技術(shù)特征:1.一種檢測惡意代碼的方法�,包括:
接收檢測樣本����;
利用多種惡意代碼鑒定器分別對所述檢測樣本進行檢測以獲得多個檢測結(jié)果;
確定檢測結(jié)果的可信度和信譽值����,其中所述可信度表示檢測結(jié)果是否具有惡意性和/或安全性��,所述信譽值為對應(yīng)可信度的量化信任程度�����;以及
基于所述檢測結(jié)果的可信度和信譽值確定所述檢測樣本的最終鑒定結(jié)果����。
2.根據(jù)權(quán)利要求1所述的方法���,其中����,確定檢測結(jié)果的可信度和信譽值包括:
根據(jù)文件信譽評分策略�����,確定檢測結(jié)果的可信度和信譽值����;
其中,在所述文件信譽評分策略中�����,根據(jù)已知的各種惡意代碼的信息,預(yù)先設(shè)置各類惡意代碼檢測結(jié)果的可信度�����;以及根據(jù)惡意代碼鑒定器的誤報率��,預(yù)先設(shè)置各類惡意代碼檢測結(jié)果的信譽值�����。
3.根據(jù)權(quán)利要求2所述的方法�����,其中�����,根據(jù)文件信譽評分策略����,確定檢測結(jié)果的可信度和信譽值包括:
確定與所述檢測結(jié)果匹配的惡意代碼檢測結(jié)果���;以及
將匹配的惡意代碼檢測結(jié)果的可信度和信譽值賦予所述檢測結(jié)果�����。
4.根據(jù)權(quán)利要求1-3任一所述的方法���,其中���,基于所述檢測結(jié)果的可信度和信譽值確定所述檢測樣本的最終鑒定結(jié)果包括:
根據(jù)可信度和信譽值判定策略對所述檢測結(jié)果的可信度和信譽值進行處理以獲得對所述檢測樣本的最終鑒定結(jié)果。
5.根據(jù)權(quán)利要求4所述的方法�,其中,根據(jù)可信度和信譽值判定策略對所述檢測結(jié)果的可信度和信譽值進行處理包括:
若所述檢測結(jié)果的可信度之間存在沖突��,則根據(jù)所述檢測結(jié)果的沖突優(yōu)先級和/或信譽值來確定最終鑒定結(jié)果�����。
6.根據(jù)權(quán)利要求5所述的方法���,其中�,所述可信度包括以下任一:黑���、白���、灰��、疑黑和疑白�����,其中黑表示檢測結(jié)果具有惡意性�,白表示檢測結(jié)果具有安全性�,灰表示不確定,疑黑表示檢測結(jié)果可能具有惡意性����,以及疑白表示檢測結(jié)果可能具有安全性。
7.根據(jù)權(quán)利要求6所述的方法��,其中�,所述可信度和信譽值判定策略包括以下至少一項:
若所述多個檢測結(jié)果均為灰,則判定所述檢測文本的最終鑒定結(jié)果為灰狀態(tài)���;
若所述多個檢測結(jié)果均為黑,則判定所述檢測文件的最終鑒定結(jié)果為黑狀態(tài)��;
若所述多個檢測結(jié)果均為白����,則判定所述檢測文件的最終鑒定結(jié)果為白狀態(tài)�����;
若所述多個檢測結(jié)果存在黑白沖突并且沖突優(yōu)先級不一樣時���,則判定所述檢測文件的最終鑒定結(jié)果與具有最高優(yōu)先級的檢測結(jié)果一致;
若所述多個檢測結(jié)果存在黑白沖突并且沖突優(yōu)先級一樣時���,則判定所述檢測文件的最終鑒定結(jié)果為灰狀態(tài)����;
若所述多個檢測結(jié)果存在黑�����、疑白沖突��,則判定所述檢測文件的最終鑒定結(jié)果為黑狀態(tài)��;
若所述多個檢測結(jié)果存在白�����、疑黑沖突,則判定所述檢測文件的最終鑒定結(jié)果為白狀態(tài)��;
若所述多個檢測結(jié)果均為疑黑��,則當所述多個檢測結(jié)果的累計信譽值在第一預(yù)定閾值以上時�����,判定所述檢測文件的最終鑒定結(jié)果為黑狀態(tài)����,否則判定所述檢測文件的最終鑒定結(jié)果為灰狀態(tài);
若所述多個檢測結(jié)果均為疑白�,則當所述多個檢測結(jié)果的累計信譽值在第二預(yù)定閾值以上時,判定所述檢測文件的最終鑒定結(jié)果為白狀態(tài)����,否則判定所述檢測文件的最終鑒定結(jié)果為灰狀態(tài);以及
若所述多個檢測結(jié)果存在疑黑疑白沖突����,則當疑黑的檢索結(jié)果的信譽值與疑白的檢索結(jié)果的信譽值之間的差距在第三預(yù)定閾值以上時,判定所述檢測文件的最終鑒定結(jié)果與信譽值高的檢索結(jié)果一致�,否則判定所述檢測文件的最終鑒定結(jié)果為灰狀態(tài)。
8.一種檢測惡意代碼的系統(tǒng),包括:
云檢測服務(wù)器��,用于接收檢測樣本�����;
多個不同類型的惡意代碼鑒定器�,用于從所述云檢測服務(wù)器接收檢測樣本并對所述檢測樣本分別進行檢測以獲得多個檢測結(jié)果���;以及
文件信譽判定器����,用于確定檢測結(jié)果的可信度和信譽值��,以及基于所述檢測結(jié)果的可信度和信譽值確定所述檢測樣本的最終鑒定結(jié)果��,其中所述可信度表示檢測結(jié)果是否具有惡意性和/或安全性�,所述信譽值為對應(yīng)可信度的量化信任程度。
9.根據(jù)權(quán)利要求8所述的系統(tǒng)��,其中���,所述文件信譽判定器包括:
確定單元���,用于根據(jù)文件信譽評分策略����,確定檢測結(jié)果的可信度和信譽值�����;
其中�,在所述文件信譽評分策略中,根據(jù)已知的各種惡意代碼的信息�����,預(yù)先設(shè)置各類惡意代碼檢測結(jié)果的可信度�����;以及根據(jù)惡意代碼鑒定器的誤報率���,預(yù)先設(shè)置各類惡意代碼檢測結(jié)果的信譽值��。
10.根據(jù)權(quán)利要求9所述的系統(tǒng)�����,其中��,所述確定單元進一步配置用于:
確定與所述檢測結(jié)果匹配的惡意代碼檢測結(jié)果��;以及
將匹配的惡意代碼檢測結(jié)果的可信度和信譽值賦予所述檢測結(jié)果�。
11.根據(jù)權(quán)利要求8-10任一所述的系統(tǒng)����,其中,所述文件信譽判定器包括:
判定單元��,用于根據(jù)可信度和信譽值判定策略對所述檢測結(jié)果的可信度和信譽值進行處理以獲得對所述檢測樣本的最終鑒定結(jié)果��。
12.根據(jù)權(quán)利要求11所述的系統(tǒng)����,其中,
所述確定單元進一步配置用于:為檢測結(jié)果分配沖突優(yōu)先級�;并且
所述判定單元進一步配置用于:若所述檢測結(jié)果的可信度之間存在沖突,則根據(jù)所述檢測結(jié)果的沖突優(yōu)先級和/或信譽值來確定最終鑒定結(jié)果�。
13.根據(jù)權(quán)利要求12所述的系統(tǒng),其中��,所述可信度包括以下任一:黑��、白、灰�、疑黑和疑白,其中黑表示檢測結(jié)果具有惡意性�,白表示檢測結(jié)果具有安全性,灰表示不確定�����,疑黑表示檢測結(jié)果可能具有惡意性���,以及疑白表示檢測結(jié)果可能具有安全性��。
14.根據(jù)權(quán)利要求13所述的系統(tǒng)���,其中,所述可信度和信譽值判定策略包括以下至少一項:
若所述多個檢測結(jié)果均為灰���,則判定所述檢測文本的最終鑒定結(jié)果為灰狀態(tài)�����;
若所述多個檢測結(jié)果均為黑���,則判定所述檢測文件的最終鑒定結(jié)果為黑狀態(tài)����;
若所述多個檢測結(jié)果均為白�����,則判定所述檢測文件的最終鑒定結(jié)果為白狀態(tài)�;
若所述多個檢測結(jié)果存在黑白沖突并且沖突優(yōu)先級不一樣時,則判定所述檢測文件的最終鑒定結(jié)果與具有最高優(yōu)先級的檢測結(jié)果一致����;
若所述多個檢測結(jié)果存在黑白沖突并且沖突優(yōu)先級一樣時���,則判定所述檢測文件的最終鑒定結(jié)果為灰狀態(tài)�����;
若所述多個檢測結(jié)果存在黑���、疑白沖突,則判定所述檢測文件的最終鑒定結(jié)果為黑狀態(tài)���;
若所述多個檢測結(jié)果存在白����、疑黑沖突,則判定所述檢測文件的最終鑒定結(jié)果為白狀態(tài)����;
若所述多個檢測結(jié)果均為疑黑,則當所述多個檢測結(jié)果的累計信譽值在第一預(yù)定閾值以上時��,判定所述檢測文件的最終鑒定結(jié)果為黑狀態(tài)����,否則判定所述檢測文件的最終鑒定結(jié)果為灰狀態(tài);
若所述多個檢測結(jié)果均為疑白���,則當所述多個檢測結(jié)果的累計信譽值在第二預(yù)定閾值以上時���,判定所述檢測文件的最終鑒定結(jié)果為白狀態(tài),否則判定所述檢測文件的最終鑒定結(jié)果為灰狀態(tài)�����;以及
若所述多個檢測結(jié)果存在疑黑疑白沖突�����,則當疑黑的檢索結(jié)果的信譽值與疑白的檢索結(jié)果的信譽值之間的差距在第三預(yù)定閾值以上時,判定所述檢測文件的最終鑒定結(jié)果與信譽值高的檢索結(jié)果一致�����,否則判定所述檢測文件的最終鑒定結(jié)果為灰狀態(tài)��。