专利名称:一种基于云计算的多用户协同安全防护系统和方法
技术领域:
本发明涉及信息安全领域,尤其涉及的是一种基于云计算的多用户协同的安全防 护系统和方法。
背景技术:
现今,随着信息化程度的提高及各种适用性技术的不断推出,用户进行各种与数 字信息相关的活动也越发便利,而且不可否认的是,用户与信息化、数字化的关联也越发紧 密。然而与此相随,数字信息犯罪诸如攻击(尤其是通过互联网)个人电脑、服务器、或者其 他计算机化装置的事件却频繁发生。显然的是,目前地下数字经济已日益产业化、规模化, 而且其相应的犯罪行为也越趋隐蔽化,恶意软件的攻击手段得到了极大的发展。诸如由以 前的单个文件发展为多模块、多组件化的攻击的形式,更甚至多数恶意软件均具有较强的 伪装能力。另外,随着互联网的飞速发展,整个互联网已经成为个人桌面系统的一个自然延 展。自然,恶意软件也充分利用这样的技术便利性来为其恶意行为服务,这样就出现了一些 系列型的攻击如木马下载器等。一般来讲,计算机恶意软件(包括病毒、蠕虫、木马、流氓软 件等)的查杀工具或软件均是针对单个文件或某段内存,利用事先准备好的特征码进行匹 配或比对。这种现有的查杀方法对于伪装巧妙的恶意软件而言可以轻松避开,更无法清除 之。当前所有的计算机安全防护技术均建立在病毒或者木马特征码基础上,只能针对已知 的病毒或者木马的特征码来判断一个程序是否正常,从而进行防护。而一些所谓的预知技 术,其实也是根据程序作出的一些破坏性行为来界定,不但误报率高,而且对于一些新木马 的防护能力近乎为零。这显然不能满足用户对于信息安全的需求。因此,现有技术存在缺陷,需要改进。
发明内容
本发明所要解决的技术问题是,针对现有技术的不足,提供一种基于云计算的多 用户协同安全防护系统和方法。本发明的技术方案如下—种多用户协同的安全防护系统,其中,包括至少一服务器端、以及若干客户 端;各所述客户端与至少一所述服务器端网络连接;所述客户端用于获取用户的文件信息,计算所述文件的特征码,将所述文件信息 和所述特征码上传至所述服务器端;所述服务器端用于计算所述特征码在所述服务器端的相同度百分比,根据所述相 同度百分比的大小,按照预设置逻辑,判断该文件为问题文件时,向对应客户端发出报警信 息;所述客户端还用于接收所述报警信息,发出报警提示。
所述的安全防护系统,其中,所述客户端包括用户请求模块、程序追踪模块、特征码计算模块、对比条件获取模块、上传模块、客户端接收模块和报警模块;所述用户请求模块用于接收用户的安全防护请求,向所述程序追踪模块发出程序 追踪命令;所述程序追踪模块用于主动获取所述客户端的第一文件信息,还用于在接收到所 述程序追踪命令时,被动获取所述客户端的第二文件信息;所述特征码计算模块用于根据所述第一文件信息计算第一特征码,根据所述第二 文件信息计算第二特征码;所述对比条件获取模块用于根据所述第一文件信息获取第一对比条件信息,根据 所述第二文件信息获取第二对比条件信息;所述上传模块用于将所述第一对比条件信息、所述第一特征码和所述第二对比条 件信息、第二特征码上传至所述服务器端;所述客户端接收模块用于接收服务器端的所述报警信息;所述报警模块用于根据所述报警信息向用户发出报警提示。所述的安全防护系统,其中,所述对比条件获取模块包括主条件获取单元和次条 件获取单元,所述主条件获取单元用于获取所述文件信息中的主要条件,所述主要条件包 括文件的文件名filename、文件版本号fileversion、文件所属公司名company和文件大小 filesize,所述次条件获取单元用于获取所述文件信息中的次要条件,所述次要条件包括 文件的数字签名、文件最后修改时间、文件描述之一或其组合。所述的安全防护系统,其中,所述服务器端包括顺次连接的服务器端接收模块、分 类存储模块、相同度百分比计算模块和结果反馈模块;所述服务器端接收模块用于接收来自所述客户端的所述第一对比条件信息、所述 第一特征码和所述第二对比条件信息、第二特征码;所述分类存储模块包括第一存储区和第二存储区,所述第一存储区用于根据所述 第一对比条件信息将所述第一特征码分类存储,所述第二存储区用于根据所述第二对比条 件信息将所述第二特征码分类存储;所述相同度百分比计算模块包括主动计算单元和被动计算单元;所述主动计算单元用于从所述第一存储区读取所述第一对比条件信息及其对应 的第一特征码,计算所述第一特征码在第一存储区中的相同度百分比,所述结果反馈模块 根据所述相同度百分比向对应客户端发出报警信息;所述被动计算单元用于从所述第二存储区读取所述第二对比条件信息及其对应 的第二特征码,计算所述第二特征码在第一存储区中的相同度百分比,所述结果反馈模块 根据所述相同度百分比向对应客户端发出报警信息。所述的安全防护系统,其中,所述对比条件获取模块包括主条件获取单元和次条 件获取单元,所述主条件获取单元用于获取所述文件信息中的主要条件,所述主要条件包 括文件的文件名filename、文件版本号fileversion、文件所属公司名company和文件大小 filesize,所述次条件获取单元用于获取所述文件信息中的次要条件,所述次要条件包括 文件的数字签名、文件最后修改时间、文件描述之一或其组合;所述第一存储区和所述第二 存储区均包括顺次连接的索引值计算单元和按索引值存储单元,所述索引值计算单元用于接收所述主要条件,根据所述主要条件计算用户文件的索引值,所述按索引值存储单元用 于接收所述索引值、所述特征码和所述次要条件,将所述特征码和所述次要条件根据所述 索引值进行分类存储。所述的安全防护系统,其中,还包括结果修正模块,所述结果修正模块连接在所述 结果反馈模块之间和所述分类存储模块之间,用于从所述分类存储模块中读取所述次要条 件,根据预设置逻辑修正所述结果反馈模块发出的报警信息。一种多用户协同的安全防护方法,应用于权利要求1至6任一所述安全防护系统, 其中,包括以下步骤Al 获取用户的文件信息,计算所述文件的特征码,将所述文件信息和所述特征码 上传至所述服务器端;A2 计算所述特征码在所述服务器端的相同度百分比;A3:根据所述相同度百分比的大小,按照预设置逻辑,判断该文件是否为问题文 件,是则执行步骤A4;A4 向对应客户端发出报警信息;A5 所述客户端接收所述报警信息,发出报警提示;所述的方法,其中,所述步骤Al具体执行以下步骤All 接收用户的安全防护请求,发出程序追踪命令;A12:主动获取所述客户端的第一文件信息,在接收到所述程序追踪命令时,被动 获取所述客户端的第二文件信息;A13:根据所述第一文件信息计算第一特征码,根据所述第二文件信息计算第二特 征码;A14 根据所述第一文件信息获取第一对比条件信息,根据所述第二文件信息获取 第二对比条件信息;A15:将所述第一对比条件信息、所述第一特征码和所述第二对比条件信息、第二 特征码上传至所述服务器端。所述的方法,其中,所述步骤A2具体执行以下步骤A21 接收所述第一对比条件信息、所述第一特征码和所述第二对比条件信息、第 二特征码;A22:根据所述第一对比条件信息将所述第一特征码分类存储,根据所述第二对比 条件信息将所述第二特征码分类存储;A23 读取所述第一对比条件信息及其对应的第一特征码,计算所述第一特征码在 第一存储区中的相同度百分比;A24 读取所述第二对比条件信息及其对应的第二特征码,计算所述第二特征码在 第一存储区中的相同度百分比。所述的方法,其中,所述步骤A3中所述预设置逻辑为相同度百分比在80%以上 的,判断该文件为受信任文件;相同度百分比大于50%小于80%的,判断该文件为一般信任文件;相同度百分比大于40%小于等于50%的,判断该文件为普通安全文件;相同度百分比大于30%小于等于40%的,判断该文件为低安全文件;
相同度百分比大于10%小于等于30%的,判断该文件为不安全文件;相同度百分比小于等于10%的,判断该文件为危险文件。本发明通过基于云计算的云防护技术追踪所有正在运行的程序,通过文件名和文 件大小等主条件进行文件分类,用常用的算法计算程序的特征值hash (文件的任何改变都 将导致这个特征值变化),将这个特征值以及文件本身的主条件及次条件上传至服务器, 和所有用户的相同主条件的文件进行比对,当此文件和绝大部分用户的文件特征值不一致 时,判断这个文件为问题文件,建议用户关闭此文件,避免受到伤害。此方法摒弃了传统的病毒特征码的方法,而是根据系统中运行文件的整体特征码 来判断,同时根据大量用户之间相同文件的对比,来确定这个文件是否正常。相当于数百万 用户之间共同建设一个防范病毒的机制,使用用户越多防范越安全。只要系统文件正常,任 何病毒或者危险文件都无法产生危害,对于新病毒或者危险文件,未知病毒以及未知的危 险文件同样有效。
图1是本发明系统的整体结构示意图;图2是本发明的一种系统结构示意图;图3是图2中的对比条件获取模块的结构示意图;图4是图2中的分类存储模块的结构示意图;图5是图2中的相同度百分比计算模块的结构示意图。
具体实施例方式以下结合附图和具体实施例,对本发明进行详细说明。实施例1图1所示为多用户协同的安全防护系统整体结构示意图,该系统包括至少一服务 器端和若干个客户端,例如,包括网络中所有客户端,各所述客户端与至少一所述服务器 端网络连接,根据需要可以架设多于一个的服务器端,客户端用于获取用户的文件信息, 例如,获取运行于客户端的进程文件信息,例如上述文件信息可以包括但不限于文件名 filename、文件版本号fileversion、文件所属公司名company和文件大小filesize等,根 据上述文件的文件信息计算该文件的特征码,将文件信息和特征码上传至服务器端,服务 器端计算特征码在服务器端的相同度百分比,根据相同度百分比的大小,按照预设置逻辑, 判断该文件是否为问题文件,向对应客户端发出报警信息,客户端接收到该报警信息后,向 用户发出报警提示,用户根据报警提示及时作出判断和响应,实现计算机信息安全防护的 功能。本发明中所使用的相同度百分比的定义为在服务器端,将客户端的某一文件的 特征码与服务器端所收集的所有联网中客户端的同一文件的特征码进行对比,例如,将拥 有同一文件的客户端总数记为N,对比结果如果是两个特征码相同,则将计数结果A加1,直 至和所有客户端的同一文件特征码对比结束,使用计数结果A除以拥有同一文件的客户端 总数N计算百分比,得到的百分比定义为相同度百分比。一个例子,上述预设置逻辑优选为相同度百分比在80%以上的,判断该文件为受信任文件,其中,以上包含本数,下同;相同度百分比大于50%并小于80%的,判断该文件为一般信任文件;相同度百分比大于40%并小于等于50%的,判断该文件为普通安全文 件;相同度百分比大于30%并小于等于40%的,判断该文件为低安全文件;相同度百分比 大于10%并小于等于30%的,判断该文件为不安全文件;相同度百分比小于等于10%的, 判断该文件为危险文件。可根据用户设置,对于危险文件进行报警,或者,对于不安全文件 以及危险文件进行报警,或者,对于低安全文件、不安全文件以及危险文件进行报警。又一个例子,上述预设置逻辑优选为相同度百分比在70%以上的,判断该文件 为受信任文件;相同度百分比大于45%并小于70%的,判断该文件为一般文件;相同度百 分比大于20%小于等于45%的,判断该文件为不安全文件;相同度百分比小于等于20% 的,判断该文件为危险文件。可根据用户设置,对于危险文件进行报警,或者,对于不安全文 件以及危险文件进行报警。由于本发明中大量的对比运算要在服务器端实现,因此主要基于云计算的理念实 现本发明,大大减轻了客户端的运算量,降低了对客户端的硬件配置要求。图2所示为上述系统的一种具体实施例结构示意图,所有客户端结构相同,仅以 一个客户端为例说明,本实施例中客户端包括用户请求模块10、程序追踪模块11、特征码 计算模块12、对比条件获取模块13、上传模块14、客户端接收模块15和报警模块16 ;用户请求模块10用于接收用户的安全防护请求,向程序追踪模块11发出程序追 踪命令;程序追踪模块11 一方面用于主动获取客户端的第一文件信息,另一方面还用于在 接收到来自客户端发出程序追踪命令时,被动获取客户端的第二文件信息,第一文件信息 是客户端主动获取的,为了区别于客户端基于用户请求而被动获取的文件信息,因此将其 定义为第一文件信息,而将被动获取的文件信息定义为第二文件信息,例如,主动和被动获 取运行于客户端的进程文件信息;特征码计算模块12用于根据第一文件信息计算第一特 征码,根据第二文件信息计算第二特征码,例如根据客户端主动获取的进程文件信息,计算 其特征码,根据客户端被动获取的进程文件信息计算其特征码;对比条件获取模块13用于 根据第一文件信息获取第一对比条件信息,根据第二文件信息获取第二对比条件信息,上 传模块14用于将第一对比条件信息、第一特征码和第二对比条件信息、第二特征码上传至 服务器端,例如,上传模块14将客户端主动获取的进程文件的对比条件信息及其特征码连 同客户端被动获取的进程文件的对比条件信息及其特征码上传至服务器端存储;客户端接收模块15用于接收来自服务器端的报警信息,报警模块16用于根据报 警信息向用户发出报警提示。在服务器端,包括顺次连接的服务器端接收模块21、分类存储模块22、相同度百 分比计算模块23和结果反馈模块24 ;服务器端接收模块21用于接收来自客户端的第一对比条件信息、第一特征码和 第二对比条件信息、第二特征码; 一个例子是,如图4所示,分类存储模块22包括第一存储区和第二存储区,第一存 储区用于根据第一对比条件信息将第一特征码分类存储,第二存储区用于根据第二对比条 件信息将第二特征码分类存储; 又一个例子,如图5所示,相同度百分比计算模块23包括主动计算单元231和被 动计算单元232 ;
主动计算单元231用于从第一存储区读取第一对比条件信息及其对应的第一特 征码,计算第一特征码在第一存储区中的相同度百分比,结果反馈模块根据该相同度百分 比向对应客户端发出报警信息;被动计算单元232用于从第二存储区读取第二对比条件信息及其对应的第二特 征码,计算第二特征码在第一存储区中的相同度百分比,结果反馈模块根据该相同度百分 比向对应客户端发出报警信息。
实施例2在实施例1的基础上,对比条件获取模块13包括主条件获取单元131和次条件获 取单元132,主条件获取单元131用于获取文件信息中的主要条件,此处所述文件信息可以 是实施例1中所述的第一对比条件信息,也可以是实施例1中所述的第二对比条件信息, 也即主条件获取单元131获取第一对比条件信息中的主要条件,还用于获取第二对比条件 信息中的主要条件,主要条件可以包括文件的文件名filename、文件版本号fileversion、 文件所属公司名company和文件大小filesize,次条件获取单元132用于获取文件信息 中的次要条件,次要条件可以包括文件的数字签名、文件最后修改时间和文件描述其中一 项或多项,也可以同时包括文件的数字签名、文件最后修改时间和文件描述;例如对比条件 获取模块13从客户端主动获取的文件信息中提取该文件的文件名filename、文件版本号 fileversion、文件所属公司名company和文件大小filesize,以及次要条件信息文件的数 字签名、文件最后修改时间和文件描述,从客户端被动获取的文件信息中提取该文件的主 要条件和次要条件信息。实施例3在上述各实施例的基础上,在安全防护系统中,第一存储区和第二存储区均包括 顺次连接的索引值计算单元221和按索引值存储单元222,索引值计算单元221用于接收 主要条件,根据主要条件,例如文件名filename、文件版本号fileversion、文件所属公司 名company和文件大小filesize,计算用户文件的索引值,在这里索引值可以根据常用的 哈希算法计算生成,哈希算法属于公知技术,在此不再赘述;按索引值存储单元用于接收索 引值、特征码和次要条件,将特征码和次要条件根据索引值进行分类存储。举例来说,客户端1追踪到名称为A. exe的进程文件的主要条件如下,文件名 filename是A. exe、文件版本号fileversion是VI. 0、文件所属公司名company是X和文件 大小filesize为40KB,接下来,服务器端根据上述四个主要条件利用哈希算法计算出一个 索引值Q,同时服务器端已经收集了大量的其他客户端大量进程信息,例如除上述客户端1 之外的其余500万联网中的客户端,其中包括有其他500万客户端关于进程A. exe.B. exe、 C. exe, D. exe的索引值和特征码存储在客户端,之后在客户端查找索引值为Q的特征码信 息,比如有300万条,接下来对比客户端1的进程A. exe的特征码与该300万条特征码是否 相同,同时将相同的对比结果进行计数,最后使用计数结果除以300万即得到客户端进程 文件A. exe在服务器端的相同度百分比。实施例4在上述各实施例的基础上,还包括结果修正模块(图中未示出),结果修正模块连 接在结果反馈模块24和分类存储模块22之间,用于从分类存储模块中读取次要条件,例如 文件的数字签名、文件最后修改时间和文件描述等,根据预设置逻辑修正结果反馈模块24向客户端发出的报警信息。一个例子是,上述结果修正模块中采用的预设置逻辑可以是如果该文件的数字 签名是受信任的,则将反馈结果提升一个安全级别,比如相同度百分比高于30%,本来只是 设为普通安全级别,但是通过数字签名的,则升为“一般信任”。如果该文件的最后修改时间与上述次要条件中记录的该文件的最后修改时间不 同,将安全级别降低一级。可以到最低级别为止。如果该文件的文件描述与上述次要条件中记录的该文件的文件描述不同,将安全 级别降低一级。可以到最低级别为止。实施例5在上述各实施例的基础上,本实施例提供一种应用于上述任一系统的多用户协同 的安全防护方法,包括以下步骤Al 获取用户的文件信息,计算文件的特征码,将文件信息和特征码上传至服务器 端;A2 计算特征码在服务器端的相同度百分比;A3:根据相同度百分比的大小,按照预设置逻辑,判断该文件是否为问题文件,是 则执行步骤A4;A4 向对应客户端发出报警信息;A5 客户端接收所述该报警信息,发出报警提示;例如,客户端接收所述该报警信 息时,立即发出报警提示;又如,客户端接收所述该报警信息后,根据预设置报警方式,发出 报警提示。实施例6在实施例5的基础上,步骤Al具体执行以下步骤All 如果用户发出了安全防护请求,则接收用户的安全防护请求,发出程序追踪 命令;A12:主动获取客户端的第一文件信息,在接收到程序追踪命令时,被动获取客户 端的第二文件信息,如果没有用户发出的安全防护请求,则仅仅主动获取客户端的第一文 件信息;A13 根据第一文件信息计算第一特征码,根据第二文件信息计算第二特征码,关 于特征码的计算方法,本领域技术人员可以根据现有技术中的任一计算方法进行计算,本 发明对此不作限定。A14:根据第一文件信息获取第一对比条件信息,根据第二文件信息获取第二对比 条件信息,例如根据主动获取的文件信息获取其中的主要条件和次要条件,根据被动获取 的文件信息获取其中的主要条件和次要条件;A15:将第一对比条件信息、第一特征码和第二对比条件信息、第二特征码上传至服务器端。实施例7在实施例5的基础上,步骤A2可以优选具体执行以下步骤A21 接收第一对比条件信息、第一特征码和第二对比条件信息、第二特征码;A22 根据第一对比条件信息将第一特征码分类存储,根据第二对比条件信息将第二特征码分类存储,例如将主要条件都为X的文件的特征码存储为类别1,而将主要条件都 为Y的文件的特征码存储为类别2 ;A23 读取第一对比条件信息及其对应的第一特征码,计算第一特征码在第一存储 区中的相同度百分比;A24 读取第二对比条件信息及其对应的第二特征码,计算第二特征码在第一存储 区中的相同度百分比,相同度百分比的定义和计算方法与实施例1中的方法相同。实施例8在实施例5的基础上,步骤A3中预设置逻辑优选为相同度百分比在80%以上的,判断该文件为受信任文件;相同度百分比大于50%小于80%的,判断该文件为一般信 任文件;相同度百分比大于40%小于等于50%的,判断该文件为普通安全文件;相同度百 分比大于30%小于等于40%的,判断该文件为低安全文件;相同度百分比大于10%小于等 于30%的,判断该文件为不安全文件;相同度百分比小于等于10%的,判断该文件为危险 文件;可根据用户设置,对于危险文件进行报警,或者,对于不安全文件以及危险文件进行 报警;又一个例子,上述预设置逻辑优选为相同度百分比在70%以上的,判断该文件 为受信任文件;相同度百分比大于45%并小于70%的,判断该文件为一般文件;相同度百 分比大于20%小于等于45%的,判断该文件为不安全文件;相同度百分比小于等于20% 的,判断该文件为危险文件。可根据用户设置,对于危险文件进行报警,或者,对于不安全文 件以及危险文件进行报警。实施例9在上述实施例的基础上,还包括结果修正步骤,结果修正步骤中,首先从分类存储 模块中读取次要条件,例如文件的数字签名、文件最后修改时间和文件描述等,根据预设置 逻辑修正向客户端发出的报警信息。一个例子是,上述结果修正步骤中采用的预设置逻辑可以是如果该文件的数字 签名是受信任的,则将反馈结果提升一个安全级别,比如相同度百分比高于30%,本来只是 设为普通安全级别,但是通过数字签名的,则升为“一般信任”。如果该文件的最后修改时间与上述次要条件中记录的该文件的最后修改时间不 同,将安全级别降低一级。可以到最低级别为止。如果该文件的文件描述与上述次要条件中记录的该文件的文件描述不同,将安全 级别降低一级。可以到最低级别为止。应当理解的是,对本领域普通技术人员,可根据上述说明加以改进或变换,所有这 些改进和变换都应属于本发明所附权利要求的保护范围。
权利要求
一种多用户协同的安全防护系统,其特征在于,包括至少一服务器端、以及若干客户端;各所述客户端与至少一所述服务器端网络连接;所述客户端用于获取用户的文件信息,计算所述文件的特征码,将所述文件信息和所述特征码上传至所述服务器端;所述服务器端用于计算所述特征码在所述服务器端的相同度百分比,根据所述相同度百分比的大小,按照预设置逻辑,判断该文件为问题文件时,向对应客户端发出报警信息;所述客户端还用于接收所述报警信息,发出报警提示。
2.根据权利要求1所述的安全防护系统,其特征在于,所述客户端包括用户请求模块、 程序追踪模块、特征码计算模块、对比条件获取模块、上传模块、客户端接收模块和报警模 块;所述用户请求模块用于接收用户的安全防护请求,向所述程序追踪模块发出程序追踪 命令;所述程序追踪模块用于主动获取所述客户端的第一文件信息,还用于在接收到所述程 序追踪命令时,被动获取所述客户端的第二文件信息;所述特征码计算模块用于根据所述第一文件信息计算第一特征码,根据所述第二文件 信息计算第二特征码;所述对比条件获取模块用于根据所述第一文件信息获取第一对比条件信息,根据所述 第二文件信息获取第二对比条件信息;所述上传模块用于将所述第一对比条件信息、所述第一特征码和所述第二对比条件信 息、第二特征码上传至所述服务器端;所述客户端接收模块用于接收服务器端的所述报警信息; 所述报警模块用于根据所述报警信息向用户发出报警提示。
3.根据权利要求2所述的安全防护系统,其特征在于,所述对比条件获取模块包括主 条件获取单元和次条件获取单元,所述主条件获取单元用于获取所述文件信息中的主要条 件,所述主要条件包括文件的文件名filename、文件版本号fileversion、文件所属公司 名company和文件大小filesize,所述次条件获取单元用于获取所述文件信息中的次要条 件,所述次要条件包括文件的数字签名、文件最后修改时间、文件描述之一或其组合。
4.根据权利要求2所述的安全防护系统,其特征在于,所述服务器端包括顺次连接的 服务器端接收模块、分类存储模块、相同度百分比计算模块和结果反馈模块;所述服务器端接收模块用于接收来自所述客户端的所述第一对比条件信息、所述第一 特征码和所述第二对比条件信息、第二特征码;所述分类存储模块包括第一存储区和第二存储区,所述第一存储区用于根据所述第一 对比条件信息将所述第一特征码分类存储,所述第二存储区用于根据所述第二对比条件信 息将所述第二特征码分类存储;所述相同度百分比计算模块包括主动计算单元和被动计算单元; 所述主动计算单元用于从所述第一存储区读取所述第一对比条件信息及其对应的第 一特征码,计算所述第一特征码在第一存储区中的相同度百分比,所述结果反馈模块根据 所述相同度百分比向对应客户端发出报警信息;所述被动计算单元用于从所述第二存储区读取所述第二对比条件信息及其对应的第 二特征码,计算所述第二特征码在第一存储区中的相同度百分比,所述结果反馈模块根据 所述相同度百分比向对应客户端发出报警信息。
5.根据权利要求4所述的安全防护系统,其特征在于,所述对比条件获取模块包括主 条件获取单元和次条件获取单元,所述主条件获取单元用于获取所述文件信息中的主要条 件,所述主要条件包括文件的文件名filename、文件版本号fileversion、文件所属公司 名company和文件大小filesize,所述次条件获取单元用于获取所述文件信息中的次要条 件,所述次要条件包括文件的数字签名、文件最后修改时间、文件描述之一或其组合;所述 第一存储区和所述第二存储区均包括顺次连接的索引值计算单元和按索引值存储单元,所 述索引值计算单元用于接收所述主要条件,根据所述主要条件计算用户文件的索引值,所 述按索引值存储单元用于接收所述索引值、所述特征码和所述次要条件,将所述特征码和 所述次要条件根据所述索引值进行分类存储。
6.根据权利要求5所述的安全防护系统,其特征在于,还包括结果修正模块,所述结果 修正模块连接在所述结果反馈模块之间和所述分类存储模块之间,用于从所述分类存储模 块中读取所述次要条件,根据预设置逻辑修正所述结果反馈模块发出的报警信息。
7.一种多用户协同的安全防护方法,应用于权利要求1至6任一所述安全防护系统,其 特征在于,包括以下步骤Al 获取用户的文件信息,计算所述文件的特征码,将所述文件信息和所述特征码上传 至所述服务器端;A2 计算所述特征码在所述服务器端的相同度百分比;A3 根据所述相同度百分比的大小,按照预设置逻辑,判断该文件是否为问题文件,是 则执行步骤A4;A4 向对应客户端发出报警信息;A5 所述客户端接收所述报警信息,发出报警提示;
8.根据权利要求7所述的方法,其特征在于,所述步骤Al具体执行以下步骤All 接收用户的安全防护请求,发出程序追踪命令;A12 主动获取所述客户端的第一文件信息,在接收到所述程序追踪命令时,被动获取 所述客户端的第二文件信息;A13 根据所述第一文件信息计算第一特征码,根据所述第二文件信息计算第二特征码;A14:根据所述第一文件信息获取第一对比条件信息,根据所述第二文件信息获取第二 对比条件信息;A15 将所述第一对比条件信息、所述第一特征码和所述第二对比条件信息、第二特征 码上传至所述服务器端。
9.根据权利要求7所述的方法,其特征在于,所述步骤A2具体执行以下步骤A21 接收所述第一对比条件信息、所述第一特征码和所述第二对比条件信息、第二特 征码;A22:根据所述第一对比条件信息将所述第一特征码分类存储,根据所述第二对比条件 信息将所述第二特征码分类存储;A23 读取所述第一对比条件信息及其对应的第一特征码,计算所述第一特征码在第一 存储区中的相同度百分比;A24 读取所述第二对比条件信息及其对应的第二特征码,计算所述第二特征码在第一 存储区中的相同度百分比。
10.根据权利要求7所述的方法,其特征在于,所述步骤A3中所述预设置逻辑为相同 度百分比在80%以上的,判断该文件为受信任文件;相同度百分比大于50%小于80%的,判断该文件为一般信任文件; 相同度百分比大于40%小于等于50%的,判断该文件为普通安全文件; 相同度百分比大于30%小于等于40%的,判断该文件为低安全文件; 相同度百分比大于10%小于等于30%的,判断该文件为不安全文件; 相同度百分比小于等于10%的,判断该文件为危险文件。
全文摘要
本发明公开了一种多用户协同的安全防护系统,包括至少一服务器端及若干客户端,各客户端与至少一服务器端网络连接;客户端获取用户的文件信息,计算文件的特征码,将文件信息和特征码上传至服务器端,服务器端计算特征码在服务器端的相同度百分比,根据相同度百分比的大小,按照预设置逻辑,判断该文件是否为问题文件,向对应客户端发出报警信息,客户端接收到该报警信息后,向用户发出报警提示,还公开了一种多用户协同的安全防护方法;此系统相当于在数百万用户之间共同建设一个防范病毒的机制,使用用户越多防范越安全,只要系统文件正常,任何病毒或者危险文件都无法产生危害,对于新病毒或者危险文件,未知病毒或者未知危险文件同样有效。
文档编号H04L29/06GK101827096SQ201010143090
公开日2010年9月8日 申请日期2010年4月9日 优先权日2010年4月9日
发明者周勇兵, 潘燕辉 申请人:潘燕辉;周勇兵