CN102855420B - 一种多维度引擎间联合判定启动点安全性的启发检测方法 - Google Patents
一种多维度引擎间联合判定启动点安全性的启发检测方法 Download PDFInfo
- Publication number
- CN102855420B CN102855420B CN201210302231.9A CN201210302231A CN102855420B CN 102855420 B CN102855420 B CN 102855420B CN 201210302231 A CN201210302231 A CN 201210302231A CN 102855420 B CN102855420 B CN 102855420B
- Authority
- CN
- China
- Prior art keywords
- engine
- point
- safe
- ksc
- cloud
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种多维度引擎间联合判定启动点安全性的启发检测方法,包括以下步骤:a.客户端扫描启动点;b.将启动点信息提交给文件云引擎进行文件内容信息获取,以及将启动点信息提交给毒霸KSC引擎;c.文件云引擎对文件内容的安全性进行判断并返回安全结果,毒霸KSC引擎对启动点的安全性进行判断并返回安全结果;d.根据返回安全结果判断是否提交给安全等级逻辑处理模块;e.确定最终安全等级。所述方法把不同引擎联合起来,在一个启动点中取各引擎最优势的信息,综合分析后来判定启动点的安全性等级,最终实现启动点的安全性判定,更可靠、更安全。本发明多维度引擎间联合判定启动点安全性的启发检测方法广泛应用于安全检测技术领域。
Description
技术领域
本发明涉及安全检测技术领域,尤其是一种多维度引擎间联合判定启动点安全性的启发检测方法。
背景技术
众所周知,基于文件内容维度的检测引擎,已经是安全行业内部最为广泛和成熟的安全检测方式,但近年来随着安全与病毒产业的不断对抗,病毒程序已经逐步告别从前的各种文件内容的修改来躲避文件引擎的扫描,而是逐步转为利用安全的计算机程序的各种漏洞来使病毒文件被运行从而达到危害计算机安全的目的。
KSC是Kingsoft System Intelligent Cloud的简写,是金山可信云认证体系下的一个系统级别人工智能云体系。毒霸KSC引擎是金山毒霸开发的基于KSC的检测引擎。与基于文件内容维度的检测引擎不同的是,毒霸KSC引擎是基于系统级别云体系的,它无视文件本身信息,转而聚焦文件所处环境——操作系统的多维度安全特征,全面封锁和侦查启动点,在病毒最关键的启动点给予精准致命打击,从而形成了全新的系统安全模式。但是由于KSC高启发规则的高启发特性,会将一部分安全程序但是行为类似病毒的启动点报出造成误报。
由此可见,现有安全检测技术大都是基于单一的引擎或者检测方式来进行安全判定的,由于各个引擎及检测方式都存在其固有的优势和缺点,故而使用单一引擎的检测都无法避免其缺点所造成的先天不足。
发明内容
本发明要解决的技术问题是:提供一种多维度引擎间联合判定启动点安全性的启发检测方法,克服使用单一引擎检测方式的不足。
为了解决上述技术问题,本发明所采用的技术方案是:
一种多维度引擎间联合判定启动点安全性的启发检测方法,该方法包括以下步骤:
a.客户端扫描启动点;
b.将启动点信息提交给文件云引擎进行文件内容信息获取,以及将启动点信息提交给毒霸KSC引擎;
c.文件云引擎对文件内容的安全性进行判断并返回安全结果,毒霸KSC引擎对启动点的安全性进行判断并返回安全结果;
d.根据返回安全结果判断是否提交给安全等级逻辑处理模块;
e.确定最终安全等级。
优选地,所述步骤b,其具体为:
将启动点信息提交给文件云引擎进行文件内容信息获取,并对文件云引擎所需信息进行处理,以及将启动点信息提交给毒霸KSC引擎,进而对启动点中非文件内容维度属性信息进行格式化处理。
优选地,所述步骤c,其包括:
文件云引擎对文件内容的安全性进行判断,并将返回的安全结果存储起来;
毒霸KSC引擎对非文件内容维度的启动点安全性进行判断,并判断该安全结果是否为KSC高启发威胁特征,若是,则对文件云引擎返回的安全结果进行获取后,将文件云引擎返回的安全结果以及毒霸KSC引擎返回的安全结果一起提交给安全等级逻辑处理模块,否则将继续执行KSC独立流程。
优选地,所述步骤c中文件云引擎返回的安全结果存储在文件云引擎结果存储器内。
优选地,所述步骤c中文件云引擎返回的安全结果包括云2.0安全、云3.0安全、云2.0危险、云3.0危险、未知这五种状态,毒霸KSC引擎返回的安全结果包括安全、危险、高启发威胁、未知+分布广度这四种状态和启动点的广度值。
优选地,所述安全等级逻辑处理模块的逻辑为:
如果毒霸KSC引擎状态=云3.0安全,则最终安全等级为安全;
如果毒霸KSC引擎状态=云2.0安全且文件云引擎广度<预定阈值,则最终安全等级为可疑;
如果毒霸KSC引擎状态=云2.0安全且文件云引擎广度>=预定阈值,则最终安全等级为安全;
否则,其他情况最终安全等级均为威胁。
本发明的有益效果是:本发明不使用单一的引擎来判断启动点的安全性,而是把不同引擎联合起来,在一个启动点中取各引擎最优势的信息,综合分析后来判定启动点的安全性等级,最终实现启动点的安全性判定,更可靠、更安全。
附图说明
附图是本发明多维度引擎间联合判定启动点安全性的启发检测方法的步骤流程图。
具体实施方式
下面结合附图对本发明的具体实施方式作进一步说明:
参照附图,一种多维度引擎间联合判定启动点安全性的启发检测方法,该方法包括以下步骤:
a.客户端扫描启动点;
b.将启动点信息提交给文件云引擎进行文件内容信息获取,以及将启动点信息提交给毒霸KSC引擎;
c.文件云引擎对文件内容的安全性进行判断并返回安全结果,毒霸KSC引擎对启动点的安全性进行判断并返回安全结果;
d.根据返回安全结果判断是否提交给安全等级逻辑处理模块;
e.确定最终安全等级。
作为进一步优选的实施方式,所述步骤b,其具体为:
将启动点信息提交给文件云引擎进行文件内容信息获取,并对文件云引擎所需信息进行处理,以及将启动点信息提交给毒霸KSC引擎,进而对启动点中非文件内容维度属性信息进行格式化处理。
作为进一步优选的实施方式,所述步骤c,其包括:
文件云引擎对文件内容的安全性进行判断,并将返回的安全结果存储起来;
毒霸KSC引擎对非文件内容维度的启动点安全性进行判断,并判断该安全结果是否为KSC高启发威胁特征,若是,则对文件云引擎返回的安全结果进行获取后,将文件云引擎返回的安全结果以及毒霸KSC引擎返回的安全结果一起提交给安全等级逻辑处理模块,否则将继续执行KSC独立流程。而文件云引擎在返回安全结果后将继续执行文件云引擎独立流程。
作为进一步优选的实施方式,所述步骤c中文件云引擎返回的安全结果存储在文件云引擎结果存储器内。
作为进一步优选的实施方式,所述步骤c中文件云引擎返回的安全结果包括云2.0安全、云3.0安全、云2.0危险、云3.0危险、未知这五种状态,毒霸KSC引擎返回的安全结果包括安全、危险、高启发威胁、未知+分布广度这四种状态和启动点的广度值。
作为进一步优选的实施方式,所述安全等级逻辑处理模块中的逻辑为:
如果毒霸KSC引擎状态=云3.0安全,则最终安全等级为安全;
如果毒霸KSC引擎状态=云2.0安全且文件云引擎广度<预定阈值,则最终安全等级为可疑;
如果毒霸KSC引擎状态=云2.0安全且文件云引擎广度>=预定阈值,则最终安全等级为安全;
否则,其他情况最终安全等级均为威胁。
当毒霸KSC引擎返回的安全结果为高启发威胁状态时,毒霸KSC引擎才会把该状态信息传给安全等级逻辑处理模块,并且毒霸KSC引擎还会将启动点的广度信息传给安全等级逻辑处理模块。而文件云引擎的每个状态都会传给安全等级逻辑处理模块。
由此可见,本发明多维度引擎间联合判定启动点安全性的检测方法,发挥了文件云引擎和毒霸KSC引擎之间的最大联动,把各引擎的强势发挥出来,形成各引擎之间的联动互补,优缺互补的检测策略最终判定启动点的安全性的检测方式是更安全的。
以上是对本发明的较佳实施例进行了具体说明,但本发明创造并不限于所述实施例,熟悉本领域的技术人员在不违背本发明精神的前提下还可以作出种种的等同变形或替换,这些等同的变形或替换均包含在本申请权利要求所限定的范围内。
Claims (6)
1.一种多维度引擎间联合判定启动点安全性的启发检测方法,其特征在于,该方法包括以下步骤:
a.客户端扫描启动点;
b.获取各启动点的信息,将扫描到的启动点信息分配给不同的引擎模块进行处理,包括:将扫描到的启动点信息分配给不同的引擎模块进行处理包括将启动点的内容信息提交给文件云引擎进行文件内容信息获取,以及将启动点中非文件内容维度属性信息提交给毒霸KSC引擎;
c.文件云引擎对文件内容的安全性进行判断并返回安全结果,毒霸KSC引擎基于高启发威胁特征对启动点的安全性进行判断并返回安全结果;
d.根据毒霸KSC引擎对启动点的安全性进行判断并返回的安全结果,判断是否提交给安全等级逻辑处理模块,其中,当毒霸KSC引擎返回的安全结果为高启发威胁状态时,毒霸KSC引擎才会把该状态信息传给安全等级逻辑处理模块,毒霸KSC引擎还会将启动点的广度信息传给安全等级逻辑处理模块,而文件云引擎的每个状态都会传给安全等级逻辑处理模块;
e.根据安全等级逻辑处理模块的逻辑确定最终安全等级。
2.根据权利要求1所述的一种多维度引擎间联合判定启动点安全性的启发检测方法,其特征在于,所述步骤b,其具体为:
将启动点信息提交给文件云引擎进行文件内容信息获取,并对文件云引擎所需信息进行处理,以及将启动点信息提交给毒霸KSC引擎,进而对启动点中非文件内容维度属性信息进行格式化处理。
3.根据权利要求1所述的一种多维度引擎间联合判定启动点安全性的启发检测方法,其特征在于,所述步骤c,其包括:
文件云引擎对文件内容的安全性进行判断,并将返回的安全结果存储起来;毒霸KSC引擎对非文件内容维度的启动点安全性进行判断,并判断该安全结果是否为KSC高启发威胁特征,若是,则对文件云引擎返回的安全结果进行获取后,将文件云引擎返回的安全结果以及毒霸KSC引擎返回的安全结果一起提交给安全等级逻辑处理模块,否则将继续执行KSC独立流程。
4.根据权利要求2所述的一种多维度引擎间联合判定启动点安全性的启发检测方法,其特征在于,所述步骤c中文件云引擎返回的安全结果存储在文件云引擎结果存储器内。
5.根据权利要求2所述的一种多维度引擎间联合判定启动点安全性的启发检测方法,其特征在于,所述步骤c中文件云引擎返回的安全结果包括云2.0安全、云3.0安全、云2.0危险、云3.0危险、未知这五种状态,毒霸KSC引擎返回的安全结果包括安全、危险、高启发威胁、未知+分布广度这四种状态和启动点的广度值。
6.根据权利要求4所述的一种多维度引擎间联合判定启动点安全性的启发检测方法,其特征在于,所述安全等级逻辑处理模块的逻辑为:
如果毒霸KSC引擎状态=云3.0安全,则最终安全等级为安全;
如果毒霸KSC引擎状态=云2.0安全且文件云引擎广度<预定阈值,则最终安全等级为可疑;
如果毒霸KSC引擎状态=云2.0安全且文件云引擎广度>=预定阈值,则最终安全等级为安全;
否则,其他情况最终安全等级均为威胁。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210302231.9A CN102855420B (zh) | 2012-08-23 | 2012-08-23 | 一种多维度引擎间联合判定启动点安全性的启发检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210302231.9A CN102855420B (zh) | 2012-08-23 | 2012-08-23 | 一种多维度引擎间联合判定启动点安全性的启发检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102855420A CN102855420A (zh) | 2013-01-02 |
| CN102855420B true CN102855420B (zh) | 2015-08-19 |
Family
ID=47402003
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210302231.9A Active CN102855420B (zh) | 2012-08-23 | 2012-08-23 | 一种多维度引擎间联合判定启动点安全性的启发检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102855420B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108038223A (zh) * | 2017-12-21 | 2018-05-15 | 珠海市君天电子科技有限公司 | 垃圾文件信息库建立方法、垃圾文件识别方法及装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102081714A (zh) * | 2011-01-25 | 2011-06-01 | 潘燕辉 | 一种基于服务器反馈的云查杀方法 |
| CN102346828A (zh) * | 2011-09-20 | 2012-02-08 | 海南意源高科技有限公司 | 一种基于云安全的恶意程序判断方法 |
-
2012
- 2012-08-23 CN CN201210302231.9A patent/CN102855420B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102081714A (zh) * | 2011-01-25 | 2011-06-01 | 潘燕辉 | 一种基于服务器反馈的云查杀方法 |
| CN102346828A (zh) * | 2011-09-20 | 2012-02-08 | 海南意源高科技有限公司 | 一种基于云安全的恶意程序判断方法 |
Non-Patent Citations (1)
| Title |
|---|
| GODDOFER."KSC云启发引擎".《HTTP://BAIKE.BAIDU.COM/HISTORY/27613394》.2012, * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102855420A (zh) | 2013-01-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10261502B2 (en) | Modbus TCP communication behaviour anomaly detection method based on OCSVM dual-outline model | |
| CN115296924B (zh) | 一种基于知识图谱的网络攻击预测方法及装置 | |
| CN102790700B (zh) | 一种识别网页爬虫的方法和装置 | |
| CN107786564B (zh) | 基于威胁情报的攻击检测方法、系统及电子设备 | |
| CN102768717A (zh) | 恶意文件检测的方法及装置 | |
| CN104184728A (zh) | 一种Web应用系统的安全检测方法及安全检测装置 | |
| Ugarte-Pedrero et al. | Countering entropy measure attacks on packed software detection | |
| CN108780048B (zh) | 一种确定检测设备的方法、检测装置及可读存储介质 | |
| CN103118036A (zh) | 一种基于云端的智能安全防御系统和方法 | |
| CN103095728A (zh) | 一种基于行为数据融合的网络安全评分系统和方法 | |
| CN103843003A (zh) | 句法指纹识别 | |
| CN102469146A (zh) | 一种云安全下载方法 | |
| CN104850780A (zh) | 一种高级持续性威胁攻击的判别方法 | |
| CN105303109A (zh) | 一种恶意代码情报检测分析方法及系统 | |
| CN109376537B (zh) | 一种基于多因子融合的资产评分方法及系统 | |
| US20140053266A1 (en) | Method and server for discriminating malicious attribute of program | |
| CN102855420B (zh) | 一种多维度引擎间联合判定启动点安全性的启发检测方法 | |
| CN101699787A (zh) | 一种用于对等网络的蠕虫检测方法 | |
| CN103455753B (zh) | 一种样本文件分析方法及装置 | |
| CN111967064A (zh) | 一种网页防篡改方法和系统 | |
| Yan et al. | DitDetector: Bimodal learning based on deceptive image and text for macro malware detection | |
| CN110163519A (zh) | 面向基地攻防任务的uuv红蓝方威胁评估方法 | |
| CN102799824B (zh) | 一种针对具有数字签名信息的病毒文件的防御方法及系统 | |
| CN117240562A (zh) | 一种车载网络入侵检测方法、装置、设备及可读存储介质 | |
| CN111368305A (zh) | 一种代码安全风险检测方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20191128 Address after: Room 105-53811, No. 6 Baohua Road, Hengqin New District, Zhuhai City, Guangdong Province Patentee after: Zhuhai Seal Interest Technology Co., Ltd. Address before: 519000, No. 10, main building, No. 6, science Road, Harbour Road, Tang Wan Town, Guangdong, Zhuhai, 601F Patentee before: Zhuhai Juntian Electronic Technology Co.,Ltd. |
|
| TR01 | Transfer of patent right |