專利名稱:一種基于云安全的主動防御方法
技術(shù)領(lǐng)域:
本發(fā)明屬于網(wǎng)絡(luò)安全領(lǐng)域���,具體地說���,涉及一種基于云安全的主動防御方法����。
背景技術(shù):
惡意程序是一個概括性的術(shù)語,指任何故意創(chuàng)建用來執(zhí)行未經(jīng)授權(quán)并通常是有害 行為的軟件程序����。計算機病毒��、后門程序����、鍵盤記錄器�、密碼盜取者�、Word和Excel宏病毒、 引導(dǎo)區(qū)病毒��、腳本病毒(batch��,windows shell����,java等)��、木馬��、犯罪軟件、間諜軟件和廣告 軟件等等�����,都是一些可以稱之為惡意程序的例子���。傳統(tǒng)的惡意程序防殺主要依賴于特征庫模式�����。特征庫是由廠商收集到的惡意程序 樣本的特征碼組成�,而特征碼則是分析工程師從惡意程序中找到和正當(dāng)軟件的不同之處�����, 截取一段類似于“搜索關(guān)鍵詞”的程序代碼����。當(dāng)查殺過程中��,引擎會讀取文件并與特征庫中 的所有特征碼“關(guān)鍵詞”進行匹配�����,如果發(fā)現(xiàn)文件程序代碼被命中,就可以判定該文件程序 為惡意程序��。特征庫匹配是查殺已知惡意程序很有效的一項技術(shù)��。但是現(xiàn)今全球惡意程序數(shù)量 呈幾何級增長��,基于這種爆發(fā)式的增速�����,特征庫的生成與更新往往是滯后的,很多時候殺毒 軟件無法防殺層出不窮的未知惡意程序。主動防御隨之應(yīng)運而生���,其是基于程序行為自主分析判斷的實時防護技術(shù)����,不以 特征碼作為判斷惡意程序的依據(jù)���,而是從最原始的定義出發(fā)�����,直接將程序的行為作為判斷 惡意程序的依據(jù)��,其中衍生出在本地使用特征庫���、在本地設(shè)置行為閾值以及在本地啟發(fā)式 殺毒的方式來判別���、攔截惡意程序的行為�,從而一定程度上達到保護用戶電腦的目的。但是上述本地主動防御手段也不可避免的存在弊端���。首先���,本地主動防御很容易 對惡意程序造成免殺�����,例如��,通過對惡意程序加殼或修改該惡意程序的特征碼即可以避開 本地主動防御的特征庫防殺模式;通過針對惡意程序的行為���,減少或替換惡意程序執(zhí)行的 相關(guān)行為從而避免觸發(fā)行為閾值防殺模式的啟動上限。另外��,本地主動防御還是要依賴于 本地數(shù)據(jù)庫的及時更新。
發(fā)明內(nèi)容
有鑒于此�����,本發(fā)明所要解決的技術(shù)問題是提供了一種基于云安全的主動防御方 法���,不依賴于本地數(shù)據(jù)庫�����,并且將主動防御的分析比對操作放在服務(wù)器端完成。為了解決上述技術(shù)問題�,本發(fā)明公開了一種基于云安全的主動防御方法��,包括客 戶端對其上一程序發(fā)起的程序行為和/或發(fā)起該行為的程序的程序特征進行收集�,發(fā)送到 服務(wù)器端�����;服務(wù)器端根據(jù)所述客戶端發(fā)來的程序特征和/或程序行為在其數(shù)據(jù)庫中進行分 析比對���,根據(jù)比對結(jié)果對所述程序進行判定��,并反饋給所述客戶端;所述客戶端根據(jù)反饋的 判定結(jié)果決定是否對該程序行為進行攔截�、終止執(zhí)行該程序和/或清理該程序�����,恢復(fù)系統(tǒng) 環(huán)境����。進一步地��,所述程序行為��,包括所述程序行為的本體及該程序行為的目標(biāo)的屬性��;所述程序行為的目標(biāo)的屬性�,還包括行為目標(biāo)本身所屬的黑白等級���、所處于系統(tǒng)中的 位置���、類型�、行為目標(biāo)所作出行為本體及其所屬的黑白等級����。進一步地,所述服務(wù)器端根據(jù)所述客戶端發(fā)來的其上發(fā)起該行為的程序的程序特 征,與所述數(shù)據(jù)庫保存的黑名單的特征碼進行比對�,如果命中�����,則判定所述程序為惡意程 序��,并反饋給所述客戶端��。進一步地����,所述服務(wù)器端根據(jù)所收集到的所述客戶端上一程序作出的一串程序行 為����,與所述數(shù)據(jù)庫保存的認(rèn)定的惡意行為序列進行比對,對其中命中的程序行為的權(quán)重值 進行累加����,并比對該累加值是否超過一預(yù)設(shè)閾值,如果超過所述閾值則判定所述程序為惡 意程序����,并反饋給對應(yīng)的客戶端計算機�����。進一步地,所述服務(wù)器端對其數(shù)據(jù)庫中保存的各惡意行為賦予相應(yīng)的權(quán)重值�����,權(quán) 重值的設(shè)置根據(jù)技術(shù)人員經(jīng)驗或根據(jù)所收集的大量客戶端數(shù)據(jù)通過統(tǒng)計學(xué)計算獲得�����。進一步地��,所述服務(wù)器端根據(jù)所收集到的所述客戶端上一程序作出的一串程序行 為��,與所述數(shù)據(jù)庫保存的認(rèn)定的惡意行為序列進行比對���,對其中命中的程序行為的權(quán)重值 進行累加����,并比對該累加值是否超過一預(yù)設(shè)閾值����,如果超過所述閾值則對所述程序進行分 析,獲取其特征碼,根據(jù)其特征碼與所述數(shù)據(jù)庫保存的黑名單的特征碼進行比對����,如果命 中,則判定所述程序為惡意程序���,并反饋給所述客戶端�����。進一步地���,服務(wù)器端根據(jù)所述程序特征和/或程序行為在其數(shù)據(jù)庫中進行分析比 對,根據(jù)比對結(jié)果對所述程序進行判定的步驟�,還包括一更新步驟所述服務(wù)器端將所述惡 意程序的程序特征和/或惡意程序行為實時或周期性更新到所述數(shù)據(jù)庫保存。進一步地�����,客戶端對一程序行為和/或發(fā)起該行為的程序的程序特征進行收集并 發(fā)送到服務(wù)器端的步驟之前���,還包括��;由客戶端收集程序特征及其對應(yīng)的程序行為�,并傳送 至服務(wù)器端;在服務(wù)器端數(shù)據(jù)庫中記錄不同的程序特征及其對應(yīng)的程序行為�,以及黑/白 名單;根據(jù)現(xiàn)有已知黑/白名單中的程序特征及其對應(yīng)的程序行為����,對未知程序特征及程 序行為進行分析����,以更新黑/白名單。進一步地�,所述對未知程序特征及其程序行為進行分析的步驟,包括如果未知程 序特征與現(xiàn)有黑/白名單中的已知程序特征相同�����,則將該未知程序特征及其程序行為列入 黑/白名單�����;如果未知程序行為與現(xiàn)有黑/白名單中的已知程序行為相同或近似���,則將該未 知程序行為及其程序特征列入黑/白名單��;當(dāng)某程序行為被列入黑/白名單時���,在數(shù)據(jù)庫中 將該程序行為對應(yīng)的程序特征列入黑/白名單��,并將與該程序行為有關(guān)聯(lián)關(guān)系的其他程序 行為和程序特征也列入黑/白名單����;和/或當(dāng)某程序特征被列入黑/白名單時�,在數(shù)據(jù)庫中 將該程序特征對應(yīng)的程序行為列入黑/白名單,并將與該程序特征有關(guān)聯(lián)關(guān)系的其他程序 行為和程序特征也列入黑/白名單���。進一步地�����,還包括在具有相同或近似行為的程序之間建立行為與特征的關(guān)聯(lián)關(guān) 系�����,根據(jù)所述具有相同或近似行為的程序之間的關(guān)聯(lián)關(guān)系����,對未知程序特征及程序行為進 行分析���,以更新黑/白名單�;在數(shù)據(jù)庫中針對被列入黑名單的程序,進一步記錄該程序的逆 向行為����,以在確認(rèn)客戶端計算機中存在該被列入黑名單的程序時,執(zhí)行所述逆向行為����;在數(shù) 據(jù)庫中針對被列入黑名單的程序,根據(jù)該程序的行為����,確定客戶端計算機被感染文件的信 息�,根據(jù)被感染文件的信息,將存儲于數(shù)據(jù)庫中的一份完好的對應(yīng)文件下載至客戶端計算 機中覆蓋被感染文件��;和/或在數(shù)據(jù)庫中進一步記錄在一預(yù)設(shè)時間內(nèi)由不同客戶端計算機收集到的相同的程序特征的數(shù)量變化�,如果在一預(yù)設(shè)時間內(nèi),由不同客戶端計算機收集到 的某個未知程序特征的數(shù)量增減超過閾值��,則在數(shù)據(jù)庫中將該程序特征及其對應(yīng)的程序行 為列入黑名單���。與現(xiàn)有的方案相比���,本發(fā)明所獲得的技術(shù)效果本發(fā)明引入云安全架構(gòu)���,將所有“云安全”客戶端與“云安全”服務(wù)器實時連接,客 戶端不斷采集上報更新�����,在服務(wù)器端組成一龐大的惡意程序數(shù)據(jù)庫����,并將主動防御的分析 比對操作放在服務(wù)器端完成,從而使整個云安全網(wǎng)絡(luò)成為一主動防御工具�����;針對具有威脅 的程序行為進行收集并保存在服務(wù)器的數(shù)據(jù)庫中�����,在服務(wù)器端進行惡意軟件分析時支持直 接使用程序行為進行惡意程序判定��;另外����,本發(fā)明還通過客戶端收集程序行為并關(guān)聯(lián)到程序特征,從而在數(shù)據(jù)庫中記 錄程序特征及其對應(yīng)的程序行為�����,根據(jù)收集到的程序行為和程序特征的關(guān)聯(lián)關(guān)系,可以在 數(shù)據(jù)庫中對樣本進行分析歸納�����,從而有助于對軟件或程序進行黑白的分類判別��,還可以針 對黑名單中的惡意軟件制定相應(yīng)的清除或恢復(fù)措施
圖1為本發(fā)明的基于云安全的主動防御模式的流程圖����;圖2為根據(jù)本發(fā)明實施例所述的基于云的樣本數(shù)據(jù)庫動態(tài)維護方法流程圖;圖3為根據(jù)本發(fā)明實施例所述的關(guān)聯(lián)關(guān)系示意圖�����;圖4為根據(jù)本發(fā)明實施例所述的文件恢復(fù)流程圖�����;圖5為根據(jù)本發(fā)明實施例所述的分析流程示意圖�;圖6為本發(fā)明的實施模式示意圖�����。
具體實施例方式以下將配合圖式及實施例來詳細說明本發(fā)明的實施方式,藉此對本發(fā)明如何應(yīng)用 技術(shù)手段來解決技術(shù)問題并達成技術(shù)功效的實現(xiàn)過程能充分理解并據(jù)以實施���。本發(fā)明的核心構(gòu)思在于通過大量客戶端計算機對各種程序的程序特征����、程序行 為和/或程序?qū)傩赃M行收集���,發(fā)送到服務(wù)器端�����;服務(wù)器端進行分析比對����,根據(jù)比對結(jié)果對該 程序進行判定�����,并反饋給對應(yīng)的客戶端計算機�;所述客戶端計算機根據(jù)反饋的判定結(jié)果決 定是否對該程序行為進行攔截、終止執(zhí)行該程序和/或清理該程序��,恢復(fù)系統(tǒng)環(huán)境。下面對于由大量客戶端計算機102-服務(wù)器端104構(gòu)成的基于云安全的主動防御 模式進行說明��。云結(jié)構(gòu)就是一個大型的客戶端/服務(wù)器(CS)架構(gòu)��,如圖6所示�����,為本發(fā)明的實施 模式示意圖�����。參考圖1為本發(fā)明的基于云安全的主動防御模式的流程圖�,包括Si,通過大量客戶端計算機對各種程序的程序行為(可以是單一行為����,也可以是 一組行為的組合)和/或發(fā)起該程序行為的程序的程序特征進行收集,發(fā)送到服務(wù)器端�;S2�����,服務(wù)器端根據(jù)所收集到的每一臺客戶端計算機上的一程序的程序特征和/或 程序行為在服務(wù)器的數(shù)據(jù)庫進行分析比對�,根據(jù)比對結(jié)果對該程序進行判定,并反饋給對 應(yīng)的客戶端計算機;
S3�����,對應(yīng)客戶端計算機根據(jù)反饋的判定結(jié)果決定是否對該程序行為進行攔截����、終 止執(zhí)行該程序和/或清理該程序,恢復(fù)系統(tǒng)環(huán)境�����。程序行為可以一程序是直接作出的行為���,也可以是該程序并不直接做出行為�,而 是控制另一目標(biāo)程序間接做出行為�,因此所述程序行為包括程序行為本體及該行為目標(biāo) 的屬性;所述行為目標(biāo)的屬性�,包括行為目標(biāo)本身所屬的黑白等級(即惡意或非惡意)、 所處于系統(tǒng)中的位置(如處于引導(dǎo)區(qū)等等)�����、類型(如可執(zhí)行文件����、備份文件等類型)����,也可 以擴展包括行為目標(biāo)所作出行為所屬的黑白等級�、行為本身等等。上述程序行為��,可以是例如驅(qū)動加載行為��,文件生成行為��,程序或代碼的加載行 為����,添加系統(tǒng)啟動項行為,或文件或程序的修改行為等�����,或者是一系列行為的組合���。上述程序特征,可以是經(jīng)由MD5 (Message-Digest Algorithm 5�,信息-摘要算法) 運算得出的MD5驗證碼,或SHAl碼,或CRC(Cyclic Redundancy Check����,循環(huán)冗余校驗)碼 等可唯一標(biāo)識原程序的特征碼。對于步驟S2�,服務(wù)器端對大量客戶端計算機所采集的各種程序的程序特征和/或 程序行為(可以是單一行為,也可以是一組行為的組合)進行判定分析的機制�����,可以由以下 一種或多種方式的組合實現(xiàn)1)所述服務(wù)器端根據(jù)所收集到的一臺客戶端計算機上一程序的程序特征�,與所述 數(shù)據(jù)庫保存的黑名單的特征碼進行比對,如果命中�����,則判定所述程序為惡意程序�,并反饋給 對應(yīng)的客戶端計算機;2)所述服務(wù)器端根據(jù)所收集到的一臺客戶端計算機上一程序作出的一串程序行 為���,與所述數(shù)據(jù)庫保存的認(rèn)定的惡意行為序列進行比對�,對其中命中的程序行為的權(quán)重值 累加�����,并比對該累加值是否超過一預(yù)設(shè)閾值(閾值可由技術(shù)人員根據(jù)經(jīng)驗設(shè)定),如果超過 所述閾值則判定所述程序為惡意程序���,并反饋給對應(yīng)的客戶端計算機���;其中,在數(shù)據(jù)庫中保存的各惡意行為賦予相應(yīng)的權(quán)重值���;權(quán)重值的設(shè)置根據(jù)技術(shù) 人員經(jīng)驗或根據(jù)所收集的大量客戶端數(shù)據(jù)通過統(tǒng)計學(xué)算法獲得���。以下通過一應(yīng)用實例對上述基于行為閾值的判定方式進行詳細解釋。服務(wù)器端從 一客戶計算機收集到的一程序A的四個程序行為PA1�、PA2、PA3����、PA4,然后對這四個程序行 為PA1����、PA2、PA3�、PA4在其數(shù)據(jù)庫中保存的惡意行為序列進行比對,結(jié)果程序行為PA1��、PA2、 PA3命中而PA4未命中���,說明三個程序行為PA1、PA2�、PA3是惡意的;此時服務(wù)器端再通過對服務(wù)器數(shù)據(jù)庫中的惡意行為預(yù)先設(shè)定的權(quán)重值對惡意行 為程序行為PA1�、PA2、PA3進行累加����,比如服務(wù)器端已預(yù)先設(shè)定了其數(shù)據(jù)庫中保存的惡意程 序行為PAl的權(quán)重值為1,惡意程序行為PA2的權(quán)重值為2�,惡意程序行為PA3的權(quán)重值為3, 這樣三者的累加值等于6�����,服務(wù)器用這個累加值6與其預(yù)設(shè)的行為閾值比對�����,假設(shè)行為閾值 已預(yù)先設(shè)定為5�,顯然累加值大于行為閾值,所以即可以判定做出上述程序行為PA1��、PA2、 PA3的程序A為惡意程序��。在數(shù)據(jù)庫中保存的各惡意行為�����,假設(shè)包括刪除注冊表啟動項或服務(wù)��、終止電腦安 全程序工具的進程�、弱口令破解局域網(wǎng)其他電腦的管理員帳號并復(fù)制傳播、修改注冊表鍵 值導(dǎo)致不能查看隱藏文件和系統(tǒng)文件��、嘗試破壞硬盤分區(qū)下的文件��、刪除用戶的系統(tǒng)備份 文件等等����,對這些惡意行為可以根據(jù)技術(shù)人員經(jīng)驗判斷其破壞程度或嚴(yán)重性,從而對破壞程度或嚴(yán)重性高的惡意行為賦予更大的權(quán)重值����;另外在實作中也可以通過收集的大量客戶 端數(shù)據(jù),根據(jù)惡意程序行為的上報頻率����、破壞范圍等一系列參數(shù)建立數(shù)學(xué)模型���,通過統(tǒng)計學(xué) 算法獲得各惡意行為的權(quán)重并分配權(quán)重值。3)所述服務(wù)器端根據(jù)所收集到的一臺客戶端計算機上一程序作出的一串程序行 為��,與所述數(shù)據(jù)庫保存的認(rèn)定的惡意行為序列進行比對��,對其中命中的程序行為的權(quán)重值 累加�����,并比對該累加值是否超過一預(yù)設(shè)閾值�����,如果超過所述閾值則對所述程序進行分析�,獲 取其特征碼�,根據(jù)其特征碼與所述數(shù)據(jù)庫保存的黑名單的特征碼進行比對,如果命中��,則判 定所述程序為惡意程序�����,并反饋給對應(yīng)的客戶端計算機�����。此處基于行為閾值的判斷的過程與方式2)相同,與方式2)的區(qū)別在于其不通過 行為閾值的判斷直接確定惡意程序��,而是通過行為閾值的判斷篩選出程序再進行特征碼檢 測�,從而判斷惡意程序。在上述判定分析的機制中�����,所述服務(wù)器端一旦判定上述程序為惡意程序��,則將所 述惡意程序的程序特征和/或惡意行為實時或周期性更新到所述數(shù)據(jù)庫保存����;在客戶端計算機達到一定數(shù)量的前提下,所述服務(wù)器端可以通過客戶端計算機的 大量采集上報在很短的時間內(nèi)更新服務(wù)器端的數(shù)據(jù)庫�����。上述服務(wù)器數(shù)據(jù)庫的更新���,在下面樣本數(shù)據(jù)庫的構(gòu)建及動態(tài)維護的部分詳細討 論��。下面對于服務(wù)器端的數(shù)據(jù)庫的構(gòu)建及動態(tài)維護進行下說明���。如圖2所示�,為根據(jù)本發(fā)明實施例所述的基于云的樣本數(shù)據(jù)庫動態(tài)維護方法流程 圖���,首先��,由客戶端計算機收集程序特征及其對應(yīng)的程序行為�����,并傳送至服務(wù)器端(步驟 202);然后在服務(wù)器端數(shù)據(jù)庫中記錄不同的程序特征及其對應(yīng)的程序行為�,以及黑/白名 單(步驟204);根據(jù)現(xiàn)有已知黑/白名單中的程序特征及其對應(yīng)的程序行為��,對未知程序 特征及程序行為進行分析����,以更新黑/白名單(步驟206)。由于在數(shù)據(jù)庫中記錄了程序特征及該特征對應(yīng)的行為記錄����,因此可以結(jié)合已知黑 /白名單對未知程序進行分析。例如,如果未知程序特征與現(xiàn)有黑/白名單中的已知程序特征相同���,則將該未知 程序特征及其程序行為都列入黑/白名單��。如果未知程序行為與現(xiàn)有黑/白名單中的已知程序行為相同或近似�����,則將該未知 程序行為及其程序特征都列入黑/白名單�����。由于有些惡意程序通過變種或加殼等技術(shù)可以改變特征碼�,但其行為則不會有很 大改變��,因此�����,通過程序行為記錄的對比分析����,可以較為便捷的確定一些未知程序是否為惡 意程序。這種對比分析有時候不需要對程序的行為本身做追蹤分析�����,只需要簡單的與現(xiàn)有 黑/白名單中的已知程序行為做比對即可判定未知程序的性質(zhì)。通過數(shù)據(jù)庫中的記錄分析��,我們可以發(fā)現(xiàn)����,有一些程序的行為相同或近似,但程序 特征不同���,這時����,只要我們在具有相同或近似行為的程序之間建立行為與特征的關(guān)聯(lián)關(guān)系��, 并根據(jù)這種關(guān)聯(lián)關(guān)系����,就可以更便捷的對未知程序特征及程序行為進行分析����,以更新黑/ 白名單。如圖3所示�����,為根據(jù)本發(fā)明實施例所述的關(guān)聯(lián)關(guān)系示意圖。假設(shè)未知程序A���、B和 C的特征分別為A�、B和C��,其各自對應(yīng)的程序行為為Al A4�����,Bl B4��,Cl C4�����。如果經(jīng)過
8分析發(fā)現(xiàn)程序行為Al A4��,Bl B4��,Cl C4之間實質(zhì)上相同或非常近似���,那么就可以在 特征A�、B、C和行為Al A4����,Bl B4,Cl C4之間建立特征與行為的關(guān)聯(lián)關(guān)系��。通過這種關(guān)聯(lián)關(guān)系�����,在某些條件下可以更加快捷的自擴展的對數(shù)據(jù)庫進行維護���。 例如����,當(dāng)程序B的程序行為Bl B4被確認(rèn)為惡意程序行為并被列入黑名單時�,可以在數(shù)據(jù) 庫中自動將與該程序行為對應(yīng)的程序特征B列入黑名單,同時���,根據(jù)關(guān)聯(lián)關(guān)系,可以自動將 與該程序行為有關(guān)聯(lián)關(guān)系的程序行為Al A4��,Cl C4及對應(yīng)的程序特征A�,特征C也列 入黑/白名單�����。再例如�,如果最初時程序A����、B和C都屬于黑白未知的程序,而經(jīng)由其他惡意程序查 殺途徑��,程序特征B首先被確認(rèn)為屬于惡意程序的特征��,則在數(shù)據(jù)庫中不僅可以自動將行 為Bl B4的組合列入黑名單�,還可以根據(jù)關(guān)聯(lián)關(guān)系,將具有相同或近似行為的特征A和C 也列入黑名單����,并將程序行為Al A4,Cl C4也列入黑名單���。本發(fā)明由于在數(shù)據(jù)庫中記錄了程序特征對應(yīng)的行為��,這就使得對未知程序的行為 分析提供了很大的便利��。例如��,如果對加載驅(qū)動的行為感興趣時��,可以將全部帶有加載驅(qū)動 行為的程序行為調(diào)出來綜合分析����,如果現(xiàn)有黑名單中帶有加載驅(qū)動行為的樣板中,在加載 驅(qū)動之后一般都跟隨一個特殊的文件生成行為����,那么對于未知程序中同樣帶有類似行為組 合的程序行為就應(yīng)列入風(fēng)險提示或直接列入黑名單。本發(fā)明上述分析方法不限于此����,還可以利用類似于決策樹,貝葉斯算法�����,神經(jīng)網(wǎng)域 計算等方法���,或者使用簡單的閾值分析�����,都可以在本發(fā)明的數(shù)據(jù)庫基礎(chǔ)上得到很好的應(yīng)用�����。此外�,還可以在數(shù)據(jù)庫中針對被列入黑名單的程序���,進一步記錄該程序的逆向行 為����,以在確認(rèn)客戶端計算機中存在該被列入黑名單的程序時����,執(zhí)行所述逆向行為。例如�,根據(jù)前臺收集到的信息,在依據(jù)云查殺或其他如特征碼方式查出某個程序 是惡意程序后�,可以根據(jù)所述記錄的逆向行為執(zhí)行恢復(fù)動作。對于一些無法通過執(zhí)行逆向行為得到恢復(fù)的文件���,還可以通過替換的方式得到恢 復(fù)�����,如圖4所示���,為根據(jù)本發(fā)明實施例所述的文件恢復(fù)流程圖�,首先在數(shù)據(jù)庫中針對被列入 黑名單的程序�,根據(jù)該程序的行為,確定客戶端計算機被感染文件的信息(步驟402)��;然后 根據(jù)被感染文件的信息��,將存儲于數(shù)據(jù)庫中的一份完好的對應(yīng)文件下載至客戶端計算機中 覆蓋被感染文件(步驟404)�。對于被感染文件的信息的獲取,可以通過文件路徑���,系統(tǒng)版本����,相關(guān)聯(lián)到的應(yīng)用程 序組件等信息在數(shù)據(jù)庫中查詢確定����。另外,由于本發(fā)明利用大量客戶端計算機收集程序行為和程序特征的方式將相關(guān) 信息記錄于數(shù)據(jù)庫中����,因此,還可以通過監(jiān)測分析某一程序在短時期內(nèi)的傳播速度來判定 程序的屬性。請參考圖5�����,為根據(jù)本發(fā)明實施例所述的分析流程示意圖��,首先在數(shù)據(jù)庫中進 一步記錄在一預(yù)設(shè)時間內(nèi)由不同客戶端計算機收集到的相同的程序特征的數(shù)量變化(步 驟502)�;然后根據(jù)所述程序特征的數(shù)量變化�����,對未知程序特征及程序行為進行分析�����,以更 新黑/白名單(步驟504)��。例如���,如果在一預(yù)設(shè)時間內(nèi)��,由不同客戶端計算機收集到的某個未知程序特征的 數(shù)量增減超過閾值��,則在數(shù)據(jù)庫中將該程序特征及其對應(yīng)的程序行為列入黑名單�����。利用這種方式����,將前臺采集到的程序信息傳到后臺服務(wù)器集群,如果這個程序是 一個木馬程序�����,但它不再做任何傳播�����,則是一個安安靜靜的死馬�,這時就可以認(rèn)為這個木馬沒有威脅,但如果這個木馬又傳播到一個新的機器里面���,則利用本發(fā)明就可以很快感知到�����, 因為這臺客戶端計算機也會向服務(wù)器報告���,當(dāng)100���、500、1000臺機器報告了�,服務(wù)器數(shù)據(jù)庫 就會統(tǒng)計收集到的數(shù)量增長的信息,并進行分析和反饋�,在一個很短的時間內(nèi)該程序的增 長數(shù)量超過了閾值,或者出現(xiàn)了很多與這個程序的行為具有相似行為的變形程序�,利用本 發(fā)明就可以自動的進行分析和判定��,一旦判斷完成就可以加入黑名單中��,并且利用本發(fā)明 還可以動態(tài)的自擴展的更新數(shù)據(jù)庫黑名單���,極大的提高了數(shù)據(jù)庫維護以及程序分析的效 率�����。 上述說明示出并描述了本發(fā)明的若干優(yōu)選實施例�,但如前所述�,應(yīng)當(dāng)理解本發(fā)明 并非局限于本文所披露的形式,不應(yīng)看作是對其他實施例的排除�����,而可用于各種其他組合、 修改和環(huán)境����,并能夠在本文所述發(fā)明構(gòu)想范圍內(nèi),通過上述教導(dǎo)或相關(guān)領(lǐng)域的技術(shù)或知識 進行改動�。而本領(lǐng)域人員所進行的改動和變化不脫離本發(fā)明的精神和范圍,則都應(yīng)在本發(fā) 明所附權(quán)利要求的保護范圍內(nèi)���。
權(quán)利要求
一種基于云安全的主動防御方法��,其特征在于���,包括客戶端對其上一程序發(fā)起的程序行為和/或發(fā)起該行為的程序的程序特征進行收集,發(fā)送到服務(wù)器端����;服務(wù)器端根據(jù)所述客戶端發(fā)來的程序特征和/或程序行為在其數(shù)據(jù)庫中進行分析比對,根據(jù)比對結(jié)果對所述程序進行判定�����,并反饋給所述客戶端����;所述客戶端根據(jù)反饋的判定結(jié)果決定是否對該程序行為進行攔截���、終止執(zhí)行該程序和/或清理該程序,恢復(fù)系統(tǒng)環(huán)境�。
2.如權(quán)利要求1所述的方法,其特征在于�����,所述程序行為�,包括所述程序行為的本體 及該程序行為的目標(biāo)的屬性;所述程序行為的目標(biāo)的屬性����,還包括行為目標(biāo)本身所屬的 黑白等級��、所處于系統(tǒng)中的位置���、類型�、行為目標(biāo)所作出行為本體及其所屬的黑白等級�����。
3.如權(quán)利要求1所述的方法����,其特征在于����,所述服務(wù)器端根據(jù)所述客戶端發(fā)來的其上 發(fā)起該行為的程序的程序特征��,與所述數(shù)據(jù)庫保存的黑名單的特征碼進行比對�,如果命中, 則判定所述程序為惡意程序�,并反饋給所述客戶端。
4.如權(quán)利要求2所述的方法��,其特征在于�����,所述服務(wù)器端根據(jù)所收集到的所述客戶端 上一程序作出的一串程序行為����,與所述數(shù)據(jù)庫保存的認(rèn)定的惡意行為序列進行比對,對其 中命中的程序行為的權(quán)重值進行累加����,并比對該累加值是否超過一預(yù)設(shè)閾值,如果超過所 述閾值則判定所述程序為惡意程序���,并反饋給對應(yīng)的客戶端計算機����。
5.如權(quán)利要求4所述的方法,其特征在于�����,所述服務(wù)器端對其數(shù)據(jù)庫中保存的各惡意 行為賦予相應(yīng)的權(quán)重值��,權(quán)重值的設(shè)置根據(jù)技術(shù)人員經(jīng)驗或根據(jù)所收集的大量客戶端數(shù)據(jù) 通過統(tǒng)計學(xué)計算獲得���。
6.如權(quán)利要求2所述的方法��,其特征在于���,所述服務(wù)器端根據(jù)所收集到的所述客戶端 上一程序作出的一串程序行為��,與所述數(shù)據(jù)庫保存的認(rèn)定的惡意行為序列進行比對���,對其 中命中的程序行為的權(quán)重值進行累加���,并比對該累加值是否超過一預(yù)設(shè)閾值�����,如果超過所 述閾值則對所述程序進行分析��,獲取其特征碼�����,根據(jù)其特征碼與所述數(shù)據(jù)庫保存的黑名單 的特征碼進行比對����,如果命中���,則判定所述程序為惡意程序����,并反饋給所述客戶端��。
7.如權(quán)利要求3��、4或6所述的方法�,其特征在于,服務(wù)器端根據(jù)所述程序特征和/或程 序行為在其數(shù)據(jù)庫中進行分析比對,根據(jù)比對結(jié)果對所述程序進行判定的步驟��,還包括一 更新步驟所述服務(wù)器端將所述惡意程序的程序特征和/或惡意程序行為實時或周期性更新到 所述數(shù)據(jù)庫保存�����。
8.如權(quán)利要求2所述的方法����,其特征在于,客戶端對一程序行為和/或發(fā)起該行為的程 序的程序特征進行收集并發(fā)送到服務(wù)器端的步驟之前���,還包括��;由客戶端收集程序特征及其對應(yīng)的程序行為����,并傳送至服務(wù)器端����;在服務(wù)器端數(shù)據(jù)庫中記錄不同的程序特征及其對應(yīng)的程序行為,以及黑/白名單��;根據(jù)現(xiàn)有已知黑/白名單中的程序特征及其對應(yīng)的程序行為���,對未知程序特征及程序 行為進行分析���,以更新黑/白名單。
9.如權(quán)利要求8所述的方法���,其特征在于�����,所述對未知程序特征及其程序行為進行分 析的步驟����,包括如果未知程序特征與現(xiàn)有黑/白名單中的已知程序特征相同���,則將該未知程序特征及其程序行為列入黑/白名單�;如果未知程序行為與現(xiàn)有黑/白名單中的已知程序行為相同或近似���,則將該未知程序 行為及其程序特征列入黑/白名單�����;當(dāng)某程序行為被列入黑/白名單時���,在數(shù)據(jù)庫中將該程序行為對應(yīng)的程序特征列入黑 /白名單�,并將與該程序行為有關(guān)聯(lián)關(guān)系的其他程序行為和程序特征也列入黑/白名單�;和 /或當(dāng)某程序特征被列入黑/白名單時,在數(shù)據(jù)庫中將該程序特征對應(yīng)的程序行為列入黑 /白名單���,并將與該程序特征有關(guān)聯(lián)關(guān)系的其他程序行為和程序特征也列入黑/白名單�。
10.如權(quán)利要求9所述的方法��,其特征在于�����,進一步包括在具有相同或近似行為的程序之間建立行為與特征的關(guān)聯(lián)關(guān)系����,根據(jù)所述具有相同或 近似行為的程序之間的關(guān)聯(lián)關(guān)系,對未知程序特征及程序行為進行分析����,以更新黑/白名在數(shù)據(jù)庫中針對被列入黑名單的程序,進一步記錄該程序的逆向行為����,以在確認(rèn)客戶 端計算機中存在該被列入黑名單的程序時�,執(zhí)行所述逆向行為��;在數(shù)據(jù)庫中針對被列入黑名單的程序�����,根據(jù)該程序的行為�����,確定客戶端計算機被感染 文件的信息��,根據(jù)被感染文件的信息���,將存儲于數(shù)據(jù)庫中的一份完好的對應(yīng)文件下載至客 戶端計算機中覆蓋被感染文件;和/或在數(shù)據(jù)庫中進一步記錄在一預(yù)設(shè)時間內(nèi)由不同客戶端計算機收集到的相同的程序特 征的數(shù)量變化��,如果在一預(yù)設(shè)時間內(nèi)���,由不同客戶端計算機收集到的某個未知程序特征的 數(shù)量增減超過閾值��,則在數(shù)據(jù)庫中將該程序特征及其對應(yīng)的程序行為列入黑名單��。
全文摘要
本發(fā)明公開了一種基于云安全的主動防御方法��,包括客戶端對其上一程序發(fā)起的程序行為和/或發(fā)起該行為的程序的程序特征進行收集����,發(fā)送到服務(wù)器端;服務(wù)器端根據(jù)所述客戶端發(fā)來的程序特征和/或程序行為在其數(shù)據(jù)庫中進行分析比對����,根據(jù)比對結(jié)果對所述程序進行判定,并反饋給所述客戶端����;所述客戶端根據(jù)反饋的判定結(jié)果決定是否對該程序行為進行攔截、終止執(zhí)行該程序和/或清理該程序����,恢復(fù)系統(tǒng)環(huán)境。本發(fā)明引入云安全架構(gòu)并基于主動防御使用行為特征進行惡意程序查殺���,保證了網(wǎng)絡(luò)安全����。
文檔編號H04L29/06GK101924762SQ201010256989
公開日2010年12月22日 申請日期2010年8月18日 優(yōu)先權(quán)日2010年8月18日
發(fā)明者余和, 周鴻祎, 范紀(jì)锽, 鄭文彬 申請人:奇智軟件(北京)有限公司