一种基于多鉴定器集合的病毒在线检测方法
【专利摘要】一种基于多鉴定器集合的病毒在线检测方法,涉及计算机病毒检测。1)样本准备阶段;2)Map阶段;3)Reduce阶段;4)后台定时处理阶段。基于Hadoop分布式计算框架,提出了一种着眼于整个互联网防御的安全体系:在线病毒检测模型。其中Map与Reduce阶段借助Hadoop的分布式计算框架实现。在线病毒检测模型融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中病毒、木马等恶意软件的最新信息,传送到服务端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。
【专利说明】一种基于多鉴定器集合的病毒在线检测方法
【技术领域】
[0001] 本发明涉及计算机病毒检测,尤其是涉及一种基于多鉴定器集合的病毒在线检测 方法。
【背景技术】
[0002] Internet改变了人们生活方式和工作方式,但是,在互联网高速发展的同时,网络 安全问题也日益严重。计算机病毒数量不断增多,传播日益广泛,给世界各国带来了巨大的 经济损失。
[0003] 近年来,攻击者一直在努力研究攻击能力和生存能力更强的病毒代码。目前病毒 代码日趋复杂和完善;病毒编制方法及发布速度更加的迅速。传统的杀毒模式已不适应新 的网络安全形势。
【发明内容】
[0004] 本发明的目的在于针对现有技术的不足,提供一种基于多鉴定器集合的病毒在线 检测方法。
[0005] 本发明包括如下步骤:
[0006] 1)样本准备阶段;
[0007] 2) Map 阶段;
[0008] 3) Reduce 阶段;
[0009] 4)后台定时处理阶段。
[0010] 在步骤1)中,所述样本准备阶段的具体步骤如下:
[0011] 1.1上传样本;
[0012] 1.2文件类型检测器;
[0013] 1.3解压缩模块。
[0014] 在步骤1)第1. 1部分中,所述上传样本的具体步骤如下:
[0015] (1)计算文件的shal值;
[0016] (2)与服务端Shal匹配;
[0017] (3)客户端样本文件上传;
[0018] ⑷服务端样本接收。
[0019] 在步骤1)第1. 2部分中,所述文件类型检测器用于检测上传的样本文件是否符合 后续检测流程处理的样本类型。
[0020] 在步骤1)第1.3部分中,所述解压缩模块用于对压缩文件进行解压,并将解压后 的所有文件放到文件类型检测器的输入队列。
[0021] 在步骤2)中,所述Map阶段,是根据鉴定的方式,鉴定器包括以下类型:
[0022] 2. 1特征扫描鉴定器集合,该部分类型的鉴定器利用传统的病毒检测方法,对特 定位置或标记进行扫描,快速对样本进行鉴定;
[0023] 2. 2静态鉴定器集合,该部分类型的鉴定器通过对样本文件进行静态特征提取、 特征选择,而后构成特征向量,在输入分类器后,由分类器给出鉴定结果;
[0024] 2. 3动态鉴定器集合,该部分类型的鉴定器首先通过特征提取,获取动态特征,然 后进行特征选择,最后输入到分类器,由分类器给出鉴定结果;
[0025] 2. 4企业杀毒软件鉴定器集合,该部分类型的鉴定器把杀毒软件作为整个检测模 型的一部分,并获得相应杀毒软件对输入样本的鉴定结果。
[0026] 在步骤3)中,所述Reduce阶段,具体步骤如下:
[0027] 3. 1鉴定结果跟S示存储区;
[0028] 3. 2鉴定结果综合集成。
[0029] 在步骤3)的第3. 1部分中,所述鉴定结果跟踪存储区,具体步骤是:根据跟踪位的 变化,取出相应位的结果进行综合集成,并将当前动态结果反映到客户端,直至所有跟踪位 都变化,客户端得到最终结果。
[0030] 在步骤3)的第3. 2部分中,所述鉴定结果综合集成,具体步骤如下:
[0031] 对于计算机病毒检测数据类型仅有两类,即正常程序与病毒程序,基于D-S证据 理论,构造如下识别框架:
[0032]
【权利要求】
1. 一种基于多鉴定器集合的病毒在线检测方法,其特征在于包括如下步骤: 1) 样本准备阶段; 2. Map阶段; 3. Reduce 阶段; 4) 后台定时处理阶段。
2. 如权利要求1所述一种基于多鉴定器集合的病毒在线检测方法,其特征在于在步骤 1)中,所述样本准备阶段的具体步骤如下: 1. 1上传样本; 1. 2文件类型检测器; 1.3解压缩模块。
3. 如权利要求2所述一种基于多鉴定器集合的病毒在线检测方法,其特征在于在步骤 1)第1. 1部分中,所述上传样本的具体步骤如下: (1)计算文件的shal值; ⑵与服务端Shal匹配; (3) 客户端样本文件上传; (4) 服务端样本接收。
4. 如权利要求2所述一种基于多鉴定器集合的病毒在线检测方法,其特征在于在步骤 1)第1. 2部分中,所述文件类型检测器用于检测上传的样本文件是否符合后续检测流程处 理的样本类型。
5. 如权利要求2所述一种基于多鉴定器集合的病毒在线检测方法,其特征在于在步骤 1) 第1. 3部分中,所述解压缩模块用于对压缩文件进行解压,并将解压后的所有文件放到 文件类型检测器的输入队列。
6. 如权利要求1所述一种基于多鉴定器集合的病毒在线检测方法,其特征在于在步骤 2) 中,所述Map阶段,是根据鉴定的方式,鉴定器包括以下类型: 2. 1特征扫描鉴定器集合,该部分类型的鉴定器利用传统的病毒检测方法,对特定位 置或标记进行扫描,快速对样本进行鉴定; 2. 2静态鉴定器集合,该部分类型的鉴定器通过对样本文件进行静态特征提取、特征 选择,而后构成特征向量,在输入分类器后,由分类器给出鉴定结果; 2. 3动态鉴定器集合,该部分类型的鉴定器首先通过特征提取,获取动态特征,然后进 行特征选择,最后输入到分类器,由分类器给出鉴定结果; 2. 4企业杀毒软件鉴定器集合,该部分类型的鉴定器把杀毒软件作为整个检测模型的 一部分,并获得相应杀毒软件对输入样本的鉴定结果。
7. 如权利要求1所述一种基于多鉴定器集合的病毒在线检测方法,其特征在于在步骤 3) 中,所述Reduce阶段,具体步骤如下: 3. 1鉴定结果跟踪存储区; 3. 2鉴定结果综合集成。
8. 如权利要求7所述一种基于多鉴定器集合的病毒在线检测方法,其特征在于在步骤 3)的第3. 1部分中,所述鉴定结果跟踪存储区,具体步骤是:根据跟踪位的变化,取出相应 位的结果进行综合集成,并将当前动态结果反映到客户端,直至所有跟踪位都变化,客户端 得到最终结果。
9.如权利要求7所述一种基于多鉴定器集合的病毒在线检测方法,其特征在于在步骤 3)的第3. 2部分中,所述鉴定结果综合集成,具体步骤如下: 对于计算机病毒检测数据类型仅有两类,即正常程序与病毒程序,基于D-S证据理论, 构造如下识别框架:
式中,N表示正常程序,A表示病毒程序,其中Ν Λ A = 0,基本信度函数定义为:
对于一给定的上传样本X,其关于某个鉴定器e(i)的基本信度函数值计算方法如下:
式中 TP1,FP1,TN1,FN1 分别是某个鉴定器的 True Positive,False Positive,True Negative 和 False Negative,具体如表 1 所不: 表1、鉴定器性能评价参数
TP rate = True Positives/P ;FP rate = False Positives/N FN rate = False Negatives/P ;TN rate = True Negatives/N 然后,根据Dempster规则将各个成员鉴定器的基本信度分配函数进行组合:
其中,对于特定输出结果A,
最后鉴定结果综合输出为:
其中,Bel为信任函数,
,对应于本发明中单输出结果的情况,Bel (A) =m (A)。
10.如权利要求1所述一种基于多鉴定器集合的病毒在线检测方法,其特征在于在步 骤4)中,所述后台定时处理阶段,具体分为如下四个模块: 4. 1快速特征提取模块,该模块对应于特征扫描鉴定器集合的优化,可用的快速特征提 取方法包括对病毒文件提取其特征代码,或者提取病毒的签名; 4. 2黑/白样本训练模块,该模块对应于静态鉴定器集合和动态鉴定器集合的优化,通 过为分类器提供大量的已知黑/白样本作为训练数据,不断优化分类器的参数,提高分类 器的样本鉴定水平; 4. 3鉴定器性能评估模块,该模块通过定时的对鉴定器的性能进行评估,并将其性能参 数作为其综合集成的基本信度函数值; 4. 4分析员人工鉴定模块,该模块需要分析员人工处理一些特殊情况的样本,例如,一 些似是而非的病毒样本,一些模型不能准备判断的样本。
【文档编号】H04L29/06GK104123501SQ201410383497
【公开日】2014年10月29日 申请日期:2014年8月6日 优先权日:2014年8月6日
【发明者】洪志令, 吴梅红 申请人:厦门大学