[发明专利]一种基于哈希特征矩阵的恶意软件云检测方法及系统

权利要求书

1.一种基于哈希特征矩阵的恶意软件云检测方法，其特征在于，步骤为：

S1：云服务器负责维护和更新体量大的恶意软件特征数据库，并通过特征映射机制将恶意软件特征数据库映射成体量小的恶意软件特征矩阵；

S2：云服务器将恶意软件特征向量发送给终端，且每当恶意软件特征数据库生成更新时，向终端增量推送特征向量的更新；

S3：终端利用相同的映射机制对本地待扫描文件进行映射处理后与恶意软件特征向量矩阵进行模糊扫描，得到嫌疑文件集并将相关扫描结果发送给云服务器；

S4：云服务器采用恶意特征码集合筛选机制缩小嫌疑文件集对应的特征码，对嫌疑文件集进行精确匹配并减小精确匹配的计算量，最后将确认结果返回给终端。

2.根据权利要求1所述的基于哈希特征矩阵的恶意软件云检测方法，其特征在于，所述步骤S1中的恶意软件特征数据库包括MD5特征和字符串特征。

3.根据权利要求2所述的基于哈希特征矩阵的恶意软件云检测方法，其特征在于，所述云服务器端针对MD5特征进行预处理，云服务器端维护特征向量矩阵V_md5及其对应的恶意特征集合M_md5，其中向量矩阵V_md5由k个特征向量V_i构成，其中1≤i≤k，每个特征向量V_i对应m位比特V_i,j，其中1≤j≤m，所有向量比特位初始为0；每个特征向量V_i对应一个哈希函数h_i，而每个特征向量比特位V_i,j对应一个恶意特征码集合M_i,j，初始均为空集对于MD5特征数据库中的每一个MD5特征X，映射过程包括三个步骤：

1)通过向量矩阵V_md5的k个哈希函数h_i计算得到特征X在向量矩阵中的特征坐标，其中1≤i≤k；将MD5特征值X作为哈希函数的输入，则得到X的特征坐标L(X)＝{h_i(X)}，其中1≤i≤k；

2)将特征X插入到恶意特征码集合M_md5中；根据步骤1)中的特征坐标L(X)，分别加入到k个特征向量比特位其中1≤i≤k，对应的恶意特征码集合中；

3)将特征X映射到恶意特征向量矩阵V_md5中；即将X特征坐标的对应比特位置1，其中1≤i≤k。

4.根据权利要求2所述的基于哈希特征矩阵的恶意软件云检测方法，其特征在于，所述云服务器端针对字符串特征进行预处理；为字符串特征设置一个长度为w的滑动窗口，将字符串特征切割成为统一长度的特征片段，然后进行特征映射。

5.根据权利要求2～4中任意一项所述的基于哈希特征矩阵的恶意软件云检测方法，其特征在于，所述步骤S2中进行恶意软件特征向量矩阵推送；终端初始时，从云服务器端获得恶意软件特征数据库进行恶意软件的模糊扫描，云服务器只向终端推送特征向量矩阵，即云服务器在接收到终端推送请求后，特征向量矩阵V_md5和V_str压缩存储后推送给终端。