专利名称:一种基于云安全的主动防御方法
技术领域:
本发明属于网络安全领域,具体地说,涉及一种基于云安全的主动防御方法。
背景技术:
恶意程序是一个概括性的术语,指任何故意创建用来执行未经授权并通常是有害 行为的软件程序。计算机病毒、后门程序、键盘记录器、密码盗取者、Word和Excel宏病毒、 引导区病毒、脚本病毒(batch,windows shell,java等)、木马、犯罪软件、间谍软件和广告 软件等等,都是一些可以称之为恶意程序的例子。传统的恶意程序防杀主要依赖于特征库模式。特征库是由厂商收集到的恶意程序 样本的特征码组成,而特征码则是分析工程师从恶意程序中找到和正当软件的不同之处, 截取一段类似于“搜索关键词”的程序代码。当查杀过程中,引擎会读取文件并与特征库中 的所有特征码“关键词”进行匹配,如果发现文件程序代码被命中,就可以判定该文件程序 为恶意程序。特征库匹配是查杀已知恶意程序很有效的一项技术。但是现今全球恶意程序数量 呈几何级增长,基于这种爆发式的增速,特征库的生成与更新往往是滞后的,很多时候杀毒 软件无法防杀层出不穷的未知恶意程序。主动防御随之应运而生,其是基于程序行为自主分析判断的实时防护技术,不以 特征码作为判断恶意程序的依据,而是从最原始的定义出发,直接将程序的行为作为判断 恶意程序的依据,其中衍生出在本地使用特征库、在本地设置行为阈值以及在本地启发式 杀毒的方式来判别、拦截恶意程序的行为,从而一定程度上达到保护用户电脑的目的。但是上述本地主动防御手段也不可避免的存在弊端。首先,本地主动防御很容易 对恶意程序造成免杀,例如,通过对恶意程序加壳或修改该恶意程序的特征码即可以避开 本地主动防御的特征库防杀模式;通过针对恶意程序的行为,减少或替换恶意程序执行的 相关行为从而避免触发行为阈值防杀模式的启动上限。另外,本地主动防御还是要依赖于 本地数据库的及时更新。
发明内容
有鉴于此,本发明所要解决的技术问题是提供了一种基于云安全的主动防御方 法,不依赖于本地数据库,并且将主动防御的分析比对操作放在服务器端完成。为了解决上述技术问题,本发明公开了一种基于云安全的主动防御方法,包括客 户端对其上一程序发起的程序行为和/或发起该行为的程序的程序特征进行收集,发送到 服务器端;服务器端根据所述客户端发来的程序特征和/或程序行为在其数据库中进行分 析比对,根据比对结果对所述程序进行判定,并反馈给所述客户端;所述客户端根据反馈的 判定结果决定是否对该程序行为进行拦截、终止执行该程序和/或清理该程序,恢复系统 环境。进一步地,所述程序行为,包括所述程序行为的本体及该程序行为的目标的属性;所述程序行为的目标的属性,还包括行为目标本身所属的黑白等级、所处于系统中的 位置、类型、行为目标所作出行为本体及其所属的黑白等级。进一步地,所述服务器端根据所述客户端发来的其上发起该行为的程序的程序特 征,与所述数据库保存的黑名单的特征码进行比对,如果命中,则判定所述程序为恶意程 序,并反馈给所述客户端。进一步地,所述服务器端根据所收集到的所述客户端上一程序作出的一串程序行 为,与所述数据库保存的认定的恶意行为序列进行比对,对其中命中的程序行为的权重值 进行累加,并比对该累加值是否超过一预设阈值,如果超过所述阈值则判定所述程序为恶 意程序,并反馈给对应的客户端计算机。进一步地,所述服务器端对其数据库中保存的各恶意行为赋予相应的权重值,权 重值的设置根据技术人员经验或根据所收集的大量客户端数据通过统计学计算获得。进一步地,所述服务器端根据所收集到的所述客户端上一程序作出的一串程序行 为,与所述数据库保存的认定的恶意行为序列进行比对,对其中命中的程序行为的权重值 进行累加,并比对该累加值是否超过一预设阈值,如果超过所述阈值则对所述程序进行分 析,获取其特征码,根据其特征码与所述数据库保存的黑名单的特征码进行比对,如果命 中,则判定所述程序为恶意程序,并反馈给所述客户端。进一步地,服务器端根据所述程序特征和/或程序行为在其数据库中进行分析比 对,根据比对结果对所述程序进行判定的步骤,还包括一更新步骤所述服务器端将所述恶 意程序的程序特征和/或恶意程序行为实时或周期性更新到所述数据库保存。进一步地,客户端对一程序行为和/或发起该行为的程序的程序特征进行收集并 发送到服务器端的步骤之前,还包括;由客户端收集程序特征及其对应的程序行为,并传送 至服务器端;在服务器端数据库中记录不同的程序特征及其对应的程序行为,以及黑/白 名单;根据现有已知黑/白名单中的程序特征及其对应的程序行为,对未知程序特征及程 序行为进行分析,以更新黑/白名单。进一步地,所述对未知程序特征及其程序行为进行分析的步骤,包括如果未知程 序特征与现有黑/白名单中的已知程序特征相同,则将该未知程序特征及其程序行为列入 黑/白名单;如果未知程序行为与现有黑/白名单中的已知程序行为相同或近似,则将该未 知程序行为及其程序特征列入黑/白名单;当某程序行为被列入黑/白名单时,在数据库中 将该程序行为对应的程序特征列入黑/白名单,并将与该程序行为有关联关系的其他程序 行为和程序特征也列入黑/白名单;和/或当某程序特征被列入黑/白名单时,在数据库中 将该程序特征对应的程序行为列入黑/白名单,并将与该程序特征有关联关系的其他程序 行为和程序特征也列入黑/白名单。进一步地,还包括在具有相同或近似行为的程序之间建立行为与特征的关联关 系,根据所述具有相同或近似行为的程序之间的关联关系,对未知程序特征及程序行为进 行分析,以更新黑/白名单;在数据库中针对被列入黑名单的程序,进一步记录该程序的逆 向行为,以在确认客户端计算机中存在该被列入黑名单的程序时,执行所述逆向行为;在数 据库中针对被列入黑名单的程序,根据该程序的行为,确定客户端计算机被感染文件的信 息,根据被感染文件的信息,将存储于数据库中的一份完好的对应文件下载至客户端计算 机中覆盖被感染文件;和/或在数据库中进一步记录在一预设时间内由不同客户端计算机收集到的相同的程序特征的数量变化,如果在一预设时间内,由不同客户端计算机收集到 的某个未知程序特征的数量增减超过阈值,则在数据库中将该程序特征及其对应的程序行 为列入黑名单。与现有的方案相比,本发明所获得的技术效果本发明引入云安全架构,将所有“云安全”客户端与“云安全”服务器实时连接,客 户端不断采集上报更新,在服务器端组成一庞大的恶意程序数据库,并将主动防御的分析 比对操作放在服务器端完成,从而使整个云安全网络成为一主动防御工具;针对具有威胁 的程序行为进行收集并保存在服务器的数据库中,在服务器端进行恶意软件分析时支持直 接使用程序行为进行恶意程序判定;另外,本发明还通过客户端收集程序行为并关联到程序特征,从而在数据库中记 录程序特征及其对应的程序行为,根据收集到的程序行为和程序特征的关联关系,可以在 数据库中对样本进行分析归纳,从而有助于对软件或程序进行黑白的分类判别,还可以针 对黑名单中的恶意软件制定相应的清除或恢复措施
图1为本发明的基于云安全的主动防御模式的流程图;图2为根据本发明实施例所述的基于云的样本数据库动态维护方法流程图;图3为根据本发明实施例所述的关联关系示意图;图4为根据本发明实施例所述的文件恢复流程图;图5为根据本发明实施例所述的分析流程示意图;图6为本发明的实施模式示意图。
具体实施例方式以下将配合图式及实施例来详细说明本发明的实施方式,藉此对本发明如何应用 技术手段来解决技术问题并达成技术功效的实现过程能充分理解并据以实施。本发明的核心构思在于通过大量客户端计算机对各种程序的程序特征、程序行 为和/或程序属性进行收集,发送到服务器端;服务器端进行分析比对,根据比对结果对该 程序进行判定,并反馈给对应的客户端计算机;所述客户端计算机根据反馈的判定结果决 定是否对该程序行为进行拦截、终止执行该程序和/或清理该程序,恢复系统环境。下面对于由大量客户端计算机102-服务器端104构成的基于云安全的主动防御 模式进行说明。云结构就是一个大型的客户端/服务器(CS)架构,如图6所示,为本发明的实施 模式示意图。参考图1为本发明的基于云安全的主动防御模式的流程图,包括Si,通过大量客户端计算机对各种程序的程序行为(可以是单一行为,也可以是 一组行为的组合)和/或发起该程序行为的程序的程序特征进行收集,发送到服务器端;S2,服务器端根据所收集到的每一台客户端计算机上的一程序的程序特征和/或 程序行为在服务器的数据库进行分析比对,根据比对结果对该程序进行判定,并反馈给对 应的客户端计算机;
S3,对应客户端计算机根据反馈的判定结果决定是否对该程序行为进行拦截、终 止执行该程序和/或清理该程序,恢复系统环境。程序行为可以一程序是直接作出的行为,也可以是该程序并不直接做出行为,而 是控制另一目标程序间接做出行为,因此所述程序行为包括程序行为本体及该行为目标 的属性;所述行为目标的属性,包括行为目标本身所属的黑白等级(即恶意或非恶意)、 所处于系统中的位置(如处于引导区等等)、类型(如可执行文件、备份文件等类型),也可 以扩展包括行为目标所作出行为所属的黑白等级、行为本身等等。上述程序行为,可以是例如驱动加载行为,文件生成行为,程序或代码的加载行 为,添加系统启动项行为,或文件或程序的修改行为等,或者是一系列行为的组合。上述程序特征,可以是经由MD5 (Message-Digest Algorithm 5,信息-摘要算法) 运算得出的MD5验证码,或SHAl码,或CRC(Cyclic Redundancy Check,循环冗余校验)码 等可唯一标识原程序的特征码。对于步骤S2,服务器端对大量客户端计算机所采集的各种程序的程序特征和/或 程序行为(可以是单一行为,也可以是一组行为的组合)进行判定分析的机制,可以由以下 一种或多种方式的组合实现1)所述服务器端根据所收集到的一台客户端计算机上一程序的程序特征,与所述 数据库保存的黑名单的特征码进行比对,如果命中,则判定所述程序为恶意程序,并反馈给 对应的客户端计算机;2)所述服务器端根据所收集到的一台客户端计算机上一程序作出的一串程序行 为,与所述数据库保存的认定的恶意行为序列进行比对,对其中命中的程序行为的权重值 累加,并比对该累加值是否超过一预设阈值(阈值可由技术人员根据经验设定),如果超过 所述阈值则判定所述程序为恶意程序,并反馈给对应的客户端计算机;其中,在数据库中保存的各恶意行为赋予相应的权重值;权重值的设置根据技术 人员经验或根据所收集的大量客户端数据通过统计学算法获得。以下通过一应用实例对上述基于行为阈值的判定方式进行详细解释。服务器端从 一客户计算机收集到的一程序A的四个程序行为PA1、PA2、PA3、PA4,然后对这四个程序行 为PA1、PA2、PA3、PA4在其数据库中保存的恶意行为序列进行比对,结果程序行为PA1、PA2、 PA3命中而PA4未命中,说明三个程序行为PA1、PA2、PA3是恶意的;此时服务器端再通过对服务器数据库中的恶意行为预先设定的权重值对恶意行 为程序行为PA1、PA2、PA3进行累加,比如服务器端已预先设定了其数据库中保存的恶意程 序行为PAl的权重值为1,恶意程序行为PA2的权重值为2,恶意程序行为PA3的权重值为3, 这样三者的累加值等于6,服务器用这个累加值6与其预设的行为阈值比对,假设行为阈值 已预先设定为5,显然累加值大于行为阈值,所以即可以判定做出上述程序行为PA1、PA2、 PA3的程序A为恶意程序。在数据库中保存的各恶意行为,假设包括删除注册表启动项或服务、终止电脑安 全程序工具的进程、弱口令破解局域网其他电脑的管理员帐号并复制传播、修改注册表键 值导致不能查看隐藏文件和系统文件、尝试破坏硬盘分区下的文件、删除用户的系统备份 文件等等,对这些恶意行为可以根据技术人员经验判断其破坏程度或严重性,从而对破坏程度或严重性高的恶意行为赋予更大的权重值;另外在实作中也可以通过收集的大量客户 端数据,根据恶意程序行为的上报频率、破坏范围等一系列参数建立数学模型,通过统计学 算法获得各恶意行为的权重并分配权重值。3)所述服务器端根据所收集到的一台客户端计算机上一程序作出的一串程序行 为,与所述数据库保存的认定的恶意行为序列进行比对,对其中命中的程序行为的权重值 累加,并比对该累加值是否超过一预设阈值,如果超过所述阈值则对所述程序进行分析,获 取其特征码,根据其特征码与所述数据库保存的黑名单的特征码进行比对,如果命中,则判 定所述程序为恶意程序,并反馈给对应的客户端计算机。此处基于行为阈值的判断的过程与方式2)相同,与方式2)的区别在于其不通过 行为阈值的判断直接确定恶意程序,而是通过行为阈值的判断筛选出程序再进行特征码检 测,从而判断恶意程序。在上述判定分析的机制中,所述服务器端一旦判定上述程序为恶意程序,则将所 述恶意程序的程序特征和/或恶意行为实时或周期性更新到所述数据库保存;在客户端计算机达到一定数量的前提下,所述服务器端可以通过客户端计算机的 大量采集上报在很短的时间内更新服务器端的数据库。上述服务器数据库的更新,在下面样本数据库的构建及动态维护的部分详细讨 论。下面对于服务器端的数据库的构建及动态维护进行下说明。如图2所示,为根据本发明实施例所述的基于云的样本数据库动态维护方法流程 图,首先,由客户端计算机收集程序特征及其对应的程序行为,并传送至服务器端(步骤 202);然后在服务器端数据库中记录不同的程序特征及其对应的程序行为,以及黑/白名 单(步骤204);根据现有已知黑/白名单中的程序特征及其对应的程序行为,对未知程序 特征及程序行为进行分析,以更新黑/白名单(步骤206)。由于在数据库中记录了程序特征及该特征对应的行为记录,因此可以结合已知黑 /白名单对未知程序进行分析。例如,如果未知程序特征与现有黑/白名单中的已知程序特征相同,则将该未知 程序特征及其程序行为都列入黑/白名单。如果未知程序行为与现有黑/白名单中的已知程序行为相同或近似,则将该未知 程序行为及其程序特征都列入黑/白名单。由于有些恶意程序通过变种或加壳等技术可以改变特征码,但其行为则不会有很 大改变,因此,通过程序行为记录的对比分析,可以较为便捷的确定一些未知程序是否为恶 意程序。这种对比分析有时候不需要对程序的行为本身做追踪分析,只需要简单的与现有 黑/白名单中的已知程序行为做比对即可判定未知程序的性质。通过数据库中的记录分析,我们可以发现,有一些程序的行为相同或近似,但程序 特征不同,这时,只要我们在具有相同或近似行为的程序之间建立行为与特征的关联关系, 并根据这种关联关系,就可以更便捷的对未知程序特征及程序行为进行分析,以更新黑/ 白名单。如图3所示,为根据本发明实施例所述的关联关系示意图。假设未知程序A、B和 C的特征分别为A、B和C,其各自对应的程序行为为Al A4,Bl B4,Cl C4。如果经过
8分析发现程序行为Al A4,Bl B4,Cl C4之间实质上相同或非常近似,那么就可以在 特征A、B、C和行为Al A4,Bl B4,Cl C4之间建立特征与行为的关联关系。通过这种关联关系,在某些条件下可以更加快捷的自扩展的对数据库进行维护。 例如,当程序B的程序行为Bl B4被确认为恶意程序行为并被列入黑名单时,可以在数据 库中自动将与该程序行为对应的程序特征B列入黑名单,同时,根据关联关系,可以自动将 与该程序行为有关联关系的程序行为Al A4,Cl C4及对应的程序特征A,特征C也列 入黑/白名单。再例如,如果最初时程序A、B和C都属于黑白未知的程序,而经由其他恶意程序查 杀途径,程序特征B首先被确认为属于恶意程序的特征,则在数据库中不仅可以自动将行 为Bl B4的组合列入黑名单,还可以根据关联关系,将具有相同或近似行为的特征A和C 也列入黑名单,并将程序行为Al A4,Cl C4也列入黑名单。本发明由于在数据库中记录了程序特征对应的行为,这就使得对未知程序的行为 分析提供了很大的便利。例如,如果对加载驱动的行为感兴趣时,可以将全部带有加载驱动 行为的程序行为调出来综合分析,如果现有黑名单中带有加载驱动行为的样板中,在加载 驱动之后一般都跟随一个特殊的文件生成行为,那么对于未知程序中同样带有类似行为组 合的程序行为就应列入风险提示或直接列入黑名单。本发明上述分析方法不限于此,还可以利用类似于决策树,贝叶斯算法,神经网域 计算等方法,或者使用简单的阈值分析,都可以在本发明的数据库基础上得到很好的应用。此外,还可以在数据库中针对被列入黑名单的程序,进一步记录该程序的逆向行 为,以在确认客户端计算机中存在该被列入黑名单的程序时,执行所述逆向行为。例如,根据前台收集到的信息,在依据云查杀或其他如特征码方式查出某个程序 是恶意程序后,可以根据所述记录的逆向行为执行恢复动作。对于一些无法通过执行逆向行为得到恢复的文件,还可以通过替换的方式得到恢 复,如图4所示,为根据本发明实施例所述的文件恢复流程图,首先在数据库中针对被列入 黑名单的程序,根据该程序的行为,确定客户端计算机被感染文件的信息(步骤402);然后 根据被感染文件的信息,将存储于数据库中的一份完好的对应文件下载至客户端计算机中 覆盖被感染文件(步骤404)。对于被感染文件的信息的获取,可以通过文件路径,系统版本,相关联到的应用程 序组件等信息在数据库中查询确定。另外,由于本发明利用大量客户端计算机收集程序行为和程序特征的方式将相关 信息记录于数据库中,因此,还可以通过监测分析某一程序在短时期内的传播速度来判定 程序的属性。请参考图5,为根据本发明实施例所述的分析流程示意图,首先在数据库中进 一步记录在一预设时间内由不同客户端计算机收集到的相同的程序特征的数量变化(步 骤502);然后根据所述程序特征的数量变化,对未知程序特征及程序行为进行分析,以更 新黑/白名单(步骤504)。例如,如果在一预设时间内,由不同客户端计算机收集到的某个未知程序特征的 数量增减超过阈值,则在数据库中将该程序特征及其对应的程序行为列入黑名单。利用这种方式,将前台采集到的程序信息传到后台服务器集群,如果这个程序是 一个木马程序,但它不再做任何传播,则是一个安安静静的死马,这时就可以认为这个木马没有威胁,但如果这个木马又传播到一个新的机器里面,则利用本发明就可以很快感知到, 因为这台客户端计算机也会向服务器报告,当100、500、1000台机器报告了,服务器数据库 就会统计收集到的数量增长的信息,并进行分析和反馈,在一个很短的时间内该程序的增 长数量超过了阈值,或者出现了很多与这个程序的行为具有相似行为的变形程序,利用本 发明就可以自动的进行分析和判定,一旦判断完成就可以加入黑名单中,并且利用本发明 还可以动态的自扩展的更新数据库黑名单,极大的提高了数据库维护以及程序分析的效 率。 上述说明示出并描述了本发明的若干优选实施例,但如前所述,应当理解本发明 并非局限于本文所披露的形式,不应看作是对其他实施例的排除,而可用于各种其他组合、 修改和环境,并能够在本文所述发明构想范围内,通过上述教导或相关领域的技术或知识 进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围,则都应在本发 明所附权利要求的保护范围内。
权利要求
一种基于云安全的主动防御方法,其特征在于,包括客户端对其上一程序发起的程序行为和/或发起该行为的程序的程序特征进行收集,发送到服务器端;服务器端根据所述客户端发来的程序特征和/或程序行为在其数据库中进行分析比对,根据比对结果对所述程序进行判定,并反馈给所述客户端;所述客户端根据反馈的判定结果决定是否对该程序行为进行拦截、终止执行该程序和/或清理该程序,恢复系统环境。
2.如权利要求1所述的方法,其特征在于,所述程序行为,包括所述程序行为的本体 及该程序行为的目标的属性;所述程序行为的目标的属性,还包括行为目标本身所属的 黑白等级、所处于系统中的位置、类型、行为目标所作出行为本体及其所属的黑白等级。
3.如权利要求1所述的方法,其特征在于,所述服务器端根据所述客户端发来的其上 发起该行为的程序的程序特征,与所述数据库保存的黑名单的特征码进行比对,如果命中, 则判定所述程序为恶意程序,并反馈给所述客户端。
4.如权利要求2所述的方法,其特征在于,所述服务器端根据所收集到的所述客户端 上一程序作出的一串程序行为,与所述数据库保存的认定的恶意行为序列进行比对,对其 中命中的程序行为的权重值进行累加,并比对该累加值是否超过一预设阈值,如果超过所 述阈值则判定所述程序为恶意程序,并反馈给对应的客户端计算机。
5.如权利要求4所述的方法,其特征在于,所述服务器端对其数据库中保存的各恶意 行为赋予相应的权重值,权重值的设置根据技术人员经验或根据所收集的大量客户端数据 通过统计学计算获得。
6.如权利要求2所述的方法,其特征在于,所述服务器端根据所收集到的所述客户端 上一程序作出的一串程序行为,与所述数据库保存的认定的恶意行为序列进行比对,对其 中命中的程序行为的权重值进行累加,并比对该累加值是否超过一预设阈值,如果超过所 述阈值则对所述程序进行分析,获取其特征码,根据其特征码与所述数据库保存的黑名单 的特征码进行比对,如果命中,则判定所述程序为恶意程序,并反馈给所述客户端。
7.如权利要求3、4或6所述的方法,其特征在于,服务器端根据所述程序特征和/或程 序行为在其数据库中进行分析比对,根据比对结果对所述程序进行判定的步骤,还包括一 更新步骤所述服务器端将所述恶意程序的程序特征和/或恶意程序行为实时或周期性更新到 所述数据库保存。
8.如权利要求2所述的方法,其特征在于,客户端对一程序行为和/或发起该行为的程 序的程序特征进行收集并发送到服务器端的步骤之前,还包括;由客户端收集程序特征及其对应的程序行为,并传送至服务器端;在服务器端数据库中记录不同的程序特征及其对应的程序行为,以及黑/白名单;根据现有已知黑/白名单中的程序特征及其对应的程序行为,对未知程序特征及程序 行为进行分析,以更新黑/白名单。
9.如权利要求8所述的方法,其特征在于,所述对未知程序特征及其程序行为进行分 析的步骤,包括如果未知程序特征与现有黑/白名单中的已知程序特征相同,则将该未知程序特征及其程序行为列入黑/白名单;如果未知程序行为与现有黑/白名单中的已知程序行为相同或近似,则将该未知程序 行为及其程序特征列入黑/白名单;当某程序行为被列入黑/白名单时,在数据库中将该程序行为对应的程序特征列入黑 /白名单,并将与该程序行为有关联关系的其他程序行为和程序特征也列入黑/白名单;和 /或当某程序特征被列入黑/白名单时,在数据库中将该程序特征对应的程序行为列入黑 /白名单,并将与该程序特征有关联关系的其他程序行为和程序特征也列入黑/白名单。
10.如权利要求9所述的方法,其特征在于,进一步包括在具有相同或近似行为的程序之间建立行为与特征的关联关系,根据所述具有相同或 近似行为的程序之间的关联关系,对未知程序特征及程序行为进行分析,以更新黑/白名在数据库中针对被列入黑名单的程序,进一步记录该程序的逆向行为,以在确认客户 端计算机中存在该被列入黑名单的程序时,执行所述逆向行为;在数据库中针对被列入黑名单的程序,根据该程序的行为,确定客户端计算机被感染 文件的信息,根据被感染文件的信息,将存储于数据库中的一份完好的对应文件下载至客 户端计算机中覆盖被感染文件;和/或在数据库中进一步记录在一预设时间内由不同客户端计算机收集到的相同的程序特 征的数量变化,如果在一预设时间内,由不同客户端计算机收集到的某个未知程序特征的 数量增减超过阈值,则在数据库中将该程序特征及其对应的程序行为列入黑名单。
全文摘要
本发明公开了一种基于云安全的主动防御方法,包括客户端对其上一程序发起的程序行为和/或发起该行为的程序的程序特征进行收集,发送到服务器端;服务器端根据所述客户端发来的程序特征和/或程序行为在其数据库中进行分析比对,根据比对结果对所述程序进行判定,并反馈给所述客户端;所述客户端根据反馈的判定结果决定是否对该程序行为进行拦截、终止执行该程序和/或清理该程序,恢复系统环境。本发明引入云安全架构并基于主动防御使用行为特征进行恶意程序查杀,保证了网络安全。
文档编号H04L29/06GK101924762SQ201010256989
公开日2010年12月22日 申请日期2010年8月18日 优先权日2010年8月18日
发明者余和, 周鸿祎, 范纪锽, 郑文彬 申请人:奇智软件(北京)有限公司