一种基于哈希特征矩阵的恶意软件云检测方法及系统,方法步骤为:S1:云服务器负责维护和更新体量较大的恶意软件特征数据库,通过特征映射机制将恶意软件特征数据库映射成体量很小的恶意软件特征矩阵;S2:云服务器将恶意软件特征向量发送给终端,且在更新时向终端推送更新;S3:终端对本地待扫描文件进行映射处理后与恶意软件特征向量矩阵进行模糊扫描,得到嫌疑文件集并将相关扫描结果发送给云服务端;S4:云服务端缩小嫌疑文件集对应的特征码,对嫌疑文件集进行精确匹配,最后将确认结果返回给终端。该系统用来执行上述方法。本发明专利技术可减小恶意软件检测终端的开销和隐私泄露风险,实现对用户的特定嫌疑文件进一步筛选和定位,减轻云服务器负担。
【技术实现步骤摘要】
本专利技术主要涉及到计算终端的恶意软件检测领域,特指一种云计算技术下如何在 隐私和实际效率兼顾的情况下,利用哈希特征向量技术为终端提供高效的恶意软件扫描检 测方法及系统。
技术介绍
随着移动智能设备和物联设备的迅速普及和云计算远程存储功能的发展,移动互 联网的安全问题凸显。根据艾瑞《2013年中国移动安全数据报告显示》,2013年移动安全形 势比较严峻,新增恶意软件69万个,是2012年的五倍多。大量经过重度混淆、加密的恶意 软件涌现,且越来越多恶意软件或广告平台开始采用动态加载、延迟发作等方式试图规避 安全软件的检测和查杀;另外,恶意软件的传播手段也在变化,内嵌子包或联网下载恶意软 件等情况已十分常见,如何保证这样的恶意软件不会漏杀,成为安全厂商需要面对的一大 挑战。 终端(计算终端)一般包括移动终端、物联设备、嵌入式设备以及追求效率的计算 机终端等等。目前,针对终端的恶意软件扫描的研宄越来越深入,主要的技术分为两种类 型: 第一种是与传统电脑安全软件类似,在终端上建立存储大量恶意软件特征码的特 征码库,在终端上对文件进行特征匹配。这种技术原理简单,通过对已经发现了的恶意软件 提取特定的字符串或者计算恶意软件MD5(MessageDigestAlgorithmMD5)值等方法来创 建恶意软件特征码,然后扫描文件,使用例如BM(Boyer-Manber)和AC(Aho-Corasick)算法 等模式匹配算法,判断文件是否与某种恶意软件特征码相匹配,如果匹配成功则认为该文 件是恶意软件。但是使用这种方法,终端需要不断更新恶意软件特征库,消耗大量网络和计 算资源;另外扫描过程也会大量占用CPU和内存资源,严重影响资源受限设备的可用性和 电池的持续性。 第二种是基于云计算的在线病毒扫描,在云端建立存储大量恶意软件特征的黑名 单数据库和已经被证明是安全文件的白名单数据库。当终端需要进行病毒查杀时,会对设 备所有文件计算MD5校验和,然后发送数据到云端。云端会对发送来的数据进行扫描,根据 黑名单数据库和白名单数据库识别发送来的数据,判断原始文件是否是恶意软件。这种技 术利用互联网,通过联网查询,把对终端里的文件扫描检测从终端转到云端,终端不需要保 存恶意软件特征库,也不需要对特征库进行更新,提高了恶意软件查杀和防护的及时性、有 效性。同时,90%以上的安全检测由云端服务器承担,从而降低了终端的CPU和内存等资源 的占用,使设备运行变快。但是这种技术会将终端上所有文件的信息发送到云端,从而用户 的隐私会受到很大的威胁。另外该类方法大都没有考虑字符串类型的特征码检测,且终端 的所有文件都需跟云端的所有特征码进行匹配,云端的计算任务极其繁重。 目前国内主流安全厂商生产的运行在终端上的安全软件大致采用上述两种技术 模式。另外,目前相关研宄也大致符合上述思路,如中国申请号为201110265295. 1、名称为 "手机恶意软件查杀方法及系统"中提出了一种基于移动网络侧恶意软件监控分析系统的 手机恶意软件查杀方法,能提高手机恶意软件查杀效率,但是在查杀过程中存在用户的一 些重要身份标识、敏感信息以及服务端特征库泄露的风险,安全性难以得到保障。中国申请 号为201010292928. 3、名称为"一种信息安全检测方法及移动终端"中提出通过动态虚拟机 的方法预先分析恶意软件的行为特征,能有效减少对移动终端的威胁,但是动态虚拟机本 身会造成终端资源的大量消耗,造成整体效率的下降。 综上所述,将安全检测过程放在终端,不会对用户隐私构成威胁,但是存在计算、 存储、网络资源消耗大的问题,严重影响资源受限终端设备的可用性和电池的持续性;利用 云计算的思想和架构,将安全检测过程转移到云端,在终端资源消耗和及时效率方面会得 到提高,但是用户隐私却存在泄露的风险,另外云端的计算任务会急剧增加。现有技术未能 很好地兼顾隐私和效率两方面的需求,因此提出能够同时兼顾效率和隐私的新型恶意软件 扫描策略和架构,对于移动互联网和物联网的安全很有意义。
技术实现思路
本专利技术要解决的技术问题就在于:针对现有技术存在的技术问题,本专利技术提供一 种能够尽量减小恶意软件检测终端的开销和隐私泄露风险,同时实现对用户的特定嫌疑文 件进一步的筛选和定位,减少特征匹配的次数和计算开销,达到减轻云服务器负担目的的 基于哈希特征矩阵的恶意软件云检测方法及系统。 为解决上述技术问题,本专利技术采用以下技术方案: 一种基于哈希特征矩阵的恶意软件云检测方法,其步骤为: S1:云服务器负责维护和更新体量较大的恶意软件特征数据库,并通过特征映射 机制将恶意软件特征数据库映射成体量很小的恶意软件特征矩阵; S2:云服务器将恶意软件特征向量发送给终端,且每当恶意软件特征数据库生成 更新时,向终端增量推送特征向量的更新; S3:终端利用相同的映射机制对本地待扫描文件进行映射处理后与恶意软件特征 向量矩阵进行模糊扫描,得到嫌疑文件集并将相关扫描结果发送给云服务端; S4:云服务端采用恶意特征码集合筛选机制缩小嫌疑文件集对应的特征码,对嫌 疑文件集进行精确匹配并减小精确匹配的计算量,最后将确认结果返回给终端。 作为本专利技术方法的进一步改进:所述步骤S1中的恶意软件特征数据库包括MD5特 征和字符串特征。 作为本专利技术方法的进一步改进:所述云服务器端针对MD5特征进行预处理,云服 务器端维护特征向量矩阵Vmd5及其对应的恶意特征集合Mmd5,其中向量矩阵Vmd5由k个特征 向量\(1 <i<k)构成,每个特征向量\^对应m位比特Vi,j(l<j<m),所有向量比特位 初始为〇 ;每个特征向量\对应一个哈希函数hi,而每个特征向量比特位Vi;j对应一个恶意 特征码集合Mi,j,初始均为空集;对于MD5特征数据库中的每一个MD5特征X,映射过程 包括三个步骤: 1)通过向量矩阵Vmd5的k个哈希函数hJ1彡i彡k)计算得到特征X在向量矩阵 中的特征坐标;将MD5特征值X作为哈希函数的输入,则得到X的特征坐标L(X) = {^ (X)} (1 ^i^k); 2)将特征X插入到恶意特征码集合^#中;根据步骤1)中的特征坐标L(X),分别 加入到k个特征向量比特位(1彡i彡k)对应的恶意特征码集合Mi>MX)中; 3)将特征X映射到恶意特征向量矩阵Vmd5中;即将X特征坐标的对应比特位置1, vi'h,ro=1 (1 <i<k)。 作为本专利技术方法的进一步改进:所述云服务器端针对字符串特征进行预处理;为 字符串特征设置一个长度为w的滑动窗口,将特征切割成为统一长度的特征片段,然后进 行特征映射。 作为本专利技术方法的进一步改进:所述步骤S2中进行恶意软件特征向量矩阵推送; 终端初始时,从云服务器端获得恶意软件特征数据库进行恶意软件的模糊扫描,云服务端 只向终端推送特征向量矩阵,即云服务端在接收到终端推送请求后,特征向量矩阵Vmdjp vsJi缩存储后推送给终端。 作为本专利技术方法的进一步改进:所述步骤S3中终端进行模糊扫描,筛选出嫌疑文 件集s= {smd5,sstj以及其对应的嫌疑特征坐标集合n= {nmd5,nstj;其中,smd5为嫌疑 文件的MD5值本文档来自技高网...
【技术保护点】
一种基于哈希特征矩阵的恶意软件云检测方法,其特征在于,步骤为:S1:云服务器负责维护和更新体量较大的恶意软件特征数据库,并通过特征映射机制将恶意软件特征数据库映射成体量很小的恶意软件特征矩阵;S2:云服务器将恶意软件特征向量发送给终端,且每当恶意软件特征数据库生成更新时,向终端增量推送特征向量的更新;S3:终端利用相同的映射机制对本地待扫描文件进行映射处理后与恶意软件特征向量矩阵进行模糊扫描,得到嫌疑文件集并将相关扫描结果发送给云服务端;S4:云服务端采用恶意特征码集合筛选机制缩小嫌疑文件集对应的特征码,对嫌疑文件集进行精确匹配并减小精确匹配的计算量,最后将确认结果返回给终端。
【技术特征摘要】
【专利技术属性】
技术研发人员:王小峰,苏金树,陈曙晖,孙浩,胡晓峰,吴纯青,彭伟,原玉磊,周寰,
申请(专利权)人:中国人民解放军国防科学技术大学,
类型:发明
国别省市:湖南;43
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。