一种基于日志的安全分析报告生成的方法和系统的制作方法【专利摘要】本发明公开了一种基于日志的安全分析报告生成的方法和系统,该方法包括:实时监测并记录客户端运行的进程以及在该客户端正在运行或下载所涉及的文件;对上述记录的所述进程以及文件与预置的黑白名单进行对比后,记录与预置的黑白名单中相同或相近似的内容,并进行统计生成安全分析报告。本发明能够详细记录用户在一段时间内具体操作,可以针对具有安全风险的操作进行警告和提示,解决了针对用户忽略风险预警等危险操作,安全软件不进行记录并重复警告提示的问题;同时通过云安全技术,将安全分析报告记录传给云安全中心对其安全做出判定,可以快速地识别安全分析报告中的危险进程或文件,并对在一段时间内的操作给出相应的评价分值。【专利说明】一种基于日志的安全分析报告生成的方法和系统【
技术领域:
】[0001]本发明涉及系统安全分析报告领域,尤其涉及一种基于日志的安全分析报告生成的方法和系统。【
背景技术:
】[0002]随着网络技术的快速发展,人们获取信息的方式已经发生改变:从传统的书籍、报纸、电视、广播等方式,继而变成通过互联网获取。尤其是互联网将购物、娱乐、新闻、广告、聊天等等丰富的综合性信息进行传输共享,即使人们足不出户,也可以了解世界。从而互联网已经成为人们学习、社交以及休闲娱乐而不可替代的重要方式。[0003]目前,由于互联网提供了一个自由开放的平台,再加上与互联网相关的应用(软件)和网站的制作成本低廉,使得各种网站层出不穷,应用也越来越多,各种软件及网站鱼目混杂。特别是现在网络购物日趋流行,人们在互联网上越来越频繁地使用自己的各类银行卡信息,导致不法分子使用网购木马盗取用户的银行卡信息,而且网购木马的更新越来越快,钓鱼网站也越来越多,诈骗手段层出不穷。[0004]现有技术中,用户极有可能因为操作不当,点击进入了可疑网站或下载了可疑文件,可能导致客户端被网购木马等恶意软件感染,造成用户的个人信息和财产安全受到威胁。此时,安全软件会提示用户风险警告,但如果用户忽略对安全软件给出的风险预警,安全软件便不再进行提示,不能对用户的安全操作进行记录,也不能根据用户安全操作的严重程度生成不同级别的安全行为警告。如此一来,用户长期忽略安全软件的风险预警,而且安全软件不针对用户的危险操作进行重复警告,那么,用户受到恶意软件感染的可能性会越来越高,进而造成个人信息的泄露和财产的损失。【
发明内容】[0005]为此,本发明提出了一种可以解决上述问题的至少一部分的新的基于日志的安全分析报告生成的方法和系统。[0006]依据本发明的一个方面,提供了一种基于日志的安全分析报告生成的方法,一种基于日志的安全分析报告生成的方法,包括:[0007]实时监测并记录客户端运行的进程以及在该客户端正在运行或下载所涉及的文件;[0008]对上述记录的所述进程以及文件与预置的黑白名单进行对比后,记录与预置的黑白名单中相同或相近似的内容,并进行统计生成安全分析报告。[0009]优选地,对上述记录的所述进程以及文件与预置的黑白名单进行对比后,记录与预置的黑白名单中相同或相近似的内容,并进行统计生成安全分析报告,进一步为:[0010]对上述记录的所述进程以及文件同步至云服务,通过与所述云服务上预置的黑白名单进行对比后,记录与该云服务上预置的黑白名单中相同或相近似的内容,并进行统计生成安全分析报告反馈到所述客户端。[0011]优选地,进行统计生成安全分析报告,进一步为:[0012]进行统计,并按照预置的安全系数规则对所述统计进行安全评级后生成安全分析手艮告;[0013]所述安全系数规则,为根据所述监测并记录客户端运行的进程以及在该客户端正在运行或下载所涉及的文件,设置对应的级别基准分数和对应的操作基准分数。[0014]优选地,所述进程,进一步包括:服务操作进程、启动运行进程以及创建进程。[0015]优选地,在该客户端正在运行或下载所涉及的文件,进一步包括:[0016]在该客户端的传输文件、在该客户端外接存储设备上的文件、在该客户端上基于即时通新工具和/或电子邮件接收的文件、以及在该客户端通过下载工具下载的文件;其中,[0017]所述文件的类型包括:可执行文件和非可执行文件,所述可执行文件包括:文件后缀名为exe的文件、脚本文件、批处理文件以及链接文件;所述非可执行文件为办公文件。[0018]优选地,其特征在于,预置的黑白名单,进一步包括:黑名单和白名单,其中,[0019]所述黑名单和白名单分别均包括有:进程中的特征代码或特征脚本、进程的启动方式路径信息、进程加载时执行的动态链接库级别、以及访问网址中含有的统一资源定位符的级别或特征信息。[0020]依据本发明的一个方面,还提供了一种基于日志的安全分析报告生成的系统,包括:监测单元、分析单元和报告单元,其中,[0021]所述监测单元,用于实时监测并记录客户端运行的进程以及在该客户端正在运行或下载所涉及的文件;[0022]所述分析单元,用于对所述监测单元记录的所述进程以及文件与预置的黑白名单进行对比后,记录与预置的黑白名单中相同或相近似的内容;[0023]所述报告单元,用于对所述分析单元记录的与预置的黑白名单中相同或相近似的内容,进行统计生成安全分析报告。[0024]优选地,所述分析单元,进一步用于对所述监测单元记录的所述进程以及文件同步至云服务,通过与所述云服务上预置的黑白名单进行对比后,记录与该云服务上预置的黑白名单中相同或相近似的内容,并进行统计生成安全分析报告反馈到所述客户端。[0025]优选地,所述报告单元,进一步用于对所述分析单元记录的与预置的黑白名单中相同或相近似的内容,进行统计,并按照预置的安全系数规则对所述统计进行安全评级后生成安全分析报告;其中,[0026]所述安全系数规则,为根据所述监测并记录客户端运行的进程以及在该客户端正在运行或下载所涉及的文件,设置对应的级别基准分数和对应的操作基准分数。[0027]优选地,所述进程,进一步包括:服务操作进程、启动运行进程以及创建进程。[0028]优选地,所述监测单元中在该客户端正在运行或下载所涉及的文件,进一步包括:[0029]在该客户端的传输文件、在该客户端外接存储设备上的文件、在该客户端上基于即时通新工具和/或电子邮件接收的文件、以及在该客户端通过下载工具下载的文件;其中,[0030]所述文件的类型包括:可执行文件和非可执行文件,所述可执行文件包括:文件后缀名为exe的文件、脚本文件、批处理文件以及链接文件;所述非可执行文件为办公文件。[0031]优选地,其特征在于,预置的黑白名单,进一步包括:黑名单和白名单,其中,[0032]所述黑名单和白名单分别均包括有:进程中的特征代码或特征脚本、进程的启动方式路径信息、进程加载时执行的动态链接库级别、以及访问网址中含有的统一资源定位符的级别或特征信息。[0033]与现有技术相比,本发明所述的一种基于日志的安全分析报告生成的方法和系统,达到了如下效果:[0034]I)本发明采用生成安全分析报告的方式,能够详细记录用户在一段时间内具体的安全操作,并可以针对用户具有安全风险的操作进行警告和提示,有效解决了针对用户忽略风险预警等危险操作,安全软件不进行记录并重复警告提示的问题;[0035]2)本发明通过云安全技术,将安全分析报告记录的内容传给相应的云安全中心的服务器,由云安全中心对其安全做出判定,可以快速地识别安全分析报告中的危险进程或文件,并根据识别结果,对用户在一段时间内的操作给出相应的评价分值,使用户可以直观清晰地了解到其是否具有危险操作以及危险操作的多少,从而增加了用户的使用体验。【专利附图】【附图说明】[0036]此处所说明的附图用来提供对本发明的进一步理解,构成本发明的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:[0037]图1是本发明实施例一所述基于日志的安全分析报告生成的方法的流程图。[0038]图2是本发明实施例二所述基于日志的安全分析报告生成的方法的流程图。[0039]图3是本发明实施例四所述基于日志的安全分析报告生成的系统的结构框图。【具体实施方式】[0040]下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整地传达给本领域的技术人员。[0041]本发明实施例可以应用于计算机系统/服务器,其可与众多其它通用或专用计算系统环境或配置一起操作。适于与计算机系统/服务器一起使用的众所周知的计算系统、环境和/或配置的例子包括但不限于:个人计算机系统、服务器计算机系统、瘦客户机、厚客户机、手持或膝上设备、基于微处理器的系统、机顶盒、可编程消费电子产品、网络个人电脑、小型计算机系统、大型计算机系统和包括上述系统的分布式云计算技术环境,等等。[0042]计算机系统/服务器可以在由计算机系统执行的计算机系统可执行指令(诸如程序模块)的一般语境下描述。通常,程序模块可以包括例程、程序、目标程序、组件、逻辑、数据结构等等,它们执行特定的任务或者实现特定的抽象数据类型。计算机系统/服务器可以在分布式云计算环境中实施,分布式云计算环境中,任务是由通过通信网络链接的远程处理设备执行的。在分布式云计算环境中,程序模块可以位于包括存储设备的本地或远程计算系统存储介质上。[0043]为了适应恶意程序的更新速度,快速地识别和查杀恶意程序,目前的安全防护软件越来越多地使用云安全技术对恶意程序进行拦截。所谓云安全技术,就是把客户端的可疑文件的特征传给云安全中心的服务器,由云安全中心对其安全做出判定,然后客户端安全软件根据云安全中心传回的信息对木马进行报告和处理。云结构就是一个大型的客户端/服务器(CS)架构。本发明的核心思想在于通过大量客户端计算机收集各种程序的行为(可以是单一行为,也可以是一组行为的组合),特别是可疑程序的行为,并将程序行为关联到该程序的特征,而在服务器端的数据库中则可以记录一个程序的特征及其对应的行为记录。这样,在服务器端,即可依据程序行为或程序特征或一组程序行为和程序特征,在数据库中进行归纳和分析,从而有助于对软件或程序进行黑白的分类判别。进一步的,还可以针对黑名单中的恶意软件制定相应的清除或恢复措施。程序行为,可以是例如驱动加载行为,文件生成行为,程序或代码的加载行为,添加系统启动项行为,或文件或程序的修改行为等,或者是一系列行为的组合。程序特征可以是经由MD5(Message-DigestAlgorithm5,信息-摘要算法)运算得出的MD5验证码,或SHAl码,或CRC(CyclicRedundancyCheck,循环冗余校验)码等可唯一标识原程序的特征码,等等。[0044]以下结合附图对本发明作进一步详细说明,但不作为对本发明的限定。[0045]实施例一[0046]如图1所示,是本发明实施例一所述的一种基于日志的安全分析报告生成的方法流程,包括:[0047]步骤101,实时监测并记录客户端运行的进程以及在该客户端正在运行或下载所涉及的文件。[0048]步骤102,对上述记录的所述进程以及文件与预置的黑白名单进行对比后,记录与预置的黑白名单中相同或相近似的内容,并进行统计生成安全分析报告。[0049]其中,所述进程,进一步包括:服务操作进程、启动运行进程以及创建进程。[0050]这里服务操作进程,可以是用户通过显示器界面看到的如:桌面信息、“我的文档”信息等内容所对应的后台的操作进程信息。[0051]这里启动运行进程,可以是客户端启动后运行的程序或模块所执行的代码或脚本对应组合而成的进程信息。[0052]这里创建进程,可以是客户端启动后运行的第三方装置在本地客户端上所驻留创建的进程信息。[0053]其中,在该客户端正在运行或下载所涉及的文件,进一步包括:[0054]在该客户端的传输文件(IM(InstantMessenger,及时通讯)文件)、在该客户端外接存储设备上的文件、在该客户端上基于即时通新工具和/或电子邮件接收的文件、以及在该客户端通过下载工具下载的文件;其中,[0055]所述文件的类型包括:可执行文件(PE,PortableExecute)和非可执行文件,所述可执行文件包括:文件后缀名为exe的文件、脚本文件、批处理文件以及链接文件;所述非可执行文件为办公文件等文件(如:office文档),这里还可以包括其他类型文件,不作具体限定。[0056]在步骤102中,对上述记录的所述进程以及文件与预置的黑白名单进行对比后,记录与预置的黑白名单中相同或相近似的内容,并进行统计生成安全分析报告,进一步为:[0057]对上述记录的所述进程以及文件同步至云服务,通过与所述云服务上预置的黑白名单进行对比后,记录与该云服务上预置的黑白名单中相同或相近似的内容,并定期(时间期限可以由用户自己设置,如一周,一月或具体时间间隔进行操作,这里不作具体限定)进行统计生成安全分析报告反馈到所述客户端。[0058]另外,在步骤102中预置的黑白名单,进一步包括:黑名单和白名单,其中,[0059]所述黑名单和白名单分别均包括有:进程中的特征代码或特征脚本、进程的启动方式路径信息、进程加载时执行的动态链接库(DLL,DynamicLinkLibrary)级别、以及访问网址中含有的统一资源定位符(UniformResourceLocator,URL)的级别或特征信息。[0060]除此之外,所述预置的黑白名单中还可以包括:可疑文件或进程、未知文件或进程。[0061]其中,在该客户端外接存储设备上的文件,为通过外接存储设备中文件的位置信息,由操作系统的应用程序接口API函数发起与当前设备相连的查询操作从而获得。[0062]对于本发明技术方案来说,在实际情况中,一些恶意程序通过把CMD之类的文件,或者bat的文件,或者快捷方式打包在一个压缩包里,或者传递其中的单个文件(pif),图标,可能是应用程序的文件,或者VBS(—种脚本文件),建立一个文件夹并放置一个文件夹配置文件(desktop,ini),使用计划任务,或者,使用模拟鼠标点击等,甚至网购木马等会传送一个压缩包,后续解压缩到客户端桌面上,如果用户主动点击或者不小心双击启动,压缩包所包含的文件会产生危险。因此,本发明所述方案中需要设置如上述所述的黑白名单对客户端监测记录的内容进行筛查,从而发现如上这些危险,才能有效避免问题发生。[0063]当用户通过客户端进行网站访问、点击链接地址以及在网站上输入信息等互联网操作行为时,都会涉及所述客户端中相应的服务操作进程、用户启动的进程以及第三方程序创建的进程等。因此,通过对所述客户端进行的实时监测,就可以进一步对用户的操作进行监测,如果用户所进行的互联网操作行为具有风险,则可以快速准确地通过相应进程获知。[0064]除了上述的记录外,在本实施例中,步骤101还包括对压缩包文件(包括该压缩包的下载来源、压缩包的存放路径、压缩包的特征标识等)进行实时监测并记录,这是因为:一些恶意软件将带有木马(或恶意程序)的CMD文件(命令提示符文件)、批处理文件、快捷方式文件、程序信息文件、图标、应用程序文件、VBS(—种脚本文件)或快捷方式进行压缩生成压缩文件(也可以生成文件夹并放置名为“desktop,ini”的文件夹配置文件),传送并后续解压缩到用户端上,从而感染用户端。[0065]另外,步骤102中定期进行统计生成安全分析报告,进一步为:[0066]定期进行统计,并按照预置的安全系数规则(后续实施例三会进一步说明安全系数规则)对所述统计进行安全评级后生成安全分析报告。[0067]其中,在实际应用中,进行记录的进程或文件存储于本地的数据库中(可以是内存数据库、缓存数据库等,在此不作出限定),对于文件:所述数据库中除了记录所有待保护设备(如:客户端)中下载的文件外,还记录某些特殊文件(如:压缩包中包含的文件),对压缩包解压时,记录该压缩包的解压路径和临时解压路径。对于进程:所述数据库中除了记录服务操作进程、用户启动的进程以及第三方程序创建的进程外,还记录有表示进程间父子关系的进程树。或是,直接将记录的进程或文件直接按照前述方式上传到云服务(云端)。[0068]实施例二[0069]如图2所不,是本发明实施例二所述的一种基于日志的安全分析报告生成的方法流程,包括:[0070]步骤201,实时监测并记录客户端运行的进程以及在该客户端正在运行或下载所涉及的文件。[0071]步骤202,对上述记录的所述进程以及文件同步至云服务,通过与所述云服务上预置的黑白名单进行对比后,记录与该云服务上预置的黑白名单中相同或相近似的内容,并定期进行统计,并按照预置的安全系数规则对所述统计进行安全评级后生成安全分析报生口o[0072]其中,步骤202中对比的具体方式可以是通过本地的安全规则进行黑白名单方式的检测对比:[0073]如果用户A下载的未知程序特征与现有黑/白名单中的已知程序特征相同或相近似,则将该未知程序特征及其程序行为都列入黑/白名单。[0074]当然,作为一种优选方式,所述预置的黑白名单也可以存储于云服务服务器中,将记录的所述客户端运行的进程以及在下载操作过程所涉及的文件发送至云服务进行对比,即云查询,如步骤202所述。[0075]预置的黑白名单,进一步包括:黑名单和白名单,其中,[0076]所述黑名单和白名单分别均包括有:进程中的特征代码或特征脚本、进程的启动方式路径信息、进程加载时执行的动态链接库级别、以及访问网址中含有的统一资源定位符的级别或特征信息。还可以包括:可疑文件或进程、未知文件或进程。[0077]需要说明的是,在进行与服务(也可称为云查询)时,需要根据相应的云规则进行操作(具体可为查询),所述云规则针对所述文件和进程,包括:文件名称、文件大小、文件特征信息、文件图标信息、产品名称、内部名称、原始文件名、进程命令行、进程路径以及父进程路径等与预置的内容相对比进行查找。当然,还可以采用其他方式对其他的进程或文件进行对比,并不构成对本申请的限定。[0078]例如:当某进程执行危险操作时,将记录的该进程对应的DLL(DynamicLinkLibrary,动态链接库)文件通过安全引擎和/或云安全引擎进行检测。检测的操作具体包括可有:[0079]1、检测是否写入注册表进行自动加载以及修改注册表,危险进程通过改变注册表进一步造成注册表的损坏,因此,在本实施例中,对所有的可能自动启动的DLL文件进行监控,并且对特定注册表进行监控,由此实现对注册表的保护;[0080]2、检测是否修改系统文件以及修改指定的应用文件,保证待保护的设备的操作系统相关的文件不被篡改,以及一些装载量比较大的应用文件不被篡改;[0081]3、检测是否执行进程注入,所述进程注入,是指危险进程在另一个进程中插入并执行特定代码,通过将进程注入操作列为危险操作,对安全进程进行保护;[0082]4、检测是否结束进程,危险进程通常会结束即时通讯进程,通过重新登录来截取用户信息,因此通过将该操作列为危险操作,防止危险进程获取用户信息;[0083]5、检测是否修改浏览器中网页内容,危险进程通过修改网页将网页中链接指向钓鱼网站,或者将病毒文件加载至浏览器中,通过将该操作列为危险操作,对浏览器进行保护;以及记录键盘操作。[0084]其中,检测是否修改系统文件以及修改指定的应用文件,主要是通过检测文件的特征级别进行判断。这里的特征级别具体是按照:文件的MD5(MessageDigestAlgorithm5,消息摘要算法第五版)和qvm(QihooSupportVectorMachine,奇虎支持向量机)特征级别来划分。[0085]所述进程的启动方式路径信息,具体通过所述进程的调用关系获取,即通过对所述进程间的父子关系进行记录,形成进程树(所述进程树中记录各个进程的信息),从而获取不同进程的启动方式路径信息。例如:通过进程的创建时间、进程名称、进程的家族关系信息等进程加载级别,确定该进程的启动方式路径信息。[0086]进一步地在步骤202中,记录与该云服务上预置的黑白名单中相同或相近似的内容,具体为,记录与该云服务上预置的黑白名单中相同的网页特征、相近似的网页特征、相同的文件、相近似的文件或文件特征、以及检测结果为未知的文件。[0087]同时,步骤202中,所述安全系数规则,为根据所述监测并记录客户端运行的进程以及在该客户端正在运行或下载所涉及的文件,设置对应的级别基准分数和对应的操作基准分数。通过所述安全系数规则进行安全评级后,将以数值和/或百分比的形式输出,其输出可以采用在客户端界面进行提示、显示和/或弹出对话框的方式。[0088]实施例三[0089]下面对所述基于日志的安全分析报告生成的方法的具体应用进行详细说明:[0090]设定:用户A通过访问网址http://xxx(可疑网站)、http://yyy(安全网站)以及http://zzz(安全网站)分别下载文件a(恶意文件)、b(安全文件)及c(未知文件),需要说明的是,用户A并不知道上述网站和文件的安全性。[0091]首先,实时监测并记录用户A的客户端运行的进程以及在该客户端正在运行或下载所涉及的文件;[0092]之后,对上述记录的所述进程以及文件同步至云服务,通过与所述云服务上预置的黑白名单进行对比后,记录与该云服务上预置的黑白名单中相同或相近似的内容,并定期进行统计,并按照预置的安全系数规则对所述统计进行安全评级后生成安全分析报告。[0093]具体为:[0094]当用户A通过客户端访问网址http://xxx去下载文件a时,实时监测并记录用户A的客户端运行的浏览器进程,用户A进行访问时,触发相应的浏览器进程,将网址http://XXX进行记录。[0095]然后,对记录的用户A的客户端中的浏览器进程与预置的黑白名单进行对比。当识别出记录的内容为用户A的客户端的浏览器进程时,将该浏览器进程(即网址http://XXX)对应的该进程的启动方式路径信息、该进程加载时对应的文件级别、该进程加载的链接代码级别或该链接代码对应的网页特征发送给云服务服务器,与该云服务服务器存储的危险进程进行查询对比,并返回查询结果:网址http://XXX被检测出为可疑网站,则生成安全分析报告,将该网址写入该安全分析报告。并在浏览器界面上生成相应的提示窗口,提示用户A该网站为可疑网站,继续访问有风险。[0096]此时,通过监测用户A客户端的浏览器进程中的下载进程,发现用户A选择继续访问网址http://xxx,并下载了文件a,则进行记录,将记录的文件a对应的特征级别(MD5值)发送至云服务服务器与危险文件的MD5值进行对比后,发现文件a的所述后缀名为“Trojan”且文件a的程序代码符合恶意软件代码,即该文件a为恶意文件,直接通过安全软件进行删除,并将文件a写入安全分析报告。在浏览器界面上生成相应的提示窗口,提示用户A该文件a为恶意文件。[0097]同样,实时监测并记录用户A的客户端运行的浏览器进程,用户A对网址http://yyy进行访问时,触发相应的浏览器进程,将网址http://yyy进行记录。再将用户A的客户端中的浏览器进程的进程启动方式、该进程加载时对应的文件级别、该进程加载的链接代码级别或该链接代码对应的网页特征与预置的危险进程进行查询对比,查询出该网址http://yyy为安全网站,则用户A可以自由访问该网址。对这样的安全操作进行记录但并不写入安全分析报告。[0098]此时,通过监测用户A客户端的浏览器进程中的下载进程,发现用户A在网址http://yyy中下载了文件b,进行记录,将记录的文件b发送至云服务服务器与危险文件进行对比后,发现文件b为安全文件,从而只对该文件b进行记录,但不写入安全分析报告。[0099]实时监测并记录用户A的客户端运行的浏览器进程,用户A对网址http://zzz进行访问时,触发相应的浏览器进程,将网址http://ZZZ进行记录。再将用户A的客户端中的浏览器进程的进程启动方式、该进程加载时对应的文件级别、该进程加载的链接代码级别或该链接代码对应的网页特征与预置的危险进程进行查询对比,查询出该网址http://ZZZ为安全网站,则用户A可以自由访问该网址。对这样的安全操作进行记录但并不写入安全分析报告。[0100]此时,通过监测用户A客户端的浏览器进程中的下载进程,发现用户A在网址http://ZZZ中下载了文件C,进行记录,将记录的文件C发送至云服务服务器与危险文件进行对比后,文件C为未知文件,难以判断该文件C的安全性,从而将该文件C写入安全分析报告。并在浏览器界面上生成相应的提示窗口,提醒用户A所述文件c的安全性未知。同时,在后台对文件c所在子目录进行扫描,检测到危险文件通过安全软件进行删除。[0101]从而,通过以上步骤,所述安全分析报告记录了用户A的客户端中在一段时间内的危险进程数量和危险文件(包括安全性未知文件)的数量,进一步反应出用户A的操作习惯是否安全。[0102]另外,在本实施例中,根据所述安全分析报告中记录的与预置的所述危险进程或文件相同或相近似的文件的数量统计,并按照安全系数规则对所述统计进行安全评级后输出。[0103]所述安全系数规则,是预先设置并根据历史统计的所述安全分析报告中与危险进程或文件相同、相近似的文件数量与客户端受到感染损害的比率对应关系。[0104]通过所述安全系数规则进行安全评级后,将以数值和/或百分比的形式输出,其输出可以采用在客户端界面进行提示、显示和/或弹出对话框的方式。[0105]例如:在本实施例中,对于所述安全系数规则:[0106]所述安全系数规则,为根据所述监测并记录客户端运行的进程以及在该客户端正在运行或下载所涉及的文件,设置对应的级别基准分数和对应的操作基准分数。具体为:[0107]设定总体分值区间为0-10分(安全文件不在分数计算之列);[0108]设定文件级别检测基准分数:对于文件、进程以及URL,含有木马为-10分,(安全性)未知为5分,风险为-8分;[0109]设定用户行为操作基准分数:删除行为的分数为1.5分;忽略行为的分数具体为:涉及木马为-1.5分,涉及(安全性)未知为I分,涉及风险为I分。[0110]从而,根据所述安全系数规则,可以进行安全评级:[0111]涉及木马的删除操作可获得10*1.5分,若忽略则为10*(_1.5)分;涉及(安全性)未知的删除操作可获得5*1.5分,若忽略则为5*1分;涉及风险的删除操作可获得8*1.5分,若忽略则为-8X1分。[0112]当然,还可以通过计算一段时间内的总分数f(X)=ax+f(x-1),进一步获得每一次操作的分数,即f(X)/(操作次数)=分值。[0113]需要说明的是,对于分值超过10分的记为10分,分值低于0分的记为0分。[0114]实施例四[0115]如图3所示,为本发明实施例四所述的一种基于日志的安全分析报告生成的系统,与客户端相耦接,包括:监测单元301、分析单元302和报告单元303,其中,[0116]所述监测单元301,与所述客户端和分析单元302相耦接,用于实时监测并记录客户端运行的进程以及在该客户端正在运行或下载所涉及的文件,将监测结果发送至所述分析单元302。[0117]所述客户端运行的进程具体为与互联网操作有关的进程(如:浏览器进程及下载进程等),从而,不同的进程就会对应于不同的互联网地址。从而,只需记录相应进程对应的互联网地址以及下载的文件路径,就可以获知相应的进程和文件。[0118]当用户通过客户端进行网站访问、点击链接地址以及在网站上输入信息等互联网操作行为时,都会启动所述客户端中相应的进程,因此,所述监测单元301对所述客户端进行的实时监测,就可以进一步对用户的操作进行监测,如果用户所进行的互联网操作行为具有风险,则可以快速准确地通过相应进程获知。相应地,当有下载进程被触发时,则对下载操作过程所涉及的文件进行监测并记录。[0119]所述分析单元302,与所述监测单元301和报告单元303相耦接,用于对所述监测单元301记录的所述进程以及文件与预置的黑白名单进行对比后,记录与预置的黑白名单中相同或相近似的内容,并发送给所述报告单元303;[0120]所述报告单元303,与所述分析单元302相耦接,用于对所述分析单元302记录的与预置的黑白名单中相同或相近似的内容,定期进行统计生成安全分析报告。具体为:定期进行统计,并按照预置的安全系数规则对所述统计进行安全评级后生成安全分析报告。[0121]其中所述分析单元302,进一步用于对所述监测单元301记录的所述进程以及文件同步至云服务,通过与所述云服务上预置的黑白名单进行对比后,记录与该云服务上预置的黑白名单中相同或相近似的内容,并定期进行统计生成安全分析报告反馈到所述客户端。[0122]其中所述进程,进一步包括:服务操作进程、启动运行进程以及创建进程。[0123]其中,所述监测单元301中在该客户端正在运行或下载所涉及的文件,进一步包括:[0124]在该客户端的传输文件、在该客户端外接存储设备上的文件、在该客户端上基于即时通新工具和/或电子邮件接收的文件、以及在该客户端通过下载工具下载的文件;其中,[0125]所述文件的类型包括:可执行文件和非可执行文件,所述可执行文件包括:文件后缀名为exe的文件、脚本文件、批处理文件以及链接文件;所述非可执行文件为办公文件。[0126]本实施例中,所述预置的黑白名单可以存储于本地(客户端),也可以存储于云服务服务器中,从而,对所述客户端运行的进程以及该客户端的下载操作过程所涉及的文件可以通过本地对比,也可以发送至云服务进行对比。当然,本领域技术人员可以理解,所述预置的黑白名单的存储位置和对比方式并不构成对本发明的限定。[0127]其中,所述文件的特征级别具体包括:文件的MD5(MessageDigestAlgorithm5,消息摘要算法第五版)和qvm(QihooSupportVectorMachine,奇虎支持向量机)特征级别。[0128]所述进程的启动方式路径信息,具体通过所述进程的调用关系获取,即通过对所述进程间的父子关系进行记录,形成进程树(所述进程树中记录各个进程的信息),从而获取不同进程的启动方式路径信息。例如:通过进程的创建时间、进程名称、进程的家族关系信息等进程加载级别,确定该进程的启动方式路径信息。[0129]进一步地,所述报告单元303通过所述安全系数规则进行安全评级后,将以数值和/或百分比的形式输出,其输出可以采用在客户端界面进行提示、显示和/或弹出对话框的方式。[0130]与现有技术相比,本发明所述的一种基于日志的安全分析报告生成的方法和系统,达到了如下效果:[0131]I)本发明采用生成安全分析报告的方式,能够详细记录用户在一段时间内具体的安全操作,并可以针对用户具有安全风险的操作进行警告和提示,有效解决了针对用户忽略风险预警等危险操作,安全软件不进行记录并重复警告提示的问题;[0132]2)本发明通过云安全技术,将安全分析报告记录的内容传给相应的云安全中心的服务器,由云安全中心对其安全做出判定,可以快速地识别安全分析报告中的危险进程或文件,并根据识别结果,对用户在一段时间内的操作给出相应的评价分值,使用户可以直观清晰地了解到其是否具有危险操作以及危险操作的多少,从而增加了用户的使用体验。[0133]当注意的是,在本发明的系统的各个部件中,根据其要实现的功能而对其中的部件进行了逻辑划分,但是,本发明不受限于此,可以根据需要对各个部件进行重新划分或者组合,例如,可以将一些部件组合为单个部件,或者可以将一些部件进一步分解为更多的子部件。[0134]本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的系统中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以其他形式提供。[0135]应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示顺序。可将这些单词解释为名称。[0136]本发明公开了Al—种基于日志的安全分析报告生成的方法,包括:[0137]实时监测并记录客户端运行的进程以及在该客户端正在运行或下载所涉及的文件;[0138]对上述记录的所述进程以及文件与预置的黑白名单进行对比后,记录与预置的黑白名单中相同或相近似的内容,并进行统计生成安全分析报告。[0139]A2、如权利要求Al所述的基于日志的安全分析报告生成的方法,其特征在于,对上述记录的所述进程以及文件与预置的黑白名单进行对比后,记录与预置的黑白名单中相同或相近似的内容,并进行统计生成安全分析报告,进一步为:[0140]对上述记录的所述进程以及文件同步至云服务,通过与所述云服务上预置的黑白名单进行对比后,记录与该云服务上预置的黑白名单中相同或相近似的内容,并进行统计生成安全分析报告反馈到所述客户端。[0141]A3、如权利要求Al所述的基于日志的安全分析报告生成的方法,其特征在于,进行统计生成安全分析报告,进一步为:[0142]进行统计,并按照预置的安全系数规则对所述统计进行安全评级后生成安全分析手艮告;[0143]所述安全系数规则,为根据所述监测并记录客户端运行的进程以及在该客户端正在运行或下载所涉及的文件,设置对应的级别基准分数和对应的操作基准分数。[0144]A4、如权利要求Al所述的基于日志的安全分析报告生成的方法,其特征在于,所述进程,进一步包括:服务操作进程、启动运行进程以及创建进程。[0145]A5、如权利要求Al所述的基于日志的安全分析报告生成的方法,其特征在于,在该客户端正在运行或下载所涉及的文件,进一步包括:[0146]在该客户端的传输文件、在该客户端外接存储设备上的文件、在该客户端上基于即时通新工具和/或电子邮件接收的文件、以及在该客户端通过下载工具下载的文件;其中,[0147]所述文件的类型包括:可执行文件和非可执行文件,所述可执行文件包括:文件后缀名为exe的文件、脚本文件、批处理文件以及链接文件;所述非可执行文件为办公文件。[0148]A6、如权利要求Al或A2中任一所述的基于日志的安全分析报告生成的方法,其特征在于,预置的黑白名单,进一步包括:黑名单和白名单,其中,[0149]所述黑名单和白名单分别均包括有:进程中的特征代码或特征脚本、进程的启动方式路径信息、进程加载时执行的动态链接库级别、以及访问网址中含有的统一资源定位符的级别或特征信息。[0150]本发明还公开了A7—种基于日志的安全分析报告生成的系统,包括:监测单元、分析单元和报告单元,其中,[0151]所述监测单元,用于实时监测并记录客户端运行的进程以及在该客户端正在运行或下载所涉及的文件;[0152]所述分析单元,用于对所述监测单元记录的所述进程以及文件与预置的黑白名单进行对比后,记录与预置的黑白名单中相同或相近似的内容;[0153]所述报告单元,用于对所述分析单元记录的与预置的黑白名单中相同或相近似的内容,进行统计生成安全分析报告。[0154]AS、如权利要求A7所述的基于日志的安全分析报告生成的系统,其特征在于,所述分析单元,进一步用于对所述监测单元记录的所述进程以及文件同步至云服务,通过与所述云服务上预置的黑白名单进行对比后,记录与该云服务上预置的黑白名单中相同或相近似的内容,并进行统计生成安全分析报告反馈到所述客户端。[0155]A9、如权利要求A7所述的基于日志的安全分析报告生成的系统,其特征在于,所述报告单元,进一步用于对所述分析单元记录的与预置的黑白名单中相同或相近似的内容,进行统计,并按照预置的安全系数规则对所述统计进行安全评级后生成安全分析报告;其中,[0156]所述安全系数规则,为根据所述监测并记录客户端运行的进程以及在该客户端正在运行或下载所涉及的文件,设置对应的级别基准分数和对应的操作基准分数。[0157]A10、如权利要求A7所述的基于日志的安全分析报告生成的系统,其特征在于,所述进程,进一步包括:服务操作进程、启动运行进程以及创建进程。[0158]All、如权利要求A7所述的基于日志的安全分析报告生成的系统,其特征在于,所述监测单元中在该客户端正在运行或下载所涉及的文件,进一步包括:[0159]在该客户端的传输文件、在该客户端外接存储设备上的文件、在该客户端上基于即时通新工具和/或电子邮件接收的文件、以及在该客户端通过下载工具下载的文件;其中,[0160]所述文件的类型包括:可执行文件和非可执行文件,所述可执行文件包括:文件后缀名为exe的文件、脚本文件、批处理文件以及链接文件;所述非可执行文件为办公文件。[0161]A12、如权利要求A7或AS中任一所述的基于日志的安全分析报告生成的系统,其特征在于,预置的黑白名单,进一步包括:黑名单和白名单,其中,[0162]所述黑名单和白名单分别均包括有:进程中的特征代码或特征脚本、进程的启动方式路径信息、进程加载时执行的动态链接库级别、以及访问网址中含有的统一资源定位符的级别或特征信息。【权利要求】1.一种基于日志的安全分析报告生成的方法,包括:实时监测并记录客户端运行的进程以及在该客户端正在运行或下载所涉及的文件;对上述记录的所述进程以及文件与预置的黑白名单进行对比后,记录与预置的黑白名单中相同或相近似的内容,并进行统计生成安全分析报告。2.如权利要求1所述的基于日志的安全分析报告生成的方法,其特征在于,对上述记录的所述进程以及文件与预置的黑白名单进行对比后,记录与预置的黑白名单中相同或相近似的内容,并进行统计生成安全分析报告,进一步为:对上述记录的所述进程以及文件同步至云服务,通过与所述云服务上预置的黑白名单进行对比后,记录与该云服务上预置的黑白名单中相同或相近似的内容,并进行统计生成安全分析报告反馈到所述客户端。3.如权利要求1所述的基于日志的安全分析报告生成的方法,其特征在于,进行统计生成安全分析报告,进一步为:进行统计,并按照预置的安全系数规则对所述统计进行安全评级后生成安全分析报生P=I;所述安全系数规则,为根据所述监测并记录客户端运行的进程以及在该客户端正在运行或下载所涉及的文件,设置对应的级别基准分数和对应的操作基准分数。4.如权利要求1所述的基于日志的安全分析报告生成的方法,其特征在于,所述进程,进一步包括:服务操作进程、启动运行进程以及创建进程。5.如权利要求1所述的基于日志的安全分析报告生成的方法,其特征在于,在该客户端正在运行或下载所涉及的文件,进一步包括:在该客户端的传输文件、在该客户端外接存储设备上的文件、在该客户端上基于即时通新工具和/或电子邮件接收的文件、以及在该客户端通过下载工具下载的文件;其中,所述文件的类型包括:可执行文件和非可执行文件,所述可执行文件包括:文件后缀名为exe的文件、脚本文件、批处理文件以及链接文件;所述非可执行文件为办公文件。6.一种基于日志的安全分析报告生成的系统,包括:监测单兀、分析单兀和报告单兀,其中,所述监测单元,用于实时监测并记录客户端运行的进程以及在该客户端正在运行或下载所涉及的文件;所述分析单元,用于对所述监测单元记录的所述进程以及文件与预置的黑白名单进行对比后,记录与预置的黑白名单中相同或相近似的内容;所述报告单元,用于对所述分析单元记录的与预置的黑白名单中相同或相近似的内容,进行统计生成安全分析报告。7.如权利要求6所述的基于日志的安全分析报告生成的系统,其特征在于,所述分析单元,进一步用于对所述监测单元记录的所述进程以及文件同步至云服务,通过与所述云服务上预置的黑白名单进行对比后,记录与该云服务上预置的黑白名单中相同或相近似的内容,并进行统计生成安全分析报告反馈到所述客户端。8.如权利要求6所述的基于日志的安全分析报告生成的系统,其特征在于,所述报告单元,进一步用于对所述分析单元记录的与预置的黑白名单中相同或相近似的内容,进行统计,并按照预置的安全系数规则对所述统计进行安全评级后生成安全分析报告;其中,所述安全系数规则,为根据所述监测并记录客户端运行的进程以及在该客户端正在运行或下载所涉及的文件,设置对应的级别基准分数和对应的操作基准分数。9.如权利要求6所述的基于日志的安全分析报告生成的系统,其特征在于,所述进程,进一步包括:服务操作进程、启动运行进程以及创建进程。10.如权利要求6所述的基于日志的安全分析报告生成的系统,其特征在于,所述监测单元中在该客户端正在运行或下载所涉及的文件,进一步包括:在该客户端的传输文件、在该客户端外接存储设备上的文件、在该客户端上基于即时通新工具和/或电子邮件接收的文件、以及在该客户端通过下载工具下载的文件;其中,所述文件的类型包括:可执行文件和非可执行文件,所述可执行文件包括:文件后缀名为exe的文件、脚本文件、批处理文件以及链接文件;所述非可执行文件为办公文件。【文档编号】H04L29/06GK103618626SQ201310625938【公开日】2014年3月5日申请日期:2013年11月28日优先权日:2013年11月28日【发明者】魏志江申请人:北京奇虎科技有限公司,奇智软件(北京)有限公司