專利名稱：一種基于云安全的惡意程序判斷方法
技術(shù)領(lǐng)域：
本發(fā)明屬于計(jì)算機(jī)領(lǐng)域，具體涉及一種基于云安全的惡意程序判斷方法。
背景技術(shù)：
隨著計(jì)算機(jī)及其應(yīng)用的快速發(fā)展和網(wǎng)絡(luò)結(jié)構(gòu)的復(fù)雜化，計(jì)算系統(tǒng)的弱點(diǎn)和漏洞將趨于分布式。隨著黑客入侵水平的提高，其攻擊行為也不再是單一的行為，單個(gè)網(wǎng)絡(luò)安全防御工具在應(yīng)對分布式、協(xié)同式、復(fù)雜模式的攻擊行為時(shí)，就顯得十分勢單力薄。目前的網(wǎng)絡(luò)攻擊行為的典型特點(diǎn)是(1)惡意代碼數(shù)目呈爆炸式增長。目前，全球的惡意程序已經(jīng)超過1100萬個(gè)，而且這個(gè)數(shù)據(jù)還在處于不斷增長中。在2005年，每天只有大約50種惡意程序特征碼被添加到特征庫中。而到了 2010年，這一數(shù)字已經(jīng)增加到了 40000個(gè)。而主流的殺毒軟件都是基于病毒特征碼，特征碼的更新速度遠(yuǎn)遠(yuǎn)趕不上新病毒產(chǎn)生的速度。(2)終端有限的資源與龐大惡意程序特征碼數(shù)量之間的矛盾。雖然計(jì)算機(jī)的運(yùn)算速度和存儲容量有明顯地提高，但是與呈幾何級數(shù)增長的病毒相比還是遠(yuǎn)遠(yuǎn)不夠的。用戶需要持續(xù)不斷地更新特征庫，才能保證查殺惡意程序的效果。但是隨著終端病毒庫的增大， 需要更多的存儲空間，同時(shí)消耗了大量計(jì)算資源用于殺毒，影響了計(jì)算機(jī)的運(yùn)行速度。(3)惡意攻擊持續(xù)時(shí)間長，單個(gè)攻擊行為不明顯。例如，為了刺探某站點(diǎn)的具體信息(如所提供的服務(wù)，運(yùn)行操作系統(tǒng)等信息)，多個(gè)攻擊者協(xié)同進(jìn)行掃描。掃描的持續(xù)時(shí)間可能會有幾天或幾個(gè)月之久，但每次的掃描活動與正?；顒硬o明顯差異。(4)惡意攻擊者范圍分布廣泛，攻擊危害性大。比如，各個(gè)攻擊者從地理上分散的位置同時(shí)向某個(gè)網(wǎng)站發(fā)動攻擊(如拒絕服務(wù)攻擊)，這些攻擊積累的結(jié)果會導(dǎo)致該網(wǎng)站癱瘓。(5)惡意攻擊工具多種多樣，攻擊者之間及時(shí)交流攻擊信息，將縮短攻擊時(shí)間和優(yōu)化攻擊手段。比如各攻擊者采用不同的刺探工具，從不同方面獲取目標(biāo)的脆弱點(diǎn)信息，并互相交流，以便優(yōu)化下一輪攻擊措施。面對這些趨勢，現(xiàn)有的各自為營的安全防御方法暴露出嚴(yán)重的缺陷。例如，每個(gè)終端都安裝了入侵防御系統(tǒng)和殺毒軟件，但是仍然不能有效地抵御最新的惡意程序。常用的安全組件只能針對獨(dú)立的入侵行為，而難以防范大規(guī)模的、有組織的協(xié)同攻擊行為；在大規(guī)模分布式系統(tǒng)中，各安全組件缺乏協(xié)同工作和互動的防御機(jī)制。隨著大規(guī)模協(xié)同攻擊的危害性日益嚴(yán)重，構(gòu)建一種能聯(lián)合各安全組件的可擴(kuò)展框架是當(dāng)前的迫切需要。云安全的出現(xiàn)成為解決上述安全問題的有效手段。利用云計(jì)算平臺強(qiáng)大的處理能力和存儲能力，云安全建立專業(yè)的信息安全服務(wù)平臺，它能夠集中對信息安全的相關(guān)威脅進(jìn)行處理，提供相應(yīng)的信息安全服務(wù)。在云安全領(lǐng)域，反病毒行業(yè)是目前進(jìn)展較快、影響較大的一個(gè)領(lǐng)域?！霸茪⒍尽笔遣《痉婪兜囊环N新模式，它本質(zhì)上是一種基于互聯(lián)網(wǎng)的防病毒體系。例如趨勢公司采用的是大量服務(wù)器作為云端的方式，將復(fù)雜的復(fù)合式攻擊攔截交給云端處理，減輕了用戶終端的負(fù)擔(dān)。而瑞星公司采用的是大量用戶終端作為云端的方式，將用戶終端作為樣本收集機(jī)制，實(shí)現(xiàn)安全信息的及時(shí)發(fā)現(xiàn)和共享。目前，已經(jīng)有多家反病毒公司已經(jīng)采用相應(yīng)的技術(shù)提供服務(wù)，包括卡巴斯基、賽門鐵克、趨勢、瑞星、金山、江民和奇虎 360等。與反病毒領(lǐng)域類似，在防火墻、入侵檢測、防垃圾郵件、Web安全等領(lǐng)域，同樣也可以利用云計(jì)算的方式。防火墻、入侵檢測、防垃圾郵件和Web安全的威脅分析服務(wù)器可以充分利用云進(jìn)行動態(tài)實(shí)時(shí)的威脅信息集中采樣與共享，從而最終實(shí)現(xiàn)主動應(yīng)變的安全服務(wù)。安全廠商在云端部署多個(gè)檢測引擎，當(dāng)用戶進(jìn)行系統(tǒng)訪問時(shí)，客戶端進(jìn)行攔截并上傳至云端，由云端檢測后向用戶反饋檢測結(jié)果。這種方式改變了傳統(tǒng)安全防御的思路，將檢測移至云端，實(shí)現(xiàn)了惡意程序特征庫共享，并降低了用戶終端的性能開銷。然而，由于商業(yè)模式的限制，趨勢和瑞星等公司在云端都采用單一類型的多個(gè)檢測引擎。但是每種檢測引擎都有一定的誤報(bào)率，雖然這種方法能夠提高檢測的效率，但是并不能提高檢測的準(zhǔn)確率。此外，由于單一類型的引擎可能存在某種固有缺陷，對某些惡意程序非常有效，其檢測的覆蓋面非常有限。與此同時(shí)，隨著客戶端病毒庫的增大，需要更多的存儲空間，同時(shí)消耗了大量計(jì)算資源用于殺毒，影響了客戶端計(jì)算機(jī)的運(yùn)行速度。

發(fā)明內(nèi)容
本發(fā)明的目的在于克服上述不足之處，提供一種基于多種檢測引擎的惡意程序判斷方法，它具有低開銷、多樣性、準(zhǔn)確性、高效性等特點(diǎn)。本發(fā)明的目的是通過如下途徑實(shí)現(xiàn)的一種基于云安全的惡意程序判斷方法，其步驟為a.在云端部署至少兩個(gè)不同類型的檢測引擎；b.在云用戶終端運(yùn)行時(shí)，攔截用戶程序文件訪問或者執(zhí)行操作，對該文件的唯一標(biāo)識進(jìn)行Hash ；c.若文件的Hash值存在本地緩沖區(qū)，則直接返回決策結(jié)果；否則，向云端發(fā)送查詢消息，若找到則返回決策結(jié)果，否則通知云用戶終端進(jìn)行上傳該文件；d.云用戶終端上傳該文件，將該文件復(fù)制多份后，云端啟動多種檢測引擎進(jìn)行并行檢測，并返回檢測結(jié)果；e.針對各種檢測引擎的檢測結(jié)果，采用綜合判斷算法進(jìn)行綜合決策，并向云用戶終端反饋檢測信息；f.將該文件的文件名、文件大小、Hash值、檢測結(jié)果、查詢次數(shù)等信息寫入云端數(shù)據(jù)庫，方便下次查詢。更進(jìn)一步的，所述的檢測引擎是指對惡意程序進(jìn)行查殺的開源殺毒軟件。更進(jìn)一步的，所述的多種檢測引擎部署在物理機(jī)或虛擬機(jī)中，或物理機(jī)和虛擬機(jī)中皆部署。更進(jìn)一步的，所述的在b步驟中對該文件的唯一標(biāo)識采用MD5或SHAl算法進(jìn)行 Hash0更進(jìn)一步的，所述的e步驟中的綜合判斷算法為Dempster-Shafer算法。本發(fā)明具有以下優(yōu)點(diǎn)及效果1.客戶端的的低開銷。在用戶終端不需要安裝任何入侵檢測工具或者殺毒軟件， 只需要安裝輕量級客戶端。所有的檢測功能都在云端實(shí)現(xiàn)，云端包含各種惡意程序最新的特征碼。客戶端只需要對用戶訪問的文件進(jìn)行攔截，并將沒有檢測過的文件進(jìn)行上傳。同時(shí)，采用兩級緩沖的方法，提高了查找檢測文件的命中率。每個(gè)文件只需要上傳1次，由云端檢測后所有用戶終端進(jìn)行共享。因此，客戶端只需要進(jìn)行查詢，從而降低了用戶終端的性能開銷。2.檢測引擎的多樣性。由于單一引擎可能對某種類型的惡意程序檢測十分有效， 但是對于其他類型的惡意程序可能存在缺陷。如果云端采用多個(gè)單一類型的檢測引擎將會存在一定的限制。本發(fā)明提出在云端部署不同類型的多檢測引擎，保證檢測引擎的多樣性， 從而提高了檢測惡意程序的覆蓋面。3.檢測結(jié)果的準(zhǔn)確性。當(dāng)采用了多檢測引擎進(jìn)行并行檢測后，各個(gè)檢測引擎的檢測結(jié)果可能不同，本發(fā)明提出了采用綜合判斷算法(例如Dempster-Shafer，決策樹等)對檢測結(jié)果進(jìn)行綜合判斷，并將判斷結(jié)果反饋給用戶。由于采用了多種引擎進(jìn)行檢測，同時(shí)利用綜合判斷算法，從而提高了檢測結(jié)果的準(zhǔn)確性。
4.檢測過程的高效性。當(dāng)訪問或者執(zhí)行某個(gè)文件之前，先對其進(jìn)行Hash，根據(jù)其 Hash值來判斷該文件是否被檢測過。如果已經(jīng)檢測，那么由客戶端或者云端直接反饋判斷結(jié)果；如果沒有檢測，則上傳至云端進(jìn)行檢測。也就是說，對所有用戶而言，并不是每次訪問文件或者執(zhí)行程序都需要上傳進(jìn)行檢測，只有在沒有命中時(shí)才上傳。當(dāng)大量用戶同時(shí)運(yùn)行系統(tǒng)時(shí)，命中率可以高達(dá)95%以上，因此整個(gè)檢測過程具有極高的效率。


下面結(jié)合附圖對本發(fā)明作進(jìn)一步詳細(xì)說明圖1為云模式安全總體架構(gòu)圖；圖2為云安全的多檢測引擎綜合判斷方法總體流程圖；圖3為本發(fā)明的客戶端結(jié)構(gòu)圖；圖4為本發(fā)明的系統(tǒng)配置實(shí)例圖。
具體實(shí)施例方式下面結(jié)合附圖對本發(fā)明進(jìn)一步作詳細(xì)的說明。圖1說明了云模式安全總體架構(gòu)圖。客戶端在系統(tǒng)運(yùn)行過程中對文件訪問進(jìn)行攔截，將文件上傳到云端，進(jìn)行惡意程序判斷。云端部署多種類型的檢測引擎，對提交的文件進(jìn)行并行檢測和綜合判斷。所有文件的檢測都在云端實(shí)現(xiàn)，云端將安全以服務(wù)的形式向用戶提供。本發(fā)明通過在云端部署多種不同類型的檢測引擎，對用戶提交的文件進(jìn)行并行檢測。由于檢測引擎具有不同的準(zhǔn)確率，檢測結(jié)果可能各不相同。云端采用綜合判斷算法對檢測結(jié)果進(jìn)行綜合判斷。為了提高檢測的效率，在本地建立文件檢測結(jié)果緩沖區(qū)，同時(shí)在云端建立文件檢測結(jié)果數(shù)據(jù)庫?？傮w來說，本發(fā)明通過多種檢測引擎綜合判斷方法來提高檢測結(jié)果的正確性，同時(shí)客戶端采用緩沖區(qū)和云端采用數(shù)據(jù)庫來緩存文件檢測結(jié)果來提高檢測過程的高效性。實(shí)施例如圖2所示，本發(fā)明一種基于云安全的惡意程序判斷方法，其步驟為(1)在云端部署至少兩個(gè)不同類型的檢測引擎，這些檢測引擎可以部署在物理機(jī)中，也可以部署在虛擬機(jī)中，部署在虛擬機(jī)中可以提高資源的利用率；我們使用的檢測引擎是指對惡意程序進(jìn)行查殺的開源殺毒軟件。(2)客戶端攔截 程序的執(zhí)行操作，計(jì)算該程序的唯一標(biāo)識，該唯一標(biāo)識可以采用 MD5算法進(jìn)行哈希計(jì)算得到，也可以采用SHAl等類似算法；(3)若該程序的唯一標(biāo)識值存在于本地緩沖區(qū)，則直接返回最終判斷結(jié)果，轉(zhuǎn)入步驟(9)。否則，向云端發(fā)送查詢消息，云端收到查詢消息后，在云端數(shù)據(jù)庫中進(jìn)行查找，若查找到該唯一標(biāo)識值則向客戶端返回最終判斷結(jié)果，轉(zhuǎn)入步驟(8)；否則通知客戶端上傳該文件，進(jìn)入步驟⑷；(4)客戶端向云端上傳該文件；(5)云端采用多個(gè)檢測引擎，將該文件復(fù)制多份，進(jìn)行并行檢測，并返回初步檢測
結(jié)果；(6)云端將每個(gè)檢測引擎的初步檢測結(jié)果，采用綜合判斷算法(如 Dempster-Shafer算法)進(jìn)行計(jì)算，得到該程序是否為惡意程序的最終判斷結(jié)果，并向客戶端返回最終判斷結(jié)果；(7)將該文件的唯一標(biāo)識值、最終判斷結(jié)果等信息寫入云端數(shù)據(jù)庫；(8)將該文件的唯一標(biāo)識值、最終判斷結(jié)果等信息寫入客戶端緩沖區(qū)；(9)結(jié)束。在步驟(2)中，客戶端需要對用戶終端運(yùn)行過程中的文件訪問進(jìn)行攔截，圖3說明了客戶端的結(jié)構(gòu)圖?？蛻舳税?部分，其中位于內(nèi)核態(tài)的攔截模塊實(shí)現(xiàn)對系統(tǒng)執(zhí)行過程中文件訪問、加載等操作進(jìn)行攔截，而位于用戶態(tài)的部分主要是用戶接口，方便用戶配置和反饋結(jié)果。在攔截到文件后，計(jì)算其唯一標(biāo)識，如利用MD5算法對其進(jìn)行哈希(Hash)。 MD5算法是一種消息摘要算法(Message Digest Algorithm)，此算法以任意長度的信息 (Message)作為輸入進(jìn)行計(jì)算，產(chǎn)生一個(gè)128位(16字節(jié))的指紋或報(bào)文摘要。針對步驟(6)中的Dempster-Shafer綜合判斷算法，其基本知識設(shè)θ是一個(gè)識別框架，在識別框架θ上的基本概率分配(Basic Probability
m(0) = 0Assignment,簡稱BPA)是一個(gè)2 θ —
的函數(shù)m，并且滿足Ew^) = 1對于C Θ，識別框架θ上的有限個(gè)m函數(shù)ml，m2，. . .，mn的Dempster合成規(guī)則為(^ΘΑη2Θ Θ7η )04) = "^ ^ 1^1(A1)-Tn2(A2)---Mn(An)
K AlHA2H--OAn=A
κ= Σ m\(A)-mI(A)---mAA)其中其融合的結(jié)果表明經(jīng)過η個(gè)主體對識別框架θ中結(jié)果為A的概率。
實(shí)例下面舉例說明本方法實(shí)施過程中的配置情況。為了提高資源的利用率，所有檢測引擎都部署在虛擬機(jī)中，當(dāng)然也可以部署在物理機(jī)中。首先，在2個(gè)物理節(jié)點(diǎn)上安裝虛擬機(jī)管理器-Xen，每個(gè)物理節(jié)點(diǎn)的硬件及系統(tǒng)配置如表1所示。
權(quán)利要求
1.一種基于云安全的惡意程序判斷方法，其特征在于其步驟為a.在云端部署至少兩個(gè)不同類型的檢測引擎；b.在云用戶終端運(yùn)行時(shí)，攔截用戶程序文件訪問或者執(zhí)行操作，對該文件的唯一標(biāo)識進(jìn)行Hash ；c.若文件的Hash值存在本地緩沖區(qū)，則直接返回決策結(jié)果；否則，向云端發(fā)送查詢消息，若找到則返回決策結(jié)果，否則通知云用戶終端進(jìn)行上傳該文件；d.云用戶終端上傳該文件，將該文件復(fù)制多份后，云端啟動多種檢測引擎進(jìn)行并行檢測，并返回檢測結(jié)果；e.針對各種檢測引擎的檢測結(jié)果，采用綜合判斷算法進(jìn)行綜合決策，并向云用戶終端反饋檢測信息；f.將該文件的文件名、文件大小、Hash值、檢測結(jié)果、查詢次數(shù)等信息寫入云端數(shù)據(jù)庫，方便下次查詢。
2.根據(jù)權(quán)利要求1所述的一種基于云安全的惡意程序判斷方法，其特征在于，所述的檢測引擎是指對惡意程序進(jìn)行查殺的開源殺毒軟件。
3.根據(jù)權(quán)利要求1所述的一種基于云安全的惡意程序判斷方法，其特征在于，所述的多種檢測引擎部署在物理機(jī)或虛擬機(jī)中，或物理機(jī)和虛擬機(jī)中皆部署。
4.根據(jù)權(quán)利要求1所述的一種基于云安全的惡意程序判斷方法，其特征在于，所述的在b步驟中對該文件的唯一標(biāo)識采用MD5或SHAl算法進(jìn)行Hash。
5.根據(jù)權(quán)利要求1所述的一種基于云安全的惡意程序判斷方法，其特征在于，所述的e 步驟中的綜合判斷算法為Dempster-Shafer算法。
全文摘要
本發(fā)明屬于計(jì)算機(jī)領(lǐng)域，具體涉及一種基于云安全的惡意程序判斷方法。本發(fā)明通過在云端部署多種不同類型的檢測引擎，對用戶提交的文件進(jìn)行并行檢測。由于檢測引擎具有不同的準(zhǔn)確率，檢測結(jié)果可能各不相同。云端采用綜合判斷算法對檢測結(jié)果進(jìn)行綜合判斷。為了提高檢測的效率，在本地建立文件檢測結(jié)果緩沖區(qū)，同時(shí)在云端建立文件檢測結(jié)果數(shù)據(jù)庫?？傮w來說，本發(fā)明通過多種檢測引擎綜合判斷方法來提高檢測結(jié)果的正確性，同時(shí)客戶端采用緩沖區(qū)和云端采用數(shù)據(jù)庫來緩存文件檢測結(jié)果來提高檢測過程的高效性。
文檔編號G06F17/30GK102346828SQ201110278710
公開日2012年2月8日 申請日期2011年9月20日 優(yōu)先權(quán)日2011年9月20日
發(fā)明者王振江, 金海 申請人:華中科技大學(xué), 海南意源高科技有限公司