一种构建文件信誉库的系统和方法与流程

本发明涉及文件防病毒技术领域，具体说是一种构建文件信誉库的系统和方法。

背景技术：

随着互联网的发展脚步加快，来自网络上的威胁也日益严重。攻击手段多种多样，新的技术也层出不穷。apt作为一种新型的网络攻击，其对国家国防安全、国民经济安全、重要行业信息安全、公司商业信息安全构成严重威胁。apt攻击的原理相对于其他攻击形式更为高级和先进，其高级型主要体现在apt发起攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。在此收集的过程中，此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞，利用这些漏洞组件攻击者所需的网络。

从监测和检测的角度，为了识别apt，可以从apt攻击的各个环节进行突破，任一环节能够识别即可断开整个链条。信誉库在面对新型威胁的时候，可以助其他检测技术一臂之力，目前的文件信誉一般使用的黑白名单方式，这种方式不能量化威胁程度和可信程度。

技术实现要素：

针对以上缺点，本发明提出了一种构建文件信誉库的系统和方法，可以解决文件信誉库量化的问题。

本发明实施例提供了一种构建文件信誉库的系统和方法，该系统包括：

agent：用于实时搜集文件，并对搜集到的文件进行区分；将搜集到的文件区分为第一文件和第二文件；判断第一文件的威胁度，并和信誉库中的文件数据进行比对，更新信誉库文件数据；

沙盒：用于验证agent区分过的第二文件的威胁度，并和信誉库中的文件数据进行比对，更新信誉库文件数据；

信誉库：用于记录文件数据信息；所述文件数据信息包括文件的信誉主体、可信度、威胁值和信誉值；所述信誉值等于可信度乘以威胁值。

进一步的，所述文件包括第一文件和第二文件；所述第一文件为在agent处理的文件；所述第二文件为需要在沙箱中验证的文件。

进一步的，所述agent包括搜集模块，区分模块、判断模块和第一处理模块；

所述搜集模块用于搜集文件；

所述区分模块用于区分文件；所述区分模块将文件区分为第一文件和第二文件；

所述判断模块用于判断第一文件威胁度；

所述第一处理模块用于根据判断模块对第一文件威胁度的判断，对第一文件进行禁止或运行，同时更新信誉库文件数据。

进一步的，所述沙盒包括验证模块和第二处理模块；

所述验证模块用于验证第二文件的威胁度；

所述第二处理模块用于对验证过威胁度的第二文件进行禁止或运行，同时和信誉库文件数据进行比对，更新信誉库文件数据。

一种构建文件信誉库的方法，是基于一种构建文件信誉库的系统实现的，包括以下步骤：

s1：实时搜集文件，对文件进行区分，将搜集到的文件区分为第一文件和第二文件，判断第一文件威胁度，并和信誉库中的文件数据进行比对，更新信誉库文件数据；

s2：验证第二文件的威胁度，并和信誉库中的文件数据进行比对，更新信誉库文件数据。

进一步的，一种构建文件信誉库的方法，还包括：信誉库文件数据按照半衰期定时衰减，当低于阈值，则删除信誉主体。

进一步的，s1的具体步骤为：

实时搜集文件；

将搜集到的文件区分为第一文件和第二文件；

判断第一文件的威胁度；

根据判断模块对第一文件威胁度的判断，对第一文件进行禁止或运行，同时和信誉库中的文件数据进行比对，如果信誉库中没有所述第一文件数据，则在信誉库中新建所述第一文件的信誉主体、更新可信度、威胁值和信誉值，如果已经存在所述第一文件数据，则更新信誉库的更新可信度、威胁值和信誉值。

进一步的，s2的具体步骤为：

验证第二文件的威胁度；

将验证过威胁度的第二文件进行禁止或运行，同时和信誉库中的文件数据进行比对，如果信誉库中没有所述第二文件数据，则在信誉库中新建所述第二文件的信誉主体、更新可信度、威胁值和信誉值，如果已经存在所述第二文件数据，则更新信誉库的更新可信度、威胁值和信誉值。

发明内容中提供的效果仅仅是实施例的效果，而不是发明所有的全部效果，上述技术方案中的一个技术方案具有如下优点或有益效果：

本发明提出了一种构建文件信誉库的系统和方法，采用agent实时搜集文件，并对搜集到的文件进行区分，将搜集到的文件区分为第一文件和第二文件，判断第一文件的威胁度，并和信誉库中的文件数据进行比对，更新信誉库文件数据。采用沙盒验证agent区分过的第二文件的威胁度，并和信誉库中的文件数据进行比对，更新信誉库文件数据。另外信誉库文件数据按照半衰期定时衰减，当低于阈值时，则删除信誉主体。本技术根据agent上报的文件，进行沙盒验证，可信程度和威胁程度更新。定义了一套可信和威胁体系，可以很好的量化，不单纯的使用高中低黑白灰来区分。如果长时间没有相关文件的上报，那么信誉库会自动衰减，这样就实现了一个实时搜集和更新的文件信誉库。

附图说明

图1是本发明实施例一种构建文件信誉库的系统架构图；

图2是本发明实施例一种构建文件信誉库的方法架构图。

具体实施方式

为能清楚说明本方案的技术特点，下面通过具体实施方式，并结合其附图，对本发明进行详细阐述。下文的公开提供了许多不同的实施例或例子用来实现本发明的不同结构。为了简化本发明的公开，下文中对特定例子的部件和设置进行描述。此外，本发明可以在不同例子中重复参考数字和/或字母。这种重复是为了简化和清楚的目的，其本身不指示所讨论各种实施例和/或设置之间的关系。应当注意，在附图中所图示的部件不一定按比例绘制。本发明省略了对公知组件和处理技术及工艺的描述以避免不必要地限制本发明。

实施例1

本发明实施例1提供了一种构建文件信誉库的系统和方法。如图1所示为一种构建文件信誉库的系统架构图。

agent：用于实时搜集文件，并对搜集到的文件进行区分；将搜集到的文件区分为第一文件和第二文件；判断第一文件的威胁度，并和信誉库中的文件数据进行比对，更新信誉库文件数据。

agent包括搜集模块，区分模块、判断模块和第一处理模块。

搜集模块用于搜集文件。

区分模块用于区分文件；区分模块将文件区分为第一文件和第二文件；对于agent通过搜集模块搜集到的文件，一部分文件agent可以通过自身的数据确定其威胁度，还有些文件agent无法确定其威胁度，需要在沙盒中运行。鉴于此，对可以通过agent确定其威胁度的文件称为第一文件，对需要在沙盒中运行确定威胁度的为第二文件。

判断模块用于判断第一文件威胁度。

第一处理模块用于根据判断模块对第一文件威胁度的判断，对第一文件进行禁止或运行，同时更新信誉库文件数据。根据客户对不同安全级别的要求，agent对第一文件进行相应的处理，可以对威胁度为最高威胁度和高威胁度的文件禁止运行，对中危险度和低威胁度的文件允许运行。也可以对威胁度为最高威胁度、高威胁度和中威胁度的文件禁止运行，低威胁度的文件允许运行。或者对最高威胁度、高威胁度、中威胁度和低威胁度的都允许运行。同时将第一文件和信誉库中的文件数据进行比对，如果信誉库中没有第一文件数据，则在信誉库中新建第一文件的信誉主体、更新可信度、威胁值和信誉值，如果已经存在第一文件数据，则更新信誉库的可信度、威胁值和信誉值。

沙盒用于验证agent区分过的第二文件的威胁度，并和信誉库中的文件数据进行比对，更新信誉库文件数据，沙盒包括验证模块和第二处理模块。

验证模块用于验证第二文件的威胁度，通过在沙盒中运行第二文件，来判断第二文件是否对敏感目录或文件修改等。

第二处理模块用于对验证过威胁度的第二文件进行禁止或运行，同时和信誉库文件数据进行比对，更新信誉库文件数据。根据客户对不同安全级别的要求，沙盒对验证过威胁度的第二文件进行相应的处理，可以对威胁度为最高威胁度和高威胁度的文件禁止运行，对中危险度和低威胁度的文件允许运行。也可以对威胁度为最高威胁度、高威胁度和中威胁度的文件禁止运行，低威胁度的文件允许运行。或者对最高威胁度、高威胁度、中威胁度和低威胁度的都允许运行。同时和信誉库中的文件数据进行比对，如果信誉库中没有第二文件数据，则在信誉库中新建第二文件的信誉主体、更新可信度、威胁值和信誉值，如果已经存在第二文件数据，则更新信誉库的可信度、威胁值和信誉值。

在文件信誉库中包括信誉主体、可信度、威胁值和信誉值。

信誉主体为文件的唯一标识。

可信度包括高可信度sh、中可信度sm、低可信度sl和最低可信度smin；其中高可信度sh＝0.8；中可信度sm＝0.5；低可信度sl＝0.2；最低可信度smin＝0.1。更新公式为t2＝t0+t1(超过最大值则忽略)，t0为初始值，t1为更新值，t2为更新后的值。威胁程度存在最大值，因为存在威胁清零的可能性，威胁程度线形累加。

威胁值包括最高威胁度tmax、高威胁度th、中危险度tm和低威胁度t1；其中最高威胁度tmax＝262144；高威胁度th＝4096；中威胁度tm＝64；低威胁度tl＝1；更新公式为s2＝s0+s1-s0*s1。其中s0为初始可信度，s1为更新可信度，s2为更新后可信度。可信度取值范围为0到1之间。

信誉值，即可信度乘以威胁值。0-8：轻微不良记录，例如少量低威胁行为；8-64：少量不良记录，例如多次低威胁行为；64-512：一般不良记录，例如少量中威胁行为或大量低威胁行为；512-4096：中等不良记录，例如多次中威胁行为；4096-32768：严重不良记录，例如少量高威胁行为或大量中威胁行为；32768-262144：极度严重不良记录，例如多次高威胁行为；

另外设定半衰期的天数，在本实施例中半衰期天数为15天，halflife＝15，每天定时衰减。半衰期公式为当t＝15时，每个程度乘以系数y＝0.955。当衰减到低于阈值，则删除信誉主体。

本发明保护的半衰期的天数不局限于15天，可以根据具体的情况设定相对应的天数。

本发明实施例还提出了一种构建文件信誉库的方法，如图2所示为一种构建文件信誉库的方法的方法流程图。

在步骤s201中，开始处理该流程；

在步骤s202中，agent中的搜集模块搜集文件；

在步骤s203中，agent判断是否能确定搜集文件的威胁度，对可以确定威胁度的文件设定为第一文件，对不能确定威胁度的文件设定为第二文件。如果agent可以确定搜集文件的威胁度，则转向步骤s204。如果agent无法确定搜集文件的威胁度，则转向步骤s205。

在执行步骤s204时，agent同时执行步骤s208。在步骤s204中，判断第一文件是否超过安全级别，如果超过安全级别，则执行步骤s206。如果未超过安全级别，则执行步骤s207。

在执行步骤s205时，沙盒同时执行步骤s208，在步骤s205中，沙盒验证第二文件的威胁度，判断第二文件是否超过安全级别，如果超过安全级别，则执行步骤s206。如果未超过安全级别，则执行步骤s207。

在步骤s206中，禁止运行。

在步骤s207中，允许运行。

在步骤s208中，将第一文件和信誉库中的文件数据进行比对，如果信誉库中没有第一文件数据，则在信誉库中新建第一文件的信誉主体、更新可信度、威胁值和信誉值，如果已经存在第一文件数据，则更新信誉库的更新可信度、威胁值和信誉值。

将第二文件和信誉库中的文件数据进行比对，如果信誉库中没有第二文件数据，则在信誉库中新建第二文件的信誉主体、更新可信度、威胁值和信誉值，如果已经存在第二文件数据，则更新信誉库的更新可信度、威胁值和信誉值。

针对本发明实施例给出的一种构建文件信誉库的方法，本发明还给出一个具体威胁值为高的文件更新信誉库的事例。

如检测到一个威胁程序的md5值为dda37961870ce079defbf185eeeef905，agent可以确定为高级威胁。首先查询信誉库文件数据中有没有该文件数据信息，如果没有该文件数据信息，则添加该文件数据信息的信誉主体，同时可信度和威胁值都设置为0，信誉度也为0。如果信誉库中存在该文件数据信息，则更新可信度和威胁值，可信度为s2＝s0+s1-s0*s1，所以s2＝0+0.8-0*0.8＝0.8；威胁值为t2＝t0+t1，t2＝0+4096；如果上报第二次，则可信度为0.8+0.8-0.8*0.8＝0.96，威胁值为4096+4096＝8192。

尽管说明书及附图和实施例对本发明创造已进行了详细的说明，但是，本领域技术人员应当理解，仍然可以对本发明创造进行修改或者等同替换；而一切不脱离本发明创造的精神和范围的技术方案及其改进，其均涵盖在本发明创造专利的保护范围当中。