【技术实现步骤摘要】
本专利技术涉及。
技术介绍
当前,采用异构检测引擎构成的云安全技术路线进行恶意程序防治成为学术界和产业界关注的焦点。异构检测引擎构成的云安全相比当前主流的单一类型检测引擎构成的云安全优势更为明显:一方面扩大了云端恶意程序识别的范围;另一方面提高了云端恶意程序判断的准确性和可靠性。异构检测引擎综合优势体现的前提是云端各检测引擎都能够正常运行,产生的检测结果完全可靠。然而,检测引擎并不总是可靠的。美国国家漏洞数据库(NationalVulnerability Database)披露了十种主流杀毒软件2005-2007年间的漏洞数量,结果显示各主流杀毒软件都存在不同程度的漏洞缺陷,并且高危漏洞所占比例最大。随着检测引擎功能越来越强大,其内部结构也日益复杂,检测引擎本身的漏洞更容易遭受到黑客的攻击,这直接影响到检测结果的正确性和整个云安全系统的可靠性。检测引擎的攻击形式分为非“协同式”和“协同式”攻击两类。所谓“协同式”攻击,是指被黑客攻击的检测引擎间呈现出某种“共性”或一致的异常行为特点。相应地,所有不具有“协同式”攻击特征的攻击行为就属于非“协同式”攻击。显然,区分两者的关键在于受攻击的检测引擎间是否表现出一致的异常行为。例如,云端恶意程序判断系统由A、B、C三种杀毒软件构成,其中A正常而B、C被黑客攻击。“协同式”攻击的一个典型场景是:对于一个正常文件n.txt, A的判断结果为安全,B、C检测出恶意,且恶意名称、级别等属性完全一致。而非“协同式”攻击中B、C并不表现出这种同步性和一致性,比如B判断为一般恶意而C判定为严重恶意,或B判断为安全而C判定为一般...
【技术保护点】
一种云端“协同式”恶意检测引擎识别方法,其特征在于,该方法包含以下步骤:步骤1、云端多个异构检测引擎并行检测用户端上传的可疑文件;所述的云端有n(n≥2)个异构检测引擎;所述的多个异构检测引擎是从云端随机抽取的r(2≤r≤n)个可用检测引擎;步骤2、根据文件检测结果将云端检测引擎划分为结果组,即检测结果相同的检测引擎划分为一组;步骤3、根据检测引擎的权重计算每个结果组的组权重;所述的权重指的是该检测引擎返回正确检测结果的次数与返回结果的总次数的比例;所述的组权重指的是该结果组内检测引擎的权重和与所有取出的检测引擎的权重和的比例;步骤4、将每个结果组的组权重与预设权重门限值t比对,判断结果组的组权重是否大于或等于预设权重门限值t,若是,则转到步骤6,若否,这转到步骤5;所述的预设门限值t为云端恶意检测结果被接受的最低标准;步骤5、从云端取出一个未参与过该文件检测的检测引擎,对可疑文件重新检测,然后转到步骤3,将检测结果加入到结果组中并重新计算组权重;步骤6、若某个组的组权重达到t,则将该结果组作为优胜组,优胜组的综合判断结果即为可疑文件的云端综合判断结果;步骤7、更新优胜组内所有检测引擎...
【技术特征摘要】
1.一种云端“协同式”恶意检测引擎识别方法,其特征在于,该方法包含以下步骤: 步骤1、云端多个异构检测引擎并行检测用户端上传的可疑文件; 所述的云端有n(n ^ 2)个异构检测引擎; 所述的多个异构检测引擎是从云端随机抽取的r (2 ≤ r ≤ n)个可用检测引擎; 步骤2、根据文件检测结果将云端检测引擎划分为结果组,即检测结果相同的检测引擎划分为一组; 步骤3、根据检测引擎的权重计算每个结果组的组权重; 所述的权重指的是该检测引擎返回正确检测结果的次数与返回结果的总次数的比例; 所述的组权重指的是该结果组内检测引擎的权重和与所有取出的检测引擎的权重和的比例; 步骤4、将每个结果组的组权重与预设权重门限值t比对,判断结果组的组权重是否大于或等于预设权重门限值t,若是,则转到步骤6,若否,这转到步骤5 ; 所述的预设门限值t为云端恶意检测结果被接受的最低标准; 步骤5、从云端取出一个未参与过该文件检测的检测引擎,对可疑文件重新检测,然后转到步骤3,将检测结果加入到结果组中并重新计算组权重; 步骤6、若某个组的组权重达到t,则将该结果组作为优胜组,优胜组的综合判断结果即为可疑文件的云端综合判断结果; 步骤7、更新优胜组内所有检测引擎的权重; 步骤8、计算非优胜组内所有检测引擎的错误率; 所述的错误率为检测引擎返回错误检测结果的次数与返回结果的总次数的比例; 步骤9、判断步骤8中得到的检测引擎...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。