云安全恶意程序判断系统及方法与流程

云安全恶意程序判断系统及方法[技术领域]本发明属于计算机安全领域，具体涉及云安全恶意程序判断系统及方法。[

背景技术：
]随着云计算的发展，利用云安全进行恶意程序分析、判断和决策是恶意程序防治的一个必然趋势。由于现有商业模式的限制，360、趋势等公司推出的“云杀毒”产品的云端由多个单一类型的检测引擎构成，这在一定程度上提升了恶意程序的检测速度，但并不能提高检测的范围和精度。另外，当前的云安全系统过分强调服务器构成的“云”对恶意代码的防御，而忽视用户终端设备的能力。这种路线容易造成以下不利局面：1.容易导致云端的性能瓶颈问题。在当前的云安全体系中，客户端与云端各司其责，客户端负责恶意风险的收集与上传，而云端负责恶意程序的综合分析与解决方案的分发。随着云安全规模的不断扩大，一方面势必对云端的恶意分析能力提出更高要求，海量的客户端实时请求容易导致云端的处理瓶颈；另一方面，云端大量恶意解决方案的实时分发对网络带宽要求很高，现有的网络环境容易造成云端的访问瓶颈。2.不利于用户之间互相通报恶意代码信息。集中式的云端恶意程序解决方案分发决定了客户端间存在接收延迟，这给恶意程序提供了可趁之机。客户端被动地接收来自云端的恶意代码信息，使得恶意代码的网络生命周期仍然较长，造成的危害和损失仍然较大。3.对客户端系统性能影响较大。虽然当前的云安全系统将恶意程序判断工作 从客户端转移至云端，在某种程度上减轻了客户端负载。但随着系统的运行，相比传统的客户端杀毒软件的特征库，云端的恶意代码信息显然更为庞大，在日常运行过程中占用的系统开销较大，影响客户端的系统性能。为了提高云端恶意程序判断的准确性和覆盖面，异构检测引擎构成的云端技术路线日益受到学术界和产业界的关注。虽然这种技术路线可以提高云端恶意程序判断的能力，但并不能解决客户端恶意代码信息通报和性能影响等问题。不管是单一类型检测引擎还是异构检测引擎构成的云端技术路线，在系统实际运行过程中，所有客户端必须全天候保持在线才能实现高质量安全防护。一旦与云端失去连接(即离线状态下)，客户端便丧失对最新恶意程序的免疫力，而如何保证离线状态下的客户端计算机安全尚无较好的应对策略。[

技术实现要素：
]本发明的目的在于克服上述不足之处，提供一种云安全恶意程序判断系统及方法。云安全恶意程序判断系统，其包括：云端101，客户端105，虚拟防御组1040，站点100；云端101，其包括多种异构检测引擎1010和云端检测结果数据库1011，用于接收和处理来自客户端105的恶意风险实时请求；多种异构检测引擎1010，部署在物理机或虚拟机中，用于综合分析客户端105上传的可疑文件的安全性；云端检测结果数据库1011，用于存储所有客户端105提交的恶意风险处理结果；客户端105，其包括一个轻量级恶意代码防御软件1050；轻量级恶意代码软件1050，其包括一个轻量级恶意检测引擎10500和本地 特征库10501；轻量级恶意检测引擎10500，用于上传日常遭遇的恶意风险和接收来自云端101以及其它客户端105的恶意解决方案；本地特征库10501，用于存储当前流行的恶意代码信息；站点100，其包括客户端105所需的各种信息，是客户端105进行信息浏览和下载的资源库；虚拟防御组1040，其包括一定数量规模的客户端105用户群，一般为一个局域网内地理位置相对集中的小规模客户端105，从几个到一百个不等，具体由组内所有客户端105访问云端101的平均网络带宽决定，同属一个虚拟防御组1040的成员间可以相互交流恶意代码信息。更进一步地，所述的虚拟防御组1040内某个在线客户端105被云端101更新了本地特征库10501，该客户端105便在组内发出广播信息，组内其它成员便可直接与该客户端105完成最新特征码同步工作。更进一步地，所述的虚拟防御组1040内任何客户端105一旦完成了特征库10501更新任务即转换为“服务端”角色，方便其他未更新客户端105访问。更进一步地，所述的客户端105可以同时属于几个虚拟防御组1040，因此完成了虚拟防御组1040间相互交流恶意代码信息的功能。基于所述系统，提出了云安全恶意程序判断方法；云安全恶意程序判断方法，其工作模式分为在线模式和离线模式；在线模式，其指客户端105与云端101保持连接，能正常通信；离线模式，其指客户端105与云端101失去连接，不能正常通信；云安全恶意程序判断方法，其在线模式包括如下步骤：(1)在云端101部署至少两种不同类型的检测引擎1010；(2)在客户端105运行时，拦截用户程序访问或者执行操作，对该文件的唯一标识采用MD5或SHA1算法进行Hash；(3)若文件的哈希值存储在本地特征库10501，则直接返回决策结果；否则，向云端101发送查询消息，若找到则返回检测结果，否则通知终端用户上传文件；(4)客户端105上传文件至服务器后，云端101启动多种检测引擎1010进行并行检测，并返回检测结果；(5)针对各种检测引擎1010的检测结果，运用综合判断算法进行综合决策，并向客户端105反馈检测信息；(6)将该文件的文件名、文件大小、Hash值、检测结果、查询次数等信息写入云端数据库1011，方便下次查询；(7)判断该文件是否为当前流行恶意代码，若是则写入本地特征库10501。更进一步地，所述的(2)步骤中的唯一标识是根据文件内容计算所得，只有两个完全一样的文件的唯一标识才相同。更进一步地，所述的(3)步骤中的本地特征库10501并不与系统运行时间呈线性关系，而是处于一个相对稳定的规模范围。更进一步地，所述的(7)步骤中的当前流行恶意代码的判定规则为：单位时间内，若某文件在云端数据库1011中的查询次数超过预设阈值，且云端101综合判定结果显示恶意，则判定该文件为当前流行恶意代码。更进一步地，所述的当前流行恶意代码是根据时间间隔或病毒活跃度来淘汰原有过期记录。云安全恶意程序判断方法，其在线模式下云端101随机选取虚拟防御组1040内任意某个在线客户端105进行最新恶意代码的更新操作。云安全恶意程序判断方法，其在线模式下客户端105既可能通过外网(因特网)102从云端1011获取当前流行恶意代码信息，又能通过内网(局域网)与其它已更新本地特征库10502的组内客户端105完成本地特征库10501的同步。云安全恶意程序判断方法，其离线模式下客户端105根据其所在虚拟防御组1040内其它已更新本地特征库10502的客户端105来维持最新状态，即通过内网完成本地特征库10501的同步。本发明具有以下优点及效果：1.客户端105的低开销。本发明提出的客户端105轻量级恶意代码防御软件1050，其本地特征库10501相比当前云杀毒软件而言规模较小，且始终维持在一个稳定范围内。因此，客户端105系统性能并不受系统运行时间影响。2.云端101的低开销。云端101不必向每个客户端105分发恶意解决方案，而以虚拟防御组1040为单位分发，避免了云端101的访问瓶颈。具体来说，在网络带宽受限或系统访问量巨大的环境中，若按传统云安全思想仍由云端101分发恶意代码解决方案，则容易造成网络拥塞和服务质量低效等问题。3.保障了客户端105的离线安全。本发明提出的客户端105轻量级恶意代码防御软件1050，其本地特征库10501维护的是当前流行的病毒特征码，在离线状态时可通过内网来维持本地特征库10501的更新，增强了客户端105对当前流行恶意代码的免疫力。4.检测引擎的多样性。由于单一类型检测引擎可能对某些类型的恶意程序检测十分有效，但是对于其它类型的恶意程序可能存在缺陷。如果云端101采用多个单一类型的检测引擎将存在一定的限制，而采用多检测引擎1010保证了检测技术的多样性，从而提高恶意检测的覆盖面。5.检测结果的准确性。当采用多检测引擎1010进行并行检测后，再采用综合判断算法融合各检测结果，可以有效提高恶意检测的正确性。6.检测过程的高效性。当访问或执行某个文件前，先计算其唯一标识，然后根据其标识值来判断该文件是否已经被检测过。若已经被检测，则由客户端105或者云端101直接反馈判断结果；否则，上传至云端101检测。换言之，并不是每次访问文件或执行程序都需要上传检测，而只是在未命中时才上传。当大量用户同时运行系统时，命中率可以高达95％以上。[附图说明]图1为云安全恶意程序判断系统网络拓扑图；图2为云安全恶意程序判断方法在线模式下恶意检测流程图；图3为客户端轻量级恶意代码防御软件示意图；图4为客户端本地特征库的同步方式；图5为当前流行恶意代码的判定流程图；图6为虚拟防御组客户端特征库更新示意图。[具体实施方式]下面结合附图对本发明进一步作详细说明。图1说明了云安全恶意程序判断系统的网络拓扑图，客户端105通过因特网102与云端101和站点100连接，站点100是客户端105进行信息浏览和下载的资源库，而云端101负责处理客户端105日常提交的恶意风险请求。客户端105以虚拟防御组1040的形式进行组织，一个虚拟防御组1040一般为同属一个局域网地理位置相对集中的小规模客户端105。比如，可将规模较大(即客 户端数量较多)的局域网(103)划分为客户端数量相当的第一虚拟防御组(1030)和第二虚拟防御组(1031)，其中交叉部分的客户端105同属于第一虚拟防御组(1030)和第二虚拟防御组(1031)。虚拟防御组1040的一个重要功能是：同属一个虚拟防御组1040的成员间可以相互交流恶意代码信息。换言之，客户端105既可以从云端101获取当前流行恶意代码信息，也可从已更新本地特征库10502的客户端105处获取。基于所述系统，本发明提出了云安全恶意程序判断方法。云安全恶意程序判断方法的工作模式分为在线模式和离线模式，在线模式为客户端105与云端101能够正常通信，而离线模式则为客户端105与云端101失去连接。图2说明了云安全恶意程序判断系统在线模式下恶意检测流程图，具体来说，其包括以下步骤：(1)在云端101部署至少两种不同类型的检测引擎1010；(2)在客户端105运行时，拦截用户程序访问或者执行操作，对该文件的唯一标识采用MD5或SHA1算法进行Hash；(3)若文件的哈希值存储在本地特征库10501，则直接返回决策结果；否则，向云端101发送查询消息，若找到则返回检测结果，否则通知终端用户上传文件；(4)客户端105上传文件至服务器后，云端101启动多种检测引擎1010进行并行检测，并返回检测结果；(5)针对各种检测引擎1010的检测结果，运用综合判断算法进行综合决策，并向客户端105反馈检测信息；(6)将该文件的文件名、文件大小、Hash值、检测结果、查询次数等信息写入云端数据库1011，方便下次查询；(7)判断该文件是否为当前流行恶意代码，若是则写入本地特征库10501。下面用一个实施例来说明上述过程。客户端105访问某站点100如站点1下载文件A至本地，其轻量级恶意代码防御软件1050计算A的唯一标识。若唯一标识存储在本地特征库10501或云端检测结果数据库1011中，则直接反馈检测结果；否则通知用户上传A，待云端101检测完毕后返回检测结果。同时云端101将A的相关信息，如文件名、文件大小、Hash值、检测结果、查询次数等写入云端检测结果数据库1011中，方便下次查询。在此基础上，云端101继续判断A是否为当前流行恶意代码，若是则写入客户端105本地特征库10501。至此，本次恶意检测结束。需要注意的是，云端101是以虚拟防御组1040为单位将当前流行恶意代码写入客户端105本地特征库10501。而对于离线模式，客户端105部署了轻量级的恶意代码防御软件1050，见图3所示，其本地特征库10501存储的是当前流行的恶意威胁特征码，也能为客户端101提供高质量的安全防护。图4描述了客户端105本地特征库10501的同步方式。在线模式下，客户端105既可能通过外网(因特网)102从云端101获取当前流行恶意代码信息(云端101随机选取虚拟防御组1040内任意某个在线客户端105)，又能通过内网(局域网)与其它已更新本地特征库10502的组内客户端105完成本地特征库10501的同步。离线状态下，客户端105则根据其所在虚拟防御组1040内其它已更新本地特征库10502的客户端105来维持最新状态，即通过内网完成本地特征库10501的同步。实际上，本发明中的客户端105是否在线并不影响其检测能力，因为离线状态下的客户端105也能实时地更新本地特征库10501，从而保证对最新恶意程序的免疫力也就是增强了离线安全。本发明采用一种简单方法来判断某个文件是否为当前流行的恶意代 码：单位时间内，若某文件在云端数据库1011中的查询次数超过预设阈值，且云端101综合判定结果显示恶意，则判定该文件为当前流行恶意代码。比如，我们约定流行恶意程序判定的预设阈值为：文件在云端结果数据库1011的查询频率为100次/分钟。对于某可疑文件A，若A在云端结果数据库1011中对应的综合检测结果字段为恶意，且A的云查询频率为120次/分钟，显然大于预设阈值，则认定A为当前流行恶意代码。图5描述了可疑文件是否为当前流行恶意代码的判断流程。需要特别说明的是，客户端105维护的是轻量级的恶意代码防御软件1050，其本地特征库10501并不与系统运行时间呈线性关系，而是处于一个相对稳定的规模范围。例如，约定客户端特征库10501的规模为2000条流行病毒特征码，当系统运行一段时间后，历史流行恶意代码总量超过了2000，则需要按一定规则将新的流行病毒特征码覆盖原有过期的记录。本发明提出了两种方法：(1)按时间间隔来淘汰那些距离当前时间较长的病毒特征码；(2)根据病毒活跃度来覆盖那些不太活跃的病毒特征码。这样做一方面可以保证客户端105能够智能地根据当前网络安全状况实时动态地更新本地特征库10501，增强对当前流行病毒的免疫力；另一方面可以最大程度上优化终端设备的性能，相比传统的终端设备杀毒软件或当前的云杀毒引擎，其本地特征库10501规模小而且相对稳定，占用的资源很少甚至可以忽略不计。考虑到云环境下的客户端105数量众多，容易造成系统访问瓶颈，因此本发明特别引入了“虚拟防御组”1040的概念。虚拟防御组1040的一个重要功能是：同属一个虚拟防御组1040的成员间可以相互交流恶意代码信息。具体来说，在网络带宽受限或系统访问量巨大的环境中，若按传统云安全思想仍由云端101分发恶意代码解决方案，则容易造成网络拥塞和服务质量低效等问题。比如， 局域网内分布着10000个客户端105，若采用当前集中式的恶意代码解决方案分发方式，则意味着云端101要实时更新和维护局域网内所有客户端105的本地特征库10501，容易造成网络拥塞和服务质量低效等问题。而采用虚拟防御组1040思想则可避免这种局面，云端101以虚拟防御组1040为单位分发恶意代码解决方案，换言之云端101根据虚拟防御组1040更新和维护本地特征库10501。比如，约定虚拟防御组1040的规模为50个客户端105，则上述局域网大约可划分为200个虚拟防御组1040，云端101只需实时更新和维护每个虚拟防御组1040内某个在线客户端105的本地特征库10501即可，这样将原来的10000个任务降为200个极大地节约了云端101的开销。一旦云端101更新了某个客户端105本地特征库10501，该客户端105便在组内发出广播信息，组内其它成员便可直接与该客户端105完成最新特征码同步工作。为了避免该客户端105成为新的“访问热点”，本发明约定任何终端设备105一旦完成了特征库10501更新任务即转换为“服务端”角色，方便其他未更新客户端105访问。进一步地，一个客户端105可以同时属于几个虚拟防御组1040，因此完成了虚拟防御组1040间相互交流恶意代码信息的功能。图6为所述虚拟防御组客户端特征库更新示意图。以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解本发明不受上述实施例的限制，上述实施例和说明书中描述的只是说明本发明的原理，在不脱离本发明的精神和范围前提下，本发明还会有各种变化和改进，这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等同物界定。