CN102855420A - 一种多维度引擎间联合判定启动点安全性的启发检测方法 - Google Patents
一种多维度引擎间联合判定启动点安全性的启发检测方法 Download PDFInfo
- Publication number
- CN102855420A CN102855420A CN2012103022319A CN201210302231A CN102855420A CN 102855420 A CN102855420 A CN 102855420A CN 2012103022319 A CN2012103022319 A CN 2012103022319A CN 201210302231 A CN201210302231 A CN 201210302231A CN 102855420 A CN102855420 A CN 102855420A
- Authority
- CN
- China
- Prior art keywords
- engine
- safety
- safe
- cloud
- file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种多维度引擎间联合判定启动点安全性的启发检测方法,包括以下步骤:a.客户端扫描启动点;b.将启动点信息提交给文件云引擎进行文件内容信息获取,以及将启动点信息提交给毒霸KSC引擎;c.文件云引擎对文件内容的安全性进行判断并返回安全结果,毒霸KSC引擎对启动点的安全性进行判断并返回安全结果;d.根据返回安全结果判断是否提交给安全等级逻辑处理模块;e.确定最终安全等级。所述方法把不同引擎联合起来,在一个启动点中取各引擎最优势的信息,综合分析后来判定启动点的安全性等级,最终实现启动点的安全性判定,更可靠、更安全。本发明多维度引擎间联合判定启动点安全性的启发检测方法广泛应用于安全检测技术领域。
Description
技术领域
本发明涉及安全检测技术领域,尤其是一种多维度引擎间联合判定启动点安全性的启发检测方法。
背景技术
众所周知,基于文件内容维度的检测引擎,已经是安全行业内部最为广泛和成熟的安全检测方式,但近年来随着安全与病毒产业的不断对抗,病毒程序已经逐步告别从前的各种文件内容的修改来躲避文件引擎的扫描,而是逐步转为利用安全的计算机程序的各种漏洞来使病毒文件被运行从而达到危害计算机安全的目的。
KSC是Kingsoft System Intelligent Cloud的简写,是金山可信云认证体系下的一个系统级别人工智能云体系。毒霸KSC引擎是金山毒霸开发的基于KSC的检测引擎。与基于文件内容维度的检测引擎不同的是,毒霸KSC引擎是基于系统级别云体系的,它无视文件本身信息,转而聚焦文件所处环境——操作系统的多维度安全特征,全面封锁和侦查启动点,在病毒最关键的启动点给予精准致命打击,从而形成了全新的系统安全模式。但是由于KSC高启发规则的高启发特性,会将一部分安全程序但是行为类似病毒的启动点报出造成误报。
由此可见,现有安全检测技术大都是基于单一的引擎或者检测方式来进行安全判定的,由于各个引擎及检测方式都存在其固有的优势和缺点,故而使用单一引擎的检测都无法避免其缺点所造成的先天不足。
发明内容
本发明要解决的技术问题是:提供一种多维度引擎间联合判定启动点安全性的启发检测方法,克服使用单一引擎检测方式的不足。
为了解决上述技术问题,本发明所采用的技术方案是:
一种多维度引擎间联合判定启动点安全性的启发检测方法,该方法包括以下步骤:
a.客户端扫描启动点;
b.将启动点信息提交给文件云引擎进行文件内容信息获取,以及将启动点信息提交给毒霸KSC引擎;
c.文件云引擎对文件内容的安全性进行判断并返回安全结果,毒霸KSC引擎对启动点的安全性进行判断并返回安全结果;
d.根据返回安全结果判断是否提交给安全等级逻辑处理模块;
e.确定最终安全等级。
优选地,所述步骤b,其具体为:
将启动点信息提交给文件云引擎进行文件内容信息获取,并对文件云引擎所需信息进行处理,以及将启动点信息提交给毒霸KSC引擎,进而对启动点中非文件内容维度属性信息进行格式化处理。
优选地,所述步骤c,其包括:
文件云引擎对文件内容的安全性进行判断,并将返回的安全结果存储起来;
毒霸KSC引擎对非文件内容维度的启动点安全性进行判断,并判断该安全结果是否为KSC高启发威胁特征,若是,则对文件云引擎返回的安全结果进行获取后,将文件云引擎返回的安全结果以及毒霸KSC引擎返回的安全结果一起提交给安全等级逻辑处理模块,否则将继续执行KSC独立流程。
优选地,所述步骤c中文件云引擎返回的安全结果存储在文件云引擎结果存储器内。
优选地,所述步骤c中文件云引擎返回的安全结果包括云2.0安全、云3.0安全、云2.0危险、云3.0危险、未知这五种状态,毒霸KSC引擎返回的安全结果包括安全、危险、高启发威胁、未知+分布广度这四种状态和启动点的广度值。
优选地,所述安全等级逻辑处理模块的逻辑为:
如果毒霸KSC引擎状态=云3.0安全,则最终安全等级为安全;
如果毒霸KSC引擎状态=云2.0安全且文件云引擎广度<预定阈值,则最终安全等级为可疑;
如果毒霸KSC引擎状态=云2.0安全且文件云引擎广度>=预定阈值,则最终安全等级为安全;
否则,其他情况最终安全等级均为威胁。
本发明的有益效果是:本发明不使用单一的引擎来判断启动点的安全性,而是把不同引擎联合起来,在一个启动点中取各引擎最优势的信息,综合分析后来判定启动点的安全性等级,最终实现启动点的安全性判定,更可靠、更安全。
附图说明
附图是本发明多维度引擎间联合判定启动点安全性的启发检测方法的步骤流程图。
具体实施方式
下面结合附图对本发明的具体实施方式作进一步说明:
参照附图,一种多维度引擎间联合判定启动点安全性的启发检测方法,该方法包括以下步骤:
a.客户端扫描启动点;
b.将启动点信息提交给文件云引擎进行文件内容信息获取,以及将启动点信息提交给毒霸KSC引擎;
c.文件云引擎对文件内容的安全性进行判断并返回安全结果,毒霸KSC引擎对启动点的安全性进行判断并返回安全结果;
d.根据返回安全结果判断是否提交给安全等级逻辑处理模块;
e.确定最终安全等级。
作为进一步优选的实施方式,所述步骤b,其具体为:
将启动点信息提交给文件云引擎进行文件内容信息获取,并对文件云引擎所需信息进行处理,以及将启动点信息提交给毒霸KSC引擎,进而对启动点中非文件内容维度属性信息进行格式化处理。
作为进一步优选的实施方式,所述步骤c,其包括:
文件云引擎对文件内容的安全性进行判断,并将返回的安全结果存储起来;
毒霸KSC引擎对非文件内容维度的启动点安全性进行判断,并判断该安全结果是否为KSC高启发威胁特征,若是,则对文件云引擎返回的安全结果进行获取后,将文件云引擎返回的安全结果以及毒霸KSC引擎返回的安全结果一起提交给安全等级逻辑处理模块,否则将继续执行KSC独立流程。而文件云引擎在返回安全结果后将继续执行文件云引擎独立流程。
作为进一步优选的实施方式,所述步骤c中文件云引擎返回的安全结果存储在文件云引擎结果存储器内。
作为进一步优选的实施方式,所述步骤c中文件云引擎返回的安全结果包括云2.0安全、云3.0安全、云2.0危险、云3.0危险、未知这五种状态,毒霸KSC引擎返回的安全结果包括安全、危险、高启发威胁、未知+分布广度这四种状态和启动点的广度值。
作为进一步优选的实施方式,所述安全等级逻辑处理模块中的逻辑为:
如果毒霸KSC引擎状态=云3.0安全,则最终安全等级为安全;
如果毒霸KSC引擎状态=云2.0安全且文件云引擎广度<预定阈值,则最终安全等级为可疑;
如果毒霸KSC引擎状态=云2.0安全且文件云引擎广度>=预定阈值,则最终安全等级为安全;
否则,其他情况最终安全等级均为威胁。
当毒霸KSC引擎返回的安全结果为高启发威胁状态时,毒霸KSC引擎才会把该状态信息传给安全等级逻辑处理模块,并且毒霸KSC引擎还会将启动点的广度信息传给安全等级逻辑处理模块。而文件云引擎的每个状态都会传给安全等级逻辑处理模块。
由此可见,本发明多维度引擎间联合判定启动点安全性的检测方法,发挥了文件云引擎和毒霸KSC引擎之间的最大联动,把各引擎的强势发挥出来,形成各引擎之间的联动互补,优缺互补的检测策略最终判定启动点的安全性的检测方式是更安全的。
以上是对本发明的较佳实施例进行了具体说明,但本发明创造并不限于所述实施例,熟悉本领域的技术人员在不违背本发明精神的前提下还可以作出种种的等同变形或替换,这些等同的变形或替换均包含在本申请权利要求所限定的范围内。
Claims (6)
1.一种多维度引擎间联合判定启动点安全性的启发检测方法,其特征在于,该方法包括以下步骤:
a.客户端扫描启动点;
b.将启动点信息提交给文件云引擎进行文件内容信息获取,以及将启动点信息提交给毒霸KSC引擎;
c.文件云引擎对文件内容的安全性进行判断并返回安全结果,毒霸KSC引擎对启动点的安全性进行判断并返回安全结果;
d.根据返回安全结果判断是否提交给安全等级逻辑处理模块;
e.确定最终安全等级。
2.根据权利要求1所述的一种多维度引擎间联合判定启动点安全性的启发检测方法,其特征在于,所述步骤b,其具体为:
将启动点信息提交给文件云引擎进行文件内容信息获取,并对文件云引擎所需信息进行处理,以及将启动点信息提交给毒霸KSC引擎,进而对启动点中非文件内容维度属性信息进行格式化处理。
3.根据权利要求1所述的一种多维度引擎间联合判定启动点安全性的启发检测方法,其特征在于,所述步骤c,其包括:
文件云引擎对文件内容的安全性进行判断,并将返回的安全结果存储起来;
毒霸KSC引擎对非文件内容维度的启动点安全性进行判断,并判断该安全结果是否为KSC高启发威胁特征,若是,则对文件云引擎返回的安全结果进行获取后,将文件云引擎返回的安全结果以及毒霸KSC引擎返回的安全结果一起提交给安全等级逻辑处理模块,否则将继续执行KSC独立流程。
4.根据权利要求2所述的一种多维度引擎间联合判定启动点安全性的启发检测方法,其特征在于,所述步骤c中文件云引擎返回的安全结果存储在文件云引擎结果存储器内。
5.根据权利要求2所述的一种多维度引擎间联合判定启动点安全性的启发检测方法,其特征在于,所述步骤c中文件云引擎返回的安全结果包括云2.0安全、云3.0安全、云2.0危险、云3.0危险、未知这五种状态,毒霸KSC引擎返回的安全结果包括安全、危险、高启发威胁、未知+分布广度这四种状态和启动点的广度值。
6.根据权利要求4所述的一种多维度引擎间联合判定启动点安全性的启发检测方法,其特征在于,所述安全等级逻辑处理模块的逻辑为:
如果毒霸KSC引擎状态=云3.0安全,则最终安全等级为安全;
如果毒霸KSC引擎状态=云2.0安全且文件云引擎广度<预定阈值,则最终安全等级为可疑;
如果毒霸KSC引擎状态=云2.0安全且文件云引擎广度>=预定阈值,则最终安全等级为安全;
否则,其他情况最终安全等级均为威胁。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210302231.9A CN102855420B (zh) | 2012-08-23 | 2012-08-23 | 一种多维度引擎间联合判定启动点安全性的启发检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210302231.9A CN102855420B (zh) | 2012-08-23 | 2012-08-23 | 一种多维度引擎间联合判定启动点安全性的启发检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102855420A true CN102855420A (zh) | 2013-01-02 |
| CN102855420B CN102855420B (zh) | 2015-08-19 |
Family
ID=47402003
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210302231.9A Active CN102855420B (zh) | 2012-08-23 | 2012-08-23 | 一种多维度引擎间联合判定启动点安全性的启发检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102855420B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108038223A (zh) * | 2017-12-21 | 2018-05-15 | 珠海市君天电子科技有限公司 | 垃圾文件信息库建立方法、垃圾文件识别方法及装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102081714A (zh) * | 2011-01-25 | 2011-06-01 | 潘燕辉 | 一种基于服务器反馈的云查杀方法 |
| CN102346828A (zh) * | 2011-09-20 | 2012-02-08 | 海南意源高科技有限公司 | 一种基于云安全的恶意程序判断方法 |
-
2012
- 2012-08-23 CN CN201210302231.9A patent/CN102855420B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102081714A (zh) * | 2011-01-25 | 2011-06-01 | 潘燕辉 | 一种基于服务器反馈的云查杀方法 |
| CN102346828A (zh) * | 2011-09-20 | 2012-02-08 | 海南意源高科技有限公司 | 一种基于云安全的恶意程序判断方法 |
Non-Patent Citations (1)
| Title |
|---|
| GODDOFER: "《http://baike.baidu.com/history/27613394》", 20 February 2012 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108038223A (zh) * | 2017-12-21 | 2018-05-15 | 珠海市君天电子科技有限公司 | 垃圾文件信息库建立方法、垃圾文件识别方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102855420B (zh) | 2015-08-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102768717B (zh) | 恶意文件检测的方法及装置 | |
| CN105260628B (zh) | 分类器训练方法和装置、身份验证方法和系统 | |
| CN102779249B (zh) | 恶意程序检测方法及扫描引擎 | |
| CN101197678B (zh) | 图片验证码生成方法和图片验证码生成装置 | |
| CN108780048B (zh) | 一种确定检测设备的方法、检测装置及可读存储介质 | |
| CN103324697B (zh) | 一种基于图标对比的android应用搜索山寨应用剔除方法 | |
| CN102467633A (zh) | 一种安全浏览网页的方法及其系统 | |
| CN105516128B (zh) | 一种Web攻击的检测方法及装置 | |
| CN109684836A (zh) | 使用经训练的机器学习模型检测恶意文件的系统和方法 | |
| CN107025407A (zh) | 一种office文档文件的恶意代码检测方法及系统 | |
| CN104184728A (zh) | 一种Web应用系统的安全检测方法及安全检测装置 | |
| CN102509044B (zh) | 一种基于鼠标行为特征的密码认证方法 | |
| EP2696304A1 (en) | Method and server for discriminating malicious attribute of program | |
| CN103067364A (zh) | 病毒检测方法及设备 | |
| CN103607381B (zh) | 白名单生成及恶意程序检测方法、客户端和服务器 | |
| CN109684072A (zh) | 基于机器学习模型管理用于检测恶意文件的计算资源的系统和方法 | |
| US20140150099A1 (en) | Method and device for detecting malicious code on web pages | |
| CN109543408A (zh) | 一种恶意软件识别方法和系统 | |
| CN110046647A (zh) | 一种验证码机器行为识别方法及装置 | |
| WO2020134311A1 (zh) | 一种恶意软件检测方法和装置 | |
| CN1235108C (zh) | 一种计算机病毒检测和识别方法 | |
| CN106169050B (zh) | 一种基于网页知识发现的PoC程序提取方法 | |
| Torres et al. | Malicious PDF documents detection using machine learning techniques | |
| KR20190099816A (ko) | 웹 페이지 위변조 탐지 방법 및 시스템 | |
| CN105243328A (zh) | 一种基于行为特征的摆渡木马防御方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20191128 Address after: Room 105-53811, No. 6 Baohua Road, Hengqin New District, Zhuhai City, Guangdong Province Patentee after: Zhuhai Seal Interest Technology Co., Ltd. Address before: 519000, No. 10, main building, No. 6, science Road, Harbour Road, Tang Wan Town, Guangdong, Zhuhai, 601F Patentee before: Zhuhai Juntian Electronic Technology Co.,Ltd. |
|
| TR01 | Transfer of patent right |