一种云端恶意检测引擎识别方法技术

一种云端恶意检测引擎识别方法，通过云端多个异构检测引擎并行检测客户端上传的可疑文件，将检测结果相同的检测引擎划分为同一结果组，并采取少数服从多数的投票策略选取检测引擎数量最多的结果组为最佳结果组，按照Dempster-Shafer综合判断方法融合最佳结果组内各检测引擎的检测结果，并将其作为文件的云端综合判断结果，计算非最佳结果组内的各可疑检测引擎的恶意距，并将其与预设门限值比对，若大于预设门限值则判定为恶意检测引擎。本发明专利技术不仅保障了云端恶意程序判断的可靠性和准确性，还能高效地识别云端恶意检测引擎。

【技术实现步骤摘要】

本专利技术涉及。
技术介绍
随着云计算的发展，利用云安全进行恶意程序分析、判断和决策是恶意程序防治的一个必然趋势。而云安全本质上就是杀毒软件的网络化，即将恶意程序判断工作转移至云端服务器，把客户端作为病毒收集器，从而实现新病毒的快速响应。然而由于现有商业模式的限制，360、趋势等公司推出的“云杀毒”产品的云端由多个单一类型的检测引擎构成，这在一定程度上提升了恶意程序的检测速度，但并不能提高检测的范围和精度。为了解决这个问题，异构检测引擎构成的云安全技术路线应运而生。安全厂商在云端部署多个异构检测引擎，当用户进行系统访问时，客户端进行拦截并上传至云端，由云端综合检测后向用户端反馈结果。为了提高系统运行的效率，可以在本地和云端分别建立检测结果数据库，避免相同威胁的重复检测。异构检测引擎构成的云安全相比单一类型检测引擎构成的云安全优势体现在以下几个方面: 1、丰富了恶意程序判断的技术手段。不同的检测引擎对恶意程序认识的侧重点不同，决定了其采用技术手段的差异性，因而将云端单一类型恶意检测技术升级为多重保护。 2、扩大了恶意程序的识别范围。单一类型检测引擎可能对某种类型的恶意程序检测十分有效，但是对于其它类型的恶意程序可能存在缺陷。如果云端采用多个单一类型的检测引擎将会存在一定的限制。异构检测引擎构成的云安全保证了云端检测引擎的多样性，从而提高了恶意程序检测的覆盖面。3、解决了单点失效(single failure)问题。如果云端采用单一类型的多个检测引擎，一旦因为某种人为或非人为因素干扰造成该种类型的检测引擎失效，将直接导致整个云端检测系统的瘫痪。而异构检测引擎构成的云安全则避免了单点失效风险，即便某种类型的检测引擎因故失效，云端仍然有其它多种选择。理论上多个异构检测引擎同时失效为小概率事件，基本上不会发生。4、提高了恶意程序判断的可靠性和准确性。异构检测引擎对恶意程序判定的结果存在差异性，为云端提供了多个参考依据，提高了恶意程序判定的可靠性；另一方面，不同的检测引擎其准确率也不同，云端可采用综合判断算法提高恶意程序判定的准确性。实际上，融合多种异构检测引擎的恶意程序判断方案本质上综合了多种恶意检测技术的优势，因而其检测的覆盖面和精度都比单一类型检测引擎高。但多引擎综合优势体现的前提是各检测引擎能够正常运行，其检测结果完全可靠。然而，检测引擎并不总是可靠的。美国国家漏洞数据库(National Vulnerability Database)披露了十种主流杀毒软件2005-2007年间的漏洞数量，结果显示各主流杀毒软件都存在不同程度的漏洞缺陷，并且高危漏洞所占比例最大。随着检测引擎功能越来越强大，其内部结构也日益复杂，检测引擎本身的漏洞更容易遭受到黑客的攻击，这直接影响到检测结果的正确性和整个云安全系统的可靠性。而如何应对受攻击的恶意检测引擎，还鲜有报道。
技术实现思路
本专利技术提供的，保障了云端恶意程序判断的可靠性，提高了云端恶意程序判断的准确性，能够高效地识别云端恶意检测引擎，具有广泛的实用性。为了达到上述目的，本专利技术提供，该方法包含以下步骤: 步骤1、云端多个异构检测引擎并行检测用户端上传的可疑文件； 步骤2、根据文件检测结果将云端检测引擎划分为结果组，即检测结果相同的检测引擎划分为一组； 步骤3、按少数服从多数的投票策略取组内元素最多的组作为最佳结果组； 步骤4、根据Dempster-Shafer理论融合最佳结果组的各检测结果，并将生成结果作为该文件的最终判定结果； 步骤5、计算除了最佳结果组以外的检测引擎的恶意距； 所述的恶意距为最佳结果组外检测引擎的检测结果与综合判定结果的差距； 步骤6、将步骤5得到的最佳结果组外检测引擎的恶意距依次与预设门限值比对，若大于预设门限值，则判定该检测引擎为恶意检测引擎，否则为正常检测引擎。所述的云端由两种以上异构检测引擎构成。所述的恶意检测引擎数量小于云端检测引擎总数的一半。所述的恶意检测引擎报告错误的检测结果，所述的非恶意检测引擎报告正确的检测结果。所述的恶意检测引擎并无“协同式“或“勾结式”攻击特征，而是攻击行为相对独立的个体。所述步骤4中，Dempster-Shafer融合理论中， 设 是一个识别框架，在识别框架⑩上的基本概率分配BPA(Basic ProbabilityAssignment的简称)是一个[| 的函数，并且满足: _)=0 [m(A) = I 对于H〔⑩’识别框架B上的有限个隱0数丨I〗，爾,，."Ilp的Dempster合成规则为:权利要求1.，其特征在于，该方法包含以下步骤: 步骤1、云端多个异构检测引擎并行检测用户端上传的可疑文件； 步骤2、根据文件检测结果将云端检测引擎划分为结果组，即检测结果相同的检测引擎划分为一组； 步骤3、按少数服从多数的投票策略取组内元素最多的组作为最佳结果组； 步骤4、根据Dempster-Shafer理论融合最佳结果组的各检测结果，并将生成结果作为该文件的最终判定结果； 步骤5、计算除了最佳结果组以外的检测引擎的恶意距； 所述的恶意距为最佳结果组外检测引擎的检测结果与综合判定结果的差距； 步骤6、将步骤5得到的最佳结果组外检测引擎的恶意距依次与预设门限值比对，若大于预设门限值，则判定该检测引擎为恶意检测引擎，否则为正常检测引擎。2.如权利要求1所述的，其特征在于，所述的云端由两种以上异构检测引擎构成。3.如权利要求2所述的，其特征在于，所述的恶意检测引擎数量小于云端检测引擎总数的一半。4.如权利要求3所述的，其特征在于，所述的恶意检测引擎报告错误的检测结果，所述的非恶意检测引擎报告正确的检测结果。5.如权利要求4所述的，其特征在于，所述的恶意检测引擎并无“协同式“或“勾结 式”攻击特征，而是攻击行为相对独立的个体。6.如权利要求1所述的，其特征在于，所述步骤4中，Dempster-Shafer 融合理论中， 设 是一个识别框架，在识别框架 上的基本概率分配BPA(Basic ProbabilityAssignment的简称)是一个20 的函数m，并且满足: m⑷=0 ^ m(A) = I 对于VA Q ,识别框架 上的有限个匪函数JTi1，rn2，…rnn的Dempster合成规则为: (；m1&m2 十…)(.4) = - ^ To1 (/I,) To2(A2)-- mn(An)7.如权利要求1所述的，其特征在于，所述的步骤5中，用差的绝对值或余弦相似 度来计算恶意距。全文摘要，通过云端多个异构检测引擎并行检测客户端上传的可疑文件，将检测结果相同的检测引擎划分为同一结果组，并采取少数服从多数的投票策略选取检测引擎数量最多的结果组为最佳结果组，按照Dempster-Shafer综合判断方法融合最佳结果组内各检测引擎的检测结果，并将其作为文件的云端综合判断结果，计算非最佳结果组内的各可疑检测引擎的恶意距，并将其与预设门限值比对，若大于预设门限值则判定为恶意检测引擎。本专利技术不仅保障了云端恶意程序判断的可靠性和准确性，还能高效地识别云端恶意检测引擎。文档编号G06F21/55GK103235914SQ20131015194公开日2013年8月7日 申请日期本文档来自技高网...

【技术保护点】
一种云端恶意检测引擎识别方法，其特征在于，该方法包含以下步骤：步骤1、云端多个异构检测引擎并行检测用户端上传的可疑文件；步骤2、根据文件检测结果将云端检测引擎划分为结果组，即检测结果相同的检测引擎划分为一组；步骤3、按少数服从多数的投票策略取组内元素最多的组作为最佳结果组；步骤4、根据Dempster?Shafer理论融合最佳结果组的各检测结果，并将生成结果作为该文件的最终判定结果；步骤5、计算除了最佳结果组以外的检测引擎的恶意距；所述的恶意距为最佳结果组外检测引擎的检测结果与综合判定结果的差距；步骤6、将步骤5得到的最佳结果组外检测引擎的恶意距依次与预设门限值比对，若大于预设门限值，则判定该检测引擎为恶意检测引擎，否则为正常检测引擎。

【技术特征摘要】

【专利技术属性】
技术研发人员：聂雄丁，韩德志，毕坤，
申请(专利权)人：上海海事大学，
类型：发明
国别省市：