本发明专利技术公开了一种基于云安全的主动防御文件修复方法,包括:客户端对其上一程序发起的程序行为和/或发起该行为的程序的程序特征进行收集,发送到服务器端;服务器端根据所述客户端发送来的所述程序行为,基于数据库中被列入黑名单的程序,确定所述客户端被感染文件的信息;服务器端根据被感染文件的信息,将存储于数据库中的一份完好的对应文件下载至客户端,覆盖被感染文件。本发明专利技术引入云安全架构并基于主动防御使用行为特征进行恶意程序查杀以修复文件,保证了网络安全。
【技术实现步骤摘要】
本专利技术属于网络安全领域,具体地说,涉及一种基于云安全的主动防御方法。
技术介绍
恶意程序是一个概括性的术语,指任何故意创建用来执行未经授权并通常是有害行为的软件程序。计算机病毒、后门程序、键盘记录器、密码盗取者、Word和Excel宏病毒、引导区病毒、脚本病毒(batch, windows shell, java等)、木马、犯罪软件、间谋软件和广告软件等等,都是一些可以称之为恶意程序的例子。传统的恶意程序防杀主要依赖于特征库模式。特征库是由厂商收集到的恶意程序样本的特征码组成,而特征码则是分析工程师从恶意程序中找到和正当软件的不同之处,截取一段类似于“搜索关键词”的程序代码。当查杀过程中,引擎会读取文件并与特征库中的所有特征码“关键词”进行匹配,如果发现文件程序代码被命中,就可以判定该文件程序为恶意程序。特征库匹配是查杀已知恶意程序很有效的一项技术。但是现今全球恶意程序数量呈几何级增长,基于这种爆发式的增速,特征库的生成与更新往往是滞后的,很多时候杀毒软件无法防杀层出不穷的未知恶意程序。主动防御随之应运而生,其是基于程序行为自主分析判断的实时防护技术,不以特征码作为判断恶意程序的依据,而是从最原始的定义出发,直接将程序的行为作为判断恶意程序的依据,其中衍生出在本地使用特征库、在本地设置行为阈值以及在本地启发式杀毒的方式来判别、拦截恶意程序的行为,从而一定程度上达到保护用户电脑的目的。但是上述本地主动防御手段也不可避免的存在弊端。首先,本地主动防御很容易对恶意程序造成免杀,例如,通过对恶意程序加壳或修改该恶意程序的特征码即可以避开本地主动防御的特征库防杀模式;通过针对恶意程序的行为,减少或替换恶意程序执行的相关行为从而避免触发行为阈值防杀模式的启动上限。另外,本地主动防御还是要依赖于本地数据库的及时更新。
技术实现思路
有鉴于此,本专利技术所要解决的技术问题是提供了,不依赖于本地数据库,并且将主动防御的分析比对操作和对客户端的文件修复放在服务器端完成。为了解决上述技术问题,本专利技术公开了,包括:客户端对其上一程序发起的程序行为和/或发起该行为的程序的程序特征进行收集,发送到服务器端;服务器端根据所述客户端发送来的所述程序行为,基于数据库中被列入黑名单的程序,确定所述客户端被感染文件的信息;服务器端根据被感染文件的信息,将存储于数据库中的一份完好的对应文件下载至客户端,覆盖被感染文件。进一步地,所述程序行为,包括:所述程序行为的本体及该程序行为的目标的属性;所述程序行为的目标的属性,包括:行为目标本身所属的黑白等级、所处于系统中的位置、类型、行为目标所作出行为本体及其所属的黑白等级。进一步地,所述服务器端根据所述客户端发来的其上发起该程序行为的程序的程序特征,与所述数据库保存的黑名单的特征码进行比对,如果命中,则判定所述程序为恶意程序,并反馈给所述客户端。进一步地,所述服务器端根据所收集到的所述客户端上一程序作出的一串程序行为,与所述数据库保存的认定的恶意行为序列进行比对,对其中命中的程序行为的权重值进行累加,并比对该累加值是否超过一预设阈值,如果超过所述阈值则判定所述程序为恶意程序,并反馈给对应的客户端计算机。进一步地,所述服务器端对其数据库中保存的各恶意行为赋予相应的权重值,权重值的设置根据技术人员经验或根据所收集的大量客户端数据通过统计学计算获得。进一步地,所述服务器端根据所收集到的所述客户端上一程序作出的一串程序行为,与所述数据库保存的认定的恶意行为序列进行比对,对其中命中的程序行为的权重值进行累加,并比对该累加值是否超过一预设阈值,如果超过所述阈值则对所述程序进行分析,获取其特征码,根据其特征码与所述数据库保存的黑名单的特征码进行比对,如果命中,则判定所述程序为恶意程序,并反馈给所述客户端。进一步地,服务器端根据所述程序特征和/或程序行为在其数据库中进行分析比对,根据比对结果对所述程序进行判定的步骤,还包括一更新步骤:所述服务器端将所述恶意程序的程序特征和/或恶意程序行为实时或周期性更新到所述数据库保存。进一步地,客户端对一程序行为和/或发起该行为的程序的程序特征进行收集并发送到服务器端的步骤之前,还包括:由客户端收集程序特征及其对应的程序行为,并传送至服务器端;在服务器端数据库中记录不同的程序特征及其对应的程序行为,以及黑/白名单;根据现有已知黑/白名单中的程序特征及其对应的程序行为,对未知程序特征及程序行为进行分析,以更新黑/白名单。进一步地,所述对未知程序特征及其程序行为进行分析的步骤,包括:如果未知程序特征与现有黑/白名单中的已知程序特征相同,则将该未知程序特征及其程序行为列入黑/白名单;如果未知程序行为与现有黑/白名单中的已知程序行为相同或近似,则将该未知程序行为及其程序特征列入黑/白名单;当某程序行为被列入黑/白名单时,在数据库中将该程序行为对应的程序特征列入黑/白名单,并将与该程序行为有关联关系的其他程序行为和程序特征也列入黑/白名单;和/或当某程序特征被列入黑/白名单时,在数据库中将该程序特征对应的程序行为列入黑/白名单,并将与该程序特征有关联关系的其他程序行为和程序特征也列入黑/白名单。进一步地,还包括:在具有相同或近似行为的程序之间建立行为与特征的关联关系,根据所述具有相同或近似行为的程序之间的关联关系,对未知程序特征及程序行为进行分析,以更新黑/白名单;在数据库中针对被列入黑名单的程序,进一步记录该程序的逆向行为,以在确认客户端计算机中存在该被列入黑名单的程序时,执行所述逆向行为;在数据库中针对被列入黑名单的程序,根据该程序的行为,确定客户端计算机被感染文件的信息,根据被感染文件的信息,将存储于数据库中的一份完好的对应文件下载至客户端计算机中覆盖被感染文件;和/或在数据库中进一步记录在一预设时间内由不同客户端计算机收集到的相同的程序特征的数量变化,如果在一预设时间内,由不同客户端计算机收集到的某个未知程序特征的数量增减超过阈值,则在数据库中将该程序特征及其对应的程序行为列入黑名单。进一步地,将存储于数据库中的一份完好的对应文件下载至客户端,包括:服务器端对被感染文件的信息的获取,是通过文件路径、系统版本、及相关联到的应用程序组件信息,在数据库中查询而确定的。与现有的方案相比,本专利技术所获得的技术效果:本专利技术引入云安全架构,将所有“云安全”客户端与“云安全”服务器实时连接,客户端不断采集上报更新,在服务器端组成一庞大的恶意程序数据库,并将主动防御的分析比对操作放在服务器端完成,从而使整个云安全网络成为一主动防御工具;针对具有威胁的程序行为进行收集并保存在服务器的数据库中,在服务器端进行恶意软件分析时支持直接使用程序行为进行恶意程序判定。另外,本专利技术还通过客户端收集程序行为并关联到程序特征,从而在数据库中记录程序特征及其对应的程序行为,根据收集到的程序行为和程序特征的关联关系,可以在数据库中对样本进行分析归纳,从而有助于对软件或程序进行黑白的分类判别,还可以针对黑名单中的恶意软件制定相应的清除或恢复措施附图说明图1为本专利技术的基于云安全的主动防御模式的流程图;图2为根据本专利技术实施例所述的基于云的样本数据库动态维护方法流程图;图3为根据本专利技术实施例所述的关联关系示意图;图4为根本文档来自技高网...
【技术保护点】
一种基于云安全的主动防御文件修复方法,其特征在于,包括:客户端对其上一程序发起的程序行为和/或发起该行为的程序的程序特征进行收集,发送到服务器端;服务器端根据所述客户端发送来的所述程序行为,基于数据库中被列入黑名单的程序,确定所述客户端被感染文件的信息;服务器端根据被感染文件的信息,将存储于数据库中的一份完好的对应文件下载至客户端,覆盖被感染文件。
【技术特征摘要】
1.一种基于云安全的主动防御文件修复方法,其特征在于,包括: 客户端对其上一程序发起的程序行为和/或发起该行为的程序的程序特征进行收集,发送到服务器端; 服务器端根据所述客户端发送来的所述程序行为,基于数据库中被列入黑名单的程序,确定所述客户端被感染文件的信息; 服务器端根据被感染文件的信息,将存储于数据库中的一份完好的对应文件下载至客户端,覆盖被感染文件。2.如权利要求1所述的方法,其特征在于, 所述程序行为,包括:所述程序行为的本体及该程序行为的目标的属性; 所述程序行为的目标的属性,包括:行为目标本身所属的黑白等级、所处于系统中的位置、类型、行为目标所作出行为本体及其所属的黑白等级。3.如权利要求1所述的方法,其特征在于,所述服务器端根据所述客户端发来的其上发起该程序行为的程序的程序特征,与所述数据库保存的黑名单的特征码进行比对,如果命中,则判定所述程序为恶意程序,并反馈给所述客户端。4.如权利要求2所述的方法,其特征在于,所述服务器端根据所收集到的所述客户端上一程序作出的一串程序行为,与所述数据库保存的认定的恶意行为序列进行比对,对其中命中的程序行为的权重值进行累加,并比对该累加值是否超过一预设阈值,如果超过所述阈值则判定所述程序为恶意程序,并反馈给对应的客户端计算机。5.如权利要求4所述的方法,其特征在于,所述服务器端对其数据库中保存的各恶意行为赋予相应的权重值,权重 值的设置根据技术人员经验或根据所收集的大量客户端数据通过统计学计算获得。6.如权利要求2所述的方法,其特征在于,所述服务器端根据所收集到的所述客户端上一程序作出的一串程序行为,与所述数据库保存的认定的恶意行为序列进行比对,对其中命中的程序行为的权重值进行累加,并比对该累加值是否超过一预设阈值,如果超过所述阈值则对所述程序进行分析,获取其特征码,根据其特征码与所述数据库保存的黑名单的特征码进行比对,如果命中,则判定所述程序为恶意程序,并反馈给所述客户端。7.如权利要求3、4或6所述的方法,其特征在于,服务器端根据所述程序特征和/或程序行为在其数据库中进行分析比对,根据比对结果对所述程序进行判定的步骤,还包括一更新步骤: 所述服务器端将所述恶意程序的程序特征和/或恶意程序行为实时或周期性更新到所述数据库保存。8.如权利要求2所述的方法...
【专利技术属性】
技术研发人员:周鸿祎,郑文彬,余和,范纪锽,
申请(专利权)人:北京奇虎科技有限公司,奇智软件北京有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。