安全应用的服务器检测方法及其系统的制作方法
【技术领域】
[0001]本发明涉及安全应用检测的技术领域,尤其涉及一种安全应用的服务器检测方法,以及一种安全应用的服务器检测系统。
【背景技术】
[0002]互联网技术的快速发展给人们生活带来越来越多的便利。人们通过互联网可以方便的分享和下载各类资料、获取各类重要信息、在线支付账单等。与此同时,互联网的安全形势也不容乐观,各类木马病毒伪装成正常文件肆意传播,钓鱼网站模仿正常网站盗取用户帐号密码愈演愈烈。因此,安全应用开始受到越来越多的重视。
[0003]传统的安全应用对于恶意样本的检测主要部署在客户端,例如对于文件安全性的判定是通过将文件与本地病毒特征库相比对,如果通过所述本地病毒特征库可以匹配到,则认为文件有害,否则文件就是安全的,检测时客户端不需要连接互联网。然而,由于本地病毒特征库更新缓慢,传统安全应用对于新型攻击的响应太慢,因此越来越多安全应用厂商开始建立自己的云安全体系。
[0004]云安全应用对于恶意行为的检测逻辑主要部署在服务端(即云端),客户端软件需要在联网环境下工作。以反钓鱼检测模块为例,当用户访问某网站时,客户端会截获当前网址,将其发送到服务端做安全性查询,服务端返回查询结果给客户端。如果查询结果为恶意网站,客户端就会做相应的拦截操作。
[0005]目前对于安全应用的检测,通常是选定一批检测样本,包括恶意样本和安全样本,测试安全应用对其是否拦截。依据评测功能的不同,样本可以有不同的表现形式,例如:如果是测试安全应用的防病毒木马功能,这里的样本就是文件;如果是测试防恶意网站功能,这里的样本就是URL (Uniform Resoure Locator,统一资源定位器);如果是测试恶意电话标记功能,这里的样本就是电话号码,如图1所示。目前主流的安全应用检测方法均采用这一方法。
[0006]然而,传统的安全应用检测方法适应于传统的客户端安全应用,而对于云安全应用则显得不再合适了。通常的云安全应用对于首次出现的恶意样本,由于其未在服务端中识别过,因此通常其认定为安全。因此,如果按照现有评测方法,选取100条恶意URL检测某云安全应用的识别能力,发现该云安全应用对所有样本均未拦截,因此得到本次检测其对恶意URL的覆盖率为0%。而实际情况可能是,这100条URL对于云安全应用都是首次遇至IJ,因此,未能立即拦截,而在首次检测之后的一段时间内,服务端可能对这些URL进行自动分析检测,根据所述URL爬取相关的网页内容进行安全性分析后,得到这100条URL全部为恶意URL的结论。则之后如果再次检测,则云安全应用对这100条URL都会拦截。实际上,云安全应用对于这类恶意URL的识别率为100%,因此传统的安全应用的检测方法对于云安全应用的检测准确度不高。
【发明内容】
[0007]基于此,针对如何提高对云安全应用的检测准确度的问题,本发明提供一种安全应用的服务器检测方法,能够通过对云安全应用的服务端的检测,提高对云安全应用的检测准确度。
[0008]一种安全应用的服务器检测方法,包括以下步骤:
[0009]获取多个安全状态已知的检测样本;
[0010]连接待测安全应用的服务器,将所述检测样本发送到所述服务器中进行检测,并查询所述检测样本在所述服务器的样本数据库中是否为已知样本;
[0011]如果所述检测样本在所述样本数据库中为已知样本,则获取所述待测安全应用的服务器对所述检测样本的检测结果;否则以预设时间周期循环查询所述样本数据库,直到查询所述检测样本在所述样本数据库中为已知样本后,获取所述待测安全应用的服务器对所述检测样本的检测结果;
[0012]将所述检测结果与所述检测样本已知的安全状态比较,判断所述待测安全应用的检测准确度。
[0013]对应于所述安全应用的服务器检测方法,本发明还提供一种安全应用的服务器检测方法,同样能够通过对云安全应用的服务端的检测,提高对云安全应用的检测准确度。
[0014]一种安全应用的服务器检测系统,包括:
[0015]样本获取模块,用于获取多个安全状态已知的检测样本;
[0016]查询模块,用于连接待测安全应用的服务器,将所述检测样本发送到所述服务器中进行检测,并查询所述检测样本在所述服务器的样本数据库中是否为已知样本;
[0017]检测模块,用于如果所述检测样本在所述样本数据库中为已知样本,则获取所述待测安全应用的服务器对所述检测样本的检测结果;否则以预设时间周期循环查询所述样本数据库,直到查询所述检测样本在所述样本数据库中为已知样本后,获取所述待测安全应用的服务器对所述检测样本的检测结果;
[0018]判断模块,用于将所述检测结果与所述检测样本已知的安全状态比较,判断所述待测安全应用的检测准确度。
[0019]本发明的安全应用的服务器检测方法及其系统中,通过连接所述待测安全应用的服务器,将检测样本直接在所述服务器中进行检测,并且查询各个检测样本在所述服务器的样本数据库中是否为已知样本,如果有部分检测样本为未知样本,则以预设时间周期循环查询所述样本数据库,直到查询所述检测样本在所述样本数据库中为已知样本后,再获取所述待测安全应用的服务器对所述检测样本的检测结果,由于测试样本首次遇到而无法识别的情况不会影响安全应用的检测结果,因此检测比较准确。
【附图说明】
[0020]图1是一种恶意电话标记安全应用的示意图;
[0021]图2是本发明一种安全应用的服务器检测方法的流程图;
[0022]图3是本发明一种安全应用的服务器检测系统的结构示意图;
[0023]图4是能实现本发明实施例的一个计算机系统的模块图。
具体实施例
[0024]为了使本发明的目的、技术方案和有点更加清楚,下面将结合附图对本发明作进一步地详细描述。
[0025]请参阅图2,其是本发明一种安全应用的服务器检测方法的流程图。
[0026]所述安全应用的服务器检测方法包括以下步骤:
[0027]S101,获取多个安全状态已知的检测样本;
[0028]S102,连接待测安全应用的服务器,将所述检测样本发送到所述服务器中进行检测,并查询所述服务器的检测样本在所述样本数据库中是否为已知样本;
[0029]S103,如果所述检测样本在所述样本数据库中为已知样本,则获取所述待测安全应用的服务器对所述检测样本的检测结果;否则以预设时间周期循环查询所述样本数据库,直到查询所述检测样本在所述样本数据库中为已知样本后,获取所述待测安全应用的服务器对所述检测样本的检测结果;
[0030]S104,将所述检测结果与所述检测样本已知的安全状态比较,判断所述待测安全应用的检测准确度。
[0031 ] 本发明的安全应用的服务器检测方法,通过连接所述待测安全应用的服务器,将检测样本直接在所述服务器中进行检测,并且查询各个检测样本在所述服务器的样本数据库中是否为已知样本,如果有部分检测样本为未知样本,则以预设时间周期循环查询所述样本数据库,直到查询所述检测样本在所述样本数据库中为已知样本后,再获取所述待测安全应用的服务器对所述检测样本的检测结果,由于测试样本首次遇到而无法识别的情况不会影响安全应用的检测结果,因此检测比较准确。
[0032]其中,对于步骤S101,获取多个安全状态已知的检测样本。
[0033]所述检测样本包括所述检测样本包括文件、统一资源定位符或者电话号码等。
[0034]所述检测样本可以预先选定,所述检测样本可以预先通过多种检测方式获取其安全状态,即为恶意样本或者是安全样本。
[0035]所述检测样本也可以根据检测需要来获取,例如假设本次检测需要100个恶意URL样本和100个安全URL样本,则可以分别在互联网上找到符合相关定义的恶意URL和安全URL,从而获得相应的检测样本。
[0036]对于步骤S102,连接待测安全应用的服务器,将所述检测样本发送到所述服务器中进行检测,并查询所述检测样本在所述服务器的样本数据库中是否为已知样本。
[0037]所述安全应用优选为云安全应用,所述服务器优选为云安全应用的服务器,例如云安全病毒木马防止软件的云服务器,或者恶意网站检测应用的云服务器,又或者恶意电话标记程序的云服务器等。
[0038]连接所述待测安全应用的服务器时,可根据所述待测安全应用的服务器地址与所述服务器建立数据连接,然后将所述检测样本发送到所述服务器中进行检测。
[0039]所述服务器根据其本身的样本数据库中保存的各个恶意样本对检测样本进行识另IJ,得到检测结果。其中对于已知样本,即所述服务器的样本数据库中已经有保存记录的样本,所述服务器可以直接识别;而对于未知样本,即所述服务器的样本数据库中未保存记录的样本,所述服务器无法直接识别,可能得到安全判断结