CN101908116A - 一种计算机防护系统及方法 - Google Patents
一种计算机防护系统及方法 Download PDFInfo
- Publication number
- CN101908116A CN101908116A CN2010102458783A CN201010245878A CN101908116A CN 101908116 A CN101908116 A CN 101908116A CN 2010102458783 A CN2010102458783 A CN 2010102458783A CN 201010245878 A CN201010245878 A CN 201010245878A CN 101908116 A CN101908116 A CN 101908116A
- Authority
- CN
- China
- Prior art keywords
- fileinfo
- client
- clouds
- file
- cryptographic hash
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明提供一种计算机防护系统及方法,其摒弃了传统的病毒特征码识别的防护方法,而根据系统中运行的文件的HASH值来判断和识别其是否正常;进一步地,还根据大量用户之间相同或者相类似文件运行情况的比对进行判断和识别;更进一步地,根据对文件的云追踪情况,确定这个文件是否正常。其相当于在数百万计算机之间共同建立一个防范非正常文件的体系,使用用户越多防范越安全,对于新病毒、未知病毒同样有效。
Description
技术领域
本发明涉及计算机安全技术领域,尤其涉及一种计算机防护系统及方法,属于网络信息安全技术领域。
背景技术
随着技术的发展,一些病毒和木马纷纷加强了服务器端的策略控制。以前只要是病毒和木马发作,就会按照某种规律持续性发作,比如即时发作,固定时间段发作(黑色星期五病毒)等等。但是现在往往通过服务器控制病毒和木马的发作时间和规模,比如控制部分IP段发作,或者部分时间段发作,而且这些发作规则由服务器控制,随时可以进行调整。甚至一些商业正规软件也利用服务器规则进行一些不可告人的操作,比如利用用户电脑在后台点击广告,或者偷偷收集与自己无关的用户信息。这种运行规则灵活控制的策略,导致发现木马和病毒的几率大大降低。尤其是在进行一些非破坏行为的时候,是所有杀毒软件或者防护软件无法预报的,比如操作用户电脑访问某个网址,点击某个广告等等行为,这些均不会被防护软件提示,造成即使被控制为肉机,也很难发现的情况。
当前现有的计算机安全防护技术一般建立在病毒或者木马特征码基础上,只能针对已知的病毒或者木马的特征码来判断一个文件是否正常,从而进行防护,这对用户来说是一件很麻烦的事情,要不断更新病毒库才能保证计算机信息的安全,长此以往,客户机上的病毒库会越来越大,占用越来越多的计算资源,最后使得系统越来越慢,很多人在使用电脑的时候就有这个体验,往往是把某个病毒防御软件卸载之后,速度明显提升了一个档次,而且,其对于未知木马病毒的防御无能为力。而一些所谓的未知病毒的预知技术,其实也是根据文件做出的一些破坏性行为来界定,不但误报率高,而且对于一些计算机非正常文件的防护能力近乎为零。
发明内容
本发明的目的在于提供一种计算机防护系统及方法,克服现有技术中计算机防护技术效率低下,对未知病毒与木马进行防范,同时加强对服务器控制的木马的防御,其能够有效避免非正常计算机文件运行,预警准确率高、可防范未知病毒、适宜大量客户端共同应用。
为实现上述目标,本发明提供了一种计算机防护系统,包括至少一台服务云端和多个客户端,其中服务云端通过网络与客户端连接,其特征在于,所述服务云端包括检测模块和检测数据库;
所述检测模块,用于利用客户端文件的第一文件信息和相应的第一哈希值,与检测数据库中的第二文件信息和相应的第二哈希值进行比对,并判断得到该客户端文件是否为非正常文件的反馈信息,并将反馈信息反馈给客户端;
所述检测数据库,用于存储各种文件的第二文件信息和相应的第二哈希值,并标注其是否为正常文件的标注信息;
所述客户端包括防护模块,用于在客户端需要确认一文件是否为正常文件时,收集客户端里该文件的第一文件信息,计算出该文件的第一哈希值,并将第一文件信息及第一哈希值发送至服务云端,并根据服务云端的反馈信息确定是否发出警告。
较优地,所述防护模块,包括第一收集子模块、第一运算子模块、第一传输子模块和警报子模块,其中:
第一收集子模块,用于在客户端需要确认一文件是否为正常文件时,收集客户端里需要防护的文件的第一文件信息,并传送给运算子模块;
第一运算子模块,用于计算出该文件相应的第一哈希值;
第一传输子模块,用于将客户端需要防护的文件的第一文件信息和第一哈希值传送给服务云端;
警报子模块,用于在服务云端将反馈信息反馈给客户端后,根据所反馈信息判断出该进程是否存在非正常情况,并根据该判断结果发出警告信息。
较优地,所述服务云端,还包括搜集模块和计算模块,其中:
所述搜集模块,用于搜集已经确定其是否为非正常文件的各种文件,并提供给计算模块;
所述计算模块,用于根据搜集模块提供的文件,获取该文件的第二文件信息,并计算出相应的第二哈希值,以及标注其是否为正常文件的标注信息,然后将该文件的第二文件信息和相应的第二哈希值,以及标注信息存储到检测数据库;
所述检测模块,还用于在服务云端不存在与第一文件信息相应的第二文件信息时,在服务云端查找是否存在与第一文件信息相同的多个第三文件信息;如果存在,则将多个第三文件信息及相应的多个第三哈希值与第一文件信息和相应的第一哈希值对应进行比对,计算得到文件信息相同的与第一哈希值相同的第三哈希值的识别比例,并根据识别比例判断该文件是否为非正常文件和安全百分比系数,反馈给客户端;
所述客户端,还包括第二收集模块、第二运算模块、第二传输模块;
其中:
所述第二收集模块,用于主动收集客户端用户文件的第三文件信息;或者经过客户端用户同意,被动收集客户端用户文件的第三文件信息;或者根据服务云端的请求,在客户端查找相应于第一文件信息的文件,并收集该文件的第三文件信息;
所述第二运算模块,用于据与第三文件信息相应的文件的进程信息,计算出该文件相应的第三哈希值;
所述第二传输模块,用于将相应文件的第三文件信息和第三哈希值传送给服务云端。
较优地,所述服务云端还包括存储模块,用于存储在所有客户端上运行的所有文件的第三文件信息和第三哈希值。
较优地,所述服务云端还包括汇总模块,用于在服务云端不存在第二文件信息和第三文件信息时,即无法判断文件是否为非正常文件时,以云追踪方法,根据第一文件信息向相应的多个客户端发出请求,并对客户端反馈的汇总信息进行汇总统计,根据统计结果判断该文件是否为非正常文件,将判断结果返回客户端;
所述客户端,还包括记录模块,用于在接收到服务云端根据第一文件信息向客户端发出记录请求后,以云追踪方法,在客户端运行相应的文件的时候,对该文件运行过程中的数据读写、网络连接、以及注册表操作等等各种文件操作情况记录,并反馈回服务云端。
较优地,所述服务云端的汇总模块,还用于将统计结果以及判断结果发送给所有客户端;
所述客户端的记录模块,还用于接收服务云端传输回来的统计结果和判断结果。
为实现本发明目的还提供一种计算机防护方法,包括下列步骤:
步骤A,在客户端需要确认一文件是否为正常文件时,客户端收集该文件的第一文件信息,并计算文件的第一哈希值;然后将收集到的该文件的第一文件信息和第一哈希值上传至服务云端;
步骤B,服务云端在接收到客户端传输过来的该文件的第一文件信息和第一哈希值后,根据第一文件信息在服务云端的检测数据库中查找是否存在相应的文件的第二文件信息以及第二哈希值,并进行比对;
步骤C,如果该文件的第一文件信息存在服务云端的检测数据库中,并且第一哈希值等于第二哈希值,则根据标注信息判断客户端的该文件是否为正常文件,将判断结果返回客户端,结束;
否则,如果该文件的第一文件信息存在服务云端的检测数据库中,但第一哈希值不等于第二哈希值,则判断客户端的该文件有问题,是非正常文件,将判断结果返回客户端。
较优地,所述的计算机防护方法,还包括下列步骤:
步骤D,如果服务云端不存在与该文件的第一文件信息相应的第二文件信息,则在服务云端查找是否存在与第一文件信息相应的多个第三文件信息,如果存在,则将多个第三文件信息及相应的多个第三哈希值与第一文件信息和相应的第一哈希值对应进行比对,得到相同文件的与第一哈希值相同的第三哈希值的识别比例,并根据识别比例判断该文件是否为非正常文件和安全百分比系数,反馈给客户端。
较优地,所述的计算机防护方法,还包括下列步骤:
步骤E,如果服务云端在服务云端不存在第二文件信息和第三文件信息时,即无法判断该文件是否为非正常文件时,则以云追踪方法,根据第一文件信息向相应的多个客户端发出请求;
步骤F,客户端接到请求后,在客户端运行相应的文件的时候,对该文件运行过程中的数据读写、网络连接等各种文件操作情况记录,并反馈回服务云端;
步骤G,服务云端接收到反馈回来的记录信息后,进行汇总统计,根据统计结果判断该文件是否为非正常文件,将判断结果返回客户端。
较优地,所述步骤G还包括下列步骤:
将判断结果同时共享到每个客户端。
本发明的有益效果:本发明的计算机防护系统及方法,其摒弃了传统的病毒特征码识别的防护方法,而根据系统中运行的文件的HASH值来判断和识别其是否正常;进一步地,还根据大量用户之间相同或者相类似文件运行情况的比对进行判断和识别;更进一步地,根据对文件的云追踪情况,确定这个文件是否正常。其相当于在数百万计算机之间共同建立一个防范非正常文件的体系,使用用户越多防范越安全,对于新病毒、未知病毒同样有效。本发明所提供的计算机防护系统及方法中连入的客户端越多,服务云端中所存储的数据库就越庞大、越完善,对于各种非正常文件,如病毒和木马的判断准确率就越高,因此能够有效地保护计算机系统的正常运行。
附图说明
图1是本发明实施例的计算机防护系统示意图;
图2是图1中服务云端结构示意图;
图3是图1是客户端结构示意图;
图4是本发明实施例的计算机防护方法流程图。
具体实施方式
为了使发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明的一种计算机防护系统及方法进行进一步详细说明,应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定发明。
一个非正常文件,如病毒和木马要对用户产生伤害,或者要达到某种目的,必须处于运行的状态。一个没有被执行的病毒或木马文件,对于计算机本身是绝对无害的。因此,本发明实施例的计算机防护系统及方法,通过判断出系统正在运行或者即将运行的文件为问题文件,反馈信息给客户端并建议对文件的操作,避免被各种非正常程序文件,包括各种木马或病毒,甚至新出现的木马或者病毒的侵害。
如图1~3所示,本发明实施例的计算机防护系统,包括至少一台服务云端1和多个客户端2,其中服务云端1通过网络与客户端2连接;
所述计算机网络可以是现有的各种网络,包括但不限于国际互联网(Internet)、局域网(Intranet)、对等网、通信网如WCDMA、CDMA2000、TD-CDMA等各种可在客户端与服务云端之间互联互通的网络。
所述服务云端1和客户端2可以是现有的各种可连接到网络的各种装置,包括但不限于服务器,小型计算机,中型计算机,大型计算机,甚至是各种微型电脑及笔记本电脑,以及各种可持有的通讯设备,如手机、IPAD等,其具有可连接到网络的网络接口。这种网络接口可以是有线网络接口,如RJ45接口;也可以是无线接口,如Wi-Fi接口、蓝牙接口等。
如图2所示,所述服务云端1包括检测模块11和检测数据库12,其中:
所述检测模块11,用于根据客户端文件的第一文件信息和相应的第一哈希(HASH)值与检测数据库中的第二文件信息和相应的第二哈希值进行比对,并判断得到该客户端文件是否为非正常文件的反馈信息,并将反馈信息反馈给客户端。
所述检测数据库12,用于存储各种文件的第二文件信息和相应的第二哈希值,并标注其是否为正常文件的标注信息。
较佳地,所述服务云端1,还包括搜集模块13和计算模块14,其中:
所述搜集模块13,用于搜集已经确定其是否为非正常文件的各种文件,并提供给计算模块14;
所述计算模块14,用于根据搜集模块提供的文件,获取该文件的第二文件信息,并计算出相应的第二哈希值,以及标注其是否为正常文件的标注信息,然后将该文件的第二文件信息和相应的第二哈希值,以及标注信息存储到检测数据库12;
各种文件,例如厂商提供的完成正常功能的文件,则可以确定其为正常文件,则获取该文件的信息作为第二文件信息,并计算相应的哈希值作为第二哈希值,同时将其标注为正常文件;
而如果是一种计算机病毒文件,则可以确定其为非正常文件,则获取该文件的信息作为第二文件信息,并计算相应的哈希值作为第二哈希值,同时将其标注为非正常文件。
所述检测模块11,还用于在服务云端不存在与第一文件信息相应的第二文件信息时,在服务云端查找是否存在与第一文件信息相同的多个第三文件信息;如果存在,则将多个第三文件信息及相应的多个第三哈希值与第一文件信息和相应的第一哈希(HASH)值对应进行比对,计算得到文件信息相同的与第一哈希值相同的第三哈希值的识别比例,并根据识别比例判断该文件是否为非正常文件和安全百分比系数,反馈给客户端。
作为一种可实施方式,本发明实施例的服务云端,可以还包括存储模块15,用于存储在所有客户端上运行的所有文件的第三文件信息和第三哈希值。
第三文件信息是指服务云端主动收集客户端用户文件的第三文件信息;或者经过客户端用户同意,被动收集客户端用户文件的第三文件信息;或者根据服务云端的请求,在客户端查找相应于第一文件信息的文件,并收集该文件的第三文件信息;第三哈希值是指根据第三文件信息相应的文件的信息数据(即文件的代码)计算得到的哈希值。
在本发明实施例中,作为一种可实施方式,所有客户端上的每一个文件,在运行的时候,主动收集文件的文件信息(第三文件信息),并根据文件进程信息计算出哈希值(第三哈希值)后,向服务云端推送其第三文件信息和相应的第三哈希值;或者经过客户端用户的同意,被动收集文件的文件信息(第三文件信息),并根据文件进程信息计算出哈希值(第三哈希值)。
作为另一种可实施方式,本发明实施例的服务云端,向网络中的其他客户端发出请求信息,请求其他客户端根据第一文件信息查找相应的文件并搜集相应的第三文件信息,以及计算出相应的第三哈希值后,将第三文件信息及相应的第三哈希值反馈回服务云端。
更佳地,所述服务云端还包括汇总模块16,用于在服务云端不存在第二文件信息和第三文件信息时,即无法判断文件是否为非正常文件时,以云追踪方法,根据第一文件信息向相应的多个客户端发出请求,并对客户端反馈的汇总信息进行汇总统计,根据统计结果判断该文件是否为非正常文件,将判断结果返回客户端。
所述云追踪方法,在本申请人向中国国家知识产权局申请的申请号为2010101544180.0,名称为“一种基于云计算的操作记录追踪系统和方法”的发明专利中进行了详细的描述,本发明实施例中全文引用作为本发明实施例的一部分,不再在本发明实施例中一一详细描述。
进一步地,所述汇总模块16,还用于将统计结果以及判断结果发送给所有客户端。
在无法判断为正常文件时,由客户端收集进一步资料,比如该文件所打开的文件操作记录、注册表记录等,进行汇总并分享给所有客户端,这样避免此文件只在部分客户端进行违法操作,其他客户端无法发现的情况。
如图3所示,所述客户端2包括防护模块21,用于在客户端需要确认一文件是否为正常文件时,收集客户端里该文件的第一文件信息,计算出该文件的第一哈希值,并将第一文件信息及第一哈希值发送至服务云端,并根据服务云端的反馈信息确定是否发出警告。
所述防护模块21,包括第一收集子模块211、第一运算子模块212、第一传输子模块213和警报子模块214,其中:
第一收集子模块211,用于在客户端需要确认一文件是否为正常文件时,收集客户端里需要防护的文件的第一文件信息,并传送给运算子模块212;
第一运算子模块212,用于计算出该文件相应的第一哈希值;
所述第一文件信息,包括但不限于文件名、版本号、组织名、文件大小等;
哈希值(HASH)是由消息摘要算法如md5算法或者SHA-1算法等计算而来,一般地,文件的任何改变都会导致哈希值的改变。
第一传输子模块213,用于将客户端需要防护的文件的第一文件信息和第一哈希值传送给服务云端;
警报子模块214,用于在服务云端将反馈信息反馈给客户端后,根据所反馈信息判断出该进程是否存在非正常情况,并根据该判断结果发出警告信息。
较佳地,所述客户端2,还包括第二收集模块22、第二运算模块23、第二传输模块24,其中:
所述第二收集模块22,用于主动收集客户端用户文件的第三文件信息;或者经过客户端用户同意,被动收集客户端用户文件的第三文件信息;或者根据服务云端的请求,在客户端查找相应于第一文件信息的文件,并收集该文件的第三文件信息;
所述第二运算模块23,用于根据与第三文件信息相应的文件的信息数据,计算出该文件相应的第三哈希值;
所述第二传输模块24,用于将相应文件的第三文件信息和第三哈希值传送给服务云端。
更佳地,所述客户端2,还包括记录模块25,用于在接收到服务云端根据第一文件信息向客户端发出记录请求后,以云追踪方法,在客户端运行相应的文件的时候,对该文件运行过程中的数据读写、网络连接、以及注册表操作等等各种文件操作情况记录,并反馈回服务云端。
更佳地,所述记录模块25,还用于接收服务云端传输回来的汇总统计结果和判断结果。
作为一种可实施方式,如图1所示,一个服务云端和百万计客户端通过网络资源连接,客户端收集客户端数据并通过网络资源将数据发送至服务云端,服务云端比对后将警报信息反馈回客户端,客户端根据警报信息确定是否发出警告信息,构成一个计算机防护系统。
本发明还提供了一种计算机防护方法,流程图如图4所示,其中包括如下步骤:
步骤S100,在客户端需要确认一文件是否为正常文件时,客户端收集该文件的第一文件信息,并计算文件的第一哈希(HASH)值;然后将收集到的该文件的第一文件信息和第一哈希值上传至服务云端;
较佳地,步骤S100中,第一文件信息按照主信息和次信息进行分类。
客户端需要检验自己的文件安全时,收集并提交所需检验的文件主信息及次信息。
作为一种可实施方式,对第一文件信息按照主信息和次信息进行分类:
主信息包括但不限于:
1.文件名[filename]
2.文件版本号[fileVersion]
3.该文件所属公司名[company,如Microsoft]
4.文件大小[fileSize,通常以字节为单位]
次信息包括但不限于:
①系统版本号
②文件最后修改时间
③文件数字签名校验结果
④文件支持的操作系统位数
⑤文件本身所属的进程名称
⑥文件描述
系统版本号作为次信息是因不同操作系统下的进程文件及系统文件仍有可能是一样的,所以操作系统版本号是不能够作为主要信息比较的;目前可支持从windows 2000到windows 7的不同版本。相同的操作系统还有不同的build号,如win7目前的主流build号为7600,所以操作系统版本号格式为[系统主版本+build号],举例来说,windows 7的版本号可格式化为[0x601_7600];
关于文件最后修改时间,进程依赖运行的文件,在window版本中,均是基于PE格式创建的,在其内部记录下了文件的最后修改时间,修改时间与创建时间不同的,如一个文件是1999年修改的,在该文件的所属公司将其发布后,用户在2010年时将其安装到电脑时,该文件的创建时间便是2010年,而不是1999年。
关于数字签名校验结果,较佳地,可有如下几种状态:未知[unknown],未签名[NoSignature],受信任[Trusted],签名过期无效[Expired]签名已撤消[Revoked],不受信任[Distrust]。
文件本身所属的进程名称不作为一个主信息,是因为不同进程有可能都使用很多相同的系统支持文件,如ntd11.d11\kerne132.d11\user32.d11\gdi32.d11等等,用它作为次条件,主要是用来识别第三方软件开发商的文件。
应当说明的是,所述主信息和次信息中所包含的信息种类、划分方式和划分顺序是不唯一的,根据应用环境和具体需要,还可以包含其它信息种类及划分方式和顺序。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明,凡采用等同替换或等效变换形成的技术方案,均落在本发明要求的保护范围。
如目前在window平台,主流支持IA32\IA64\AMD64三种平台,iA32是最常使用的一种平台,像win2000\winxp便只支持32位版本,而windows server 2003\windowsserver 2008\windows vista\windows 7能支持多种平台,从文件开发角度而言,相同源代码可以编译出对这种三种平台均支持的PE文件,但是其内容大小肯定是会不一样的,基于此,文件支持的平台类型也作为一可选次信息。
步骤S200,服务云端在接收到客户端传输过来的该文件的第一文件信息和第一哈希值后,根据第一文件信息在服务云端的检测数据库中查找是否存在相应的文件的第二文件信息以及第二哈希值,并进行比对;
服务云端首先根据文件名、版本号、组织名等信息判断这个文件名在服务云端的检测数据库中是否存在,如果存在,则根据第二文件信息查找出相应的第二哈希值,以及相应的标注信息。
第二哈希值是服务云端根据该文件发布者发布的文件,在确认不受任何干扰的计算机环境下,利用该文件的信息数据(即该文件的代码)计算出的哈希值。
步骤S300,如果该文件的第一文件信息存在服务云端的检测数据库中,即存在与第一文件信息相同的第二文件信息,并且第一哈希值等于第二哈希值,则根据标注信息判断客户端的该文件是否为正常文件,将判断结果返回客户端,结束;
否则,如果该文件的第一文件信息存在服务云端的检测数据库中,即存在与第一文件信息相同的第二文件信息,但第一哈希值不等于第二哈希值,则判断客户端的该文件有问题,是非正常文件,将判断结果返回客户端。
步骤S400,否则,如果服务云端不存在与该文件的第一文件信息相应的第二文件信息,即在服务云端不存在与第一文件信息相同的第二文件信息,则在服务云端查找是否存在与第一文件信息相应的多个第三文件信息,如果存在,则将多个第三文件信息及相应的多个第三哈希值与第一文件信息和相应的第一哈希(HASH)值对应进行比对,得到相同文件的与第一哈希值相同的第三哈希值的识别比例,并根据识别比例判断该文件是否为非正常文件和安全百分比系数,反馈给客户端。
所述第三文件信息和相应的第三哈希值,作为一种可实施方式,可以是服务云端主动或者被动收集并存储在服务云端的所有客户端上运行的所有文件的第三文件信息和第三哈希值;
或者是服务云端的客户端发出请求,由客户端根据文件名查找相应的该文件,并将查找到该文件的多个第三文件信息并计算得到相应的多个第三哈希值,一起反馈回服务云端得到。
同样地,所述第三文件信息,与第一文件信息相应,包括但不限于文件名、版本号、组织名、文件大小等;
例如,在根据第一文件信息和第三文件信息,查找到相同文件信息后,比较第一哈希值和多个第三哈希值,得到与第一哈希值相同的第三哈希值的个数,将其与相同文件的个数相除,得到相同哈希值的比例,例如,相同文件有10000个,比较后有9000个文件的第三哈希值与第一哈希值相同,则第三哈希值的识别比例为90%。
根据识别比例,与预设非正常文件的比例相比较后,判断出该文件是否为非正常文件。例如预设相同哈希值的在80%以下时,则判断该文件为非正常文件,则相同哈希值的比例为90%时,则判断该文件为正常文件,安全百分比系数为受信任。
较佳地,安全百分比系数可按照如下等级划分:
I. 未知 [不能查找到结果]
II. 受信任 [文件在大部分用户下均相同80%以上的相同]
III. 一般信任 [文件在很多用户电脑上相同,低于80%高于50%]
IV. 普通安全
V. 低安全
VI. 不安全 [低于30%的用户有此相同的文件,高于10%]
VII. 恶意文件 [10%以下]
得到安全百分比系数后,作为一种可实施方式,可继续采用各种次条件进行修正。
如使用次条件③文件数字签名校验结果作进一步判定。例如,若该文件的数字签名是“受信任的”,则将安全百分比系数提升一个级别。
如利用次条件②文件最后修改时间作进一步判定,如果其与服务云端中索引值相同的文件修改时间不同,则将安全百分比系数降低一级。
如利用次条件⑥文件描述作进一步判定,若其与服务云端中索引值相同的文件描述不同,则将安全百分比系数降低一级。
步骤S500,如果服务云端在服务云端不存在第二文件信息和第三文件信息时,即无法判断该文件是否为非正常文件时,则以云追踪方法,根据第一文件信息向相应的多个客户端发出请求;
步骤S600,客户端接到请求后,在客户端运行相应的文件的时候,对该文件运行过程中的数据读写、网络连接等各种文件操作情况记录,并反馈回服务云端;
在客户端运行相应文件的时候,为了避免侵犯个人隐私,在对该文件操作情况记录前,需要向客户端用户进行提示,并经过客户端同意后才进行记录。
步骤S700,服务云端接收到反馈回来的记录信息后,进行汇总统计,根据统计结果判断该文件是否为非正常文件,将判断结果返回客户端;
较佳地,服务云端将判断结果同时共享到每个客户端。
本发明的计算机防护系统及方法,收集文件的信息,通过文件名、版本号、组织名和文件大小等第一文件信息,并用消息摘要算法计算文件的HASH值,将这个HASH值以及文件本身的第一文件信息上传至服务云端,和服务云端第二文件信息及第二HASH值比对判别其是否为正常文件;或者和第三文件信息及第三HASH值进行比对,在该客户端的HASH值与服务云端或者绝大部分客户端的文件HASH值不一致时,判断这个文件为问题文件,建议用户关闭此文件,避免受到伤害。进一步地,在服务云端不存在第二文件信息和第三文件信息,无法判断文件是否为非正常文件时,以云追踪方法,通过记录并汇总统计判断其是否为非正常文件。
本发明提供的计算机防护系统及方法摒弃了传统的病毒特征码的方法,根据服务云端中的文件的相同文件信息的HASH值来判断其是否为正常文件,同时根据大量用户之间相同文件的比对,来确定这个文件是否正常。本发明所提供的计算机防护系统中连入的客户端越多,服务云端中所存储的数据库就越庞大、越完善,对于各种非正常文件,包括病毒和木马的判断准确率就越高,因此能够有效地保护客户端系统的正常运行。只要系统文件正常,任何病毒都无法产生危害,对于新病毒,未知病毒同样有效。
最后应当说明的是,很显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型。
Claims (10)
1.一种计算机防护系统,包括至少一台服务云端和多个客户端,其中服务云端通过网络与客户端连接,其特征在于,所述服务云端包括检测模块和检测数据库;
所述检测模块,用于利用客户端文件的第一文件信息和相应的第一哈希值,与检测数据库中的第二文件信息和相应的第二哈希值进行比对,并判断得到该客户端文件是否为非正常文件的反馈信息,并将反馈信息反馈给客户端;
所述检测数据库,用于存储各种文件的第二文件信息和相应的第二哈希值,并标注其是否为正常文件的标注信息;
所述客户端包括防护模块,用于在客户端需要确认一文件是否为正常文件时,收集客户端里该文件的第一文件信息,计算出该文件的第一哈希值,并将第一文件信息及第一哈希值发送至服务云端,并根据服务云端的反馈信息确定是否发出警告。
2.根据权利要求1所述的计算机防护系统,其特征在于,所述防护模块,包括第一收集子模块、第一运算子模块、第一传输子模块和警报子模块,其中:
第一收集子模块,用于在客户端需要确认一文件是否为正常文件时,收集客户端里需要防护的文件的第一文件信息,并传送给运算子模块;
第一运算子模块,用于计算出该文件相应的第一哈希值;
第一传输子模块,用于将客户端需要防护的文件的第一文件信息和第一哈希值传送给服务云端;
警报子模块,用于在服务云端将反馈信息反馈给客户端后,根据所反馈信息判断出该进程是否存在非正常情况,并根据该判断结果发出警告信息。
3.根据权利要求1或2所述的计算机防护系统,其特征在于,所述服务云端,还包括搜集模块和计算模块,其中:
所述搜集模块,用于搜集已经确定其是否为非正常文件的各种文件,并提供给计算模块;
所述计算模块,用于根据搜集模块提供的文件,获取该文件的第二文件信息,并计算出相应的第二哈希值,以及标注其是否为正常文件的标注信息,然后将该文件的第二文件信息和相应的第二哈希值,以及标注信息存储到检测数据库;
所述检测模块,还用于在服务云端不存在与第一文件信息相应的第二文件信息时,在服务云端查找是否存在与第一文件信息相同的多个第三文件信息;如果存在,则将多个第三文件信息及相应的多个第三哈希值与第一文件信息和相应的第一哈希值对应进行比对,计算得到文件信息相同的与第一哈希值相同的第三哈希值的识别比例,并根据识别比例判断该文件是否为非正常文件和安全百分比系数,反馈给客户端;
所述客户端,还包括第二收集模块、第二运算模块、第二传输模块;
其中:
所述第二收集模块,用于主动收集客户端用户文件的第三文件信息;或者经过客户端用户同意,被动收集客户端用户文件的第三文件信息;或者根据服务云端的请求,在客户端查找相应于第一文件信息的文件,并收集该文件的第三文件信息;
所述第二运算模块,用于据与第三文件信息相应的文件的进程信息,计算出该文件相应的第三哈希值;
所述第二传输模块,用于将相应文件的第三文件信息和第三哈希值传送给服务云端。
4.根据权利要求3所述的计算机防护系统,其特征在于,所述服务云端还包括存储模块,用于存储在所有客户端上运行的所有文件的第三文件信息和第三哈希值。
5.根据权利要求3或4所述的计算机防护系统,其特征在于,所述服务云端还包括汇总模块,用于在服务云端不存在第二文件信息和第三文件信息时,即无法判断文件是否为非正常文件时,以云追踪方法,根据第一文件信息向相应的多个客户端发出请求,并对客户端反馈的汇总信息进行汇总统计,根据统计结果判断该文件是否为非正常文件,将判断结果返回客户端;
所述客户端,还包括记录模块,用于在接收到服务云端根据第一文件信息向客户端发出记录请求后,以云追踪方法,在客户端运行相应的文件的时候,对该文件运行过程中的数据读写、网络连接、以及注册表操作等等各种文件操作情况记录,并反馈回服务云端。
6.根据权利要求5所述的计算机防护系统,其特征在于,所述服务云端的汇总模块,还用于将汇总统计结果以及判断结果发送给所有客户端;
所述客户端的记录模块,还用于接收服务云端传输回来的汇总统计结果和判断结果。
7.一种计算机防护方法,其特征在于,包括下列步骤:
步骤A,在客户端需要确认一文件是否为正常文件时,客户端收集该文件的第一文件信息,并计算文件的第一哈希值;然后将收集到的该文件的第一文件信息和第一哈希值上传至服务云端;
步骤B,服务云端在接收到客户端传输过来的该文件的第一文件信息和第一哈希值后,根据第一文件信息在服务云端的检测数据库中查找是否存在相应的文件的第二文件信息以及第二哈希值,并进行比对;
步骤C,如果该文件的第一文件信息存在服务云端的检测数据库中,并且第一哈希值等于第二哈希值,则根据标注信息判断客户端的该文件是否为正常文件,将判断结果返回客户端,结束;
否则,如果该文件的第一文件信息存在服务云端的检测数据库中,但第一哈希值不等于第二哈希值,则判断客户端的该文件有问题,是非正常文件,将判断结果返回客户端。
8.根据权利要求7所述的计算机防护方法,其特征在于,还包括下列步骤:
步骤D,如果服务云端不存在与该文件的第一文件信息相应的第二文件信息,则在服务云端查找是否存在与第一文件信息相应的多个第三文件信息,如果存在,则将多个第三文件信息及相应的多个第三哈希值与第一文件信息和相应的第一哈希值对应进行比对,得到相同文件的与第一哈希值相同的第三哈希值的识别比例,并根据识别比例判断该文件是否为非正常文件和安全百分比系数,反馈给客户端。
9.根据权利要求8所述的计算机防护方法,其特征在于,还包括下列步骤:
步骤E,如果服务云端在服务云端不存在第二文件信息和第三文件信息时,即无法判断该文件是否为非正常文件时,则以云追踪方法,根据第一文件信息向相应的多个客户端发出请求;
步骤F,客户端接到请求后,在客户端运行相应的文件的时候,对该文件运行过程中的数据读写、网络连接等各种文件操作情况记录,并反馈回服务云端;
步骤G,服务云端接收到反馈回来的记录信息后,进行汇总统计,根据统计结果判断该文件是否为非正常文件,将判断结果返回客户端。
10.根据权利要求9所述的计算机防护方法,其特征在于,所述步骤G还包括下列步骤:
将判断结果同时共享到每个客户端。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2010102458783A CN101908116B (zh) | 2010-08-05 | 2010-08-05 | 一种计算机防护系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2010102458783A CN101908116B (zh) | 2010-08-05 | 2010-08-05 | 一种计算机防护系统及方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101908116A true CN101908116A (zh) | 2010-12-08 |
CN101908116B CN101908116B (zh) | 2013-04-10 |
Family
ID=43263573
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2010102458783A Expired - Fee Related CN101908116B (zh) | 2010-08-05 | 2010-08-05 | 一种计算机防护系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101908116B (zh) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2011131019A1 (zh) * | 2010-04-23 | 2011-10-27 | Pan Yanhui | 一种基于云计算的操作记录追踪系统和方法 |
CN102346828A (zh) * | 2011-09-20 | 2012-02-08 | 海南意源高科技有限公司 | 一种基于云安全的恶意程序判断方法 |
CN102811213A (zh) * | 2011-11-23 | 2012-12-05 | 北京安天电子设备有限公司 | 基于模糊哈希算法的恶意代码检测系统及方法 |
CN102945348A (zh) * | 2012-10-19 | 2013-02-27 | 北京奇虎科技有限公司 | 文件信息收集方法与装置 |
CN103034807A (zh) * | 2011-10-08 | 2013-04-10 | 腾讯科技(深圳)有限公司 | 恶意程序检测方法和装置 |
WO2014071850A1 (en) * | 2012-11-07 | 2014-05-15 | Tencent Technology (Shenzhen) Company Limited | Method and apparatus for storing webpage access records |
CN103902898A (zh) * | 2012-12-27 | 2014-07-02 | 中国电信股份有限公司 | 病毒辨识方法与装置 |
CN104217159A (zh) * | 2013-05-31 | 2014-12-17 | 马子熙 | 一种不依赖查杀引擎的互助式移动终端反病毒方法和系统 |
CN105095769A (zh) * | 2015-08-28 | 2015-11-25 | 中国航天科工集团第二研究院七〇六所 | 一种信息服务软件漏洞检测方法 |
CN106934276A (zh) * | 2015-12-30 | 2017-07-07 | 北京金山安全软件有限公司 | 一种检测移动终端系统安全性的方法、装置及移动终端 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1942431A1 (en) * | 2007-01-08 | 2008-07-09 | Apple Inc. | Software or other information integrity verification using variable block length and selection |
CN101710380A (zh) * | 2009-12-22 | 2010-05-19 | 中国软件与技术服务股份有限公司 | 电子文件安全防护方法 |
-
2010
- 2010-08-05 CN CN2010102458783A patent/CN101908116B/zh not_active Expired - Fee Related
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1942431A1 (en) * | 2007-01-08 | 2008-07-09 | Apple Inc. | Software or other information integrity verification using variable block length and selection |
CN101710380A (zh) * | 2009-12-22 | 2010-05-19 | 中国软件与技术服务股份有限公司 | 电子文件安全防护方法 |
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2011131019A1 (zh) * | 2010-04-23 | 2011-10-27 | Pan Yanhui | 一种基于云计算的操作记录追踪系统和方法 |
CN102346828A (zh) * | 2011-09-20 | 2012-02-08 | 海南意源高科技有限公司 | 一种基于云安全的恶意程序判断方法 |
CN103034807A (zh) * | 2011-10-08 | 2013-04-10 | 腾讯科技(深圳)有限公司 | 恶意程序检测方法和装置 |
CN103034807B (zh) * | 2011-10-08 | 2016-01-27 | 腾讯科技(深圳)有限公司 | 恶意程序检测方法和装置 |
CN102811213A (zh) * | 2011-11-23 | 2012-12-05 | 北京安天电子设备有限公司 | 基于模糊哈希算法的恶意代码检测系统及方法 |
CN102945348A (zh) * | 2012-10-19 | 2013-02-27 | 北京奇虎科技有限公司 | 文件信息收集方法与装置 |
CN103812825A (zh) * | 2012-11-07 | 2014-05-21 | 腾讯科技(深圳)有限公司 | 一种文件识别方法、装置及服务器 |
WO2014071850A1 (en) * | 2012-11-07 | 2014-05-15 | Tencent Technology (Shenzhen) Company Limited | Method and apparatus for storing webpage access records |
CN103812825B (zh) * | 2012-11-07 | 2017-02-08 | 腾讯科技(深圳)有限公司 | 一种文件识别方法、装置及服务器 |
CN103902898A (zh) * | 2012-12-27 | 2014-07-02 | 中国电信股份有限公司 | 病毒辨识方法与装置 |
CN104217159A (zh) * | 2013-05-31 | 2014-12-17 | 马子熙 | 一种不依赖查杀引擎的互助式移动终端反病毒方法和系统 |
CN105095769A (zh) * | 2015-08-28 | 2015-11-25 | 中国航天科工集团第二研究院七〇六所 | 一种信息服务软件漏洞检测方法 |
CN106934276A (zh) * | 2015-12-30 | 2017-07-07 | 北京金山安全软件有限公司 | 一种检测移动终端系统安全性的方法、装置及移动终端 |
CN106934276B (zh) * | 2015-12-30 | 2020-02-28 | 北京金山安全软件有限公司 | 一种检测移动终端系统安全性的方法、装置及移动终端 |
Also Published As
Publication number | Publication date |
---|---|
CN101908116B (zh) | 2013-04-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101908116B (zh) | 一种计算机防护系统及方法 | |
US11068588B2 (en) | Detecting irregularities on a device | |
KR101291782B1 (ko) | 웹쉘 탐지/대응 시스템 | |
US9652614B2 (en) | Application reputation service | |
US9154517B2 (en) | System and method for preventing spread of malware in peer-to-peer network | |
US9614867B2 (en) | System and method for detection of malware on a user device using corrected antivirus records | |
EP2839406B1 (en) | Detection and prevention of installation of malicious mobile applications | |
EP2310974B1 (en) | Intelligent hashes for centralized malware detection | |
GB2609828A (en) | Network security | |
JP5179792B2 (ja) | 操作検知システム | |
CN104025107A (zh) | 模糊列入白名单反恶意软件系统及方法 | |
CN101901314A (zh) | 反恶意软件处理中误报的检测和最小化 | |
WO2008071620A1 (en) | Heuristic malware detection | |
EP2754081A1 (en) | Dynamic cleaning for malware using cloud technology | |
US20140195793A1 (en) | Remotely Establishing Device Platform Integrity | |
JP5102659B2 (ja) | 悪性Webサイト判定装置、悪性Webサイト判定システム、それらの方法、プログラム | |
US9230105B1 (en) | Detecting malicious tampering of web forms | |
KR20140071573A (ko) | 유닉스 및 리눅스 기반 호스트 단말에 특화된 기능을 제공하는 개인정보보호 시스템 | |
CN114024773B (zh) | 一种webshell文件检测方法及系统 | |
KR102211846B1 (ko) | 랜섬웨어 탐지 시스템 및 그의 동작 방법 | |
US9231969B1 (en) | Determining file risk based on security reputation of associated objects | |
JP7281998B2 (ja) | 情報処理装置、情報処理方法、情報処理システム及びプログラム | |
KR102681668B1 (ko) | 랜섬웨어 감염율 검증 백업 서버 및 시스템 | |
KR20240039505A (ko) | 금융 환경에서 단말의 비정상 행위를 탐지하기 위한 보안분석방법 및 그 장치 | |
Javed | Intrusion Detection using Tripwire in UNIX Operating System |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130410 Termination date: 20150805 |
|
EXPY | Termination of patent right or utility model |