专利名称:一种计算机防护系统及方法
技术领域:
本发明涉及计算机安全技术领域,尤其涉及一种计算机防护系统及方法,属于网 络信息安全技术领域。
背景技术:
随着技术的发展,一些病毒和木马纷纷加强了服务器端的策略控制。以前只要是 病毒和木马发作,就会按照某种规律持续性发作,比如即时发作,固定时间段发作(黑色星 期五病毒)等等。但是现在往往通过服务器控制病毒和木马的发作时间和规模,比如控制 部分IP段发作,或者部分时间段发作,而且这些发作规则由服务器控制,随时可以进行调 整。甚至一些商业正规软件也利用服务器规则进行一些不可告人的操作,比如利用用户电 脑在后台点击广告,或者偷偷收集与自己无关的用户信息。这种运行规则灵活控制的策略, 导致发现木马和病毒的几率大大降低。尤其是在进行一些非破坏行为的时候,是所有杀毒 软件或者防护软件无法预报的,比如操作用户电脑访问某个网址,点击某个广告等等行为, 这些均不会被防护软件提示,造成即使被控制为肉机,也很难发现的情况。当前现有的计算机安全防护技术一般建立在病毒或者木马特征码基础上,只能针 对已知的病毒或者木马的特征码来判断一个文件是否正常,从而进行防护,这对用户来说 是一件很麻烦的事情,要不断更新病毒库才能保证计算机信息的安全,长此以往,客户机上 的病毒库会越来越大,占用越来越多的计算资源,最后使得系统越来越慢,很多人在使用电 脑的时候就有这个体验,往往是把某个病毒防御软件卸载之后,速度明显提升了一个档次, 而且,其对于未知木马病毒的防御无能为力。而一些所谓的未知病毒的预知技术,其实也是 根据文件做出的一些破坏性行为来界定,不但误报率高,而且对于一些计算机非正常文件 的防护能力近乎为零。
发明内容
本发明的目的在于提供一种计算机防护系统及方法,克服现有技术中计算机防护 技术效率低下,对未知病毒与木马进行防范,同时加强对服务器控制的木马的防御,其能够 有效避免非正常计算机文件运行,预警准确率高、可防范未知病毒、适宜大量客户端共同应 用。为实现上述目标,本发明提供了一种计算机防护系统,包括至少一台服务云端和 多个客户端,其中服务云端通过网络与客户端连接,其特征在于,所述服务云端包括检测模 块和检测数据库;所述检测模块,用于利用客户端文件的第一文件信息和相应的第一哈希值,与检 测数据库中的第二文件信息和相应的第二哈希值进行比对,并判断得到该客户端文件是否 为非正常文件的反馈信息,并将反馈信息反馈给客户端;所述检测数据库,用于存储各种文件的第二文件信息和相应的第二哈希值,并标 注其是否为正常文件的标注信息;
所述客户端包括防护模块,用于在客户端需要确认一文件是否为正常文件时,收 集客户端里该文件的第一文件信息,计算出该文件的第一哈希值,并将第一文件信息及第 一哈希值发送至服务云端,并根据服务云端的反馈信息确定是否发出警告。较优地,所述防护模块,包括第一收集子模块、第一运算子模块、第一传输子模块 和警报子模块,其中第一收集子模块,用于在客户端需要确认一文件是否为正常文件时,收集客户端 里需要防护的文件的第一文件信息,并传送给运算子模块;第一运算子模块,用于计算出该文件相应的第一哈希值;第一传输子模块,用于将客户端需要防护的文件的第一文件信息和第一哈希值传 送给服务云端;警报子模块,用于在服务云端将反馈信息反馈给客户端后,根据所反馈信息判断 出该进程是否存在非正常情况,并根据该判断结果发出警告信息。较优地,所述服务云端,还包括搜集模块和计算模块,其中所述搜集模块,用于搜集已经确定其是否为非正常文件的各种文件,并提供给计 算模块;所述计算模块,用于根据搜集模块提供的文件,获取该文件的第二文件信息,并计 算出相应的第二哈希值,以及标注其是否为正常文件的标注信息,然后将该文件的第二文 件信息和相应的第二哈希值,以及标注信息存储到检测数据库;所述检测模块,还用于在服务云端不存在与第一文件信息相应的第二文件信息 时,在服务云端查找是否存在与第一文件信息相同的多个第三文件信息;如果存在,则将多 个第三文件信息及相应的多个第三哈希值与第一文件信息和相应的第一哈希值对应进行 比对,计算得到文件信息相同的与第一哈希值相同的第三哈希值的识别比例,并根据识别 比例判断该文件是否为非正常文件和安全百分比系数,反馈给客户端;所述客户端,还包括第二收集模块、第二运算模块、第二传输模块;其中所述第二收集模块,用于主动收集客户端用户文件的第三文件信息;或者经过客 户端用户同意,被动收集客户端用户文件的第三文件信息;或者根据服务云端的请求,在客 户端查找相应于第一文件信息的文件,并收集该文件的第三文件信息;所述第二运算模块,用于据与第三文件信息相应的文件的进程信息,计算出该文 件相应的第三哈希值;所述第二传输模块,用于将相应文件的第三文件信息和第三哈希值传送给服务云端。较优地,所述服务云端还包括存储模块,用于存储在所有客户端上运行的所有文 件的第三文件信息和第三哈希值。较优地,所述服务云端还包括汇总模块,用于在服务云端不存在第二文件信息和 第三文件信息时,即无法判断文件是否为非正常文件时,以云追踪方法,根据第一文件信息 向相应的多个客户端发出请求,并对客户端反馈的汇总信息进行汇总统计,根据统计结果 判断该文件是否为非正常文件,将判断结果返回客户端;所述客户端,还包括记录模块,用于在接收到服务云端根据第一文件信息向客户端发出记录请求后,以云追踪方法,在客户端运行相应的文件的时候,对该文件运行过程中 的数据读写、网络连接、以及注册表操作等等各种文件操作情况记录,并反馈回服务云端。较优地,所述服务云端的汇总模块,还用于将统计结果以及判断结果发送给所有 客户端;所述客户端的记录模块,还用于接收服务云端传输回来的统计结果和判断结果。为实现本发明目的还提供一种计算机防护方法,包括下列步骤步骤A,在客户端需要确认一文件是否为正常文件时,客户端收集该文件的第一文 件信息,并计算文件的第一哈希值;然后将收集到的该文件的第一文件信息和第一哈希值 上传至服务云端;步骤B,服务云端在接收到客户端传输过来的该文件的第一文件信息和第一哈希 值后,根据第一文件信息在服务云端的检测数据库中查找是否存在相应的文件的第二文件 信息以及第二哈希值,并进行比对;步骤C,如果该文件的第一文件信息存在服务云端的检测数据库中,并且第一哈希 值等于第二哈希值,则根据标注信息判断客户端的该文件是否为正常文件,将判断结果返 回客户端,结束;否则,如果该文件的第一文件信息存在服务云端的检测数据库中,但第一哈希值 不等于第二哈希值,则判断客户端的该文件有问题,是非正常文件,将判断结果返回客户端。较优地,所述的计算机防护方法,还包括下列步骤步骤D,如果服务云端不存在与该文件的第一文件信息相应的第二文件信息,则在 服务云端查找是否存在与第一文件信息相应的多个第三文件信息,如果存在,则将多个第 三文件信息及相应的多个第三哈希值与第一文件信息和相应的第一哈希值对应进行比对, 得到相同文件的与第一哈希值相同的第三哈希值的识别比例,并根据识别比例判断该文件 是否为非正常文件和安全百分比系数,反馈给客户端。较优地,所述的计算机防护方法,还包括下列步骤步骤E,如果服务云端在服务云端不存在第二文件信息和第三文件信息时,即无法 判断该文件是否为非正常文件时,则以云追踪方法,根据第一文件信息向相应的多个客户 端发出请求;步骤F,客户端接到请求后,在客户端运行相应的文件的时候,对该文件运行过程 中的数据读写、网络连接等各种文件操作情况记录,并反馈回服务云端;步骤G,服务云端接收到反馈回来的记录信息后,进行汇总统计,根据统计结果判 断该文件是否为非正常文件,将判断结果返回客户端。较优地,所述步骤G还包括下列步骤将判断结果同时共享到每个客户端。本发明的有益效果本发明的计算机防护系统及方法,其摒弃了传统的病毒特征 码识别的防护方法,而根据系统中运行的文件的HASH值来判断和识别其是否正常;进一步 地,还根据大量用户之间相同或者相类似文件运行情况的比对进行判断和识别;更进一步 地,根据对文件的云追踪情况,确定这个文件是否正常。其相当于在数百万计算机之间共同 建立一个防范非正常文件的体系,使用用户越多防范越安全,对于新病毒、未知病毒同样有效。本发明所提供的计算机防护系统及方法中连入的客户端越多,服务云端中所存储的数 据库就越庞大、越完善,对于各种非正常文件,如病毒和木马的判断准确率就越高,因此能 够有效地保护计算机系统的正常运行。
图1是本发明实施例的计算机防护系统示意图;图2是图1中服务云端结构示意图;图3是图1是客户端结构示意图;图4是本发明实施例的计算机防护方法流程图。
具体实施例方式为了使发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本 发明的一种计算机防护系统及方法进行进一步详细说明,应当理解,此处所描述的具体实 施例仅仅用以解释本发明,并不用于限定发明。一个非正常文件,如病毒和木马要对用户产生伤害,或者要达到某种目的,必须处 于运行的状态。一个没有被执行的病毒或木马文件,对于计算机本身是绝对无害的。因此, 本发明实施例的计算机防护系统及方法,通过判断出系统正在运行或者即将运行的文件为 问题文件,反馈信息给客户端并建议对文件的操作,避免被各种非正常程序文件,包括各种 木马或病毒,甚至新出现的木马或者病毒的侵害。如图1 3所示,本发明实施例的计算机防护系统,包括至少一台服务云端1和多 个客户端2,其中服务云端1通过网络与客户端2连接;所述计算机网络可以是现有的各种网络,包括但不限于国际互联网(Internet)、 局域网(Intranet)、对等网、通信网如WCDMA、CDMA2000、TD-CDMA等各种可在客户端与服务 云端之间互联互通的网络。所述服务云端1和客户端2可以是现有的各种可连接到网络的各种装置,包括但 不限于服务器,小型计算机,中型计算机,大型计算机,甚至是各种微型电脑及笔记本电脑, 以及各种可持有的通讯设备,如手机、IPAD等,其具有可连接到网络的网络接口。这种网络 接口可以是有线网络接口,如RJ45接口;也可以是无线接口,如Wi-Fi接口、蓝牙接口等。如图2所示,所述服务云端1包括检测模块11和检测数据库12,其中所述检测模块11,用于根据客户端文件的第一文件信息和相应的第一哈希 (HASH)值与检测数据库中的第二文件信息和相应的第二哈希值进行比对,并判断得到该客 户端文件是否为非正常文件的反馈信息,并将反馈信息反馈给客户端。所述检测数据库12,用于存储各种文件的第二文件信息和相应的第二哈希值,并 标注其是否为正常文件的标注信息。较佳地,所述服务云端1,还包括搜集模块13和计算模块14,其中所述搜集模块13,用于搜集已经确定其是否为非正常文件的各种文件,并提供给 计算模块14 ;所述计算模块14,用于根据搜集模块提供的文件,获取该文件的第二文件信息,并 计算出相应的第二哈希值,以及标注其是否为正常文件的标注信息,然后将该文件的第二
8文件信息和相应的第二哈希值,以及标注信息存储到检测数据库12 ;各种文件,例如厂商提供的完成正常功能的文件,则可以确定其为正常文件,则获 取该文件的信息作为第二文件信息,并计算相应的哈希值作为第二哈希值,同时将其标注 为正常文件;而如果是一种计算机病毒文件,则可以确定其为非正常文件,则获取该文件的信 息作为第二文件信息,并计算相应的哈希值作为第二哈希值,同时将其标注为非正常文件。所述检测模块11,还用于在服务云端不存在与第一文件信息相应的第二文件信息 时,在服务云端查找是否存在与第一文件信息相同的多个第三文件信息;如果存在,则将多 个第三文件信息及相应的多个第三哈希值与第一文件信息和相应的第一哈希(HASH)值对 应进行比对,计算得到文件信息相同的与第一哈希值相同的第三哈希值的识别比例,并根 据识别比例判断该文件是否为非正常文件和安全百分比系数,反馈给客户端。作为一种可实施方式,本发明实施例的服务云端,可以还包括存储模块15,用于存 储在所有客户端上运行的所有文件的第三文件信息和第三哈希值。第三文件信息是指服务云端主动收集客户端用户文件的第三文件信息;或者经过 客户端用户同意,被动收集客户端用户文件的第三文件信息;或者根据服务云端的请求,在 客户端查找相应于第一文件信息的文件,并收集该文件的第三文件信息;第三哈希值是指 根据第三文件信息相应的文件的信息数据(即文件的代码)计算得到的哈希值。在本发明实施例中,作为一种可实施方式,所有客户端上的每一个文件,在运行的 时候,主动收集文件的文件信息(第三文件信息),并根据文件进程信息计算出哈希值(第 三哈希值)后,向服务云端推送其第三文件信息和相应的第三哈希值;或者经过客户端用 户的同意,被动收集文件的文件信息(第三文件信息),并根据文件进程信息计算出哈希值 (第三哈希值)。作为另一种可实施方式,本发明实施例的服务云端,向网络中的其他客户端发出 请求信息,请求其他客户端根据第一文件信息查找相应的文件并搜集相应的第三文件信 息,以及计算出相应的第三哈希值后,将第三文件信息及相应的第三哈希值反馈回服务云 端。更佳地,所述服务云端还包括汇总模块16,用于在服务云端不存在第二文件信息 和第三文件信息时,即无法判断文件是否为非正常文件时,以云追踪方法,根据第一文件信 息向相应的多个客户端发出请求,并对客户端反馈的汇总信息进行汇总统计,根据统计结 果判断该文件是否为非正常文件,将判断结果返回客户端。所述云追踪方法,在本申请人向中国国家知识产权局申请的申请号为 2010101544180.0,名称为“一种基于云计算的操作记录追踪系统和方法”的发明专利中进 行了详细的描述,本发明实施例中全文引用作为本发明实施例的一部分,不再在本发明实 施例中一一详细描述。进一步地,所述汇总模块16,还用于将统计结果以及判断结果发送给所有客户端。在无法判断为正常文件时,由客户端收集进一步资料,比如该文件所打开的文件 操作记录、注册表记录等,进行汇总并分享给所有客户端,这样避免此文件只在部分客户端 进行违法操作,其他客户端无法发现的情况。如图3所示,所述客户端2包括防护模块21,用于在客户端需要确认一文件是否为
9正常文件时,收集客户端里该文件的第一文件信息,计算出该文件的第一哈希值,并将第一 文件信息及第一哈希值发送至服务云端,并根据服务云端的反馈信息确定是否发出警告。所述防护模块21,包括第一收集子模块211、第一运算子模块212、第一传输子模 块213和警报子模块214,其中第一收集子模块211,用于在客户端需要确认一文件是否为正常文件时,收集客户 端里需要防护的文件的第一文件信息,并传送给运算子模块212 ;第一运算子模块212,用于计算出该文件相应的第一哈希值;所述第一文件信息,包括但不限于文件名、版本号、组织名、文件大小等;哈希值(HASH)是由消息摘要算法如md5算法或者SHA-I算法等计算而来,一般 地,文件的任何改变都会导致哈希值的改变。第一传输子模块213,用于将客户端需要防护的文件的第一文件信息和第一哈希 值传送给服务云端;警报子模块214,用于在服务云端将反馈信息反馈给客户端后,根据所反馈信息判 断出该进程是否存在非正常情况,并根据该判断结果发出警告信息。较佳地,所述客户端2,还包括第二收集模块22、第二运算模块23、第二传输模块 24,其中所述第二收集模块22,用于主动收集客户端用户文件的第三文件信息;或者经过 客户端用户同意,被动收集客户端用户文件的第三文件信息;或者根据服务云端的请求,在 客户端查找相应于第一文件信息的文件,并收集该文件的第三文件信息;所述第二运算模块23,用于根据与第三文件信息相应的文件的信息数据,计算出 该文件相应的第三哈希值;所述第二传输模块24,用于将相应文件的第三文件信息和第三哈希值传送给服务
~·丄山於而。更佳地,所述客户端2,还包括记录模块25,用于在接收到服务云端根据第一文件 信息向客户端发出记录请求后,以云追踪方法,在客户端运行相应的文件的时候,对该文件 运行过程中的数据读写、网络连接、以及注册表操作等等各种文件操作情况记录,并反馈回 服务云端。更佳地,所述记录模块25,还用于接收服务云端传输回来的汇总统计结果和判断结果。作为一种可实施方式,如图1所示,一个服务云端和百万计客户端通过网络资源 连接,客户端收集客户端数据并通过网络资源将数据发送至服务云端,服务云端比对后将 警报信息反馈回客户端,客户端根据警报信息确定是否发出警告信息,构成一个计算机防 护系统。本发明还提供了一种计算机防护方法,流程图如图4所示,其中包括如下步骤步骤S100,在客户端需要确认一文件是否为正常文件时,客户端收集该文件的第 一文件信息,并计算文件的第一哈希(HASH)值;然后将收集到的该文件的第一文件信息和 第一哈希值上传至服务云端;较佳地,步骤SlOO中,第一文件信息按照主信息和次信息进行分类。客户端需要检验自己的文件安全时,收集并提交所需检验的文件主信息及次信肩、ο作为一种可实施方式,对第一文件信息按照主信息和次信息进行分类主信息包括但不限于1.文件名[filename]2.文件版本号[fileVersion]3.该文件所属公司名[company,如Microsoft]4.文件大小[fileSize,通常以字节为单位]次信息包括但不限于①系统版本号②文件最后修改时间③文件数字签名校验结果④文件支持的操作系统位数⑤文件本身所属的进程名称⑥文件描述系统版本号作为次信息是因不同操作系统下的进程文件及系统文件仍有可能是 一样的,所以操作系统版本号是不能够作为主要信息比较的;目前可支持从windows 2000 到windows 7的不同版本。相同的操作系统还有不同的build号,如win7目前的主流build 号为7600,所以操作系统版本号格式为[系统主版本+build号],举例来说,windows 7的 版本号可格式化为Wx601_7600];关于文件最后修改时间,进程依赖运行的文件,在window版本中,均是基于PE格 式创建的,在其内部记录下了文件的最后修改时间,修改时间与创建时间不同的,如一个文 件是1999年修改的,在该文件的所属公司将其发布后,用户在2010年时将其安装到电脑 时,该文件的创建时间便是2010年,而不是1999年。关于数字签名校验结果,较佳地,可有如下几种状态未知[unknown],未签名 [NoSignature],受信任[Trusted],签名过期无效[Expired]签名已撤消[Revoked],不受 信任[Distrust] ο文件本身所属的进程名称不作为一个主信息,是因为不同进程有可能都使用很多 相同的系统支持文件,如ntdll. dll\kernel32. dll\user32. dll\gdi32. dll等等,用它作 为次条件,主要是用来识别第三方软件开发商的文件。应当说明的是,所述主信息和次信息中所包含的信息种类、划分方式和划分顺序 是不唯一的,根据应用环境和具体需要,还可以包含其它信息种类及划分方式和顺序。应当 理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明,凡采用等同替 换或等效变换形成的技术方案,均落在本发明要求的保护范围。如目前在window平台,主流支持IA32\IA64\AMD64三种平台,iA32是最常使用的 一种平台,像win2000\winxp 便只支持 32 位版本,而windows server 2003\windowsserver 2008\windows vista\windows 7能支持多种平台,从文件开发角度而言,相同源代码可以 编译出对这种三种平台均支持的PE文件,但是其内容大小肯定是会不一样的,基于此,文 件支持的平台类型也作为一可选次信息。步骤S200,服务云端在接收到客户端传输过来的该文件的第一文件信息和第一哈
11希值后,根据第一文件信息在服务云端的检测数据库中查找是否存在相应的文件的第二文 件信息以及第二哈希值,并进行比对;服务云端首先根据文件名、版本号、组织名等信息判断这个文件名在服务云端的 检测数据库中是否存在,如果存在,则根据第二文件信息查找出相应的第二哈希值,以及相 应的标注信息。第二哈希值是服务云端根据该文件发布者发布的文件,在确认不受任何干扰的计 算机环境下,利用该文件的信息数据(即该文件的代码)计算出的哈希值。步骤S300,如果该文件的第一文件信息存在服务云端的检测数据库中,即存在与 第一文件信息相同的第二文件信息,并且第一哈希值等于第二哈希值,则根据标注信息判 断客户端的该文件是否为正常文件,将判断结果返回客户端,结束;否则,如果该文件的第一文件信息存在服务云端的检测数据库中,即存在与第一 文件信息相同的第二文件信息,但第一哈希值不等于第二哈希值,则判断客户端的该文件 有问题,是非正常文件,将判断结果返回客户端。步骤S400,否则,如果服务云端不存在与该文件的第一文件信息相应的第二文件 信息,即在服务云端不存在与第一文件信息相同的第二文件信息,则在服务云端查找是否 存在与第一文件信息相应的多个第三文件信息,如果存在,则将多个第三文件信息及相应 的多个第三哈希值与第一文件信息和相应的第一哈希(HASH)值对应进行比对,得到相同 文件的与第一哈希值相同的第三哈希值的识别比例,并根据识别比例判断该文件是否为非 正常文件和安全百分比系数,反馈给客户端。所述第三文件信息和相应的第三哈希值,作为一种可实施方式,可以是服务云端 主动或者被动收集并存储在服务云端的所有客户端上运行的所有文件的第三文件信息和 第三哈希值;或者是服务云端的客户端发出请求,由客户端根据文件名查找相应的该文件,并 将查找到该文件的多个第三文件信息并计算得到相应的多个第三哈希值,一起反馈回服务 云端得到。同样地,所述第三文件信息,与第一文件信息相应,包括但不限于文件名、版本号、 组织名、文件大小等;例如,在根据第一文件信息和第三文件信息,查找到相同文件信息后,比较第一哈 希值和多个第三哈希值,得到与第一哈希值相同的第三哈希值的个数,将其与相同文件的 个数相除,得到相同哈希值的比例,例如,相同文件有10000个,比较后有9000个文件的第 三哈希值与第一哈希值相同,则第三哈希值的识别比例为90%。根据识别比例,与预设非正常文件的比例相比较后,判断出该文件是否为非正常 文件。例如预设相同哈希值的在80%以下时,则判断该文件为非正常文件,则相同哈希值的 比例为90%时,则判断该文件为正常文件,安全百分比系数为受信任。较佳地,安全百分比系数可按照如下等级划分I. 未知[不能查找到结果]II. 受信任[文件在大部分用户下均相同80%以上的相同]III. 一般信任[文件在很多用户电脑上相同,低于80%高于50% ]IV. 普通安全
V. 低安全VI. 不安全[低于30%的用户有此相同的文件,高于10% ]VII. 恶意文件 [10%以下]得到安全百分比系数后,作为一种可实施方式,可继续采用各种次条件进行修正。如使用次条件③文件数字签名校验结果作进一步判定。例如,若该文件的数字签 名是“受信任的”,则将安全百分比系数提升一个级别。如利用次条件②文件最后修改时间作进一步判定,如果其与服务云端中索引值相 同的文件修改时间不同,则将安全百分比系数降低一级。如利用次条件⑥文件描述作进一步判定,若其与服务云端中索引值相同的文件描 述不同,则将安全百分比系数降低一级。步骤S500,如果服务云端在服务云端不存在第二文件信息和第三文件信息时,即 无法判断该文件是否为非正常文件时,则以云追踪方法,根据第一文件信息向相应的多个 客户端发出请求;步骤S600,客户端接到请求后,在客户端运行相应的文件的时候,对该文件运行过 程中的数据读写、网络连接等各种文件操作情况记录,并反馈回服务云端;在客户端运行相应文件的时候,为了避免侵犯个人隐私,在对该文件操作情况记 录前,需要向客户端用户进行提示,并经过客户端同意后才进行记录。步骤S700,服务云端接收到反馈回来的记录信息后,进行汇总统计,根据统计结果 判断该文件是否为非正常文件,将判断结果返回客户端;较佳地,服务云端将判断结果同时共享到每个客户端。本发明的计算机防护系统及方法,收集文件的信息,通过文件名、版本号、组织名 和文件大小等第一文件信息,并用消息摘要算法计算文件的HASH值,将这个HASH值以及文 件本身的第一文件信息上传至服务云端,和服务云端第二文件信息及第二 HASH值比对判 别其是否为正常文件;或者和第三文件信息及第三HASH值进行比对,在该客户端的HASH值 与服务云端或者绝大部分客户端的文件HASH值不一致时,判断这个文件为问题文件,建议 用户关闭此文件,避免受到伤害。进一步地,在服务云端不存在第二文件信息和第三文件信 息,无法判断文件是否为非正常文件时,以云追踪方法,通过记录并汇总统计判断其是否为 非正常文件。本发明提供的计算机防护系统及方法摒弃了传统的病毒特征码的方法,根据服务 云端中的文件的相同文件信息的HASH值来判断其是否为正常文件,同时根据大量用户之 间相同文件的比对,来确定这个文件是否正常。本发明所提供的计算机防护系统中连入的 客户端越多,服务云端中所存储的数据库就越庞大、越完善,对于各种非正常文件,包括病 毒和木马的判断准确率就越高,因此能够有效地保护客户端系统的正常运行。只要系统文 件正常,任何病毒都无法产生危害,对于新病毒,未知病毒同样有效。最后应当说明的是,很显然,本领域的技术人员可以对本发明进行各种改动和变 型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要 求及其等同技术的范围之内,则本发明也意图包含这些改动和变型。
1权利要求
一种计算机防护系统,包括至少一台服务云端和多个客户端,其中服务云端通过网络与客户端连接,其特征在于,所述服务云端包括检测模块和检测数据库;所述检测模块,用于利用客户端文件的第一文件信息和相应的第一哈希值,与检测数据库中的第二文件信息和相应的第二哈希值进行比对,并判断得到该客户端文件是否为非正常文件的反馈信息,并将反馈信息反馈给客户端;所述检测数据库,用于存储各种文件的第二文件信息和相应的第二哈希值,并标注其是否为正常文件的标注信息;所述客户端包括防护模块,用于在客户端需要确认一文件是否为正常文件时,收集客户端里该文件的第一文件信息,计算出该文件的第一哈希值,并将第一文件信息及第一哈希值发送至服务云端,并根据服务云端的反馈信息确定是否发出警告。
2.根据权利要求1所述的计算机防护系统,其特征在于,所述防护模块,包括第一收集 子模块、第一运算子模块、第一传输子模块和警报子模块,其中第一收集子模块,用于在客户端需要确认一文件是否为正常文件时,收集客户端里需 要防护的文件的第一文件信息,并传送给运算子模块;第一运算子模块,用于计算出该文件相应的第一哈希值;第一传输子模块,用于将客户端需要防护的文件的第一文件信息和第一哈希值传送给 服务云端;警报子模块,用于在服务云端将反馈信息反馈给客户端后,根据所反馈信息判断出该 进程是否存在非正常情况,并根据该判断结果发出警告信息。
3.根据权利要求1或2所述的计算机防护系统,其特征在于,所述服务云端,还包括搜 集模块和计算模块,其中所述搜集模块,用于搜集已经确定其是否为非正常文件的各种文件,并提供给计算模块;所述计算模块,用于根据搜集模块提供的文件,获取该文件的第二文件信息,并计算出 相应的第二哈希值,以及标注其是否为正常文件的标注信息,然后将该文件的第二文件信 息和相应的第二哈希值,以及标注信息存储到检测数据库;所述检测模块,还用于在服务云端不存在与第一文件信息相应的第二文件信息时,在 服务云端查找是否存在与第一文件信息相同的多个第三文件信息;如果存在,则将多个第 三文件信息及相应的多个第三哈希值与第一文件信息和相应的第一哈希值对应进行比对, 计算得到文件信息相同的与第一哈希值相同的第三哈希值的识别比例,并根据识别比例判 断该文件是否为非正常文件和安全百分比系数,反馈给客户端;所述客户端,还包括第二收集模块、第二运算模块、第二传输模块; 其中所述第二收集模块,用于主动收集客户端用户文件的第三文件信息;或者经过客户端 用户同意,被动收集客户端用户文件的第三文件信息;或者根据服务云端的请求,在客户端 查找相应于第一文件信息的文件,并收集该文件的第三文件信息;所述第二运算模块,用于据与第三文件信息相应的文件的进程信息,计算出该文件相 应的第三哈希值;所述第二传输模块,用于将相应文件的第三文件信息和第三哈希值传送给服务云端。
4.根据权利要求3所述的计算机防护系统,其特征在于,所述服务云端还包括存储模 块,用于存储在所有客户端上运行的所有文件的第三文件信息和第三哈希值。
5.根据权利要求3或4所述的计算机防护系统,其特征在于,所述服务云端还包括汇总 模块,用于在服务云端不存在第二文件信息和第三文件信息时,即无法判断文件是否为非 正常文件时,以云追踪方法,根据第一文件信息向相应的多个客户端发出请求,并对客户端 反馈的汇总信息进行汇总统计,根据统计结果判断该文件是否为非正常文件,将判断结果 返回客户端;所述客户端,还包括记录模块,用于在接收到服务云端根据第一文件信息向客户端发 出记录请求后,以云追踪方法,在客户端运行相应的文件的时候,对该文件运行过程中的数 据读写、网络连接、以及注册表操作等等各种文件操作情况记录,并反馈回服务云端。
6.根据权利要求5所述的计算机防护系统,其特征在于,所述服务云端的汇总模块,还 用于将汇总统计结果以及判断结果发送给所有客户端;所述客户端的记录模块,还用于接收服务云端传输回来的汇总统计结果和判断结果。
7.一种计算机防护方法,其特征在于,包括下列步骤步骤A,在客户端需要确认一文件是否为正常文件时,客户端收集该文件的第一文件信 息,并计算文件的第一哈希值;然后将收集到的该文件的第一文件信息和第一哈希值上传 至服务云端;步骤B,服务云端在接收到客户端传输过来的该文件的第一文件信息和第一哈希值后, 根据第一文件信息在服务云端的检测数据库中查找是否存在相应的文件的第二文件信息 以及第二哈希值,并进行比对;步骤C,如果该文件的第一文件信息存在服务云端的检测数据库中,并且第一哈希值等 于第二哈希值,则根据标注信息判断客户端的该文件是否为正常文件,将判断结果返回客 户端,结束;否则,如果该文件的第一文件信息存在服务云端的检测数据库中,但第一哈希值不等 于第二哈希值,则判断客户端的该文件有问题,是非正常文件,将判断结果返回客户端。
8.根据权利要求7所述的计算机防护方法,其特征在于,还包括下列步骤步骤D,如果服务云端不存在与该文件的第一文件信息相应的第二文件信息,则在服务 云端查找是否存在与第一文件信息相应的多个第三文件信息,如果存在,则将多个第三文 件信息及相应的多个第三哈希值与第一文件信息和相应的第一哈希值对应进行比对,得到 相同文件的与第一哈希值相同的第三哈希值的识别比例,并根据识别比例判断该文件是否 为非正常文件和安全百分比系数,反馈给客户端。
9.根据权利要求8所述的计算机防护方法,其特征在于,还包括下列步骤步骤E,如果服务云端在服务云端不存在第二文件信息和第三文件信息时,即无法判断 该文件是否为非正常文件时,则以云追踪方法,根据第一文件信息向相应的多个客户端发 出请求;步骤F,客户端接到请求后,在客户端运行相应的文件的时候,对该文件运行过程中的 数据读写、网络连接等各种文件操作情况记录,并反馈回服务云端;步骤G,服务云端接收到反馈回来的记录信息后,进行汇总统计,根据统计结果判断该 文件是否为非正常文件,将判断结果返回客户端。
10.根据权利要求9所述的计算机防护方法,其特征在于,所述步骤G还包括下列步骤将判断结果同时共享到每个客户端。
全文摘要
本发明提供一种计算机防护系统及方法,其摒弃了传统的病毒特征码识别的防护方法,而根据系统中运行的文件的HASH值来判断和识别其是否正常;进一步地,还根据大量用户之间相同或者相类似文件运行情况的比对进行判断和识别;更进一步地,根据对文件的云追踪情况,确定这个文件是否正常。其相当于在数百万计算机之间共同建立一个防范非正常文件的体系,使用用户越多防范越安全,对于新病毒、未知病毒同样有效。
文档编号G06F21/00GK101908116SQ201010245878
公开日2010年12月8日 申请日期2010年8月5日 优先权日2010年8月5日
发明者周勇兵, 潘燕辉 申请人:潘燕辉;周勇兵