一种基于哈希特征向量的恶意软件云检测方法及系统,该方法的步骤为:S1:恶意软件特征向量处理;S2:云服务端将恶意软件特征向量发送给终端,且每当恶意软件特征数据库发成更新时,向终端增量推送特征向量的更新;S3:终端利用分段BF算法对本地待扫描文件进行映射处理后与恶意软件特征向量进行模糊扫描,并将匹配结果发送给云服务端;S4:云服务端对匹配的结果进行进一步的精确扫描,之后将确认结果返回给终端。该系统用来执行上述方法。本发明专利技术能够在尽量减小恶意软件检测终端的网络、计算和存储开销的同时,令终端尽量少的向云服务器提交文件信息,从而能够保护终端隐私。
【技术实现步骤摘要】
本专利技术主要涉及到计算终端的恶意软件检测领域,特指一种云计算技术下如何在 隐私和实际效率兼顾的情况下,利用哈希特征向量技术为终端提供高效的恶意软件扫描检 测方法及系统。
技术介绍
随着移动智能设备和物联设备的迅速普及和云计算远程存储功能的发展,移动互 联网的安全问题凸显。根据艾瑞《2013年中国移动安全数据报告显示》,2013年移动安全形 势比较严峻,新增恶意软件69万个,是2012年的五倍多。大量经过重度混淆、加密的恶意 软件涌现,且越来越多恶意软件或广告平台开始采用动态加载、延迟发作等方式试图规避 安全软件的检测和查杀;另外,恶意软件的传播手段也在变化,内嵌子包或联网下载恶意软 件等情况已十分常见,如何保证这样的恶意软件不会漏杀,成为安全厂商需要面对的一大 挑战。 终端(计算终端)一般包括移动终端、物联设备、嵌入式设备以及追求效率的计算 机终端等等。目前,针对终端的恶意软件扫描的研宄越来越深入,主要的技术分为两种类 型: 第一种是与传统电脑安全软件类似,在终端上建立存储大量恶意软件特征码的特 征码库,在终端上对文件进行特征匹配。这种技术原理简单,通过对已经发现了的恶意软件 提取特定的字符串或者计算恶意软件MD5(MessageDigestAlgorithmMD5)值等方法来创 建恶意软件特征码,然后扫描文件,使用例如BM(Boyer-Manber)和AC(Aho-Corasick)算法 等模式匹配算法,判断文件是否与某种恶意软件特征码相匹配,如果匹配成功则认为该文 件是恶意软件。但是使用这种方法,终端需要不断更新恶意软件特征库,消耗大量网络和计 算资源;另外扫描过程也会大量占用CPU和内存资源,严重影响资源受限设备的可用性和 电池的持续性。 第二种是基于云计算的在线病毒扫描,在云端建立存储大量恶意软件特征的黑名 单数据库和已经被证明是安全文件的白名单数据库。当终端需要进行病毒查杀时,会对设 备所有文件计算MD5校验和,然后发送数据到云端。云端会对发送来的数据进行扫描,根据 黑名单数据库和白名单数据库识别发送来的数据,判断原始文件是否是恶意软件。这种技 术利用互联网,通过联网查询,把对终端里的文件扫描检测从终端转到云端,终端不需要保 存恶意软件特征库,也不需要对特征库进行更新,提高了恶意软件查杀和防护的及时性、有 效性。同时,90%以上的安全检测由云端服务器承担,从而降低了终端的CPU和内存等资源 的占用,使设备运行变快。但是这种技术会将终端上所有文件的信息发送到云端,从而用户 的隐私会受到很大的威胁。另外该类方法大都没有考虑字符串类型的特征码检测,且终端 的所有文件都需跟云端的所有特征码进行匹配,云端的计算任务极其繁重。 目前国内主流安全厂商生产的运行在终端上的安全软件大致采用上述两种技术 模式。另外,目前相关研宄也大致符合上述思路,如中国申请号为201110265295. 1、名称为 "手机恶意软件查杀方法及系统"中提出了一种基于移动网络侧恶意软件监控分析系统的 手机恶意软件查杀方法,能提高手机恶意软件查杀效率,但是在查杀过程中存在用户的一 些重要身份标识、敏感信息以及服务端特征库泄露的风险,安全性难以得到保障。中国申请 号为201010292928. 3、名称为"一种信息安全检测方法及移动终端"中提出通过动态虚拟机 的方法预先分析恶意软件的行为特征,能有效减少对移动终端的威胁,但是动态虚拟机本 身会造成终端资源的大量消耗,造成整体效率的下降。 综上所述,将安全检测过程放在终端,不会对用户隐私构成威胁,但是存在计算、 存储、网络资源消耗大的问题,严重影响资源受限终端设备的可用性和电池的持续性;利用 云计算的思想和架构,将安全检测过程转移到云端,在终端资源消耗和及时效率方面会得 到提高,但是用户隐私却存在泄露的风险,另外云端的计算任务会急剧增加。现有技术未能 很好地兼顾隐私和效率两方面的需求,因此提出能够同时兼顾效率和隐私的新型恶意软件 扫描策略和架构,对于移动互联网和物联网的安全很有意义。
技术实现思路
本专利技术要解决的技术问题就在于:针对现有技术存在的技术问题,本专利技术提供一 种在尽量减小恶意软件检测终端的网络、计算和存储开销的同时,令终端尽量少的向云服 务器提交文件信息,从而能够保护终端隐私的基于哈希特征向量的恶意软件云检测方法及 系统。 为解决上述技术问题,本专利技术采用以下技术方案: 一种基于哈希特征向量的恶意软件云检测方法,其步骤为: S1:恶意软件特征向量处理;云服务端用来维护和更新体量较大的恶意软件特征 数据库,终端通过分段BF算法将恶意软件特征数据库映射成体量很小的恶意软件特征向 量; S2:云服务端将恶意软件特征向量发送给终端,且每当恶意软件特征数据库发成 更新时,向终端增量推送特征向量的更新; S3 :终端利用分段BF算法对本地待扫描文件进行映射处理后与恶意软件特征向 量进行模糊扫描,并将匹配结果发送给云服务端; S4:云服务端对匹配的结果进行进一步的精确扫描,之后将确认结果返回给终端。 作为本专利技术方法的进一步改进:所述恶意软件特征数据库主要包括MD5特征和字 符串特征,云服务端分别对MD5特征和字符串特征进行不同的预处理,并通过BF映射得到 恶意软件特征库的MD5特征向量Vmd5和字符串特征向量V 作为本专利技术方法的进一步改进:对于MD5特征,若一个特征X={xpx2,…,xn},特 征映射过程包括如下两个步骤: 1)计算X的特征坐标;首先根据X的首字母Xl的值,找到对应的BF向量Vx,,再通 过公共哈希函数计算特征在特征向量中的位置H(X),把L(X) = (Xl,H(X))称为X的特征坐 标; 2)将特征X映射到MD5特征向量Vmd5中;S卩,将X特征坐标的对应比特位置1, ',哪=1,若该位已经为1,则不操作。 作为本专利技术方法的进一步改进:对于字符串特征,若X={xpx2,…,xn}是长度为 n的字符串,特征映射过程包括如下三个步骤: 1)字符串特征切割;为字符串特征设置一个长度为w的滑动窗口,将特征切割成 为统一长度的特征片段;即按照w的滑动窗口切割后得出n-w+1个长度为w的片段,X1 = lxl) x2> ...,,父2 - (X 2,X3,...,xw+l},...,Xn-w+i - {x n_w+i, Xn_w+2, , Xn}; 2)计算特征片段Xp(l彡p彡n-w)的特征坐标;在字符串特征的映射过程中的公 共函数H采用递归哈希函数R(Xl,x2,…,xw);得到哈希结果后,再根据每个片段的首字母xp 的值找到对应的BF向量^p,从而得出Xp的特征坐标L(XP) =(VRp); 3)将特征片段Xp(l<p<n-w)映射到字符串特征向量Vstr中,即将X,征坐标 的对应比特位置1,VXp>Rp=l,若该位已经为1,则不操作。 作为本专利技术方法的进一步改进:所述步骤S2中需要完成恶意软件特征向量推送; 终端初始时,需从云服务器端获得恶意软件特征数据库进行恶意软件的模糊扫描,云服务 端只向终端推送特征向量,即云服务端在接收到终端推送请求后,特征向量VmdjpVsJi缩 存储后推送给终端;当恶意软件特征数据库有更新时,云服务本文档来自技高网...
【技术保护点】
一种基于哈希特征向量的恶意软件云检测方法,其特征在于,步骤为:S1:恶意软件特征向量处理;云服务端用来维护和更新体量较大的恶意软件特征数据库,终端通过分段BF算法将恶意软件特征数据库映射成体量很小的恶意软件特征向量;S2:云服务端将恶意软件特征向量发送给终端,且每当恶意软件特征数据库发成更新时,向终端增量推送特征向量的更新;S3:终端利用分段BF算法对本地待扫描文件进行映射处理后与恶意软件特征向量进行模糊扫描,并将匹配结果发送给云服务端;S4:云服务端对匹配的结果进行进一步的精确扫描,之后将确认结果返回给终端。
【技术特征摘要】
【专利技术属性】
技术研发人员:苏金树,王小峰,陈曙晖,孙浩,胡晓峰,吴纯青,赵锋,时向泉,周寰,
申请(专利权)人:中国人民解放军国防科学技术大学,
类型:发明
国别省市:湖南;43
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。