基于特征向量的反病毒云检测方法及系统的制作方法
【技术领域】
[0001]本发明涉及网络安全领域,特别涉及一种基于特征向量的反病毒云检测方法及系统。
【背景技术】
[0002]随着计算机中的恶意代码呈现出爆炸式增长的趋势,用户对恶意代码的检测时效性要求越来越高,如未及时更新反病毒引擎的病毒特征库,导致用户计算机在用户未知情况下随时可能遭受新出现的恶意代码的威胁。尤其在地下产业链利益驱使下,高速发展并出现的大量新的未知恶意木马,时时刻刻对用户计算机造成巨大威胁。
[0003]目前反病毒软件(集成反病毒引擎)主要利用本地病毒特征库对恶意代码进行查杀。而对于新出现的恶意代码的查杀需要依靠实时更新病毒特征库得以保障,但是现在的反病毒软件一般设置每天每隔几小时升级一次,有些杀毒软件甚至一天升级一次。这对于实时防御新增的恶意代码可能束手无策,如反病毒引擎厂商新发现了一个具有重大危害的木马并新增到了反病毒引擎厂商的服务器病毒特征库中,但是由于用户计算机中的反病毒软件未及时更新服务器的病毒特征库至本地病毒特征库中,可能导致用户计算机遭受此木马的危害而不得而知。
[0004]现在也出现了一类基于云安全的恶意程序判别系统和云计算恶意代码分析系统,此类系统可准实时防御新增的恶意代码,保障用户客户端机器免遭危害。但是此类系统侧重于云端后台分析判定,其云端主要通过多引擎对照分析客户端上传的未知恶意样本文件后判别样本黑白,然后提取全文HASH存入黑白名单库,依靠云端分析来逐渐更新扩充黑白名单库,并定时或准实时更新给客户端防御软件。这样势必导致云端服务器压力增加,而不能快速响应用户客户端机器请求,如云端服务器需实时接受样本、存储样本、启动多引擎对照扫描样本、样本黑白决策、逐渐形成黑白名单海量数据库。
【发明内容】
[0005]本发明提供了一种基于特征向量的反病毒云检测方法及系统,能够解决云端服务器对未知文件整体检测响应慢,存储压力大的问题,及时响应客户端请求,并反馈检测结果O
[0006]一种基于特征向量的反病毒云检测方法,包括:
客户端反病毒引擎检测待检测文件,若待检测文件未检出,则判断待检测文件格式;根据待检测文件格式,提取待检测文件的云特征向量;所述云特征向量由根据文件格式预设的文件特征提取位置,所提取的文件特征hash值组成;其中预设的文件特征提取位置一般为已知格式中,易出现恶意代码的位置,并且针对不同格式的文件,其所预设的文件特征提取位置不同,因此提取特征hash的数量也不同,云特征向量即为一组hash值;
客户端将所述云特征向量发送到云端服务器,并等待接收云端服务器检测结果;
判断云端服务器检测结果是否为恶意,如果是,则告警并拦截所述待检测文件,否则忽略所述待检测文件;
云端服务器接收客户端发送的云特征向量;
判断所述云特征向量是否在云端服务器特征库中,如果是,则判定待检测文件为恶意,并记录对应病毒名称,否则,判定待检测文件非恶意;
将云端服务器判断结果发送到客户端。
[0007]所述的方法中,所述客户端与云端服务器间通过TCP协议传输特征向量及判断结果。通过TCP协议进行数据传输的优势是稳定,且不易丢包,能够保证数据的准确性。
[0008]所述的方法中,所述云端服务器根据预设时间,清除云端服务器特征库中的超时特征。定时清除超时特征,能够维持云端病毒库特征数量在一定范围内,以便能快速检索并响应检测请求。
[0009]所述的方法中,所述云端服务器在清除云端服务器特征库中的超时特征之前,将超时特征备份到备份特征库中。
[0010]所述的方法中,所述云端服务器还包括对新增恶意代码样本进行云特征向量提取,并增加到云端服务器特征库中。及时增加新恶意代码的云特征向量到云端服务器特征库中,以维持云端特征库中的恶意代码特征为当前新出现且危害较大的恶意代码特征,以便保持云端特征库的时效性。
[0011]本发明还提供了一种基于特征向量的反病毒云检测系统,包括:
客户端反病毒引擎模块,用于检测待检测文件,若待检测文件未检出,则进入特征提取丰吴块;
特征提取模块,用于判断待检测文件格式,并根据待检测文件格式,提取待检测文件的云特征向量;所述云特征向量由根据文件格式预设的文件特征提取位置,所提取的文件特征hash值组成;
数据传输模块,用于客户端将所述云特征向量发送到云端服务器,并等待接收云端服务器检测结果;
检测结果判定模块,用于判断云端服务器检测结果是否为恶意,如果是,则告警并拦截所述待检测文件,否则忽略所述待检测文件;
云端数据接收模块,用于云端服务器接收客户端发送的云特征向量;
云端检测模块,用于判断所述云特征向量是否在云端服务器特征库中,如果是,则判定待检测文件为恶意,并记录对应病毒名称,否则,判定待检测文件非恶意;
云端数据发送模块,用于将云端服务器判断结果发送到客户端。
[0012]所述的系统中,所述客户端与云端服务器间通过TCP协议传输特征向量及判断结果O
[0013]所述的系统中,所述云端服务器还包括特征库维护模块,用于根据预设时间,清除云端服务器特征库中的超时特征。
[0014]所述的系统中,所述特征库维护模块在清除云端服务器特征库中的超时特征之前,将超时特征备份到备份特征库中。
[0015]所述的系统中,所述特征库维护模块还用于对新增恶意代码样本进行云特征向量提取,并增加到云端服务器特征库中。
[0016]本发明通过客户端提取待检测文件云特征向量的方法,提取文件易受恶意代码感染位置的hash值,针对不同文件格式提取不同位置的特征组成云特征向量,并且云端服务器仅存储特征库,不需要存储待检测文件或新增恶意文件,降低了云端服务器的压力,并且通过及时维护更新的特征库检测,提高了检测的时效性,保证云端服务器的快速响应速度。
[0017]本发明提供了一种基于特征向量的反病毒云检测方法及系统,针对客户端反病毒引擎未检出的文件,提取云特征向量,并将云特征向量发送给云服务器进行检测,客户端根据云服务器的检测结果,对文件进行查杀处理。本发明方法改变了现有云检测需要传输并检测整个文件的方式,提高了云端服务器对恶意代码检测的时效性,利用云端快速实时检测恶意代码威胁。
【附图说明】
[0018]为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0019]图1为基于特征向量的反病毒云检测方法客户端流程图;
图2为基于特征向量的反病毒云检测方法云端服务器流程图;
图3为基于特征向量的反病毒云检测系统结构示意图。
【具体实施方式】
[0020]为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
[0021]本发明提供了一种基于特征向量的反病毒云检测方法及系统,能够解决云端服务器对未知文件整体检测响应慢,存储压力大的问题,及时响应客户端请求,并反馈检测结果O
[0022]一种基于特征向量的反病毒云检测方法,包括客户端及云端服务器,客户端流程如图1所示为:
S101:客户端反病毒引擎检测待检测文件,若待检测文件未检出,即反病毒引擎中无法检测到待检测文件是否为恶意,则判断待检测文件格式;
S102:根据待检测文件格式,提取待检测文件的云特征向量;所述云特征向量由根据文件格式预设的文件特征提取位置,所提取的文件特征hash值组成;其中预设的文件特征提取位置一般为已知格式中,易出现恶意代码的位置,并且针对不同格式的文件,其所预设的文件特征提取位置不同,因此提取特征hash的数量也不同,如对于可执行文件,会提取多个特征。因此云特征向量即为一组hash值,如[HASH1,HASH2,HASH3……];
S103:客户端将所述云特征向量发送到云端服务器,并等待接收云端服务器检测结果;<