專利名稱:一種樣本鑒定方法及系統(tǒng)的制作方法
技術領域:
本發(fā)明涉及計算機安全技術領域,特別是涉及ー種樣本鑒定方法及系統(tǒng)。
背景技術:
在互聯(lián)網時代,信息爆炸性增長,木馬、病毒也隨之爆發(fā)性的泛濫,如何快速反應, 及時發(fā)現(xiàn)新的木馬和病毒,及早控制木馬、病毒的傳播是安全行業(yè)面臨的新的挑戰(zhàn)。海量樣本實時鑒定技術,是基于服務器端強大的處理能力對海量的樣本進行收集并實時給出精準的鑒定結果的ー種云鑒定技木。海量樣本實時鑒定系統(tǒng)主要包含四大部分樣本收集,樣本鑒定,樣本存儲,鑒定結果發(fā)布。樣本收集指的是利用各種探測工具收集互聯(lián)網上最新出現(xiàn)的未被鑒定系統(tǒng)識別過的可執(zhí)行文件;樣本存儲指的是妥善的存儲海量的樣本,井能做到數(shù)據(jù)的高可靠性、高可用性;樣本鑒定指的是靈活的組織調度各種各樣的鑒定服務快速的給出樣本的各種鑒定結果,并綜合這些鑒定結果最終確定該樣本的安全等級;鑒定結果發(fā)布指的是樣本鑒定結果快速發(fā)布到云引擎服務器,為客戶端提供鑒定結果查詢。這ー實現(xiàn)方式,大大縮短了互聯(lián)網中新增樣本的識別時間,遠優(yōu)于傳統(tǒng)殺軟利用病毒庫升級來識別新樣本的傳統(tǒng)模式,并且,其目標是做到實時鑒定,實時查殺。但是在現(xiàn)有的海量樣本實時鑒定系統(tǒng)中還存在許多待改善提高的地方,例如,在對樣本進行鑒定時,在準確性、時效性、可擴展性以及靈活性等方面,都還存在上升的空間。
發(fā)明內容
本發(fā)明提供了ー種樣本鑒定方法及系統(tǒng),能夠提高海量樣本鑒定系統(tǒng)的準確性、 時效性、可擴展性以及靈活性。本發(fā)明提供了如下方案ー種樣本鑒定方法,包括當客戶端發(fā)現(xiàn)待上傳樣本吋,將所述待上傳樣本的標識信息發(fā)送到查詢服務器; 所述查詢服務器中保存有已鑒定過的樣本對應的標識信息;如果所述查詢服務器返回的查詢結果為該樣本尚未被鑒定過,則提取所述待上傳樣本的微特征,并所述微特征上傳到同步鑒定服務器進行同步鑒定;如果所述同步鑒定服務器的同步鑒定結果為不確定,則將所述待上傳樣本上傳到多鑒定單元服務器,以便由所述多鑒定單元服務器通過多種鑒定策略對所述待上傳樣本進行鑒定,并返回鑒定結果。其中,所述標識信息為所述待上傳樣本的MD5值。其中,所述微特征包括類行為特征和/或結構特征。其中,所述多鑒定單元服務器采用虛擬化技木,在多鑒定單元服務器的每臺機器上運行多個虛擬機,每個虛擬機中運行多個鑒定単元,以鑒定単元作為最小的調度單位。其中,還包括監(jiān)控每臺機器的資源占用情況,調用最空閑的機器啟動指定數(shù)量的鑒定單元對樣本進行鑒定。其中,還包括監(jiān)控各個鑒定單元的狀態(tài)、鑒定器的類型、鑒定器的版本號、鑒定器病毒庫大小以及升級時間,以便根據(jù)監(jiān)控到的內容進行對鑒定器進行版本升級,或者對病毒庫進行及時更新。一種樣本鑒定系統(tǒng),包括查詢單元,用于當客戶端發(fā)現(xiàn)待上傳樣本時,將所述待上傳樣本的標識信息發(fā)送到查詢服務器;所述查詢服務器中保存有已鑒定過的樣本對應的標識信息;同步鑒定單元,用于如果所述查詢服務器返回的查詢結果為該樣本尚未被鑒定過,則提取所述待上傳樣本的微特征,并所述微特征上傳到同步鑒定服務器進行同步鑒定;綜合鑒定單元,用于如果所述同步鑒定服務器的同步鑒定結果為不確定,則將所述待上傳樣本上傳到多鑒定單元服務器,以便由所述多鑒定單元服務器通過多種鑒定策略對所述待上傳樣本進行鑒定,并返回鑒定結果。其中,所述標識信息為所述待上傳樣本的MD5值。其中,所述微特征包括類行為特征和/或結構特征。其中,所述多鑒定單元服務器采用虛擬化技術,在多鑒定單元服務器的每臺機器上運行多個虛擬機,每個虛擬機中運行多個鑒定單元,以鑒定單元作為最小的調度單位。其中,還包括第一監(jiān)控單元,用于監(jiān)控每臺機器的資源占用情況,調用最空閑的機器啟動指定數(shù)量的鑒定單元對樣本進行鑒定。其中,還包括第二監(jiān)控單元,用于監(jiān)控各個鑒定單元的狀態(tài)、鑒定器的類型、鑒定器的版本號、 鑒定器病毒庫大小以及升級時間,以便根據(jù)監(jiān)控到的內容進行對鑒定器進行版本升級,或者對病毒庫進行及時更新。根據(jù)本發(fā)明提供的具體實施例,本發(fā)明公開了以下技術效果通過本發(fā)明,首先通過查詢服務器查詢樣本是否已經鑒定,如果尚未鑒定,再進行同步鑒定,大部分查詢只查詢到查詢服務器就知道樣本的鑒定結果了,未知的樣本會先請求進行同步鑒定,當同步鑒定服務器也無法給出肯定的結果時候,樣本才會上傳到服務端的多種鑒定服務進行鑒定。在此過程中,首先,由于并不是將客戶端發(fā)現(xiàn)的所有樣本無論是否已經鑒定都上傳到服務器,因此,可以減小網絡開銷,并且從整體上講,由于大部分樣本都能直接通過查詢服務器就得到鑒定結果,因此時效性也得到提升;其次,由于在同步鑒定服務器無法確定鑒定結果的情況下,還可以通過多種鑒定服務器進行綜合鑒定,因此,鑒定的準確性也得到提升;此外,在進行多種鑒定服務時,以鑒定單元為調度單位,因此,使得系統(tǒng)的可擴展性及靈活性也得到提高。
為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術中的技術方案,下面將對實施例中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實施例,對于本領域普通技術人員來講,在不付出創(chuàng)造性勞動的前提下,還可以根據(jù)這些附圖獲得其他的附圖。圖1是本發(fā)明實施例提供的方法的流程圖;圖2是本發(fā)明實施例提供的平臺架構示意圖;圖3是本發(fā)明實施例提供的平臺調度組織結構示意圖;圖4是本發(fā)明實施例提供的系統(tǒng)的示意圖。
具體實施例方式下面將結合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本發(fā)明一部分實施例,而不是全部的實施例?;诒景l(fā)明中的實施例,本領域普通技術人員所獲得的所有其他實施例,都屬于本發(fā)明保護的范圍。參見圖1,本發(fā)明實施例提供的樣本鑒定方法包括以下步驟SlOl 當客戶端發(fā)現(xiàn)待上傳樣本吋,將所述待上傳樣本的標識信息發(fā)送到查詢服務器;所述查詢服務器中保存有已鑒定過的樣本對應的標識信息;在客戶端發(fā)現(xiàn)一可疑樣本之后,由于該可疑樣本可能已經被鑒定過,因此,在本發(fā)明實施例中,并不是直接將該樣本上傳到服務器進行鑒定,而是首先由客戶端將樣本的標識信息發(fā)送到查詢服務器,查詢該樣本是否已經被鑒定過。其中,查詢服務器中保存了已經被鑒定過的樣本的標識信息,因此,當接收到客戶端發(fā)送過來的標識信息之后,與保存的標識信息進行匹配,如果匹配成功,則證明該樣本已經被鑒定過了,同吋,可以向客戶端返回 “已鑒定過”的響應消息;如果沒有匹配成功,則證明當前樣本尚未被鑒定過,此吋,就可以向客戶端返回“未鑒定過”的響應消息。在實際應用中,客戶端上傳的標識信息以及查詢服務器中保存的樣本的標識信息,可以是樣本的文件名等描述信息,當然,為了避免由于文件名等描述信息發(fā)生變化,造成匹配錯誤,在本發(fā)明實施例中,可以采用樣本的MD5 (Message Digest Algorithm,消息摘要算法)值,作為客戶端上傳的標識信息,以及查詢服務器中保存的標識信息。這是因為, MD5可以將ー個文件當作一個大文本信息,通過其不可逆的字符串變換算法,產生ー個唯一的MD5信息摘要,在以后傳播這個文件的過程中,只要文件的內容沒有發(fā)生改變,使用MD5 算法生成的MD5值就一定是相同的。因此,即使客戶端發(fā)現(xiàn)的可疑樣本與查詢服務器中收錄的已鑒定樣本相比,其描述信息發(fā)生變化,但是只要確實是相同的文件,就可以通過MD5 值匹配成功,這樣,可以提高匹配的準確度及可靠性。這里需要說明的是,客戶端發(fā)現(xiàn)可疑樣本的方法可以參照現(xiàn)有技術中的實現(xiàn)方式,例如,當客戶端的各個產品無論是掃描還是主動觸發(fā)的時候,都發(fā)現(xiàn)某個樣本在服務端的樣本庫中沒有收集,則會將該其作為ー個可疑樣本。S102:如果所述查詢服務器返回的查詢結果為該樣本尚未被鑒定過,則提取所述待上傳樣本的微特征,并所述微特征上傳到同步鑒定服務器進行同步鑒定;客戶端在接收到查詢服務器返回的響應消息之后,如果發(fā)現(xiàn)查詢結果是樣本已經被鑒定過,則可以不必再對該樣本進行鑒定操作;否則,如果查詢結果是該樣本尚未被鑒定過,則需要進入對該樣本進行鑒定的流程。
6
在本發(fā)明實施例中,為了減少網絡開銷及客戶端開銷,在需要對樣本進行鑒定時, 由客戶端提取樣本的微特征,然后將微特征上傳到同步鑒定服務器,由同步鑒定服務器依據(jù)這些微特征對樣本進行同步鑒定。其中,微特征可以包括樣本的類行為特征和/或結構特征,其中,類行為特征可以包括導入表庫特征和導入表應用程序編程接口 API特征,導入表庫特征可以包括網絡類特征、高級WIN32應用程序接口類特征、系統(tǒng)內核類特征、操作系統(tǒng)用戶界面相關應用程序接口類特征、操作系統(tǒng)應用程序共用圖像用戶界面模塊類特征、操作系統(tǒng)硬件提取層模塊類特征、虛擬機相關模塊類特征、標準C運行庫程序類特征、對象鏈接和嵌入相關模塊類特征、操作系統(tǒng)進程狀態(tài)支持模塊類特征、操作系統(tǒng)32位外殼動態(tài)鏈接庫文件類特征、地址動態(tài)鏈接庫文件類特征;導入表API特征為從所述導入表庫中選取的函數(shù)特征;結構特征包括至少一種下述特征文件頭特征、標準頭特征、可選頭特征、數(shù)據(jù)目錄特征、常用節(jié)表特征,等等。同步鑒定服務器采用的同步鑒定策略可以使用現(xiàn)有技術中基于樣本微特征進行鑒定的任意一種鑒定策略。例如,將一個樣本的微特征放入一個相應的特征向量之內,根據(jù)已經抽取到的微特征,進行特征分類,例如,可以依據(jù)加殼的類別將特征分成UPX、NSPack, ASPack, UPack, PECompact等,根據(jù)分類的結果,將不同類別的樣本的特征向量和黑白屬性使用決策機進行訓練,得到相應的訓練模型。進行分類時,根據(jù)已知編譯器的入口指令序列判定編譯生成相應程序的編譯器類型。該分類方法速度較快,經過統(tǒng)計只需要反匯編16 步,即可達到良好區(qū)分度,并且準確度較高,通用性好,大多數(shù)情況下不易被混淆;并且可以實現(xiàn)擴展。當然也可以采用其他的鑒定機制,可參照已有技術中的實現(xiàn),這里不再一一詳述。S103:如果所述同步鑒定服務器的同步鑒定結果為不確定,則將所述待上傳樣本上傳到多鑒定單元服務器,以便由所述多鑒定單元服務器通過多種鑒定算法對所述待上傳樣本進行鑒定,并返回鑒定結果。如果同步鑒定服務器的同步鑒定結果是確定的,例如確定一個樣本是安全還是不安全,或者能確定一個樣本的安全等級,則可以結束此次鑒定過程。否則,再將整個樣本上傳到服務器,在本發(fā)明實施例中,該服務器是一個多鑒定單元服務器,也即具有多個鑒定單元,不同的鑒定單元可以采用不同的鑒定策略,這樣,相當于可以使用多種鑒定策略同時對樣本進行鑒定,集眾家之所長,得到最終的鑒定結果。各個鑒定單元所使用的鑒定策略可以通過統(tǒng)計現(xiàn)有技術中常用的一些鑒定策略來得到,這里不再一一介紹。在具體實現(xiàn)時,為了實現(xiàn)高時效性、擴展性及靈活性,本發(fā)明實施例還針對多鑒定單元服務器使用了虛擬化技術,也即利用虛擬機來做集群管理,比如一臺Iinux可以虛擬十幾個windows,這樣可以節(jié)省成本,集中管理,并且可以有效地管理和靈活的配置鑒定單元,尤其是對于跨平臺的鑒定器,可以更有效的利用機器資源。具體實現(xiàn)時,參見圖2,為了實現(xiàn)上述虛擬化技術,可以提供一種多鑒定單元服務平臺,該平臺由以下各部分組成接入中間件、鑒定單元管理調度平臺、鑒定單元虛擬化技術以及數(shù)據(jù)傳輸平臺。其中,接入中間件為一個鑒定平臺的統(tǒng)一調用入口,調用者可以靈活搭配需要的鑒定單元,中間件的調用接口如下例所示Scanner^scanner = new Scanner ();
scanner- > Connect ();scanner- > Scan (const char氺Sample, char氺methods,int timeout, int flags) 鑒定單元管理調度平臺根據(jù)請求鑒定需求,如何合理調度有限的鑒定資源,是ー 件很有挑戰(zhàn)性的事情。本發(fā)明實施例把鑒定資源劃為鑒定單元的集合,鑒定單元為調度的最小単位,某一鑒定單元可以跑某種鑒定器的ー個實例,一臺實際的物理機器可以跑多款鑒定器的多個鑒定単元。并且還設計了一個機器信息采集系統(tǒng),實時采集集群中每ー個機器的資源占用狀況,并根據(jù)鑒定請求來實時調用最空閑的機器啟動相應的一定數(shù)量的鑒定単元,這樣就可以最大化的利用集群的鑒定資源。調度平臺的組織結構圖如圖3所示。鑒定單元虛擬化以及管理技術采用虛擬化技術可以有效地管理和靈活的配置鑒定單元,尤其是對于跨平臺的鑒定器,可以更有效的利用機器資源。具體實現(xiàn)吋,可以采用 XEN (是ー個開放源代碼虛擬機監(jiān)視器)作為虛擬機管理系統(tǒng),并且還可以基于其之上開發(fā)一套可視化的鑒定單元管理監(jiān)控平臺,通過該可視化的管理平臺,可以看到目前有多少個實際機器在工作,每個實際機器跑了多少個虛擬機,每個虛擬機跑了多少種鑒定器,每種鑒定器跑了多少個鑒定實例,等等。具體的監(jiān)控點包括以下ー些點鑒定單元狀態(tài),鑒定單元的鑒定器類型,鑒定器的版本號,鑒定器庫大小以及升級時間等,通過這些監(jiān)控點,可以得知鑒定器是否是最新的版本,病毒庫是否能及時的更新。數(shù)據(jù)傳輸平臺海量的樣本在鑒定平臺的數(shù)據(jù)傳遞中需要簡單、高效、可擴展的數(shù)據(jù)傳輸平臺。具體實現(xiàn)吋,本發(fā)明實施例可以采用GEARMAN( —種分布式隊列的實現(xiàn),可以提供可靠高效的數(shù)據(jù)傳輸,并具備平行擴展能力,和比較好的負載均衡控制)作為數(shù)據(jù)傳輸平臺,GEARMAN可以很好的解決大規(guī)模數(shù)據(jù)傳輸?shù)膯栴}。通過以上平臺,可以實現(xiàn)多鑒定單元的綜合鑒定,并最終得到鑒定結果。當然,在實際應用中,為了進ー步提高鑒定的準確性,還可以最后輔以人工鑒定。人工鑒定可以作為實時鑒定體系的最后ー個環(huán)節(jié),可以根據(jù)樣本的各種信息綜合挑選出比較重要的可疑的樣本交給人工來鑒定。總之,通過本發(fā)明實施例,首先通過查詢服務器查詢樣本是否已經鑒定,如果尚未鑒定,再進行同步鑒定,大部分查詢只查詢到查詢服務器就知道樣本的鑒定結果了,未知的樣本會先請求進行同步鑒定,當同步鑒定服務器也無法給出肯定的結果時候,樣本才會上傳到服務端的多種鑒定服務進行鑒定。在此過程中,首先,由于并不是將客戶端發(fā)現(xiàn)的所有樣本無論是否已經鑒定都上傳到服務器,因此,可以減小網絡開銷,并且從整體上講,由于大部分樣本都能直接通過查詢服務器就得到鑒定結果,因此時效性也得到提升;其次,由于在同步鑒定服務器無法確定鑒定結果的情況下,還可以通過多種鑒定服務器進行綜合鑒定,因此,鑒定的準確性也得到提升;此外,在進行多種鑒定服務時,以鑒定單元為調度單位,因此,使得系統(tǒng)的可擴展性及靈活性也得到提高。與本發(fā)明實施例提供的樣本鑒定方法相對應,本發(fā)明實施例還提供了ー種樣本鑒定系統(tǒng),參見圖4,該系統(tǒng)包括查詢單元401,用于當客戶端發(fā)現(xiàn)待上傳樣本吋,將所述待上傳樣本的標識信息發(fā)送到查詢服務器;所述查詢服務器中保存有已鑒定過的樣本對應的標識信息;同步鑒定単元402,用于如果所述查詢服務器返回的查詢結果為該樣本尚未被鑒定過,則提取所述待上傳樣本的微特征,并所述微特征上傳到同步鑒定服務器進行同步鑒定;綜合鑒定單元403,用于如果所述同步鑒定服務器的同步鑒定結果為不確定,則將所述待上傳樣本上傳到多鑒定單元服務器,以便由所述多鑒定單元服務器通過多種鑒定策略對所述待上傳樣本進行鑒定,并返回鑒定結果。其中,所述標識信息為所述待上傳樣本的MD5值。所述微特征可以包括類行為特征和/或結構特征。具體實現(xiàn)時,為了提高時效性及可擴展性,所述多鑒定單元服務器可以采用虛擬化技術,在多鑒定單元服務器的每臺機器上運行多個虛擬機,每個虛擬機中運行多個鑒定單元,以鑒定單元作為最小的調度單位。為了最大化地利用集群的鑒定資源,該系統(tǒng)還可以包括第一監(jiān)控單元,用于監(jiān)控每臺機器的資源占用情況,調用最空閑的機器啟動指定數(shù)量的鑒定單元對樣本進行鑒定。此外,該系統(tǒng)還可以包括第二監(jiān)控單元,用于監(jiān)控各個鑒定單元的狀態(tài)、鑒定器的類型、鑒定器的版本號、 鑒定器病毒庫大小以及升級時間,以便根據(jù)監(jiān)控到的內容進行對鑒定器進行版本升級,或者對病毒庫進行及時更新。通過本發(fā)明實施例提供的樣本鑒定系統(tǒng),首先通過查詢服務器查詢樣本是否已經鑒定,如果尚未鑒定,再進行同步鑒定,大部分查詢只查詢到查詢服務器就知道樣本的鑒定結果了,未知的樣本會先請求進行同步鑒定,當同步鑒定服務器也無法給出肯定的結果時候,樣本才會上傳到服務端的多種鑒定服務進行鑒定。在此過程中,首先,由于并不是將客戶端發(fā)現(xiàn)的所有樣本無論是否已經鑒定都上傳到服務器,因此,可以減小網絡開銷,并且從整體上講,由于大部分樣本都能直接通過查詢服務器就得到鑒定結果,因此時效性也得到提升;其次,由于在同步鑒定服務器無法確定鑒定結果的情況下,還可以通過多種鑒定服務器進行綜合鑒定,因此,鑒定的準確性也得到提升;此外,在進行多種鑒定服務時,以鑒定單元為調度單位,因此,使得系統(tǒng)的可擴展性及靈活性也得到有效的提高。通過以上的實施方式的描述可知,本領域的技術人員可以清楚地了解到本發(fā)明可借助軟件加必需的通用硬件平臺的方式來實現(xiàn)。基于這樣的理解,本發(fā)明的技術方案本質上或者說對現(xiàn)有技術做出貢獻的部分可以以軟件產品的形式體現(xiàn)出來,該計算機軟件產品可以存儲在存儲介質中,如ROM/RAM、磁碟、光盤等,包括若干指令用以使得一臺計算機設備 (可以是個人計算機,服務器,或者網絡設備等)執(zhí)行本發(fā)明各個實施例或者實施例的某些部分所述的方法。本說明書中的各個實施例均采用遞進的方式描述,各個實施例之間相同相似的部分互相參見即可,每個實施例重點說明的都是與其他實施例的不同之處。尤其,對于裝置或系統(tǒng)實施例而言,由于其基本相似于方法實施例,所以描述得比較簡單,相關之處參見方法實施例的部分說明即可。以上所描述的裝置及系統(tǒng)實施例僅僅是示意性的,其中所述作為分離部件說明的單元可以是或者也可以不是物理上分開的,作為單元顯示的部件可以是或者也可以不是物理單元,即可以位于一個地方,或者也可以分布到多個網絡單元上??梢愿鶕?jù)實際的需要選擇其中的部分或者全部模塊來實現(xiàn)本實施例方案的目的。本領域普通技術人員在不付出創(chuàng)造性勞動的情況下,即可以理解并實施。
以上對本發(fā)明所提供的樣本鑒定方法及系統(tǒng),進行了詳細介紹,本文中應用了具體個例對本發(fā)明的原理及實施方式進行了闡述,以上實施例的說明只是用于幫助理解本發(fā)明的方法及其核心思想;同吋,對于本領域的一般技術人員,依據(jù)本發(fā)明的思想,在具體實施方式
及應用范圍上均會有改變之處。綜上所述,本說明書內容不應理解為對本發(fā)明的限制。
權利要求
1.ー種樣本鑒定方法,其特征在干,包括當客戶端發(fā)現(xiàn)待上傳樣本吋,將所述待上傳樣本的標識信息發(fā)送到查詢服務器;所述查詢服務器中保存有已鑒定過的樣本對應的標識信息;如果所述查詢服務器返回的查詢結果為該樣本尚未被鑒定過,則提取所述待上傳樣本的微特征,并所述微特征上傳到同步鑒定服務器進行同步鑒定;如果所述同步鑒定服務器的同步鑒定結果為不確定,則將所述待上傳樣本上傳到多鑒定單元服務器,以便由所述多鑒定單元服務器通過多種鑒定策略對所述待上傳樣本進行鑒定,并返回鑒定結果。
2.根據(jù)權利要求1所述的方法,其特征在干,所述標識信息為所述待上傳樣本的MD5值。
3.根據(jù)權利要求1所述的方法,其特征在干,所述微特征包括類行為特征和/或結構特征。
4.根據(jù)權利要求1所述的方法,其特征在干,所述多鑒定單元服務器采用虛擬化技木, 在多鑒定單元服務器的每臺機器上運行多個虛擬機,每個虛擬機中運行多個鑒定単元,以鑒定單元作為最小的調度單位。
5.根據(jù)權利要求4所述的方法,其特征在于,還包括監(jiān)控每臺機器的資源占用情況,調用最空閑的機器啟動指定數(shù)量的鑒定單元對樣本進行鑒定。
6.根據(jù)權利要求4所述的方法,其特征在于,還包括監(jiān)控各個鑒定単元的狀態(tài)、鑒定器的類型、鑒定器的版本號、鑒定器病毒庫大小以及升級時間,以便根據(jù)監(jiān)控到的內容進行對鑒定器進行版本升級,或者對病毒庫進行及時更新。
7.—種樣本鑒定系統(tǒng),其特征在干,包括查詢單元,用于當客戶端發(fā)現(xiàn)待上傳樣本吋,將所述待上傳樣本的標識信息發(fā)送到查詢服務器;所述查詢服務器中保存有已鑒定過的樣本對應的標識信息;同步鑒定単元,用于如果所述查詢服務器返回的查詢結果為該樣本尚未被鑒定過,則提取所述待上傳樣本的微特征,并所述微特征上傳到同步鑒定服務器進行同步鑒定;綜合鑒定單元,用于如果所述同步鑒定服務器的同步鑒定結果為不確定,則將所述待上傳樣本上傳到多鑒定單元服務器,以便由所述多鑒定單元服務器通過多種鑒定策略對所述待上傳樣本進行鑒定,并返回鑒定結果。
8.根據(jù)權利要求7所述的方法,其特征在干,所述標識信息為所述待上傳樣本的MD5值。
9.根據(jù)權利要求7所述的系統(tǒng),其特征在干,所述微特征包括類行為特征和/或結構特征。
10.根據(jù)權利要求7所述的系統(tǒng),其特征在干,所述多鑒定單元服務器采用虛擬化技木,在多鑒定單元服務器的每臺機器上運行多個虛擬機,每個虛擬機中運行多個鑒定単元, 以鑒定単元作為最小的調度單位。
11.根據(jù)權利要求10所述的系統(tǒng),其特征在于,還包括第一監(jiān)控單元,用于監(jiān)控每臺機器的資源占用情況,調用最空閑的機器啟動指定數(shù)量的鑒定單元對樣本進行鑒定。CN 102546628 A_
12.根據(jù)權利要求10所述的系統(tǒng),其特征在于,還包括第二監(jiān)控單元,用于監(jiān)控各個鑒定單元的狀態(tài)、鑒定器的類型、鑒定器的版本號、鑒定器病毒庫大小以及升級時間,以便根據(jù)監(jiān)控到的內容進行對鑒定器進行版本升級,或者對病毒庫進行及時更新。
全文摘要
本發(fā)明公開了一種樣本鑒定方法及系統(tǒng),其中,所述方法包括當客戶端發(fā)現(xiàn)待上傳樣本時,將所述待上傳樣本的標識信息發(fā)送到查詢服務器;所述查詢服務器中保存有已鑒定過的樣本對應的標識信息;如果所述查詢服務器返回的查詢結果為該樣本尚未被鑒定過,則提取所述待上傳樣本的微特征,并所述微特征上傳到同步鑒定服務器進行同步鑒定;如果所述同步鑒定服務器的同步鑒定結果為不確定,則將所述待上傳樣本上傳到多鑒定單元服務器,以便由所述多鑒定單元服務器通過多種鑒定策略對所述待上傳樣本進行鑒定,并返回鑒定結果。通過本發(fā)明,能夠提高海量樣本鑒定系統(tǒng)的準確性、時效性、可擴展性以及靈活性。
文檔編號H04L29/06GK102546628SQ20111046047
公開日2012年7月4日 申請日期2011年12月31日 優(yōu)先權日2011年12月31日
發(fā)明者馮鑫, 李振博, 謝冉 申請人:北京奇虎科技有限公司