The present invention provides a system and method for building a document reputable database, which uses Agent to collect documents in real time and distinguish the collected documents, divides the collected documents into the first and the second documents, judges the threat degree of the first document, and compares with the document data in the reputable database to update the document data of the reputable library. Sandbox is used to verify the threat degree of the second file distinguished by Agent, and the file data in the repository is compared to update the file data in the repository. In addition, the reputation database file data decays periodically according to half-life, and when it is below the threshold, the reputation subject is deleted. According to the documents reported by Agent, this technology carries out sandbox verification and updates the trustworthiness and threat degree. It can be quantified very well, not only using high, middle and low black and white gray to distinguish. If there is no report of relevant documents for a long time, the reputation library will automatically decay, thus realizing a real-time collection and update of the file reputation library.
【技术实现步骤摘要】
一种构建文件信誉库的系统和方法
本专利技术涉及文件防病毒
,具体说是一种构建文件信誉库的系统和方法。
技术介绍
随着互联网的发展脚步加快,来自网络上的威胁也日益严重。攻击手段多种多样,新的技术也层出不穷。APT作为一种新型的网络攻击,其对国家国防安全、国民经济安全、重要行业信息安全、公司商业信息安全构成严重威胁。APT攻击的原理相对于其他攻击形式更为高级和先进,其高级型主要体现在APT发起攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。在此收集的过程中,此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞,利用这些漏洞组件攻击者所需的网络。从监测和检测的角度,为了识别APT,可以从APT攻击的各个环节进行突破,任一环节能够识别即可断开整个链条。信誉库在面对新型威胁的时候,可以助其他检测技术一臂之力,目前的文件信誉一般使用的黑白名单方式,这种方式不能量化威胁程度和可信程度。
技术实现思路
针对以上缺点,本专利技术提出了一种构建文件信誉库的系统和方法,可以解决文件信誉库量化的问题。本专利技术实施例提供了一种构建文件信誉库的系统和方法,该系统包括:Agent:...
【技术保护点】
1.一种构建文件信誉库的系统,其特征在于,包括:Agent:用于实时搜集文件,并对搜集到的文件进行区分;将搜集到的文件区分为第一文件和第二文件;判断第一文件的威胁度,并和信誉库中的文件数据进行比对,更新信誉库文件数据;沙盒:用于验证Agent区分过的第二文件的威胁度,并和信誉库中的文件数据进行比对,更新信誉库文件数据;信誉库:用于记录文件数据信息;所述文件数据信息包括文件的信誉主体、可信度、威胁值和信誉值;所述信誉值等于可信度乘以威胁值。
【技术特征摘要】
1.一种构建文件信誉库的系统,其特征在于,包括:Agent:用于实时搜集文件,并对搜集到的文件进行区分;将搜集到的文件区分为第一文件和第二文件;判断第一文件的威胁度,并和信誉库中的文件数据进行比对,更新信誉库文件数据;沙盒:用于验证Agent区分过的第二文件的威胁度,并和信誉库中的文件数据进行比对,更新信誉库文件数据;信誉库:用于记录文件数据信息;所述文件数据信息包括文件的信誉主体、可信度、威胁值和信誉值;所述信誉值等于可信度乘以威胁值。2.根据权利要求1所述的一种构建文件信誉库的系统,其特征在于,所述文件包括第一文件和第二文件;所述第一文件为在Agent处理的文件;所述第二文件为需要在沙箱中验证的文件。3.根据权利要求1所述的一种构建文件信誉库的系统,其特征在于,所述Agent包括搜集模块,区分模块、判断模块和第一处理模块;所述搜集模块用于搜集文件;所述区分模块用于区分文件;所述区分模块将文件区分为第一文件和第二文件;所述判断模块用于判断第一文件威胁度;所述第一处理模块用于根据判断模块对第一文件威胁度的判断,对第一文件进行禁止或运行,同时更新信誉库文件数据。4.根据权利要求1所述的一种构建文件信誉库的系统,其特征在于,所述沙盒包括验证模块和第二处理模块;所述验证模块用于验证第二文件的威胁度;所述第二处理模块用于对验证过威胁度的第二文件进行禁止或运行,同时和信誉库文件数据进行比对,更新信誉库文件数据。5.一种构建文件信誉...
【专利技术属性】
技术研发人员:李红雷,
申请(专利权)人:郑州云海信息技术有限公司,
类型:发明
国别省市:河南,41
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。