个存储设备1070。存储设备1070可以从多种计算机可读介质中选择,计算机可读介质是指可以通过计算机系统1000访问的任何可利用的介质,包括移动的和固定的两种介质。例如,计算机可读介质包括但不限于,闪速存储器(微型SD卡),CD-ROM,数字通用光盘(DVD)或其它光盘存储、磁带盒、磁带、磁盘存储或其它磁存储设备,或者可用于存储所需信息并可由计算机系统1000访问的任何其它介质。
[0116]计算机系统1000还包括输入装置1080和输入接口 1090(例如,10控制器)。用户可以通过输入装置1080,如键盘、鼠标、显示装置1040上的触摸面板设备,输入指令和信息到计算机系统1000中。输入装置1080通常是通过输入接口 1090连接到系统总线1022上的,但也可以通过其它接口或总线结构相连接,如通用串行总线(USB)。
[0117]计算机系统1000可在网络环境中与一个或者多个网络设备进行逻辑连接。网络设备可以是个人电脑、服务器、路由器、智能电话、平板电脑或者其它公共网络节点。计算机系统1000通过局域网(LAN)接口 1100或者移动通信单元1110与网络设备相连接。局域网(LAN)是指在有限区域内,例如家庭、学校、计算机实验室、或者使用网络媒体的办公楼,互联组成的计算机网络。WiFi和双绞线布线以太网是最常用的构建局域网的两种技术。WiFi是一种能使计算机系统1000间交换数据或通过无线电波连接到无线网络的技术。移动通信单元1110能在一个广阔的地理区域内移动的同时通过无线电通信线路接听和拨打电话。除了通话以外,移动通信单元1110也支持在提供移动数据服务的2G,3G或4G蜂窝通信系统中进行互联网访问。
[0118]应当指出的是,其它包括比计算机系统1000更多或更少的子系统的计算机系统也能适用于发明。例如,计算机系统1000可以包括能在短距离内交换数据的蓝牙单元,用于照相的图像传感器,以及用于测量加速度的加速计。
[0119]如上面详细描述的,适用于本发明的计算机系统1000能执行安全应用的服务器检测方法的指定操作。计算机系统1000通过处理器1010运行在计算机可读介质中的软件指令的形式来执行这些操作。这些软件指令可以从存储设备1070或者通过局域网接口1100从另一设备读入到存储器1020中。存储在存储器1020中的软件指令使得处理器1010执行上述的安全应用的服务器检测方法。此外,通过硬件电路或者硬件电路结合软件指令也能同样实现本发明。因此,实现本发明并不限于任何特定硬件电路和软件的组合。
[0120]以上所述实施例仅表达了本发明的几种实施例,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
【主权项】
1.一种安全应用的服务器检测方法,其特征在于,包括以下步骤: 获取多个安全状态已知的检测样本; 连接待测安全应用的服务器,将所述检测样本发送到所述服务器中进行检测,并查询所述检测样本在所述服务器的样本数据库中是否为已知样本; 如果所述检测样本在所述样本数据库中为已知样本,则获取所述待测安全应用的服务器对所述检测样本的检测结果;否则以预设时间周期循环查询所述样本数据库,直到查询所述检测样本在所述样本数据库中为已知样本后,获取所述待测安全应用的服务器对所述检测样本的检测结果; 将所述检测结果与所述检测样本已知的安全状态比较,判断所述待测安全应用的检测准确度。2.根据权利要求1所述的安全应用的服务器检测方法,其特征在于,查询所述检测样本在所述服务器的样本数据库中是否为已知样本的步骤包括: 根据所述样本数据库的样本标识获取规则,获取所述检测样本的样本标识; 查询所述样本数据库中是否保存有与所述检测样本相同的样本标识,如果有,则判断所述检测样本在所述样本数据库中为已知样本,否则判断所述检测样本在所述样本数据库中为未知样本。3.根据权利要求1所述的安全应用的服务器检测方法,其特征在于,连接待测安全应用的服务器的步骤包括: 获取所述样本数据库中的已知样本,以及所述已知样本的安全状态; 连接所述待测安全应用的服务器,将所述已知样本发送到所述待测安全应用的服务器进行检测,获取所述服务器返回的检测结果 如果所述服务器返回的检测结果与所述已知样本的安全状态相同,则判断连接待测安全应用的服务器成功。4.根据权利要求1所述的安全应用的服务器检测方法,其特征在于,所述检测样本包括文件、统一资源定位符或者电话号码。5.根据权利要求1至4任意一项所述的安全应用的服务器检测方法,其特征在于,判断所述待测安全应用的检测准确度的步骤包括: 获取所述待测安全应用的服务器对所述检测样本的检测时间,覆盖率和误报率; 根据所述检测时间,覆盖率和误报率按照以下公式计算所述待测安全应用的理论准确度值S: S = f (T) +g (Nl/N) +h (Ml/M) 其中,f(T)是与所述检测时间成反比的函数,g(Nl/N)是与所述误报率层反比的函数,h(Ml/M)是与所述覆盖率成正比的函数;T为所述检测时间,N1/N为误报率,M1/M为覆盖率;Ν是已知的安全样本的个数,Ν1是所述待测安全应用的服务器将安全样本误判为恶意样本的个数,Μ是已知的恶意样本的个数,Ml是所述待测安全应用的服务器将恶意样本判断为恶意样本的个数。6.一种安全应用的服务器检测系统,其特征在于,包括: 样本获取模块,用于获取多个安全状态已知的检测样本; 查询模块,用于连接待测安全应用的服务器,将所述检测样本发送到所述服务器中进行检测,并查询所述检测样本在所述服务器的样本数据库中是否为已知样本; 检测模块,用于如果所述检测样本在所述样本数据库中为已知样本,则获取所述待测安全应用的服务器对所述检测样本的检测结果;否则以预设时间周期循环查询所述样本数据库,直到查询所述检测样本在所述样本数据库中为已知样本后,获取所述待测安全应用的服务器对所述检测样本的检测结果; 判断模块,用于将所述检测结果与所述检测样本已知的安全状态比较,判断所述待测安全应用的检测准确度。7.根据权利要求6所述的安全应用的服务器检测系统,其特征在于,所述查询模块包括: 标识获取模块,用于根据所述样本数据库的样本标识获取规则,获取所述检测样本的样本标识; 识别模块,用于查询所述样本数据库中是否保存有与所述检测样本相同的样本标识,如果有,则判断所述检测样本在所述样本数据库中为已知样本,否则判断所述检测样本在所述样本数据库中为未知样本。8.根据权利要求6所述的安全应用的服务器检测系统,其特征在于,所述查询模块还包括: 连接模块,用于获取所述样本数据库中的已知样本,以及所述已知样本的安全状态,连接所述待测安全应用的服务器,将所述已知样本发送到所述待测安全应用的服务器进行检测,获取所述服务器返回的检测结果,如果所述服务器返回的检测结果与所述已知样本的安全状态相同,则判断连接待测安全应用的服务器成功。9.根据权利要求6所述的安全应用的服务器检测系统,其特征在于,所述检测样本包括文件、统一资源定位符或者电话号码。10.根据权利要求6至9任意一项所述的安全应用的服务器检测系统,其特征在于: 所述判断模块获取所述待测安全应用的服务器对所述检测样本的检测时间,覆盖率和误报率,根据所述检测时间,覆盖率和误报率按照以下公式计算所述待测安全应用的理论准确度值S: S = f (T) +g (Nl/N) +h (Ml/M) 其中,f(T)是与所述检测时间成反比的函数,g(Nl/N)是与所述误报率层反比的函数,h(Ml/M)是与所述覆盖率成正比的函数;T为所述检测时间,N1/N为误报率,M1/M为覆盖率;Ν是已知的安全样本的个数,Ν1是所述待测安全应用的服务器将安全样本误判为恶意样本的个数,Μ是已知的恶意样本的个数,Ml是所述待测安全应用的服务器将恶意样本判断为恶意样本的个数。
【专利摘要】本发明公开了一种安全应用的服务器检测方法及其系统,通过连接所述待测安全应用的服务器,将检测样本直接在所述服务器中进行检测,并且查询各个检测样本在所述服务器的样本数据库中是否为已知样本,如果有部分检测样本为未知样本,则以预设时间周期循环查询所述样本数据库,直到查询所述检测样本在所述样本数据库中为已知样本后,再获取所述待测安全应用的服务器对所述检测样本的检测结果,然后根据检测结果与所述检测样本已知的安全状态比较,判断所述待测安全应用的检测准确度。使由于测试样本首次遇到而无法识别的情况不会影响安全应用的检测结果,因此检测比较准确。
【IPC分类】H04L29/08, H04L29/06
【公开号】CN105282091
【申请号】CN201410248210
【发明人】刘健
【申请人】腾讯科技(深圳)有限公司
【公开日】2016年1月27日
【申请日】2014年6月5日