[发明专利]一种基于云安全的恶意程序判断方法

说明书

技术领域

本发明属于计算机领域，具体涉及一种基于云安全的恶意程序判断方法。

背景技术

随着计算机及其应用的快速发展和网络结构的复杂化，计算系统的弱点和漏洞将趋于分布式。随着黑客入侵水平的提高，其攻击行为也不再是单一的行为，单个网络安全防御工具在应对分布式、协同式、复杂模式的攻击行为时，就显得十分势单力薄。目前的网络攻击行为的典型特点是：

(1)恶意代码数目呈爆炸式增长。目前，全球的恶意程序已经超过1100万个，而且这个数据还在处于不断增长中。在2005年，每天只有大约50种恶意程序特征码被添加到特征库中。而到了2010年，这一数字已经增加到了40000个。而主流的杀毒软件都是基于病毒特征码，特征码的更新速度远远赶不上新病毒产生的速度。

(2)终端有限的资源与庞大恶意程序特征码数量之间的矛盾。虽然计算机的运算速度和存储容量有明显地提高，但是与呈几何级数增长的病毒相比还是远远不够的。用户需要持续不断地更新特征库，才能保证查杀恶意程序的效果。但是随着终端病毒库的增大，需要更多的存储空间，同时消耗了大量计算资源用于杀毒，影响了计算机的运行速度。

(3)恶意攻击持续时间长，单个攻击行为不明显。例如，为了刺探某站点的具体信息(如所提供的服务，运行操作系统等信息)，多个攻击者协同进行扫描。扫描的持续时间可能会有几天或几个月之久，但每次的扫描活动与正常活动并无明显差异。

(4)恶意攻击者范围分布广泛，攻击危害性大。比如，各个攻击者从地理上分散的位置同时向某个网站发动攻击(如拒绝服务攻击)，这些攻击积累的结果会导致该网站瘫痪。

(5)恶意攻击工具多种多样，攻击者之间及时交流攻击信息，将缩短攻击时间和优化攻击手段。比如各攻击者采用不同的刺探工具，从不同方面获取目标的脆弱点信息，并互相交流，以便优化下一轮攻击措施。

面对这些趋势，现有的各自为营的安全防御方法暴露出严重的缺陷。例如，每个终端都安装了入侵防御系统和杀毒软件，但是仍然不能有效地抵御最新的恶意程序。常用的安全组件只能针对独立的入侵行为，而难以防范大规模的、有组织的协同攻击行为；在大规模分布式系统中，各安全组件缺乏协同工作和互动的防御机制。随着大规模协同攻击的危害性日益严重，构建一种能联合各安全组件的可扩展框架是当前的迫切需要。

云安全的出现成为解决上述安全问题的有效手段。利用云计算平台强大的处理能力和存储能力，云安全建立专业的信息安全服务平台，它能够集中对信息安全的相关威胁进行处理，提供相应的信息安全服务。在云安全领域，反病毒行业是目前进展较快、影响较大的一个领域。“云杀毒”是病毒防范的一种新模式，它本质上是一种基于互联网的防病毒体系。例如趋势公司采用的是大量服务器作为云端的方式，将复杂的复合式攻击拦截交给云端处理，减轻了用户终端的负担。而瑞星公司采用的是大量用户终端作为云端的方式，将用户终端作为样本收集机制，实现安全信息的及时发现和共享。目前，已经有多家反病毒公司已经采用相应的技术提供服务，包括卡巴斯基、赛门铁克、趋势、瑞星、金山、江民和奇虎360等。与反病毒领域类似，在防火墙、入侵检测、防垃圾邮件、Web安全等领域，同样也可以利用云计算的方式。防火墙、入侵检测、防垃圾邮件和Web安全的威胁分析服务器可以充分利用云进行动态实时的威胁信息集中采样与共享，从而最终实现主动应变的安全服务。

安全厂商在云端部署多个检测引擎，当用户进行系统访问时，客户端进行拦截并上传至云端，由云端检测后向用户反馈检测结果。这种方式改变了传统安全防御的思路，将检测移至云端，实现了恶意程序特征库共享，并降低了用户终端的性能开销。然而，由于商业模式的限制，趋势和瑞星等公司在云端都采用单一类型的多个检测引擎。但是每种检测引擎都有一定的误报率，虽然这种方法能够提高检测的效率，但是并不能提高检测的准确率。此外，由于单一类型的引擎可能存在某种固有缺陷，对某些恶意程序非常有效，其检测的覆盖面非常有限。与此同时，随着客户端病毒库的增大，需要更多的存储空间，同时消耗了大量计算资源用于杀毒，影响了客户端计算机的运行速度。

发明内容

本发明的目的在于克服上述不足之处，提供一种基于多种检测引擎的恶意程序判断方法，它具有低开销、多样性、准确性、高效性等特点。

本发明的目的是通过如下途径实现的：一种基于云安全的恶意程序判断方法，其步骤为：

a.在云端部署至少两个不同类型的检测引擎；

b.在云用户终端运行时，拦截用户程序文件访问或者执行操作，对该文件的唯一标识进行Hash；