【技术实现步骤摘要】
本专利技术属于网络安全领域,具体地说,涉及一种基于云安全的主动防御方法。
技术介绍
恶意程序是一个概括性的术语,指任何故意创建用来执行未经授权并通常是有害行为的软件程序。计算机病毒、后门程序、键盘记录器、密码盗取者、Word和Excel宏病毒、引导区病毒、脚本病毒(batch, windows shell, java等)、木马、犯罪软件、间谋软件和广告软件等等,都是一些可以称之为恶意程序的例子。传统的恶意程序防杀主要依赖于特征库模式。特征库是由厂商收集到的恶意程序样本的特征码组成,而特征码则是分析工程师从恶意程序中找到和正当软件的不同之处,截取一段类似于“搜索关键词”的程序代码。当查杀过程中,引擎会读取文件并与特征库中的所有特征码“关键词”进行匹配,如果发现文件程序代码被命中,就可以判定该文件程序为恶意程序。特征库匹配是查杀已知恶意程序很有效的一项技术。但是现今全球恶意程序数量呈几何级增长,基于这种爆发式的增速,特征库的生成与更新往往是滞后的,很多时候杀毒软件无法防杀层出不穷的未知恶意程序。主动防御随之应运而生,其是基于程序行为自主分析判断的实时防护技术,不以特...
【技术保护点】
一种基于云安全的主动防御文件修复方法,其特征在于,包括:客户端对其上一程序发起的程序行为和/或发起该行为的程序的程序特征进行收集,发送到服务器端;服务器端根据所述客户端发送来的所述程序行为,基于数据库中被列入黑名单的程序,确定所述客户端被感染文件的信息;服务器端根据被感染文件的信息,将存储于数据库中的一份完好的对应文件下载至客户端,覆盖被感染文件。
【技术特征摘要】
1.一种基于云安全的主动防御文件修复方法,其特征在于,包括: 客户端对其上一程序发起的程序行为和/或发起该行为的程序的程序特征进行收集,发送到服务器端; 服务器端根据所述客户端发送来的所述程序行为,基于数据库中被列入黑名单的程序,确定所述客户端被感染文件的信息; 服务器端根据被感染文件的信息,将存储于数据库中的一份完好的对应文件下载至客户端,覆盖被感染文件。2.如权利要求1所述的方法,其特征在于, 所述程序行为,包括:所述程序行为的本体及该程序行为的目标的属性; 所述程序行为的目标的属性,包括:行为目标本身所属的黑白等级、所处于系统中的位置、类型、行为目标所作出行为本体及其所属的黑白等级。3.如权利要求1所述的方法,其特征在于,所述服务器端根据所述客户端发来的其上发起该程序行为的程序的程序特征,与所述数据库保存的黑名单的特征码进行比对,如果命中,则判定所述程序为恶意程序,并反馈给所述客户端。4.如权利要求2所述的方法,其特征在于,所述服务器端根据所收集到的所述客户端上一程序作出的一串程序行为,与所述数据库保存的认定的恶意行为序列进行比对,对其中命中的程序行为的权重值进行累加,并比对该累加值是否超过一预设阈值,如果超过所述阈值则判定所述程序为恶意程序,并反馈给对应的客户端计算机。5.如权利要求4所述的方法,其特征在于,所述服务器端对其数据库中保存的各恶意行为赋予相应的权重值,权重 值的设置根据技术人员经验或根据所收集的大量客户端数据通过统计学计算获得。6.如权利要求2所述的方法,其特征在于,所述服务器端根据所收集到的所述客户端上一程序作出的一串程序行为,与所述数据库保存的认定的恶意行为序列进行比对,对其中命中的程序行为的权重值进行累加,并比对该累加值是否超过一预设阈值,如果超过所述阈值则对所述程序进行分析,获取其特征码,根据其特征码与所述数据库保存的黑名单的特征码进行比对,如果命中,则判定所述程序为恶意程序,并反馈给所述客户端。7.如权利要求3、4或6所述的方法,其特征在于,服务器端根据所述程序特征和/或程序行为在其数据库中进行分析比对,根据比对结果对所述程序进行判定的步骤,还包括一更新步骤: 所述服务器端将所述恶意程序的程序特征和/或恶意程序行为实时或周期性更新到所述数据库保存。8.如权利要求2所述的方法...
【专利技术属性】
技术研发人员:周鸿祎,郑文彬,余和,范纪锽,
申请(专利权)人:北京奇虎科技有限公司,奇智软件北京有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。