本发明专利技术公开了一种基于多引擎的病毒特征分析检测装置、系统及方法,属于病毒特征分析检测领域,包括:数据采集模块,用于上报样本文件;样本文件分析模块,用于鉴定样本文件的属性;存储模块,用于存储样本信息;引擎调度模块,用于控制引擎集群参与或退出病毒鉴定工作;策略配置模块,用于调整病毒鉴定工作的时间维度,目标范围及检测深度;结果汇总模块,用于对被检文件进行画像描述,记录所有参与扫描的引擎的检出情况,根据引擎信誉来对被检文件打分,分数超过阈值则判定为病毒;同时结果汇总模块还用于根据用户需求,来界定阈值范围。本发明专利技术提高已知木马查杀成功率的同时,能够有效减少单一引擎查杀所造成的误报和漏报问题,提高检测效率。提高检测效率。提高检测效率。
【技术实现步骤摘要】
基于多引擎的病毒特征分析检测装置、系统及方法
[0001]本专利技术涉及病毒特征分析检测领域,更为具体的,涉及一种基于多引擎的病毒特征分析检测装置、系统及方法。
技术介绍
[0002]随着技术的更新发展,病毒文件在反查杀方面,也有了很大的进步,多态变形病毒、加壳型病毒、复合型病毒越来越多,一般杀毒引擎对此类病毒,往往束手无策。病毒样本文件的鉴定过程是比较复杂的,不仅需要拥有专业的反病毒技术和经验,还需具备一定的对程序未知行为判断的能力,需要有足够大量的黑白样本文件来支撑大数据样本分析、人工智能病毒查杀模型建立。虽然防病毒引擎随着病毒的发展越来越体系化、规模化,但由于商业原因,反病毒引擎的兼容性一直是一个问题,往往两种或者两种以上的反病毒引擎很难同时运行在一套系统中,并且每个反病毒引擎都各有所长,单个反病毒引擎很难完全查杀所有病毒、木马和恶意软件等。另外,在分析各种引擎的实现原理后,可发现传统的特征引擎或启发式引擎,过于依赖人工样本分析,已经无法有效对抗如今在互联网上爆发的新型病毒。而动态检测引擎虽有一定的防护效果,但在计算机上资源占用过大,无法满足短时间内大量样本的同时检测。
技术实现思路
[0003]本专利技术的目的在于克服现有技术的不足,提供一种基于多引擎的病毒特征分析检测装置、系统及方法,在提高已知木马查杀成功率的同时,能够有效减少因单一引擎查杀所造成的误报和漏报问题,提高检测效率等。
[0004]本专利技术的目的是通过以下方案实现的:
[0005]一种基于多引擎的病毒特征分析检测装置,包括:
[0006]数据采集模块,用于上报样本文件;
[0007]样本文件分析模块,用于鉴定样本文件的属性;
[0008]存储模块,用于存储样本信息;
[0009]引擎调度模块,用于控制引擎集群参与或退出病毒鉴定工作;
[0010]策略配置模块,用于调整病毒鉴定工作的时间维度,目标范围及检测深度;
[0011]结果汇总模块,用于对被检文件进行画像描述,记录所有参与扫描的引擎的检出情况,根据引擎信誉来对被检文件打分,分数超过阈值则判定为病毒;同时所述结果汇总模块还用于根据用户需求,来界定阈值范围;
[0012]多维度特征提取模块,用于从样本文件分析模块鉴定后的样本文件中进行多维度特征提取。
[0013]进一步地,所述多维度特征提取模块包括分类索引模块、特征对撞校验模块、对撞误差优化模块;
[0014]所述分类索引模块,用于将亿级别文件通过固定特征进行分类,所述固定特征包
括文件属性、pe结构和入口点中的一种或多种;
[0015]所述特征对撞校验模块,用于对分类后的样本文件提取特征,再聚类后以聚类特征结果与样本文件进行对撞,并验证特征聚类效果;
[0016]所述对撞误差优化模块,用于通过调整特征提取点修复误差,选取通杀率与性能损耗最优的特征组合加入特征库。
[0017]进一步地,所述样本文件分析模块,包括回扫子模块,用于会对样本每隔设定的一段时间进行回扫,重新汇总引擎的扫描结果。
[0018]进一步地,所述对样本每隔设定的一段时间进行回扫,包括针对活跃样本通过热度回扫系统进行扫描。
[0019]进一步地,所述对样本每隔设定的一段时间进行回扫,包括根据需要回扫的样本数量,对每个引擎的虚拟数量灵活配置,用于确保服务器以最优的情况运行。
[0020]进一步地,还包括引擎更新模块,用于更新引擎。
[0021]进一步地,所述引擎集群包括云查杀引擎、QVM引擎、鲲鹏引擎、AVE引擎、QEX引擎、CLAMAV引擎和YARA引擎。
[0022]进一步地,还包括更新模块,用于通过更新管道对多引擎的病毒库进行更新,能够同步提升终端防病毒能力。
[0023]一种基于多引擎的病毒特征分析检测系统,包括如上任一项所述的基于多引擎的病毒特征分析检测装置。
[0024]一种基于多引擎的病毒特征分析检测方法,基于如上任一项所述的基于多引擎的病毒特征分析检测装置,且该装置运行如下步骤:
[0025]利用引擎调度模块、策略配置模块和更新模块控制引擎集群并发处理样本文件或异步处理样本文件。
[0026]本专利技术的有益效果包括:
[0027]本专利技术以数据驱动安全为理念,重新构建病毒分析理论,将多种防病毒引擎进行有机结合,通过并发同步和异步检测功能,充分发挥各引擎的特点,实现更有效的检测识别木马,尤其是针对当前APT攻击中所使用的高等级木马。在提高已知木马查杀成功率的同时,能够有效减少因单一引擎查杀所造成的误报和漏报问题。同时,通过建立了合理的引擎调度机制,可并发检测多个样本,有效提高检测的效率。
附图说明
[0028]为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
[0029]图1为本专利技术实施例的工作原理图;
[0030]图2为本专利技术实施例的样本自动鉴定流程图。
具体实施方式
[0031]本说明书中所有实施例公开的所有特征,或隐含公开的所有方法或过程中的步
骤,除了互相排斥的特征和/或步骤以外,均可以以任何方式组合和/或扩展、替换。
[0032]鉴于背景中的问题,本专利技术的专利技术人经过创造性分析思考后,旨在以数据驱动安全的思路,重新构建基于大数据的病毒分析理论和相应新的解决方案。相较于传统引擎的病毒特征提取方式,本专利技术构思方案会依托大数据、多样本、高算力和机器学习等资源,旨在实现后端病毒特征自动分析提取的能力,并可针对恶意样本文件进行精准检测。在一些实施例中,基于本专利技术构思方案设计的多引擎,提供病毒检测文件速度≥10万个/天,产出一个国内最新出现样本的病毒特征,平均只需要3个小时。
[0033]在具体实施方案中,本专利技术一种实施例提供的基于多引擎的病毒特征分析检测方案,具体包含:云查杀引擎、QVM引擎、鲲鹏引擎、AVE引擎、QEX引擎、CLAMAV引擎和YARA引擎,其工作原理如图1所示。
[0034]在数据采集模块,用户通过PC端或其它安全平台上报样本文件,通过样本分析模块快速批量鉴定样本文件的黑白属性,并由统一的数据存储模块对样本信息进行存储。
[0035]由于存在多款杀毒引擎,考虑各引擎特性及检出病毒种类能力差异等因素,本专利技术通过引擎调度模块控制任意引擎参与或退出病毒鉴定工作,平衡速度与效果。本专利技术通过策略配置模块能够调整病毒鉴定工作的时间维度,目标范围及检测深度,如扫描PE病毒或宏病毒、扫描压缩包50层等配置。本专利技术通过结果汇总模块能够对被检文件进行画像描述,记录所有参与扫描的引擎的检出情况,根据引擎信誉来对被检文件打分,分数超过阈值则判定为病毒。同时结果汇总模块也可根据用户需求,来界定阈值范围。
[本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于多引擎的病毒特征分析检测装置,其特征在于,包括:数据采集模块,用于上报样本文件;样本文件分析模块,用于鉴定样本文件的属性;存储模块,用于存储样本信息;引擎调度模块,用于控制引擎集群参与或退出病毒鉴定工作;策略配置模块,用于调整病毒鉴定工作的时间维度,目标范围及检测深度;结果汇总模块,用于对被检文件进行画像描述,记录所有参与扫描的引擎的检出情况,根据引擎信誉来对被检文件打分,分数超过阈值则判定为病毒;同时所述结果汇总模块还用于根据用户需求,来界定阈值范围;多维度特征提取模块,用于从样本文件分析模块鉴定后的样本文件中进行多维度特征提取。2.根据权利要求1所述的基于多引擎的病毒特征分析检测装置,其特征在于,所述多维度特征提取模块包括分类索引模块、特征对撞校验模块、对撞误差优化模块;所述分类索引模块,用于将亿级别文件通过固定特征进行分类,所述固定特征包括文件属性、pe结构和入口点中的一种或多种;所述特征对撞校验模块,用于对分类后的样本文件提取特征,再聚类后以聚类特征结果与样本文件进行对撞,并验证特征聚类效果;所述对撞误差优化模块,用于通过调整特征提取点修复误差,选取通杀率与性能损耗最优的特征组合加入特征库。3.根据权利要求1所述的基于多引擎的病毒特征分析检测装置,其特征在于,所述样本文件分析模块,包括回扫子模块,用于会对样本每隔设定的一段时间进行回扫,...
【专利技术属性】
技术研发人员:刘飞,张剑,薛东军,朱永瑛,张连庆,许光利,冯庚,李佳月,黄云龙,蔡忻雨,
申请(专利权)人:中国电子科技集团公司第三十研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。