[发明专利]一种基于哈希特征矩阵的恶意软件云检测方法及系统

说明书

一种基于哈希特征矩阵的恶意软件云检测方法及系统，方法步骤为：S1：云服务器负责维护和更新体量较大的恶意软件特征数据库，通过特征映射机制将恶意软件特征数据库映射成体量很小的恶意软件特征矩阵；S2：云服务器将恶意软件特征向量发送给终端，且在更新时向终端推送更新；S3：终端对本地待扫描文件进行映射处理后与恶意软件特征向量矩阵进行模糊扫描，得到嫌疑文件集并将相关扫描结果发送给云服务端；S4：云服务端缩小嫌疑文件集对应的特征码，对嫌疑文件集进行精确匹配，最后将确认结果返回给终端。该系统用来执行上述方法。本发明可减小恶意软件检测终端的开销和隐私泄露风险，实现对用户的特定嫌疑文件进一步筛选和定位，减轻云服务器负担。

技术领域

本发明主要涉及到计算终端的恶意软件检测领域，特指一种云计算技术下如何在隐私和实际效率兼顾的情况下，利用哈希特征向量技术为终端提供高效的恶意软件扫描检测方法及系统。

背景技术

随着移动智能设备和物联设备的迅速普及和云计算远程存储功能的发展，移动互联网的安全问题凸显。根据艾瑞《2013年中国移动安全数据报告显示》，2013年移动安全形势比较严峻，新增恶意软件69万个，是2012年的五倍多。大量经过重度混淆、加密的恶意软件涌现，且越来越多恶意软件或广告平台开始采用动态加载、延迟发作等方式试图规避安全软件的检测和查杀；另外，恶意软件的传播手段也在变化，内嵌子包或联网下载恶意软件等情况已十分常见，如何保证这样的恶意软件不会漏杀，成为安全厂商需要面对的一大挑战。

终端(计算终端)一般包括移动终端、物联设备、嵌入式设备以及追求效率的计算机终端等等。目前，针对终端的恶意软件扫描的研究越来越深入，主要的技术分为两种类型：

第一种是与传统电脑安全软件类似，在终端上建立存储大量恶意软件特征码的特征码库，在终端上对文件进行特征匹配。这种技术原理简单，通过对已经发现了的恶意软件提取特定的字符串或者计算恶意软件MD5(Message Digest Algorithm MD5)值等方法来创建恶意软件特征码，然后扫描文件，使用例如BM(Boyer-Manber)和AC(Aho-Corasick)算法等模式匹配算法，判断文件是否与某种恶意软件特征码相匹配，如果匹配成功则认为该文件是恶意软件。但是使用这种方法，终端需要不断更新恶意软件特征库，消耗大量网络和计算资源；另外扫描过程也会大量占用CPU和内存资源，严重影响资源受限设备的可用性和电池的持续性。

第二种是基于云计算的在线病毒扫描，在云端建立存储大量恶意软件特征的黑名单数据库和已经被证明是安全文件的白名单数据库。当终端需要进行病毒查杀时，会对设备所有文件计算MD5校验和，然后发送数据到云端。云端会对发送来的数据进行扫描，根据黑名单数据库和白名单数据库识别发送来的数据，判断原始文件是否是恶意软件。这种技术利用互联网，通过联网查询，把对终端里的文件扫描检测从终端转到云端，终端不需要保存恶意软件特征库，也不需要对特征库进行更新，提高了恶意软件查杀和防护的及时性、有效性。同时，90％以上的安全检测由云端服务器承担，从而降低了终端的CPU和内存等资源的占用，使设备运行变快。但是这种技术会将终端上所有文件的信息发送到云端，从而用户的隐私会受到很大的威胁。另外该类方法大都没有考虑字符串类型的特征码检测，且终端的所有文件都需跟云端的所有特征码进行匹配，云端的计算任务极其繁重。

目前国内主流安全厂商生产的运行在终端上的安全软件大致采用上述两种技术模式。另外，目前相关研究也大致符合上述思路，如中国申请号为201110265295.1、名称为“手机恶意软件查杀方法及系统”中提出了一种基于移动网络侧恶意软件监控分析系统的手机恶意软件查杀方法，能提高手机恶意软件查杀效率，但是在查杀过程中存在用户的一些重要身份标识、敏感信息以及服务端特征库泄露的风险，安全性难以得到保障。中国申请号为201010292928.3、名称为“一种信息安全检测方法及移动终端”中提出通过动态虚拟机的方法预先分析恶意软件的行为特征，能有效减少对移动终端的威胁，但是动态虚拟机本身会造成终端资源的大量消耗，造成整体效率的下降。