專利名稱:一種計(jì)算機(jī)防護(hù)系統(tǒng)及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)安全技術(shù)領(lǐng)域����,尤其涉及一種計(jì)算機(jī)防護(hù)系統(tǒng)及方法���,屬于網(wǎng) 絡(luò)信息安全技術(shù)領(lǐng)域。
背景技術(shù):
隨著技術(shù)的發(fā)展�����,一些病毒和木馬紛紛加強(qiáng)了服務(wù)器端的策略控制�����。以前只要是 病毒和木馬發(fā)作�,就會(huì)按照某種規(guī)律持續(xù)性發(fā)作�,比如即時(shí)發(fā)作,固定時(shí)間段發(fā)作(黑色星 期五病毒)等等����。但是現(xiàn)在往往通過服務(wù)器控制病毒和木馬的發(fā)作時(shí)間和規(guī)模,比如控制 部分IP段發(fā)作����,或者部分時(shí)間段發(fā)作,而且這些發(fā)作規(guī)則由服務(wù)器控制��,隨時(shí)可以進(jìn)行調(diào) 整。甚至一些商業(yè)正規(guī)軟件也利用服務(wù)器規(guī)則進(jìn)行一些不可告人的操作�,比如利用用戶電 腦在后臺(tái)點(diǎn)擊廣告,或者偷偷收集與自己無關(guān)的用戶信息����。這種運(yùn)行規(guī)則靈活控制的策略, 導(dǎo)致發(fā)現(xiàn)木馬和病毒的幾率大大降低��。尤其是在進(jìn)行一些非破壞行為的時(shí)候����,是所有殺毒 軟件或者防護(hù)軟件無法預(yù)報(bào)的,比如操作用戶電腦訪問某個(gè)網(wǎng)址���,點(diǎn)擊某個(gè)廣告等等行為���, 這些均不會(huì)被防護(hù)軟件提示,造成即使被控制為肉機(jī)��,也很難發(fā)現(xiàn)的情況�。當(dāng)前現(xiàn)有的計(jì)算機(jī)安全防護(hù)技術(shù)一般建立在病毒或者木馬特征碼基礎(chǔ)上,只能針 對(duì)已知的病毒或者木馬的特征碼來判斷一個(gè)文件是否正常�,從而進(jìn)行防護(hù),這對(duì)用戶來說 是一件很麻煩的事情���,要不斷更新病毒庫才能保證計(jì)算機(jī)信息的安全�,長此以往,客戶機(jī)上 的病毒庫會(huì)越來越大���,占用越來越多的計(jì)算資源��,最后使得系統(tǒng)越來越慢����,很多人在使用電 腦的時(shí)候就有這個(gè)體驗(yàn)����,往往是把某個(gè)病毒防御軟件卸載之后,速度明顯提升了一個(gè)檔次�, 而且,其對(duì)于未知木馬病毒的防御無能為力�。而一些所謂的未知病毒的預(yù)知技術(shù)�����,其實(shí)也是 根據(jù)文件做出的一些破壞性行為來界定�����,不但誤報(bào)率高,而且對(duì)于一些計(jì)算機(jī)非正常文件 的防護(hù)能力近乎為零�。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種計(jì)算機(jī)防護(hù)系統(tǒng)及方法,克服現(xiàn)有技術(shù)中計(jì)算機(jī)防護(hù) 技術(shù)效率低下�����,對(duì)未知病毒與木馬進(jìn)行防范�����,同時(shí)加強(qiáng)對(duì)服務(wù)器控制的木馬的防御��,其能夠 有效避免非正常計(jì)算機(jī)文件運(yùn)行��,預(yù)警準(zhǔn)確率高�、可防范未知病毒、適宜大量客戶端共同應(yīng) 用�。為實(shí)現(xiàn)上述目標(biāo),本發(fā)明提供了一種計(jì)算機(jī)防護(hù)系統(tǒng)��,包括至少一臺(tái)服務(wù)云端和 多個(gè)客戶端��,其中服務(wù)云端通過網(wǎng)絡(luò)與客戶端連接����,其特征在于�����,所述服務(wù)云端包括檢測模 塊和檢測數(shù)據(jù)庫����;所述檢測模塊���,用于利用客戶端文件的第一文件信息和相應(yīng)的第一哈希值����,與檢 測數(shù)據(jù)庫中的第二文件信息和相應(yīng)的第二哈希值進(jìn)行比對(duì)�����,并判斷得到該客戶端文件是否 為非正常文件的反饋信息�����,并將反饋信息反饋給客戶端��;所述檢測數(shù)據(jù)庫��,用于存儲(chǔ)各種文件的第二文件信息和相應(yīng)的第二哈希值�����,并標(biāo) 注其是否為正常文件的標(biāo)注信息���;
所述客戶端包括防護(hù)模塊����,用于在客戶端需要確認(rèn)一文件是否為正常文件時(shí)�����,收 集客戶端里該文件的第一文件信息��,計(jì)算出該文件的第一哈希值�,并將第一文件信息及第 一哈希值發(fā)送至服務(wù)云端,并根據(jù)服務(wù)云端的反饋信息確定是否發(fā)出警告�。較優(yōu)地,所述防護(hù)模塊����,包括第一收集子模塊、第一運(yùn)算子模塊�����、第一傳輸子模塊 和警報(bào)子模塊,其中第一收集子模塊�����,用于在客戶端需要確認(rèn)一文件是否為正常文件時(shí)�,收集客戶端 里需要防護(hù)的文件的第一文件信息,并傳送給運(yùn)算子模塊��;第一運(yùn)算子模塊�,用于計(jì)算出該文件相應(yīng)的第一哈希值;第一傳輸子模塊��,用于將客戶端需要防護(hù)的文件的第一文件信息和第一哈希值傳 送給服務(wù)云端�����;警報(bào)子模塊��,用于在服務(wù)云端將反饋信息反饋給客戶端后�����,根據(jù)所反饋信息判斷 出該進(jìn)程是否存在非正常情況���,并根據(jù)該判斷結(jié)果發(fā)出警告信息�����。較優(yōu)地�,所述服務(wù)云端�,還包括搜集模塊和計(jì)算模塊,其中所述搜集模塊����,用于搜集已經(jīng)確定其是否為非正常文件的各種文件,并提供給計(jì) 算模塊�;所述計(jì)算模塊,用于根據(jù)搜集模塊提供的文件�����,獲取該文件的第二文件信息����,并計(jì) 算出相應(yīng)的第二哈希值,以及標(biāo)注其是否為正常文件的標(biāo)注信息��,然后將該文件的第二文 件信息和相應(yīng)的第二哈希值��,以及標(biāo)注信息存儲(chǔ)到檢測數(shù)據(jù)庫;所述檢測模塊�,還用于在服務(wù)云端不存在與第一文件信息相應(yīng)的第二文件信息 時(shí),在服務(wù)云端查找是否存在與第一文件信息相同的多個(gè)第三文件信息��;如果存在��,則將多 個(gè)第三文件信息及相應(yīng)的多個(gè)第三哈希值與第一文件信息和相應(yīng)的第一哈希值對(duì)應(yīng)進(jìn)行 比對(duì)���,計(jì)算得到文件信息相同的與第一哈希值相同的第三哈希值的識(shí)別比例��,并根據(jù)識(shí)別 比例判斷該文件是否為非正常文件和安全百分比系數(shù)�,反饋給客戶端�;所述客戶端,還包括第二收集模塊��、第二運(yùn)算模塊�、第二傳輸模塊;其中所述第二收集模塊����,用于主動(dòng)收集客戶端用戶文件的第三文件信息;或者經(jīng)過客 戶端用戶同意�����,被動(dòng)收集客戶端用戶文件的第三文件信息;或者根據(jù)服務(wù)云端的請(qǐng)求���,在客 戶端查找相應(yīng)于第一文件信息的文件�����,并收集該文件的第三文件信息;所述第二運(yùn)算模塊�,用于據(jù)與第三文件信息相應(yīng)的文件的進(jìn)程信息,計(jì)算出該文 件相應(yīng)的第三哈希值��;所述第二傳輸模塊����,用于將相應(yīng)文件的第三文件信息和第三哈希值傳送給服務(wù)云端。較優(yōu)地�����,所述服務(wù)云端還包括存儲(chǔ)模塊��,用于存儲(chǔ)在所有客戶端上運(yùn)行的所有文 件的第三文件信息和第三哈希值�����。較優(yōu)地,所述服務(wù)云端還包括匯總模塊��,用于在服務(wù)云端不存在第二文件信息和 第三文件信息時(shí)���,即無法判斷文件是否為非正常文件時(shí)��,以云追蹤方法��,根據(jù)第一文件信息 向相應(yīng)的多個(gè)客戶端發(fā)出請(qǐng)求����,并對(duì)客戶端反饋的匯總信息進(jìn)行匯總統(tǒng)計(jì)�����,根據(jù)統(tǒng)計(jì)結(jié)果 判斷該文件是否為非正常文件���,將判斷結(jié)果返回客戶端���;所述客戶端,還包括記錄模塊���,用于在接收到服務(wù)云端根據(jù)第一文件信息向客戶端發(fā)出記錄請(qǐng)求后��,以云追蹤方法�,在客戶端運(yùn)行相應(yīng)的文件的時(shí)候,對(duì)該文件運(yùn)行過程中 的數(shù)據(jù)讀寫����、網(wǎng)絡(luò)連接、以及注冊(cè)表操作等等各種文件操作情況記錄���,并反饋回服務(wù)云端。較優(yōu)地����,所述服務(wù)云端的匯總模塊,還用于將統(tǒng)計(jì)結(jié)果以及判斷結(jié)果發(fā)送給所有 客戶端����;所述客戶端的記錄模塊,還用于接收服務(wù)云端傳輸回來的統(tǒng)計(jì)結(jié)果和判斷結(jié)果����。為實(shí)現(xiàn)本發(fā)明目的還提供一種計(jì)算機(jī)防護(hù)方法,包括下列步驟步驟A��,在客戶端需要確認(rèn)一文件是否為正常文件時(shí)����,客戶端收集該文件的第一文 件信息����,并計(jì)算文件的第一哈希值��;然后將收集到的該文件的第一文件信息和第一哈希值 上傳至服務(wù)云端�;步驟B,服務(wù)云端在接收到客戶端傳輸過來的該文件的第一文件信息和第一哈希 值后����,根據(jù)第一文件信息在服務(wù)云端的檢測數(shù)據(jù)庫中查找是否存在相應(yīng)的文件的第二文件 信息以及第二哈希值,并進(jìn)行比對(duì)���;步驟C�����,如果該文件的第一文件信息存在服務(wù)云端的檢測數(shù)據(jù)庫中��,并且第一哈希 值等于第二哈希值�,則根據(jù)標(biāo)注信息判斷客戶端的該文件是否為正常文件����,將判斷結(jié)果返 回客戶端��,結(jié)束���;否則,如果該文件的第一文件信息存在服務(wù)云端的檢測數(shù)據(jù)庫中���,但第一哈希值 不等于第二哈希值��,則判斷客戶端的該文件有問題���,是非正常文件,將判斷結(jié)果返回客戶端���。較優(yōu)地,所述的計(jì)算機(jī)防護(hù)方法�����,還包括下列步驟步驟D�,如果服務(wù)云端不存在與該文件的第一文件信息相應(yīng)的第二文件信息,則在 服務(wù)云端查找是否存在與第一文件信息相應(yīng)的多個(gè)第三文件信息���,如果存在����,則將多個(gè)第 三文件信息及相應(yīng)的多個(gè)第三哈希值與第一文件信息和相應(yīng)的第一哈希值對(duì)應(yīng)進(jìn)行比對(duì), 得到相同文件的與第一哈希值相同的第三哈希值的識(shí)別比例��,并根據(jù)識(shí)別比例判斷該文件 是否為非正常文件和安全百分比系數(shù)���,反饋給客戶端�����。較優(yōu)地�����,所述的計(jì)算機(jī)防護(hù)方法�,還包括下列步驟步驟E��,如果服務(wù)云端在服務(wù)云端不存在第二文件信息和第三文件信息時(shí)�,即無法 判斷該文件是否為非正常文件時(shí),則以云追蹤方法�����,根據(jù)第一文件信息向相應(yīng)的多個(gè)客戶 端發(fā)出請(qǐng)求;步驟F��,客戶端接到請(qǐng)求后�,在客戶端運(yùn)行相應(yīng)的文件的時(shí)候,對(duì)該文件運(yùn)行過程 中的數(shù)據(jù)讀寫��、網(wǎng)絡(luò)連接等各種文件操作情況記錄�����,并反饋回服務(wù)云端�����;步驟G�,服務(wù)云端接收到反饋回來的記錄信息后,進(jìn)行匯總統(tǒng)計(jì)�,根據(jù)統(tǒng)計(jì)結(jié)果判 斷該文件是否為非正常文件,將判斷結(jié)果返回客戶端���。較優(yōu)地,所述步驟G還包括下列步驟將判斷結(jié)果同時(shí)共享到每個(gè)客戶端�。本發(fā)明的有益效果本發(fā)明的計(jì)算機(jī)防護(hù)系統(tǒng)及方法,其摒棄了傳統(tǒng)的病毒特征 碼識(shí)別的防護(hù)方法��,而根據(jù)系統(tǒng)中運(yùn)行的文件的HASH值來判斷和識(shí)別其是否正常;進(jìn)一步 地���,還根據(jù)大量用戶之間相同或者相類似文件運(yùn)行情況的比對(duì)進(jìn)行判斷和識(shí)別�;更進(jìn)一步 地��,根據(jù)對(duì)文件的云追蹤情況����,確定這個(gè)文件是否正常。其相當(dāng)于在數(shù)百萬計(jì)算機(jī)之間共同 建立一個(gè)防范非正常文件的體系��,使用用戶越多防范越安全���,對(duì)于新病毒����、未知病毒同樣有效���。本發(fā)明所提供的計(jì)算機(jī)防護(hù)系統(tǒng)及方法中連入的客戶端越多�,服務(wù)云端中所存儲(chǔ)的數(shù) 據(jù)庫就越龐大��、越完善�����,對(duì)于各種非正常文件,如病毒和木馬的判斷準(zhǔn)確率就越高�����,因此能 夠有效地保護(hù)計(jì)算機(jī)系統(tǒng)的正常運(yùn)行�。
圖1是本發(fā)明實(shí)施例的計(jì)算機(jī)防護(hù)系統(tǒng)示意圖;圖2是圖1中服務(wù)云端結(jié)構(gòu)示意圖����;圖3是圖1是客戶端結(jié)構(gòu)示意圖;圖4是本發(fā)明實(shí)施例的計(jì)算機(jī)防護(hù)方法流程圖����。
具體實(shí)施例方式為了使發(fā)明的目的、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白��,以下結(jié)合附圖及實(shí)施例����,對(duì)本 發(fā)明的一種計(jì)算機(jī)防護(hù)系統(tǒng)及方法進(jìn)行進(jìn)一步詳細(xì)說明,應(yīng)當(dāng)理解����,此處所描述的具體實(shí) 施例僅僅用以解釋本發(fā)明,并不用于限定發(fā)明���。一個(gè)非正常文件��,如病毒和木馬要對(duì)用戶產(chǎn)生傷害���,或者要達(dá)到某種目的,必須處 于運(yùn)行的狀態(tài)�。一個(gè)沒有被執(zhí)行的病毒或木馬文件,對(duì)于計(jì)算機(jī)本身是絕對(duì)無害的�。因此, 本發(fā)明實(shí)施例的計(jì)算機(jī)防護(hù)系統(tǒng)及方法���,通過判斷出系統(tǒng)正在運(yùn)行或者即將運(yùn)行的文件為 問題文件�����,反饋信息給客戶端并建議對(duì)文件的操作���,避免被各種非正常程序文件,包括各種 木馬或病毒���,甚至新出現(xiàn)的木馬或者病毒的侵害��。如圖1 3所示��,本發(fā)明實(shí)施例的計(jì)算機(jī)防護(hù)系統(tǒng)���,包括至少一臺(tái)服務(wù)云端1和多 個(gè)客戶端2�,其中服務(wù)云端1通過網(wǎng)絡(luò)與客戶端2連接�����;所述計(jì)算機(jī)網(wǎng)絡(luò)可以是現(xiàn)有的各種網(wǎng)絡(luò)�����,包括但不限于國際互聯(lián)網(wǎng)(Internet)���、 局域網(wǎng)(Intranet)���、對(duì)等網(wǎng)、通信網(wǎng)如WCDMA����、CDMA2000、TD-CDMA等各種可在客戶端與服務(wù) 云端之間互聯(lián)互通的網(wǎng)絡(luò)。所述服務(wù)云端1和客戶端2可以是現(xiàn)有的各種可連接到網(wǎng)絡(luò)的各種裝置�,包括但 不限于服務(wù)器,小型計(jì)算機(jī)�,中型計(jì)算機(jī)���,大型計(jì)算機(jī)���,甚至是各種微型電腦及筆記本電腦, 以及各種可持有的通訊設(shè)備�,如手機(jī)、IPAD等���,其具有可連接到網(wǎng)絡(luò)的網(wǎng)絡(luò)接口�����。這種網(wǎng)絡(luò) 接口可以是有線網(wǎng)絡(luò)接口�,如RJ45接口����;也可以是無線接口,如Wi-Fi接口�����、藍(lán)牙接口等。如圖2所示���,所述服務(wù)云端1包括檢測模塊11和檢測數(shù)據(jù)庫12����,其中所述檢測模塊11�����,用于根據(jù)客戶端文件的第一文件信息和相應(yīng)的第一哈希 (HASH)值與檢測數(shù)據(jù)庫中的第二文件信息和相應(yīng)的第二哈希值進(jìn)行比對(duì)��,并判斷得到該客 戶端文件是否為非正常文件的反饋信息�,并將反饋信息反饋給客戶端。所述檢測數(shù)據(jù)庫12����,用于存儲(chǔ)各種文件的第二文件信息和相應(yīng)的第二哈希值,并 標(biāo)注其是否為正常文件的標(biāo)注信息�����。較佳地�,所述服務(wù)云端1,還包括搜集模塊13和計(jì)算模塊14,其中所述搜集模塊13�,用于搜集已經(jīng)確定其是否為非正常文件的各種文件,并提供給 計(jì)算模塊14 �����;所述計(jì)算模塊14�,用于根據(jù)搜集模塊提供的文件���,獲取該文件的第二文件信息����,并 計(jì)算出相應(yīng)的第二哈希值����,以及標(biāo)注其是否為正常文件的標(biāo)注信息,然后將該文件的第二
8文件信息和相應(yīng)的第二哈希值�����,以及標(biāo)注信息存儲(chǔ)到檢測數(shù)據(jù)庫12 ��;各種文件���,例如廠商提供的完成正常功能的文件�����,則可以確定其為正常文件���,則獲 取該文件的信息作為第二文件信息���,并計(jì)算相應(yīng)的哈希值作為第二哈希值,同時(shí)將其標(biāo)注 為正常文件����;而如果是一種計(jì)算機(jī)病毒文件,則可以確定其為非正常文件�����,則獲取該文件的信 息作為第二文件信息�,并計(jì)算相應(yīng)的哈希值作為第二哈希值,同時(shí)將其標(biāo)注為非正常文件�����。所述檢測模塊11���,還用于在服務(wù)云端不存在與第一文件信息相應(yīng)的第二文件信息 時(shí)����,在服務(wù)云端查找是否存在與第一文件信息相同的多個(gè)第三文件信息;如果存在����,則將多 個(gè)第三文件信息及相應(yīng)的多個(gè)第三哈希值與第一文件信息和相應(yīng)的第一哈希(HASH)值對(duì) 應(yīng)進(jìn)行比對(duì),計(jì)算得到文件信息相同的與第一哈希值相同的第三哈希值的識(shí)別比例�,并根 據(jù)識(shí)別比例判斷該文件是否為非正常文件和安全百分比系數(shù),反饋給客戶端���。作為一種可實(shí)施方式,本發(fā)明實(shí)施例的服務(wù)云端���,可以還包括存儲(chǔ)模塊15���,用于存 儲(chǔ)在所有客戶端上運(yùn)行的所有文件的第三文件信息和第三哈希值。第三文件信息是指服務(wù)云端主動(dòng)收集客戶端用戶文件的第三文件信息���;或者經(jīng)過 客戶端用戶同意���,被動(dòng)收集客戶端用戶文件的第三文件信息�����;或者根據(jù)服務(wù)云端的請(qǐng)求�,在 客戶端查找相應(yīng)于第一文件信息的文件�,并收集該文件的第三文件信息;第三哈希值是指 根據(jù)第三文件信息相應(yīng)的文件的信息數(shù)據(jù)(即文件的代碼)計(jì)算得到的哈希值��。在本發(fā)明實(shí)施例中�,作為一種可實(shí)施方式,所有客戶端上的每一個(gè)文件���,在運(yùn)行的 時(shí)候�����,主動(dòng)收集文件的文件信息(第三文件信息)����,并根據(jù)文件進(jìn)程信息計(jì)算出哈希值(第 三哈希值)后����,向服務(wù)云端推送其第三文件信息和相應(yīng)的第三哈希值;或者經(jīng)過客戶端用 戶的同意����,被動(dòng)收集文件的文件信息(第三文件信息)�,并根據(jù)文件進(jìn)程信息計(jì)算出哈希值 (第三哈希值)�。作為另一種可實(shí)施方式,本發(fā)明實(shí)施例的服務(wù)云端���,向網(wǎng)絡(luò)中的其他客戶端發(fā)出 請(qǐng)求信息���,請(qǐng)求其他客戶端根據(jù)第一文件信息查找相應(yīng)的文件并搜集相應(yīng)的第三文件信 息,以及計(jì)算出相應(yīng)的第三哈希值后���,將第三文件信息及相應(yīng)的第三哈希值反饋回服務(wù)云 端�。更佳地����,所述服務(wù)云端還包括匯總模塊16�,用于在服務(wù)云端不存在第二文件信息 和第三文件信息時(shí),即無法判斷文件是否為非正常文件時(shí)��,以云追蹤方法��,根據(jù)第一文件信 息向相應(yīng)的多個(gè)客戶端發(fā)出請(qǐng)求�,并對(duì)客戶端反饋的匯總信息進(jìn)行匯總統(tǒng)計(jì)�����,根據(jù)統(tǒng)計(jì)結(jié) 果判斷該文件是否為非正常文件����,將判斷結(jié)果返回客戶端���。所述云追蹤方法����,在本申請(qǐng)人向中國國家知識(shí)產(chǎn)權(quán)局申請(qǐng)的申請(qǐng)?zhí)枮?2010101544180.0�,名稱為“一種基于云計(jì)算的操作記錄追蹤系統(tǒng)和方法”的發(fā)明專利中進(jìn) 行了詳細(xì)的描述,本發(fā)明實(shí)施例中全文引用作為本發(fā)明實(shí)施例的一部分��,不再在本發(fā)明實(shí) 施例中一一詳細(xì)描述���。進(jìn)一步地����,所述匯總模塊16�,還用于將統(tǒng)計(jì)結(jié)果以及判斷結(jié)果發(fā)送給所有客戶端。在無法判斷為正常文件時(shí)����,由客戶端收集進(jìn)一步資料��,比如該文件所打開的文件 操作記錄��、注冊(cè)表記錄等�����,進(jìn)行匯總并分享給所有客戶端���,這樣避免此文件只在部分客戶端 進(jìn)行違法操作,其他客戶端無法發(fā)現(xiàn)的情況����。如圖3所示,所述客戶端2包括防護(hù)模塊21��,用于在客戶端需要確認(rèn)一文件是否為
9正常文件時(shí)���,收集客戶端里該文件的第一文件信息,計(jì)算出該文件的第一哈希值���,并將第一 文件信息及第一哈希值發(fā)送至服務(wù)云端����,并根據(jù)服務(wù)云端的反饋信息確定是否發(fā)出警告。所述防護(hù)模塊21��,包括第一收集子模塊211����、第一運(yùn)算子模塊212、第一傳輸子模 塊213和警報(bào)子模塊214���,其中第一收集子模塊211����,用于在客戶端需要確認(rèn)一文件是否為正常文件時(shí)��,收集客戶 端里需要防護(hù)的文件的第一文件信息�����,并傳送給運(yùn)算子模塊212 �����;第一運(yùn)算子模塊212,用于計(jì)算出該文件相應(yīng)的第一哈希值�;所述第一文件信息,包括但不限于文件名��、版本號(hào)���、組織名����、文件大小等�;哈希值(HASH)是由消息摘要算法如md5算法或者SHA-I算法等計(jì)算而來,一般 地����,文件的任何改變都會(huì)導(dǎo)致哈希值的改變。第一傳輸子模塊213�,用于將客戶端需要防護(hù)的文件的第一文件信息和第一哈希 值傳送給服務(wù)云端;警報(bào)子模塊214�����,用于在服務(wù)云端將反饋信息反饋給客戶端后�,根據(jù)所反饋信息判 斷出該進(jìn)程是否存在非正常情況,并根據(jù)該判斷結(jié)果發(fā)出警告信息�。較佳地,所述客戶端2��,還包括第二收集模塊22��、第二運(yùn)算模塊23�����、第二傳輸模塊 24����,其中所述第二收集模塊22,用于主動(dòng)收集客戶端用戶文件的第三文件信息����;或者經(jīng)過 客戶端用戶同意,被動(dòng)收集客戶端用戶文件的第三文件信息���;或者根據(jù)服務(wù)云端的請(qǐng)求���,在 客戶端查找相應(yīng)于第一文件信息的文件,并收集該文件的第三文件信息����;所述第二運(yùn)算模塊23,用于根據(jù)與第三文件信息相應(yīng)的文件的信息數(shù)據(jù),計(jì)算出 該文件相應(yīng)的第三哈希值��;所述第二傳輸模塊24�����,用于將相應(yīng)文件的第三文件信息和第三哈希值傳送給服務(wù)
~·丄山於而����。更佳地,所述客戶端2�����,還包括記錄模塊25�����,用于在接收到服務(wù)云端根據(jù)第一文件 信息向客戶端發(fā)出記錄請(qǐng)求后����,以云追蹤方法,在客戶端運(yùn)行相應(yīng)的文件的時(shí)候�,對(duì)該文件 運(yùn)行過程中的數(shù)據(jù)讀寫、網(wǎng)絡(luò)連接��、以及注冊(cè)表操作等等各種文件操作情況記錄,并反饋回 服務(wù)云端��。更佳地�,所述記錄模塊25����,還用于接收服務(wù)云端傳輸回來的匯總統(tǒng)計(jì)結(jié)果和判斷結(jié)果。作為一種可實(shí)施方式��,如圖1所示�����,一個(gè)服務(wù)云端和百萬計(jì)客戶端通過網(wǎng)絡(luò)資源 連接���,客戶端收集客戶端數(shù)據(jù)并通過網(wǎng)絡(luò)資源將數(shù)據(jù)發(fā)送至服務(wù)云端���,服務(wù)云端比對(duì)后將 警報(bào)信息反饋回客戶端,客戶端根據(jù)警報(bào)信息確定是否發(fā)出警告信息���,構(gòu)成一個(gè)計(jì)算機(jī)防 護(hù)系統(tǒng)����。本發(fā)明還提供了一種計(jì)算機(jī)防護(hù)方法,流程圖如圖4所示���,其中包括如下步驟步驟S100���,在客戶端需要確認(rèn)一文件是否為正常文件時(shí),客戶端收集該文件的第 一文件信息�,并計(jì)算文件的第一哈希(HASH)值;然后將收集到的該文件的第一文件信息和 第一哈希值上傳至服務(wù)云端��;較佳地�,步驟SlOO中,第一文件信息按照主信息和次信息進(jìn)行分類��?����?蛻舳诵枰獧z驗(yàn)自己的文件安全時(shí)�,收集并提交所需檢驗(yàn)的文件主信息及次信肩、ο作為一種可實(shí)施方式����,對(duì)第一文件信息按照主信息和次信息進(jìn)行分類主信息包括但不限于1.文件名[filename]2.文件版本號(hào)[fileVersion]3.該文件所屬公司名[company,如Microsoft]4.文件大小[fileSize�����,通常以字節(jié)為單位]次信息包括但不限于①系統(tǒng)版本號(hào)②文件最后修改時(shí)間③文件數(shù)字簽名校驗(yàn)結(jié)果④文件支持的操作系統(tǒng)位數(shù)⑤文件本身所屬的進(jìn)程名稱⑥文件描述系統(tǒng)版本號(hào)作為次信息是因不同操作系統(tǒng)下的進(jìn)程文件及系統(tǒng)文件仍有可能是 一樣的,所以操作系統(tǒng)版本號(hào)是不能夠作為主要信息比較的���;目前可支持從windows 2000 到windows 7的不同版本�����。相同的操作系統(tǒng)還有不同的build號(hào),如win7目前的主流build 號(hào)為7600����,所以操作系統(tǒng)版本號(hào)格式為[系統(tǒng)主版本+build號(hào)],舉例來說�,windows 7的 版本號(hào)可格式化為Wx601_7600];關(guān)于文件最后修改時(shí)間�,進(jìn)程依賴運(yùn)行的文件,在window版本中�����,均是基于PE格 式創(chuàng)建的���,在其內(nèi)部記錄下了文件的最后修改時(shí)間��,修改時(shí)間與創(chuàng)建時(shí)間不同的��,如一個(gè)文 件是1999年修改的����,在該文件的所屬公司將其發(fā)布后,用戶在2010年時(shí)將其安裝到電腦 時(shí)��,該文件的創(chuàng)建時(shí)間便是2010年���,而不是1999年��。關(guān)于數(shù)字簽名校驗(yàn)結(jié)果���,較佳地,可有如下幾種狀態(tài)未知[unknown]�����,未簽名 [NoSignature]�,受信任[Trusted],簽名過期無效[Expired]簽名已撤消[Revoked]�����,不受 信任[Distrust] ο文件本身所屬的進(jìn)程名稱不作為一個(gè)主信息,是因?yàn)椴煌M(jìn)程有可能都使用很多 相同的系統(tǒng)支持文件����,如ntdll. dll\kernel32. dll\user32. dll\gdi32. dll等等,用它作 為次條件����,主要是用來識(shí)別第三方軟件開發(fā)商的文件。應(yīng)當(dāng)說明的是����,所述主信息和次信息中所包含的信息種類、劃分方式和劃分順序 是不唯一的���,根據(jù)應(yīng)用環(huán)境和具體需要,還可以包含其它信息種類及劃分方式和順序����。應(yīng)當(dāng) 理解,此處所描述的具體實(shí)施例僅僅用以解釋本發(fā)明�����,并不用于限定本發(fā)明�,凡采用等同替 換或等效變換形成的技術(shù)方案����,均落在本發(fā)明要求的保護(hù)范圍�。如目前在window平臺(tái),主流支持IA32\IA64\AMD64三種平臺(tái)��,iA32是最常使用的 一種平臺(tái)�����,像win2000\winxp 便只支持 32 位版本,而windows server 2003\windowsserver 2008\windows vista\windows 7能支持多種平臺(tái)��,從文件開發(fā)角度而言���,相同源代碼可以 編譯出對(duì)這種三種平臺(tái)均支持的PE文件����,但是其內(nèi)容大小肯定是會(huì)不一樣的�����,基于此����,文 件支持的平臺(tái)類型也作為一可選次信息��。步驟S200��,服務(wù)云端在接收到客戶端傳輸過來的該文件的第一文件信息和第一哈
11希值后����,根據(jù)第一文件信息在服務(wù)云端的檢測數(shù)據(jù)庫中查找是否存在相應(yīng)的文件的第二文 件信息以及第二哈希值�,并進(jìn)行比對(duì);服務(wù)云端首先根據(jù)文件名���、版本號(hào)��、組織名等信息判斷這個(gè)文件名在服務(wù)云端的 檢測數(shù)據(jù)庫中是否存在�,如果存在�����,則根據(jù)第二文件信息查找出相應(yīng)的第二哈希值���,以及相 應(yīng)的標(biāo)注信息。第二哈希值是服務(wù)云端根據(jù)該文件發(fā)布者發(fā)布的文件�����,在確認(rèn)不受任何干擾的計(jì) 算機(jī)環(huán)境下,利用該文件的信息數(shù)據(jù)(即該文件的代碼)計(jì)算出的哈希值�。步驟S300,如果該文件的第一文件信息存在服務(wù)云端的檢測數(shù)據(jù)庫中����,即存在與 第一文件信息相同的第二文件信息,并且第一哈希值等于第二哈希值�,則根據(jù)標(biāo)注信息判 斷客戶端的該文件是否為正常文件,將判斷結(jié)果返回客戶端�,結(jié)束;否則�,如果該文件的第一文件信息存在服務(wù)云端的檢測數(shù)據(jù)庫中,即存在與第一 文件信息相同的第二文件信息���,但第一哈希值不等于第二哈希值��,則判斷客戶端的該文件 有問題����,是非正常文件���,將判斷結(jié)果返回客戶端��。步驟S400����,否則,如果服務(wù)云端不存在與該文件的第一文件信息相應(yīng)的第二文件 信息����,即在服務(wù)云端不存在與第一文件信息相同的第二文件信息,則在服務(wù)云端查找是否 存在與第一文件信息相應(yīng)的多個(gè)第三文件信息����,如果存在,則將多個(gè)第三文件信息及相應(yīng) 的多個(gè)第三哈希值與第一文件信息和相應(yīng)的第一哈希(HASH)值對(duì)應(yīng)進(jìn)行比對(duì)���,得到相同 文件的與第一哈希值相同的第三哈希值的識(shí)別比例�,并根據(jù)識(shí)別比例判斷該文件是否為非 正常文件和安全百分比系數(shù)�,反饋給客戶端。所述第三文件信息和相應(yīng)的第三哈希值�,作為一種可實(shí)施方式,可以是服務(wù)云端 主動(dòng)或者被動(dòng)收集并存儲(chǔ)在服務(wù)云端的所有客戶端上運(yùn)行的所有文件的第三文件信息和 第三哈希值��;或者是服務(wù)云端的客戶端發(fā)出請(qǐng)求�,由客戶端根據(jù)文件名查找相應(yīng)的該文件�,并 將查找到該文件的多個(gè)第三文件信息并計(jì)算得到相應(yīng)的多個(gè)第三哈希值,一起反饋回服務(wù) 云端得到。同樣地�����,所述第三文件信息��,與第一文件信息相應(yīng)����,包括但不限于文件名、版本號(hào)��、 組織名�、文件大小等;例如��,在根據(jù)第一文件信息和第三文件信息��,查找到相同文件信息后��,比較第一哈 希值和多個(gè)第三哈希值���,得到與第一哈希值相同的第三哈希值的個(gè)數(shù)�,將其與相同文件的 個(gè)數(shù)相除�,得到相同哈希值的比例���,例如,相同文件有10000個(gè)���,比較后有9000個(gè)文件的第 三哈希值與第一哈希值相同����,則第三哈希值的識(shí)別比例為90%�����。根據(jù)識(shí)別比例����,與預(yù)設(shè)非正常文件的比例相比較后,判斷出該文件是否為非正常 文件�。例如預(yù)設(shè)相同哈希值的在80%以下時(shí),則判斷該文件為非正常文件���,則相同哈希值的 比例為90%時(shí)���,則判斷該文件為正常文件,安全百分比系數(shù)為受信任��。較佳地,安全百分比系數(shù)可按照如下等級(jí)劃分I. 未知[不能查找到結(jié)果]II. 受信任[文件在大部分用戶下均相同80%以上的相同]III. 一般信任[文件在很多用戶電腦上相同�����,低于80%高于50% ]IV. 普通安全
V. 低安全VI. 不安全[低于30%的用戶有此相同的文件�,高于10% ]VII. 惡意文件 [10%以下]得到安全百分比系數(shù)后�,作為一種可實(shí)施方式,可繼續(xù)采用各種次條件進(jìn)行修正�����。如使用次條件③文件數(shù)字簽名校驗(yàn)結(jié)果作進(jìn)一步判定���。例如�,若該文件的數(shù)字簽 名是“受信任的”���,則將安全百分比系數(shù)提升一個(gè)級(jí)別����。如利用次條件②文件最后修改時(shí)間作進(jìn)一步判定��,如果其與服務(wù)云端中索引值相 同的文件修改時(shí)間不同����,則將安全百分比系數(shù)降低一級(jí)��。如利用次條件⑥文件描述作進(jìn)一步判定����,若其與服務(wù)云端中索引值相同的文件描 述不同�,則將安全百分比系數(shù)降低一級(jí)。步驟S500���,如果服務(wù)云端在服務(wù)云端不存在第二文件信息和第三文件信息時(shí)���,即 無法判斷該文件是否為非正常文件時(shí),則以云追蹤方法�,根據(jù)第一文件信息向相應(yīng)的多個(gè) 客戶端發(fā)出請(qǐng)求;步驟S600��,客戶端接到請(qǐng)求后�����,在客戶端運(yùn)行相應(yīng)的文件的時(shí)候��,對(duì)該文件運(yùn)行過 程中的數(shù)據(jù)讀寫����、網(wǎng)絡(luò)連接等各種文件操作情況記錄��,并反饋回服務(wù)云端�����;在客戶端運(yùn)行相應(yīng)文件的時(shí)候,為了避免侵犯個(gè)人隱私����,在對(duì)該文件操作情況記 錄前,需要向客戶端用戶進(jìn)行提示����,并經(jīng)過客戶端同意后才進(jìn)行記錄。步驟S700�,服務(wù)云端接收到反饋回來的記錄信息后,進(jìn)行匯總統(tǒng)計(jì)�,根據(jù)統(tǒng)計(jì)結(jié)果 判斷該文件是否為非正常文件,將判斷結(jié)果返回客戶端����;較佳地,服務(wù)云端將判斷結(jié)果同時(shí)共享到每個(gè)客戶端����。本發(fā)明的計(jì)算機(jī)防護(hù)系統(tǒng)及方法�,收集文件的信息��,通過文件名�、版本號(hào)、組織名 和文件大小等第一文件信息���,并用消息摘要算法計(jì)算文件的HASH值�����,將這個(gè)HASH值以及文 件本身的第一文件信息上傳至服務(wù)云端��,和服務(wù)云端第二文件信息及第二 HASH值比對(duì)判 別其是否為正常文件�;或者和第三文件信息及第三HASH值進(jìn)行比對(duì)���,在該客戶端的HASH值 與服務(wù)云端或者絕大部分客戶端的文件HASH值不一致時(shí)�,判斷這個(gè)文件為問題文件�����,建議 用戶關(guān)閉此文件,避免受到傷害����。進(jìn)一步地,在服務(wù)云端不存在第二文件信息和第三文件信 息��,無法判斷文件是否為非正常文件時(shí)�,以云追蹤方法,通過記錄并匯總統(tǒng)計(jì)判斷其是否為 非正常文件�。本發(fā)明提供的計(jì)算機(jī)防護(hù)系統(tǒng)及方法摒棄了傳統(tǒng)的病毒特征碼的方法,根據(jù)服務(wù) 云端中的文件的相同文件信息的HASH值來判斷其是否為正常文件����,同時(shí)根據(jù)大量用戶之 間相同文件的比對(duì)�����,來確定這個(gè)文件是否正常�����。本發(fā)明所提供的計(jì)算機(jī)防護(hù)系統(tǒng)中連入的 客戶端越多��,服務(wù)云端中所存儲(chǔ)的數(shù)據(jù)庫就越龐大�����、越完善,對(duì)于各種非正常文件���,包括病 毒和木馬的判斷準(zhǔn)確率就越高���,因此能夠有效地保護(hù)客戶端系統(tǒng)的正常運(yùn)行。只要系統(tǒng)文 件正常�,任何病毒都無法產(chǎn)生危害,對(duì)于新病毒����,未知病毒同樣有效。最后應(yīng)當(dāng)說明的是����,很顯然,本領(lǐng)域的技術(shù)人員可以對(duì)本發(fā)明進(jìn)行各種改動(dòng)和變 型而不脫離本發(fā)明的精神和范圍�����。這樣�,倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要 求及其等同技術(shù)的范圍之內(nèi),則本發(fā)明也意圖包含這些改動(dòng)和變型����。
1權(quán)利要求
一種計(jì)算機(jī)防護(hù)系統(tǒng)����,包括至少一臺(tái)服務(wù)云端和多個(gè)客戶端����,其中服務(wù)云端通過網(wǎng)絡(luò)與客戶端連接,其特征在于����,所述服務(wù)云端包括檢測模塊和檢測數(shù)據(jù)庫;所述檢測模塊��,用于利用客戶端文件的第一文件信息和相應(yīng)的第一哈希值���,與檢測數(shù)據(jù)庫中的第二文件信息和相應(yīng)的第二哈希值進(jìn)行比對(duì),并判斷得到該客戶端文件是否為非正常文件的反饋信息��,并將反饋信息反饋給客戶端����;所述檢測數(shù)據(jù)庫,用于存儲(chǔ)各種文件的第二文件信息和相應(yīng)的第二哈希值�����,并標(biāo)注其是否為正常文件的標(biāo)注信息;所述客戶端包括防護(hù)模塊��,用于在客戶端需要確認(rèn)一文件是否為正常文件時(shí)�����,收集客戶端里該文件的第一文件信息�,計(jì)算出該文件的第一哈希值,并將第一文件信息及第一哈希值發(fā)送至服務(wù)云端��,并根據(jù)服務(wù)云端的反饋信息確定是否發(fā)出警告���。
2.根據(jù)權(quán)利要求1所述的計(jì)算機(jī)防護(hù)系統(tǒng)�,其特征在于���,所述防護(hù)模塊���,包括第一收集 子模塊、第一運(yùn)算子模塊�、第一傳輸子模塊和警報(bào)子模塊,其中第一收集子模塊��,用于在客戶端需要確認(rèn)一文件是否為正常文件時(shí),收集客戶端里需 要防護(hù)的文件的第一文件信息����,并傳送給運(yùn)算子模塊;第一運(yùn)算子模塊�,用于計(jì)算出該文件相應(yīng)的第一哈希值;第一傳輸子模塊����,用于將客戶端需要防護(hù)的文件的第一文件信息和第一哈希值傳送給 服務(wù)云端;警報(bào)子模塊����,用于在服務(wù)云端將反饋信息反饋給客戶端后,根據(jù)所反饋信息判斷出該 進(jìn)程是否存在非正常情況���,并根據(jù)該判斷結(jié)果發(fā)出警告信息�����。
3.根據(jù)權(quán)利要求1或2所述的計(jì)算機(jī)防護(hù)系統(tǒng),其特征在于����,所述服務(wù)云端�����,還包括搜 集模塊和計(jì)算模塊�����,其中所述搜集模塊���,用于搜集已經(jīng)確定其是否為非正常文件的各種文件,并提供給計(jì)算模塊����;所述計(jì)算模塊,用于根據(jù)搜集模塊提供的文件����,獲取該文件的第二文件信息,并計(jì)算出 相應(yīng)的第二哈希值����,以及標(biāo)注其是否為正常文件的標(biāo)注信息,然后將該文件的第二文件信 息和相應(yīng)的第二哈希值�����,以及標(biāo)注信息存儲(chǔ)到檢測數(shù)據(jù)庫;所述檢測模塊�����,還用于在服務(wù)云端不存在與第一文件信息相應(yīng)的第二文件信息時(shí)���,在 服務(wù)云端查找是否存在與第一文件信息相同的多個(gè)第三文件信息�;如果存在����,則將多個(gè)第 三文件信息及相應(yīng)的多個(gè)第三哈希值與第一文件信息和相應(yīng)的第一哈希值對(duì)應(yīng)進(jìn)行比對(duì), 計(jì)算得到文件信息相同的與第一哈希值相同的第三哈希值的識(shí)別比例�,并根據(jù)識(shí)別比例判 斷該文件是否為非正常文件和安全百分比系數(shù),反饋給客戶端���;所述客戶端����,還包括第二收集模塊���、第二運(yùn)算模塊���、第二傳輸模塊; 其中所述第二收集模塊�����,用于主動(dòng)收集客戶端用戶文件的第三文件信息�;或者經(jīng)過客戶端 用戶同意,被動(dòng)收集客戶端用戶文件的第三文件信息���;或者根據(jù)服務(wù)云端的請(qǐng)求���,在客戶端 查找相應(yīng)于第一文件信息的文件,并收集該文件的第三文件信息��;所述第二運(yùn)算模塊�����,用于據(jù)與第三文件信息相應(yīng)的文件的進(jìn)程信息���,計(jì)算出該文件相 應(yīng)的第三哈希值���;所述第二傳輸模塊,用于將相應(yīng)文件的第三文件信息和第三哈希值傳送給服務(wù)云端�。
4.根據(jù)權(quán)利要求3所述的計(jì)算機(jī)防護(hù)系統(tǒng)���,其特征在于,所述服務(wù)云端還包括存儲(chǔ)模 塊����,用于存儲(chǔ)在所有客戶端上運(yùn)行的所有文件的第三文件信息和第三哈希值。
5.根據(jù)權(quán)利要求3或4所述的計(jì)算機(jī)防護(hù)系統(tǒng)���,其特征在于��,所述服務(wù)云端還包括匯總 模塊����,用于在服務(wù)云端不存在第二文件信息和第三文件信息時(shí)�,即無法判斷文件是否為非 正常文件時(shí),以云追蹤方法�����,根據(jù)第一文件信息向相應(yīng)的多個(gè)客戶端發(fā)出請(qǐng)求�����,并對(duì)客戶端 反饋的匯總信息進(jìn)行匯總統(tǒng)計(jì),根據(jù)統(tǒng)計(jì)結(jié)果判斷該文件是否為非正常文件�,將判斷結(jié)果 返回客戶端;所述客戶端��,還包括記錄模塊��,用于在接收到服務(wù)云端根據(jù)第一文件信息向客戶端發(fā) 出記錄請(qǐng)求后����,以云追蹤方法���,在客戶端運(yùn)行相應(yīng)的文件的時(shí)候�����,對(duì)該文件運(yùn)行過程中的數(shù) 據(jù)讀寫�、網(wǎng)絡(luò)連接��、以及注冊(cè)表操作等等各種文件操作情況記錄����,并反饋回服務(wù)云端。
6.根據(jù)權(quán)利要求5所述的計(jì)算機(jī)防護(hù)系統(tǒng)����,其特征在于�,所述服務(wù)云端的匯總模塊���,還 用于將匯總統(tǒng)計(jì)結(jié)果以及判斷結(jié)果發(fā)送給所有客戶端��;所述客戶端的記錄模塊�����,還用于接收服務(wù)云端傳輸回來的匯總統(tǒng)計(jì)結(jié)果和判斷結(jié)果���。
7.一種計(jì)算機(jī)防護(hù)方法,其特征在于��,包括下列步驟步驟A����,在客戶端需要確認(rèn)一文件是否為正常文件時(shí),客戶端收集該文件的第一文件信 息�,并計(jì)算文件的第一哈希值;然后將收集到的該文件的第一文件信息和第一哈希值上傳 至服務(wù)云端��;步驟B���,服務(wù)云端在接收到客戶端傳輸過來的該文件的第一文件信息和第一哈希值后�, 根據(jù)第一文件信息在服務(wù)云端的檢測數(shù)據(jù)庫中查找是否存在相應(yīng)的文件的第二文件信息 以及第二哈希值,并進(jìn)行比對(duì)��;步驟C���,如果該文件的第一文件信息存在服務(wù)云端的檢測數(shù)據(jù)庫中,并且第一哈希值等 于第二哈希值���,則根據(jù)標(biāo)注信息判斷客戶端的該文件是否為正常文件����,將判斷結(jié)果返回客 戶端��,結(jié)束�����;否則���,如果該文件的第一文件信息存在服務(wù)云端的檢測數(shù)據(jù)庫中�����,但第一哈希值不等 于第二哈希值�,則判斷客戶端的該文件有問題,是非正常文件�,將判斷結(jié)果返回客戶端。
8.根據(jù)權(quán)利要求7所述的計(jì)算機(jī)防護(hù)方法�����,其特征在于���,還包括下列步驟步驟D�����,如果服務(wù)云端不存在與該文件的第一文件信息相應(yīng)的第二文件信息���,則在服務(wù) 云端查找是否存在與第一文件信息相應(yīng)的多個(gè)第三文件信息,如果存在�,則將多個(gè)第三文 件信息及相應(yīng)的多個(gè)第三哈希值與第一文件信息和相應(yīng)的第一哈希值對(duì)應(yīng)進(jìn)行比對(duì),得到 相同文件的與第一哈希值相同的第三哈希值的識(shí)別比例��,并根據(jù)識(shí)別比例判斷該文件是否 為非正常文件和安全百分比系數(shù)�����,反饋給客戶端。
9.根據(jù)權(quán)利要求8所述的計(jì)算機(jī)防護(hù)方法����,其特征在于,還包括下列步驟步驟E���,如果服務(wù)云端在服務(wù)云端不存在第二文件信息和第三文件信息時(shí)�,即無法判斷 該文件是否為非正常文件時(shí)���,則以云追蹤方法��,根據(jù)第一文件信息向相應(yīng)的多個(gè)客戶端發(fā) 出請(qǐng)求;步驟F�����,客戶端接到請(qǐng)求后���,在客戶端運(yùn)行相應(yīng)的文件的時(shí)候�,對(duì)該文件運(yùn)行過程中的 數(shù)據(jù)讀寫��、網(wǎng)絡(luò)連接等各種文件操作情況記錄����,并反饋回服務(wù)云端��;步驟G���,服務(wù)云端接收到反饋回來的記錄信息后,進(jìn)行匯總統(tǒng)計(jì)���,根據(jù)統(tǒng)計(jì)結(jié)果判斷該 文件是否為非正常文件����,將判斷結(jié)果返回客戶端���。
10.根據(jù)權(quán)利要求9所述的計(jì)算機(jī)防護(hù)方法�,其特征在于��,所述步驟G還包括下列步驟將判斷結(jié)果同時(shí)共享到每個(gè)客戶端��。
全文摘要
本發(fā)明提供一種計(jì)算機(jī)防護(hù)系統(tǒng)及方法���,其摒棄了傳統(tǒng)的病毒特征碼識(shí)別的防護(hù)方法����,而根據(jù)系統(tǒng)中運(yùn)行的文件的HASH值來判斷和識(shí)別其是否正常;進(jìn)一步地����,還根據(jù)大量用戶之間相同或者相類似文件運(yùn)行情況的比對(duì)進(jìn)行判斷和識(shí)別;更進(jìn)一步地����,根據(jù)對(duì)文件的云追蹤情況,確定這個(gè)文件是否正常�����。其相當(dāng)于在數(shù)百萬計(jì)算機(jī)之間共同建立一個(gè)防范非正常文件的體系�,使用用戶越多防范越安全,對(duì)于新病毒���、未知病毒同樣有效。
文檔編號(hào)G06F21/00GK101908116SQ201010245878
公開日2010年12月8日 申請(qǐng)日期2010年8月5日 優(yōu)先權(quán)日2010年8月5日
發(fā)明者周勇兵, 潘燕輝 申請(qǐng)人:潘燕輝;周勇兵