本发明专利技术提供一种基于云的样本数据库动态维护方法,首先由客户端计算机收集程序特征及其对应的程序行为,并传送至服务器端;然后在服务器端数据库中记录不同的程序特征及其对应的程序行为,以及黑/白名单;结合现有已知黑/白名单中的程序特征及其对应的程序行为,对未知程序特征及程序行为进行分析,以更新黑/白名单。本发明专利技术通过客户端收集程序行为并关联到程序特征,从而在数据库中记录程序特征及其对应的程序行为,根据收集到的程序行为和程序特征的关联关系,可以在数据库中对样本进行分析归纳,从而有助于对软件或程序进行黑白的分类判别,还可以针对黑名单中的恶意软件制定相应的清除或恢复措施。
【技术实现步骤摘要】
本专利技术涉及信息安全
,尤其涉及一种基于云安全的样本数据库动态维护 方法。
技术介绍
随着计算机技术在社会生活中各个领域的广泛运用,恶意程序(Malwar, malicious software,指任何故意创建用来执行未经授权并通常是有害行为的软件程序) 也如同其附属品一样接踵而来。由于这些恶意程序所具有的感染性、复制性及破坏性,其 已成为困扰计算机使用的一个重大问题,因此,在网络威胁飙升的今天,更新病毒特征码成 为企业及网民每天必备的工作,从每周一次到每天一次,直至时刻更新,而传统杀毒软件是 将病毒库放在客户端计算机,在客户端进行文件的分析工作,在扫描过程中会反复在本地 病毒库中进行比对,占用大量系统资源,并且随着病毒库的不断升级,病毒库的容量越来越 大,分析文件时所耗费的时间也越来越长,让客户端计算机越用越慢,因此,反病毒行业必 须寻找新的技术突破。“云安全(Cloud Security) ”计划即是网络时代信息安全的最新体现,它融合了并 行处理、网格计算、未知病毒行为判断等新兴技术概念,将“云计算”的理念应用到了安全领 域。“云安全”计划的实现是与其样本数据库的构建息息相关的,因此,如何有效的组 织并维护样本数据库,遂成为业界亟待解决的问题。
技术实现思路
本专利技术所要解决的技术问题在于提供,以 提高数据库维护以及程序分析的效率,帮助对程序进行黑白判别以及文件的恢复。为解决上述技术问题,本专利技术提供,包括 如下步骤由客户端计算机收集程序特征及其对应的程序行为,并传送至服务器端;在服务器端数据库中记录不同的程序特征及其对应的程序行为,以及黑/白名 单;结合现有已知黑/白名单中的程序特征及其对应的程序行为,对未知程序特征及 程序行为进行分析,以更新黑/白名单。其中,所述对未知程序特征及其程序行为进行分析的步骤,可以包括如果未知程序特征与现有黑/白名单中的已知程序特征相同,则将该未知程序特 征及其程序行为列入黑/白名单。其中,所述对未知程序特征及其程序行为进行分析的步骤,可以包括如果未知程序行为与现有黑/白名单中的已知程序行为相同或近似,则将该未知 程序行为及其程序特征列入黑/白名单。其中,所述方法可以进一步包括在具有相同或近似行为的程序之间建立行为与特征的关联关系;根据所述具有相同或近似行为的程序之间的关联关系,对未知程序特征及程序行 为进行分析,以更新黑/白名单。其中,所述对未知程序特征及其程序行为进行分析的步骤,可以包括当某程序行为被列入黑/白名单时,在数据库中将该程序行为对应的程序特征列 入黑/白名单,并将与该程序行为有关联关系的其他程序行为和程序特征也列入黑/白名其中,所述对未知程序特征及其程序行为进行分析的步骤,可以包括当某程序特征被列入黑/白名单时,在数据库中将该程序特征对应的程序行为列 入黑/白名单,并将与该程序特征有关联关系的其他程序行为和程序特征也列入黑/白名其中,所述方法可以进一步包括在数据库中针对被列入黑名单的程序,进一步记录该程序的逆向行为,以在确认 客户端计算机中存在或运行过该被列入黑名单的程序时,执行所述逆向行为。其中,所述方法可以进一步包括在数据库中针对被列入黑名单的程序,根据该程序的行为,确定客户端计算机被 感染文件的信息;根据被感染文件的信息,将存储于数据库中的一份完好的对应文件下载至客户端 计算机中覆盖被感染文件。其中,所述方法可以进一步包括在数据库中进一步记录在一预设时间内由不同客户端计算机收集到的相同的程 序特征的数量变化;根据所述程序特征的数量变化,对未知程序特征及程序行为进行分析,以更新黑/ 白名单。其中,所述根据程序特征的数量变化,对未知程序特征及程序行为进行分析的步 骤,可以包括如果在一预设时间内,由不同客户端计算机收集到的某个未知程序特征的数量增 减超过阈值,则在数据库中将该程序特征及其对应的程序行为列入黑名单。本专利技术通过客户端收集程序行为并关联到程序特征,从而在数据库中记录程序特 征及其对应的程序行为,根据收集到的程序行为和程序特征的关联关系,可以在数据库中 对样本进行分析归纳,从而有助于对软件或程序进行黑白的分类判别,还可以针对黑名单 中的恶意软件制定相应的清除或恢复措施。附图说明图1为本专利技术的实施模式示意图;图2为根据本专利技术实施例所述的基于云的样本数据库动态维护方法流程图;图3为根据本专利技术实施例所述的关联关系示意图;图4为根据本专利技术实施例所述的文件恢复流程图5为根据本专利技术实施例所述的分析流程示意图。 具体实施例方式下面参照附图对本专利技术做进一步的说明。云结构就是一个大型的客户端/服务器(CS)架构,如图1所示,为本专利技术的实施 模式示意图。本专利技术的核心思想在于通过大量客户端计算机102收集各种程序的行为(可 以是单一行为,也可以是一组行为的组合),特别是可疑程序的行为,并将程序行为关联到 该程序的特征,而在服务器端的数据库104中则可以记录一个程序的特征及其对应的行为 记录。这样,在服务器端,即可依据程序行为或程序特征或一组程序行为和程序特征,在数 据库中进行归纳和分析,从而有助于对软件或程序进行黑白的分类判别。进一步的,还可以 针对黑名单中的恶意软件制定相应的清除或恢复措施。上述程序行为,可以是例如驱动加载行为,文件生成行为,程序或代码的加载行 为,添加系统启动项行为,或文件或程序的修改行为等,或者是一系列行为的组合。上述程序特征可以是经由MD5 (Message-Digest Algorithm 5,信息-摘要算法) 运算得出的MD5验证码,或SHAl码,或CRC(Cyclic Redundancy Check,循环冗余校验)码 等可唯一标识原程序的特征码。如图2所示,为根据本专利技术实施例所述的基于云的样本数据库动态维护方法流程 图,首先,由客户端计算机收集程序特征及其对应的程序行为,并传送至服务器端(步骤 202);然后在服务器端数据库中记录不同的程序特征及其对应的程序行为,以及黑/白名 单(步骤204);结合现有已知黑/白名单中的程序特征及其对应的程序行为,对未知程序 特征及程序行为进行分析,以更新黑/白名单(步骤206)。由于在数据库中记录了程序特征及该特征对应的行为记录,因此可以结合已知黑 /白名单对未知程序进行分析。例如,如果未知程序特征与现有黑/白名单中的已知程序特征相同,则将该未知 程序特征及其程序行为都列入黑/白名单。如果未知程序行为与现有黑/白名单中的已知程序行为相同或近似,则将该未知 程序行为及其程序特征都列入黑/白名单。由于有些病毒通过变种或加壳等技术可以改变特征码,但其行为却不会有很大改 变,因此,通过程序行为记录的对比分析,可以较为便捷的确定一些未知程序是否为恶意程 序。这种对比分析有时候甚至不需要对程序的行为本身做追踪分析,只需要简单的与现有 黑/白名单中的已知程序行为做比对即可判定未知程序的性质。通过数据库中的记录分析,我们可以发现,有一些程序的行为相同或近似,但程序 特征不同,这时,只要我们在具有相同或近似行为的程序之间建立行为与特征的关联关系, 并根据这种关联关系,就可以更便捷的对未知程序特征及程序行为进行分析,以更新黑/ 白名单。如图3所示,为根据本专利技术实施例所述的关联关系示意图。假设未知程序A、B本文档来自技高网...
【技术保护点】
一种基于云的样本数据库动态维护方法,其特征在于,包括如下步骤:由客户端计算机收集程序特征及其对应的程序行为,并传送至服务器端;在服务器端数据库中记录不同的程序特征及其对应的程序行为,以及黑/白名单;结合现有已知黑/白名单中的程序特征及其对应的程序行为,对未知程序特征及程序行为进行分析,以更新黑/白名单。
【技术特征摘要】
一种基于云的样本数据库动态维护方法,其特征在于,包括如下步骤由客户端计算机收集程序特征及其对应的程序行为,并传送至服务器端;在服务器端数据库中记录不同的程序特征及其对应的程序行为,以及黑/白名单;结合现有已知黑/白名单中的程序特征及其对应的程序行为,对未知程序特征及程序行为进行分析,以更新黑/白名单。2.如权利要求1所述的方法,其特征在于,所述对未知程序特征及其程序行为进行分 析的步骤,包括如果未知程序特征与现有黑/白名单中的已知程序特征相同,则将该未知程序特征及 其程序行为列入黑/白名单。3.如权利要求1所述的方法,其特征在于,所述对未知程序特征及其程序行为进行分 析的步骤,包括如果未知程序行为与现有黑/白名单中的已知程序行为相同或近似,则将该未知程序 行为及其程序特征列入黑/白名单。4.如权利要求1所述的方法,其特征在于,进一步包括在具有相同或近似行为的程序之间建立行为与特征的关联关系;根据所述具有相同或近似行为的程序之间的关联关系,对未知程序特征及程序行为进 行分析,以更新黑/白名单。5.如权利要求4所述的方法,其特征在于,所述对未知程序特征及其程序行为进行分 析的步骤,包括当某程序行为被列入黑/白名单时,在数据库中将该程序行为对应的程序特征列入黑 /白名单,并将与该程序行为有关联关系的其他程序行为和程序特征也列入黑/白名...
【专利技术属性】
技术研发人员:齐向东,徐贵斌,范纪锽,
申请(专利权)人:奇智软件北京有限公司,
类型:发明
国别省市:11[中国|北京]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。