本發(fā)明專利技術公開了一種基于云安全的主動防御文件修復方法,包括:客戶端對其上一程序發(fā)起的程序行為和/或發(fā)起該行為的程序的程序特征進行收集,發(fā)送到服務器端;服務器端根據所述客戶端發(fā)送來的所述程序行為,基于數據庫中被列入黑名單的程序,確定所述客戶端被感染文件的信息;服務器端根據被感染文件的信息,將存儲于數據庫中的一份完好的對應文件下載至客戶端,覆蓋被感染文件。本發(fā)明專利技術引入云安全架構并基于主動防御使用行為特征進行惡意程序查殺以修復文件,保證了網絡安全。
【技術實現步驟摘要】
本專利技術屬于網絡安全領域,具體地說,涉及一種基于云安全的主動防御方法。
技術介紹
惡意程序是一個概括性的術語,指任何故意創(chuàng)建用來執(zhí)行未經授權并通常是有害行為的軟件程序。計算機病毒、后門程序、鍵盤記錄器、密碼盜取者、Word和Excel宏病毒、引導區(qū)病毒、腳本病毒(batch, windows shell, java等)、木馬、犯罪軟件、間謀軟件和廣告軟件等等,都是一些可以稱之為惡意程序的例子。傳統(tǒng)的惡意程序防殺主要依賴于特征庫模式。特征庫是由廠商收集到的惡意程序樣本的特征碼組成,而特征碼則是分析工程師從惡意程序中找到和正當軟件的不同之處,截取一段類似于“搜索關鍵詞”的程序代碼。當查殺過程中,引擎會讀取文件并與特征庫中的所有特征碼“關鍵詞”進行匹配,如果發(fā)現文件程序代碼被命中,就可以判定該文件程序為惡意程序。特征庫匹配是查殺已知惡意程序很有效的一項技術。但是現今全球惡意程序數量呈幾何級增長,基于這種爆發(fā)式的增速,特征庫的生成與更新往往是滯后的,很多時候殺毒軟件無法防殺層出不窮的未知惡意程序。主動防御隨之應運而生,其是基于程序行為自主分析判斷的實時防護技術,不以特征碼作為判斷惡意程序的依據,而是從最原始的定義出發(fā),直接將程序的行為作為判斷惡意程序的依據,其中衍生出在本地使用特征庫、在本地設置行為閾值以及在本地啟發(fā)式殺毒的方式來判別、攔截惡意程序的行為,從而一定程度上達到保護用戶電腦的目的。但是上述本地主動防御手段也不可避免的存在弊端。首先,本地主動防御很容易對惡意程序造成免殺,例如,通過對惡意程序加殼或修改該惡意程序的特征碼即可以避開本地主動防御的特征庫防殺模式;通過針對惡意程序的行為,減少或替換惡意程序執(zhí)行的相關行為從而避免觸發(fā)行為閾值防殺模式的啟動上限。另外,本地主動防御還是要依賴于本地數據庫的及時更新。
技術實現思路
有鑒于此,本專利技術所要解決的技術問題是提供了,不依賴于本地數據庫,并且將主動防御的分析比對操作和對客戶端的文件修復放在服務器端完成。為了解決上述技術問題,本專利技術公開了,包括:客戶端對其上一程序發(fā)起的程序行為和/或發(fā)起該行為的程序的程序特征進行收集,發(fā)送到服務器端;服務器端根據所述客戶端發(fā)送來的所述程序行為,基于數據庫中被列入黑名單的程序,確定所述客戶端被感染文件的信息;服務器端根據被感染文件的信息,將存儲于數據庫中的一份完好的對應文件下載至客戶端,覆蓋被感染文件。進一步地,所述程序行為,包括:所述程序行為的本體及該程序行為的目標的屬性;所述程序行為的目標的屬性,包括:行為目標本身所屬的黑白等級、所處于系統(tǒng)中的位置、類型、行為目標所作出行為本體及其所屬的黑白等級。進一步地,所述服務器端根據所述客戶端發(fā)來的其上發(fā)起該程序行為的程序的程序特征,與所述數據庫保存的黑名單的特征碼進行比對,如果命中,則判定所述程序為惡意程序,并反饋給所述客戶端。進一步地,所述服務器端根據所收集到的所述客戶端上一程序作出的一串程序行為,與所述數據庫保存的認定的惡意行為序列進行比對,對其中命中的程序行為的權重值進行累加,并比對該累加值是否超過一預設閾值,如果超過所述閾值則判定所述程序為惡意程序,并反饋給對應的客戶端計算機。進一步地,所述服務器端對其數據庫中保存的各惡意行為賦予相應的權重值,權重值的設置根據技術人員經驗或根據所收集的大量客戶端數據通過統(tǒng)計學計算獲得。進一步地,所述服務器端根據所收集到的所述客戶端上一程序作出的一串程序行為,與所述數據庫保存的認定的惡意行為序列進行比對,對其中命中的程序行為的權重值進行累加,并比對該累加值是否超過一預設閾值,如果超過所述閾值則對所述程序進行分析,獲取其特征碼,根據其特征碼與所述數據庫保存的黑名單的特征碼進行比對,如果命中,則判定所述程序為惡意程序,并反饋給所述客戶端。進一步地,服務器端根據所述程序特征和/或程序行為在其數據庫中進行分析比對,根據比對結果對所述程序進行判定的步驟,還包括一更新步驟:所述服務器端將所述惡意程序的程序特征和/或惡意程序行為實時或周期性更新到所述數據庫保存。進一步地,客戶端對一程序行為和/或發(fā)起該行為的程序的程序特征進行收集并發(fā)送到服務器端的步驟之前,還包括:由客戶端收集程序特征及其對應的程序行為,并傳送至服務器端;在服務器端數據庫中記錄不同的程序特征及其對應的程序行為,以及黑/白名單;根據現有已知黑/白名單中的程序特征及其對應的程序行為,對未知程序特征及程序行為進行分析,以更新黑/白名單。進一步地,所述對未知程序特征及其程序行為進行分析的步驟,包括:如果未知程序特征與現有黑/白名單中的已知程序特征相同,則將該未知程序特征及其程序行為列入黑/白名單;如果未知程序行為與現有黑/白名單中的已知程序行為相同或近似,則將該未知程序行為及其程序特征列入黑/白名單;當某程序行為被列入黑/白名單時,在數據庫中將該程序行為對應的程序特征列入黑/白名單,并將與該程序行為有關聯(lián)關系的其他程序行為和程序特征也列入黑/白名單;和/或當某程序特征被列入黑/白名單時,在數據庫中將該程序特征對應的程序行為列入黑/白名單,并將與該程序特征有關聯(lián)關系的其他程序行為和程序特征也列入黑/白名單。進一步地,還包括:在具有相同或近似行為的程序之間建立行為與特征的關聯(lián)關系,根據所述具有相同或近似行為的程序之間的關聯(lián)關系,對未知程序特征及程序行為進行分析,以更新黑/白名單;在數據庫中針對被列入黑名單的程序,進一步記錄該程序的逆向行為,以在確認客戶端計算機中存在該被列入黑名單的程序時,執(zhí)行所述逆向行為;在數據庫中針對被列入黑名單的程序,根據該程序的行為,確定客戶端計算機被感染文件的信息,根據被感染文件的信息,將存儲于數據庫中的一份完好的對應文件下載至客戶端計算機中覆蓋被感染文件;和/或在數據庫中進一步記錄在一預設時間內由不同客戶端計算機收集到的相同的程序特征的數量變化,如果在一預設時間內,由不同客戶端計算機收集到的某個未知程序特征的數量增減超過閾值,則在數據庫中將該程序特征及其對應的程序行為列入黑名單。進一步地,將存儲于數據庫中的一份完好的對應文件下載至客戶端,包括:服務器端對被感染文件的信息的獲取,是通過文件路徑、系統(tǒng)版本、及相關聯(lián)到的應用程序組件信息,在數據庫中查詢而確定的。與現有的方案相比,本專利技術所獲得的技術效果:本專利技術引入云安全架構,將所有“云安全”客戶端與“云安全”服務器實時連接,客戶端不斷采集上報更新,在服務器端組成一龐大的惡意程序數據庫,并將主動防御的分析比對操作放在服務器端完成,從而使整個云安全網絡成為一主動防御工具;針對具有威脅的程序行為進行收集并保存在服務器的數據庫中,在服務器端進行惡意軟件分析時支持直接使用程序行為進行惡意程序判定。另外,本專利技術還通過客戶端收集程序行為并關聯(lián)到程序特征,從而在數據庫中記錄程序特征及其對應的程序行為,根據收集到的程序行為和程序特征的關聯(lián)關系,可以在數據庫中對樣本進行分析歸納,從而有助于對軟件或程序進行黑白的分類判別,還可以針對黑名單中的惡意軟件制定相應的清除或恢復措施附圖說明圖1為本專利技術的基于云安全的主動防御模式的流程圖;圖2為根據本專利技術實施例所述的基于云的樣本數據庫動態(tài)維護方法流程圖;圖3為根據本專利技術實施例所述的關聯(lián)關系示意圖;圖4為根本文檔來自技高網...
【技術保護點】
一種基于云安全的主動防御文件修復方法,其特征在于,包括:客戶端對其上一程序發(fā)起的程序行為和/或發(fā)起該行為的程序的程序特征進行收集,發(fā)送到服務器端;服務器端根據所述客戶端發(fā)送來的所述程序行為,基于數據庫中被列入黑名單的程序,確定所述客戶端被感染文件的信息;服務器端根據被感染文件的信息,將存儲于數據庫中的一份完好的對應文件下載至客戶端,覆蓋被感染文件。
【技術特征摘要】
1.一種基于云安全的主動防御文件修復方法,其特征在于,包括: 客戶端對其上一程序發(fā)起的程序行為和/或發(fā)起該行為的程序的程序特征進行收集,發(fā)送到服務器端; 服務器端根據所述客戶端發(fā)送來的所述程序行為,基于數據庫中被列入黑名單的程序,確定所述客戶端被感染文件的信息; 服務器端根據被感染文件的信息,將存儲于數據庫中的一份完好的對應文件下載至客戶端,覆蓋被感染文件。2.如權利要求1所述的方法,其特征在于, 所述程序行為,包括:所述程序行為的本體及該程序行為的目標的屬性; 所述程序行為的目標的屬性,包括:行為目標本身所屬的黑白等級、所處于系統(tǒng)中的位置、類型、行為目標所作出行為本體及其所屬的黑白等級。3.如權利要求1所述的方法,其特征在于,所述服務器端根據所述客戶端發(fā)來的其上發(fā)起該程序行為的程序的程序特征,與所述數據庫保存的黑名單的特征碼進行比對,如果命中,則判定所述程序為惡意程序,并反饋給所述客戶端。4.如權利要求2所述的方法,其特征在于,所述服務器端根據所收集到的所述客戶端上一程序作出的一串程序行為,與所述數據庫保存的認定的惡意行為序列進行比對,對其中命中的程序行為的權重值進行累加,并比對該累加值是否超過一預設閾值,如果超過所述閾值則判定所述程序為惡意程序,并反饋給對應的客戶端計算機。5.如權利要求4所述的方法,其特征在于,所述服務器端對其數據庫中保存的各惡意行為賦予相應的權重值,權重 值的設置根據技術人員經驗或根據所收集的大量客戶端數據通過統(tǒng)計學計算獲得。6.如權利要求2所述的方法,其特征在于,所述服務器端根據所收集到的所述客戶端上一程序作出的一串程序行為,與所述數據庫保存的認定的惡意行為序列進行比對,對其中命中的程序行為的權重值進行累加,并比對該累加值是否超過一預設閾值,如果超過所述閾值則對所述程序進行分析,獲取其特征碼,根據其特征碼與所述數據庫保存的黑名單的特征碼進行比對,如果命中,則判定所述程序為惡意程序,并反饋給所述客戶端。7.如權利要求3、4或6所述的方法,其特征在于,服務器端根據所述程序特征和/或程序行為在其數據庫中進行分析比對,根據比對結果對所述程序進行判定的步驟,還包括一更新步驟: 所述服務器端將所述惡意程序的程序特征和/或惡意程序行為實時或周期性更新到所述數據庫保存。8.如權利要求2所述的方法...
【專利技術屬性】
技術研發(fā)人員:周鴻祎,鄭文彬,余和,范紀锽,
申請(專利權)人:北京奇虎科技有限公司,奇智軟件北京有限公司,
類型:發(fā)明
國別省市:
還沒有人留言評論。發(fā)表了對其他瀏覽者有用的留言會獲得科技券。