[发明专利]用于检测恶意代码的方法和系统

说明书

本申请公开了一种恶意代码检测方法和系统。该方法包括：接收检测样本；利用多种恶意代码鉴定器分别对检测样本进行检测以获得多个检测结果；确定检测结果的可信度和信誉值，其中可信度表示检测结果是否具有恶意性和/或安全性，信誉值为对应可信度的量化信任程度；以及基于检测结果的可信度和信誉值确定检测样本的最终鉴定结果。按照本申请的技术方案，合理利用各种恶意代码鉴定器的检测结果，提高了对恶意代码的检测精准率。

相关申请的交叉引用

本申请为申请日为2015年5月27日，申请号为201510280539.1，发明名称为“用于检测恶意代码的方法和系统”的中国专利申请的分案申请。

技术领域

本公开一般涉及计算机技术领域，具体涉及网络信息安全领域，尤其涉及一种用于检测恶意代码的方法和系统。

背景技术

随着互联网的快速发展，恶意代码的黑色利益链已经形成。恶意代码是以危害信息的安全等不良意图为目的的程序，通常都潜伏在受害计算机中实施破坏或窃取信息。由于每日新增的恶意代码样本已经数以万计，传统的客户端检测方式逐步转变为云查杀的检测方式。

云查杀是云计算技术在反病毒中的应用。云计算是一种服务交付模型，用于对共享的可配置计算资源池进行方便、按需的网络访问。简单地说，云计算是由云计算服务提供商来搭建云计算存储和运算中心，用户通过网络来访问“云”，将“云”作为数据存储和应用服务的中心。云查杀是指反病毒厂商建立云端在线服务器集群，用于存储海量检测特征和检测规则，并使用各种鉴定器进行匹配检测。软件客户端则将要检测对象的信息通过互联网上传到云端服务器，等待服务器检测的结果。

然而，各种鉴定器的检测方式都有自己的长处和不足，检测结果也可能存在误报的情况，这就会影响云端最终的鉴定结果。

发明内容

鉴于现有技术中的上述缺陷或不足，期望提供一种能够有效提高恶意代码检测精准度的方案。

第一方面，本申请实施例提供了一种检测恶意代码的方法，包括：接收检测样本；利用多种恶意代码鉴定器分别对检测样本进行检测以获得多个检测结果；确定检测结果的可信度和信誉值，其中可信度表示检测结果是否具有恶意性和/或安全性，信誉值为对应可信度的量化信任程度；以及基于检测结果的可信度和信誉值确定检测样本的最终鉴定结果。

第二方面，本申请实施例还提供了一种检测恶意代码的系统，包括：云检测服务器，用于接收检测样本；多个不同类型的恶意代码鉴定器，用于从云检测服务器接收检测样本并对检测样本分别进行检测以获得多个检测结果；以及文件信誉判定器，用于确定检测结果的可信度和信誉值，以及基于检测结果的可信度和信誉值确定检测样本的最终鉴定结果，其中可信度表示检测结果是否具有恶意性和/或安全性，信誉值为对应可信度的量化信任程度。

本申请实施例提供的检测恶意代码的方案，通过对多个恶意代码鉴定器的检测结果分配可信度和信誉值，能够充分利用各种恶意代码鉴定器的特性，提供恶意代码检测的精准度。在一些实施例中，检测结果的信誉值体现了恶意代码鉴定器的误报率，基于信誉值对检测结果进行判定，降低了对样本鉴定结果的误报率。在另一些实施例中，按照可信度和信誉值判定策略，可以根据检测结果的可信度和信誉值细粒度调整鉴定结果。

附图说明

通过阅读参照以下附图所作的对非限制性实施例所作的详细描述，本申请的其它特征、目的和优点将会变得更明显：

图1示出了其中可以应用本申请实施例的示例性系统架构；

图2示出了根据本申请一个实施例的用于检测恶意代码的方法的示例性流程图；

图3示出了根据本申请的文件信誉评分策略的一个示例性规则表格；

图4示出了根据本申请实施例的利用规则表格确定检测结果的可信度和信誉值的方法的示例性流程图；