器610可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
[0139]输入单元620可用于接收输入的数字、字符或者其他信息,以及产生与终端设备的用户设置以及功能控制有关的键信号输入。具体在本发明实施例的方案中,可以通过该输入单元620来接受用户确定的目的地信息。
[0140]具体地,以终端设备为手机为例,该输入单元620可包括触控面板以及其他输入设备。触控面板,也称为触摸屏,可收集用户在其上或附近的触摸操作(比如用户使用手指、触笔等任何适合的物体或附件在触控面板上或在触控面板附近的操作),并根据预先设定的程式驱动相应的连接装置。可选的,触控面板可包括触摸检测装置和触摸控制器两个部分。其中,触摸检测装置检测用户的触摸方位,并检测触摸操作带来的信号,将信号传送给触摸控制器;触摸控制器从触摸检测装置上接收触摸信息,并将它转换成触点坐标,再送给处理器640,并能接收处理器640发来的命令并加以执行。此外,可以采用电阻式、电容式、红外线以及表面声波等多种类型实现触控面板。除了触控面板,输入单元620还可以包括其他输入设备。具体地,其他输入设备可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆等中的一种或多种。
[0141]显示单元630可用于显示由用户输入的信息或提供给用户的信息以及各种菜单。显示单元630可包括显示面板,可选的,可以采用液晶显示器(Liquid Crystal Display,IXD)、有机发光二极管(Organic Light-Emitting D1de, OLED)等形式来配置显示面板。
[0142]终端设备通过通信模块650可以实现与服务器之间的通信,该通信模块650可以采用任何可能的方式实现,例如WiFi模块、蓝牙通信、光纤通信等等,通过通信模块650实现了终端设备与服务器之间的通信,从而可以使得终端设备能够向服务器发送相关信息,并接收由服务器返回的相关信息。
[0143]处理器640是终端设备的控制中心,利用各种接口和线路连接整个终端设备的各个部分,通过运行或执行存储在存储器610内的软件程序和/或模块,以及调用存储在存储器610内的数据,执行终端设备的各种功能和数据处理,从而对终端设备进行整体监控。可选的,处理器640可包括一个或多个处理单元。
[0144]以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
【权利要求】
1.一种云端实时防御方法,其特征在于,包括以下步骤: 接收客户端发送的第一查询信息;所述第一查询信息包括客户端所采集到的第一程序行为; 根据所述第一查询信息获取文件行为结果库中与所述第一程序行为相匹配的行为分析结果;其中,所述文件行为结果库用于存储对各客户端上传的第二程序行为进行鉴定识别后的行为分析结果; 将所述行为分析结果发送给所述客户端。
2.根据权利要求1所述的云端实时防御方法,其特征在于,在接收客户端发送的第一查询信息之前,还包括步骤: 接收客户端发送的第二查询信息;所述第二查询信息包括客户端所采集到的第二程序行为的描述信息; 根据所述描述信息判断文件行为库中是否已经存在对应的第二程序行为;其中,所述文件行为库用于接收各客户端上传的第二程序行为; 若否,则发送上传所述第二程序行为的通知给客户端,并接收客户端所上传的第二程序行为,将所接收到的第二程序行为保存到所述文件行为库中; 对所述第二程序行为进行鉴定识别,并将得到的行为分析结果保存到所述文件行为结果库中。
3.根据权利要求2所述的云端实时防御方法,其特征在于,对所述第二程序行为进行鉴定识别的过程包括: 从已知的黑文件和白文件中提取出行为规则特征; 根据所述行为规则特征对所述第二程序行为进行鉴定识别,得到所述行为分析结果。
4.根据权利要求3所述的云端实时防御方法,其特征在于,所述第一查询信息还包括客户端所采集到的应用程序的文件特征; 对所述第二程序行为进行鉴定识别的过程还包括:根据所述文件特征来对所述第二程序行为进行鉴定识别。
5.根据权利要求2所述的云端实时防御方法,其特征在于,所述行为分析结果中包括:应用程序的黑白属性以及各属性对应的拦截规则。
6.根据权利要求1所述的云端实时防御方法,其特征在于,还包括步骤: 若所述文件行为结果库中不存在与所述第一程序行为相匹配的行为分析结果,则发送匹配失败的信息给客户端。
7.根据权利要求1至6任意一项所述的云端实时防御方法,其特征在于,所述程序行为包括:文件行为、注册表行为、网络行为或进程线程行为。
8.—种云端实时防御方法,其特征在于,包括以下步骤: 当检测到预设的系统事件被触发后,对该系统事件所对应的第一程序行为进行采集; 发送第一查询信息给服务器;所述第一查询信息包括所采集到的第一程序行为; 接收服务器所反馈的与所述第一程序行为相匹配的行为分析结果,并根据所述行为分析结果执行相应的处理动作。
9.根据权利要求8所述的云端实时防御方法,其特征在于,在发送第一查询信息给服务器之前,还包括步骤: 发送第二查询信息给服务器;所述第二查询信息包括所采集到的第二程序行为的描述信息; 当接收到服务器所反馈的上传所述第二程序行为的通知时,将所述第二程序行为组包上传。
10.根据权利要求8或9所述的云端实时防御方法,其特征在于,还包括步骤: 当接收到服务器发送的匹配失败的信息之后,允许所述程序行为运行;其中,所述匹配失败的信息为当服务器检测到文件行为结果库中不存在与所述第一程序行为相匹配的行为分析结果后所发送的信息。
11.一种云端实时防御系统,其特征在于,包括服务器,所述服务器包括: 第一接收模块,用于接收客户端发送的第一查询信息;所述第一查询信息包括客户端所采集到的第一程序行为; 结果获取模块,用于根据所述第一查询信息获取文件行为结果库中与所述第一程序行为相匹配的行为分析结果;其中,所述文件行为结果库用于存储对各客户端上传的第二程序行为进行鉴定识别后的行为分析结果; 结果发送模块,用于将所述行为分析结果发送给所述客户端。
12.根据权利要求11所述的云端实时防御系统,其特征在于,所述服务器还包括: 第二接收模块,用于接收客户端发送的第二查询信息;所述第二查询信息包括客户端所采集到的第二程序行为的描述信息; 判断模块,用于根据所述描述信息判断文件行为库中是否已经存在对应的第二程序行为;其中,所述文件行为库用于接收各客户端上传的第二程序行为; 通讯模块,用于在所述判断模块的判断结果为否的情况下,发送上传所述第二程序行为的通知给客户端,并接收客户端所上传的第二程序行为,将所接收到的第二程序行为保存到所述文件行为库中; 识别模块,用于对所述第二程序行为进行鉴定识别,并将得到的行为分析结果保存到所述文件行为结果库中。
13.根据权利要求12所述的云端实时防御系统,其特征在于,所述识别模块包括: 特征提取模块,用于从已知的黑文件和白文件中提取出行为规则特征; 鉴定模块,用于根据所述行为规则特征对所述第二程序行为进行鉴定识别,得到所述行为分析结果。
14.根据权利要求13所述的云端实时防御系统,其特征在于,所述第一查询信息还包括客户端所采集到的应用程序的文件特征; 所述识别模块还包括: 辅助鉴定模块,用于根据所述文件特征来对所述第二程序行为进行鉴定识别。
15.根据权利要求12所述的云端实时防御系统,其特征在于,所述行为分析结果中包括:应用程序的黑白属性以及各属性对应的拦截规则。
16.根据权利要求11所述的云端实时防御系统,其特征在于,所述服务器还包括: 失败信息发送模块,用于若所述文件行为结果库中不存在与所述第一程序行为相匹配的行为分析结果时,发送匹配失败的信息给客户端。
17.根据权利要求11至16任意一项所述的云端实时防御系统,其特征在于,所述程序行为包括:文件行为、注册表行为、网络行为或进程线程行为。
18.—种云端实时防御系统,其特征在于,包括客户端,所述客户端包括: 程序行为采集模块,用于当检测到预设的系统事件被触发后,对该系统事件所对应的第一程序行为进行采集; 第一发送模块,用于发送第一查询信息给服务器;所述第一查询信息包括所采集到的第一程序行为; 处理模块,用于接收服务器所反馈的与所述第一程序行为相匹配的行为分析结果,并根据所述行为分析结果执行相应的处理动作。
19.根据权利要求18所述的云端实时防御系统,其特征在于,所述客户端还包括: 第二发送模块,用于发送第二查询信息给服务器;所述第二查询信息包括所采集到的第二程序行为的描述信息; 上传模块,用于当接收到服务器所反馈的上传所述第二程序行为的通知时,将所述第二程序行为组包上传。
20.根据权利要求18或19所述的云端实时防御系统,其特征在于,所述客户端还包括: 放行模块,用于当接收到服务器发送的匹配失败的信息之后,允许所述程序行为运行;其中,所述匹配失败的信息为当服务器检测到文件行为结果库中不存在与所述第一程序行为相匹配的行为分析结果后所发送的信息。
【文档编号】G06F21/56GK104135479SQ201410367587
【公开日】2014年11月5日 申请日期:2014年7月29日 优先权日:2014年7月29日
【发明者】聂子潇 申请人:腾讯科技(深圳)有限公司