專(zhuān)利名稱(chēng):一種多維度引擎間聯(lián)合判定啟動(dòng)點(diǎn)安全性的啟發(fā)檢測(cè)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及安全檢測(cè)技術(shù)領(lǐng)域��,尤其是一種多維度引擎間聯(lián)合判定啟動(dòng)點(diǎn)安全性的啟發(fā)檢測(cè)方法��。
背景技術(shù):
眾所周知�,基于文件內(nèi)容維度的檢測(cè)引擎,已經(jīng)是安全行業(yè)內(nèi)部最為廣泛和成熟的安全檢測(cè)方式��,但近年來(lái)隨著安全與病毒產(chǎn)業(yè)的不斷對(duì)抗�,病毒程序已經(jīng)逐步告別從前的各種文件內(nèi)容的修改來(lái)躲避文件引擎的掃描,而是逐步轉(zhuǎn)為利用安全的計(jì)算機(jī)程序的各
種漏洞來(lái)使病毒文件被運(yùn)行從而達(dá)到危害計(jì)算機(jī)安全的目的��。KSC是Kingsoft System Intelligent Cloud的簡(jiǎn)寫(xiě)���,是金山可信云認(rèn)證體系下的一個(gè)系統(tǒng)級(jí)別人工智能云體系��。毒霸KSC引擎是金山毒霸開(kāi)發(fā)的基于KSC的檢測(cè)引擎��。與基于文件內(nèi)容維度的檢測(cè)引擎不同的是��,毒霸KSC引擎是基于系統(tǒng)級(jí)別云體系的�����,它無(wú)視文件本身信息�����,轉(zhuǎn)而聚焦文件所處環(huán)境一操作系統(tǒng)的多維度安全特征���,全面封鎖和偵查啟動(dòng)點(diǎn),在病毒最關(guān)鍵的啟動(dòng)點(diǎn)給予精準(zhǔn)致命打擊�,從而形成了全新的系統(tǒng)安全模式。但是由于KSC高啟發(fā)規(guī)則的高啟發(fā)特性�,會(huì)將一部分安全程序但是行為類(lèi)似病毒的啟動(dòng)點(diǎn)報(bào)出造成誤報(bào)。由此可見(jiàn)�����,現(xiàn)有安全檢測(cè)技術(shù)大都是基于單一的引擎或者檢測(cè)方式來(lái)進(jìn)行安全判定的����,由于各個(gè)引擎及檢測(cè)方式都存在其固有的優(yōu)勢(shì)和缺點(diǎn),故而使用單一引擎的檢測(cè)都無(wú)法避免其缺點(diǎn)所造成的先天不足���。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問(wèn)題是提供一種多維度引擎間聯(lián)合判定啟動(dòng)點(diǎn)安全性的啟發(fā)檢測(cè)方法�����,克服使用單一引擎檢測(cè)方式的不足����。為了解決上述技術(shù)問(wèn)題,本發(fā)明所采用的技術(shù)方案是
一種多維度引擎間聯(lián)合判定啟動(dòng)點(diǎn)安全性的啟發(fā)檢測(cè)方法�,該方法包括以下步驟
a.客戶端掃描啟動(dòng)點(diǎn);
b.將啟動(dòng)點(diǎn)信息提交給文件云引擎進(jìn)行文件內(nèi)容信息獲取�����,以及將啟動(dòng)點(diǎn)信息提交給毒霸KSC引擎��;
c.文件云引擎對(duì)文件內(nèi)容的安全性進(jìn)行判斷并返回安全結(jié)果����,毒霸KSC引擎對(duì)啟動(dòng)點(diǎn)的安全性進(jìn)行判斷并返回安全結(jié)果;
d.根據(jù)返回安全結(jié)果判斷是否提交給安全等級(jí)邏輯處理模塊���;
e.確定最終安全等級(jí)���。優(yōu)選地,所述步驟b,其具體為
將啟動(dòng)點(diǎn)信息提交給文件云引擎進(jìn)行文件內(nèi)容信息獲取�����,并對(duì)文件云引擎所需信息進(jìn)行處理���,以及將啟動(dòng)點(diǎn)信息提交給毒霸KSC引擎���,進(jìn)而對(duì)啟動(dòng)點(diǎn)中非文件內(nèi)容維度屬性信息進(jìn)行格式化處理����。
優(yōu)選地,所述步驟c,其包括
文件云引擎對(duì)文件內(nèi)容的安全性進(jìn)行判斷���,并將返回的安全結(jié)果存儲(chǔ)起來(lái)��;
毒霸KSC引擎對(duì)非文件內(nèi)容維度的啟動(dòng)點(diǎn)安全性進(jìn)行判斷�,并判斷該安全結(jié)果是否為KSC高啟發(fā)威脅特征����,若是,則對(duì)文件云引擎返回的安全結(jié)果進(jìn)行獲取后�,將文件云引擎返回的安全結(jié)果以及毒霸KSC引擎返回的安全結(jié)果一起提交給安全等級(jí)邏輯處理模塊,否則將繼續(xù)執(zhí)行KSC獨(dú)立流程�。優(yōu)選地�����,所述步驟c中文件云引擎返回的安全結(jié)果存儲(chǔ)在文件云引擎結(jié)果存儲(chǔ)器內(nèi)���。優(yōu)選地,所述步驟c中文件云引擎返回的安全結(jié)果包括云2. O安全���、云3. O安全���、 云2. O危險(xiǎn)、云3. O危險(xiǎn)����、未知這五種狀態(tài),毒霸KSC引擎返回的安全結(jié)果包括安全�、危險(xiǎn)、高啟發(fā)威脅���、未知+分布廣度這四種狀態(tài)和啟動(dòng)點(diǎn)的廣度值��。優(yōu)選地��,所述安全等級(jí)邏輯處理模塊的邏輯為
如果毒霸KSC引擎狀態(tài)=云3. O安全���,則最終安全等級(jí)為安全����;
如果毒霸KSC引擎狀態(tài)=云2. O安全且文件云引擎廣度〈預(yù)定閾值��,則最終安全等級(jí)為可疑��;
如果毒霸KSC引擎狀態(tài)=云2. O安全且文件云引擎廣度 >=預(yù)定閾值����,則最終安全等級(jí)為安全��;
否則�����,其他情況最終安全等級(jí)均為威脅���。本發(fā)明的有益效果是本發(fā)明不使用單一的引擎來(lái)判斷啟動(dòng)點(diǎn)的安全性����,而是把不同引擎聯(lián)合起來(lái)��,在一個(gè)啟動(dòng)點(diǎn)中取各引擎最優(yōu)勢(shì)的信息,綜合分析后來(lái)判定啟動(dòng)點(diǎn)的安全性等級(jí)���,最終實(shí)現(xiàn)啟動(dòng)點(diǎn)的安全性判定�����,更可靠�����、更安全�����。
附圖是本發(fā)明多維度引擎間聯(lián)合判定啟動(dòng)點(diǎn)安全性的啟發(fā)檢測(cè)方法的步驟流程圖�。
具體實(shí)施例方式下面結(jié)合附圖對(duì)本發(fā)明的具體實(shí)施方式
作進(jìn)一步說(shuō)明
參照附圖���,一種多維度引擎間聯(lián)合判定啟動(dòng)點(diǎn)安全性的啟發(fā)檢測(cè)方法�,該方法包括以下步驟
a.客戶端掃描啟動(dòng)點(diǎn)���;
b.將啟動(dòng)點(diǎn)信息提交給文件云引擎進(jìn)行文件內(nèi)容信息獲取���,以及將啟動(dòng)點(diǎn)信息提交給毒霸KSC引擎�;
c.文件云引擎對(duì)文件內(nèi)容的安全性進(jìn)行判斷并返回安全結(jié)果��,毒霸KSC引擎對(duì)啟動(dòng)點(diǎn)的安全性進(jìn)行判斷并返回安全結(jié)果�����;
d.根據(jù)返回安全結(jié)果判斷是否提交給安全等級(jí)邏輯處理模塊�����;
e.確定最終安全等級(jí)���。作為進(jìn)一步優(yōu)選的實(shí)施方式�����,所述步驟b,其具體為
將啟動(dòng)點(diǎn)信息提交給文件云引擎進(jìn)行文件內(nèi)容信息獲取��,并對(duì)文件云引擎所需信息進(jìn)行處理����,以及將啟動(dòng)點(diǎn)信息提交給毒霸KSC引擎,進(jìn)而對(duì)啟動(dòng)點(diǎn)中非文件內(nèi)容維度屬性信息進(jìn)行格式化處理。作為進(jìn)一步優(yōu)選的實(shí)施方式�����,所述步驟C��,其包括
文件云引擎對(duì)文件內(nèi)容的安全性進(jìn)行判斷�,并將返回的安全結(jié)果存儲(chǔ)起來(lái);
毒霸KSC引擎對(duì)非文件內(nèi)容維度的啟動(dòng)點(diǎn)安全性進(jìn)行判斷����,并判斷該安全結(jié)果是否為KSC高啟發(fā)威脅特征,若是��,則對(duì)文件云引擎返回的安全結(jié)果進(jìn)行獲取后����,將文件云引擎返回的安全結(jié)果以及毒霸KSC引擎返回的安全結(jié)果一起提交給安全等級(jí)邏輯處理模塊,否則將繼續(xù)執(zhí)行KSC獨(dú)立流程���。而文件云引擎在返回安全結(jié)果后將繼續(xù)執(zhí)行文件云引擎獨(dú)立流程�。作為進(jìn)一步優(yōu)選的實(shí)施方式�����,所述步驟c中文件云引擎返回的安全結(jié)果存儲(chǔ)在文件云引擎結(jié)果存儲(chǔ)器內(nèi)。
作為進(jìn)一步優(yōu)選的實(shí)施方式�����,所述步驟c中文件云引擎返回的安全結(jié)果包括云
2.O安全��、云3. O安全���、云2. O危險(xiǎn)���、云3. O危險(xiǎn)、未知這五種狀態(tài),毒霸KSC引擎返回的安全結(jié)果包括安全����、危險(xiǎn)、高啟發(fā)威脅����、未知+分布廣度這四種狀態(tài)和啟動(dòng)點(diǎn)的廣度值。作為進(jìn)一步優(yōu)選的實(shí)施方式�,所述安全等級(jí)邏輯處理模塊中的邏輯為
如果毒霸KSC引擎狀態(tài)=云3. O安全��,則最終安全等級(jí)為安全�����;
如果毒霸KSC引擎狀態(tài)=云2. O安全且文件云引擎廣度〈預(yù)定閾值,則最終安全等級(jí)為可疑��;
如果毒霸KSC引擎狀態(tài)=云2. O安全且文件云引擎廣度 >=預(yù)定閾值�,則最終安全等級(jí)為安全;
否則�����,其他情況最終安全等級(jí)均為威脅���。當(dāng)毒霸KSC引擎返回的安全結(jié)果為高啟發(fā)威脅狀態(tài)時(shí)����,毒霸KSC引擎才會(huì)把該狀態(tài)信息傳給安全等級(jí)邏輯處理模塊�,并且毒霸KSC引擎還會(huì)將啟動(dòng)點(diǎn)的廣度信息傳給安全等級(jí)邏輯處理模塊。而文件云引擎的每個(gè)狀態(tài)都會(huì)傳給安全等級(jí)邏輯處理模塊��。由此可見(jiàn)����,本發(fā)明多維度引擎間聯(lián)合判定啟動(dòng)點(diǎn)安全性的檢測(cè)方法,發(fā)揮了文件云引擎和毒霸KSC引擎之間的最大聯(lián)動(dòng)�����,把各引擎的強(qiáng)勢(shì)發(fā)揮出來(lái),形成各引擎之間的聯(lián)動(dòng)互補(bǔ)���,優(yōu)缺互補(bǔ)的檢測(cè)策略最終判定啟動(dòng)點(diǎn)的安全性的檢測(cè)方式是更安全的�����。以上是對(duì)本發(fā)明的較佳實(shí)施例進(jìn)行了具體說(shuō)明�����,但本發(fā)明創(chuàng)造并不限于所述實(shí)施例���,熟悉本領(lǐng)域的技術(shù)人員在不違背本發(fā)明精神的前提下還可以作出種種的等同變形或替換,這些等同的變形或替換均包含在本申請(qǐng)權(quán)利要求所限定的范圍內(nèi)�。
權(quán)利要求
1.一種多維度引擎間聯(lián)合判定啟動(dòng)點(diǎn)安全性的啟發(fā)檢測(cè)方法,其特征在于���,該方法包括以下步驟 a.客戶端掃描啟動(dòng)點(diǎn)����; b.將啟動(dòng)點(diǎn)信息提交給文件云引擎進(jìn)行文件內(nèi)容信息獲取�,以及將啟動(dòng)點(diǎn)信息提交給毒霸KSC引擎; c.文件云引擎對(duì)文件內(nèi)容的安全性進(jìn)行判斷并返回安全結(jié)果����,毒霸KSC引擎對(duì)啟動(dòng)點(diǎn)的安全性進(jìn)行判斷并返回安全結(jié)果; d.根據(jù)返回安全結(jié)果判斷是否提交給安全等級(jí)邏輯處理模塊�����; e.確定最終安全等級(jí)��。
2.根據(jù)權(quán)利要求I所述的一種多維度引擎間聯(lián)合判定啟動(dòng)點(diǎn)安全性的啟發(fā)檢測(cè)方法���, 其特征在于����,所述步驟b�����,其具體為 將啟動(dòng)點(diǎn)信息提交給文件云引擎進(jìn)行文件內(nèi)容信息獲取�����,并對(duì)文件云引擎所需信息進(jìn)行處理�,以及將啟動(dòng)點(diǎn)信息提交給毒霸KSC引擎����,進(jìn)而對(duì)啟動(dòng)點(diǎn)中非文件內(nèi)容維度屬性信息進(jìn)行格式化處理�����。
3.根據(jù)權(quán)利要求I所述的一種多維度引擎間聯(lián)合判定啟動(dòng)點(diǎn)安全性的啟發(fā)檢測(cè)方法��,其特征在于�����,所述步驟C�,其包括 文件云引擎對(duì)文件內(nèi)容的安全性進(jìn)行判斷,并將返回的安全結(jié)果存儲(chǔ)起來(lái)���; 毒霸KSC引擎對(duì)非文件內(nèi)容維度的啟動(dòng)點(diǎn)安全性進(jìn)行判斷����,并判斷該安全結(jié)果是否為KSC高啟發(fā)威脅特征��,若是����,則對(duì)文件云引擎返回的安全結(jié)果進(jìn)行獲取后�,將文件云引擎返回的安全結(jié)果以及毒霸KSC引擎返回的安全結(jié)果一起提交給安全等級(jí)邏輯處理模塊��,否則將繼續(xù)執(zhí)行KSC獨(dú)立流程�。
4.根據(jù)權(quán)利要求2所述的一種多維度引擎間聯(lián)合判定啟動(dòng)點(diǎn)安全性的啟發(fā)檢測(cè)方法���,其特征在于�����,所述步驟c中文件云引擎返回的安全結(jié)果存儲(chǔ)在文件云引擎結(jié)果存儲(chǔ)器內(nèi)����。
5.根據(jù)權(quán)利要求2所述的一種多維度引擎間聯(lián)合判定啟動(dòng)點(diǎn)安全性的啟發(fā)檢測(cè)方法��,其特征在于��,所述步驟c中文件云引擎返回的安全結(jié)果包括云2. O安全���、云3. O安全�����、云2. O危險(xiǎn)�、云3. O危險(xiǎn)、未知這五種狀態(tài)��,毒霸KSC引擎返回的安全結(jié)果包括安全���、危險(xiǎn)��、高啟發(fā)威脅�、未知+分布廣度這四種狀態(tài)和啟動(dòng)點(diǎn)的廣度值�。
6.根據(jù)權(quán)利要求4所述的一種多維度引擎間聯(lián)合判定啟動(dòng)點(diǎn)安全性的啟發(fā)檢測(cè)方法,其特征在于�,所述安全等級(jí)邏輯處理模塊的邏輯為 如果毒霸KSC引擎狀態(tài)=云3. O安全,則最終安全等級(jí)為安全�����; 如果毒霸KSC引擎狀態(tài)=云2. O安全且文件云引擎廣度〈預(yù)定閾值��,則最終安全等級(jí)為可疑�����; 如果毒霸KSC引擎狀態(tài)=云2. O安全且文件云引擎廣度 >=預(yù)定閾值���,則最終安全等級(jí)為安全���; 否則�����,其他情況最終安全等級(jí)均為威脅�。
全文摘要
本發(fā)明公開(kāi)了一種多維度引擎間聯(lián)合判定啟動(dòng)點(diǎn)安全性的啟發(fā)檢測(cè)方法,包括以下步驟a.客戶端掃描啟動(dòng)點(diǎn)����;b.將啟動(dòng)點(diǎn)信息提交給文件云引擎進(jìn)行文件內(nèi)容信息獲取��,以及將啟動(dòng)點(diǎn)信息提交給毒霸KSC引擎�;c.文件云引擎對(duì)文件內(nèi)容的安全性進(jìn)行判斷并返回安全結(jié)果,毒霸KSC引擎對(duì)啟動(dòng)點(diǎn)的安全性進(jìn)行判斷并返回安全結(jié)果��;d.根據(jù)返回安全結(jié)果判斷是否提交給安全等級(jí)邏輯處理模塊����;e.確定最終安全等級(jí)。所述方法把不同引擎聯(lián)合起來(lái)�,在一個(gè)啟動(dòng)點(diǎn)中取各引擎最優(yōu)勢(shì)的信息,綜合分析后來(lái)判定啟動(dòng)點(diǎn)的安全性等級(jí)�,最終實(shí)現(xiàn)啟動(dòng)點(diǎn)的安全性判定,更可靠、更安全�����。本發(fā)明多維度引擎間聯(lián)合判定啟動(dòng)點(diǎn)安全性的啟發(fā)檢測(cè)方法廣泛應(yīng)用于安全檢測(cè)技術(shù)領(lǐng)域�。
文檔編號(hào)G06F21/10GK102855420SQ20121030223
公開(kāi)日2013年1月2日 申請(qǐng)日期2012年8月23日 優(yōu)先權(quán)日2012年8月23日
發(fā)明者黃艦, 梁宇杰, 趙昱, 陳勇 申請(qǐng)人:珠海市君天電子科技有限公司