CN102915422B - 计算机安全防护方法、装置和系统 - Google Patents
计算机安全防护方法、装置和系统 Download PDFInfo
- Publication number
- CN102915422B CN102915422B CN201210211355.6A CN201210211355A CN102915422B CN 102915422 B CN102915422 B CN 102915422B CN 201210211355 A CN201210211355 A CN 201210211355A CN 102915422 B CN102915422 B CN 102915422B
- Authority
- CN
- China
- Prior art keywords
- server
- matching result
- assessor
- data
- state
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种计算机安全防护方法、装置和系统。其中,计算机安全防护方法包括:第一服务器接收来自客户端的原始信息的MD5值,其中,原始信息为客户端对计算机的启动点进行扫描得到的启动点的信息;第一服务器在第一数据库中查找与MD5值对应的启动点的状态,得到第一匹配结果,其中,第一数据库中存储有不同MD5值对应的启动点的状态;以及第一服务器将第一匹配结果发送至客户端以使客户端按照与第一匹配结果相对应的操作指令处理启动点。通过本发明,解决了现有技术中的计算机安全防护方法无法在病毒利用白文件进行启动时对计算机提供安全防护的问题,进而达到了更好地为计算机提供安全防护的效果。
Description
技术领域
本发明涉及计算机网络安全技术领域,具体而言,涉及一种计算机安全防护方法、装置和系统。
背景技术
随着计算机技术在各个领域的广泛应用,威胁程序也赶上了互联网时代的大潮汹涌而至。这些威胁程序已经从起初纯粹的恶意程序演变到如今篡改操作系统默认设置、利用安全的计算机程序作为导火索,从而逃避安全软件的查杀,达到启动自身执行恶意程序的目的。而当下的安全检测手段都是基于文件内容维度的检测,所谓不基于文件内容维度的检测方式是指不单纯依赖于文件内容级别的安全性鉴定方式,在启动点(所谓启动点是指操作系统提供的各种可以使程序加载进入内存执行的方式,它的范围相对传统的启动项而言更为广泛;只要非用户主动意识运行而使非授权程序运行的方式,都可以称之为启动点)中的安全文件(业内称之为白文件)也可能导致威胁。当下病毒常使用将白文件放在启动点中,通过一次或者多次调用最终利用白文件将恶意程序运行起来的手段。所以文件内容不是判断安全性的唯一标准,由启动点的位置、文件在系统中的属性共同决定。但是互联网每天的新增文件是呈现几何级数增长的,这就让检测文件的及时性和数量成为了一个重大瓶颈,而最近利用无威胁安全文件经过一次或者多次调用最终使危险程序生效的作恶手段,更是让基于文件内容维度的安全检测方式束手无策。
针对相关技术中的计算机安全防护方法无法在病毒利用白文件进行启动时对计算机提供安全防护的问题,目前尚未提出有效的解决方案。
发明内容
本发明的主要目的在于提供一种计算机安全防护方法、装置和系统,以解决现有技术中的计算机安全防护方法无法在病毒利用白文件进行启动时对计算机提供安全防护的问题。
为了实现上述目的,根据本发明的一个方面,提供了一种计算机安全防护方法,包括:第一服务器接收来自客户端的原始信息的MD5值,其中,原始信息为客户端对计算机的启动点进行扫描得到的启动点的信息;第一服务器在第一数据库中查找与MD5值对应的启动点的状态,得到第一匹配结果,其中,第一数据库中存储有不同MD5值对应的启动点的状态;以及第一服务器将第一匹配结果发送至客户端以使客户端按照与第一匹配结果相对应的操作指令处理启动点。
进一步地,第一匹配结果包括启动点的状态为未知状态,在第一服务器将未知状态的匹配结果发送至客户端之后,计算机安全防护方法还包括:第一服务器接收来自客户端的原始信息;第一服务器将原始信息与第一鉴定器的鉴定规则进行匹配;第一服务器在确定原始信息与第一鉴定器的鉴定规则匹配时,确定启动点的状态为安全状态;第一服务器在确定原始信息与第一鉴定器的鉴定规则不匹配时,将原始信息与第二鉴定器的鉴定规则进行匹配;第一服务器在确定原始信息与第二鉴定器的鉴定规则匹配时,确定启动点的状态为危险状态;第一服务器在确定原始信息与第二鉴定器的鉴定规则不匹配时,将原始信息与第三鉴定器的鉴定规则进行匹配;第一服务器在确定原始信息与第三鉴定器的鉴定规则匹配时,第一服务器接收来自客户端的附加信息,其中,附加信息为与原始信息相关联的信息;以及第一服务器将第一信息分别与第一鉴定器和第二鉴定器的鉴定规则进行匹配以确定启动点的状态,其中,第一信息为原始信息和附件信息的组合信息。
进一步地,在第一服务器将第一信息分别与第一鉴定器和第二鉴定器的鉴定规则进行匹配确定出启动点的状态为未知状态之后,计算机安全防护方法还包括:第一服务器保存第一信息及与第一信息对应的启动点的状态至第一服务器的第二数据库中;第一服务器发送数据至第二服务器,其中,数据为第二数据库中的数据,第二服务器用于将数据与第二服务器的鉴定器的鉴定规则进行匹配得到第二匹配结果,并将第二匹配结果及与第二匹配结果对应的数据的MD5值发送至第一服务器;以及第一服务器接收来自第二服务器的第二匹配结果及与第二匹配结果对应的数据的MD5值,并按照第二匹配结果及与第二匹配结果对应的数据的MD5值更新第一数据库。
进一步地,在第一服务器发送数据至第二服务器之后,计算机安全防护方法还包括:第二服务器将数据分别与第四鉴定器和第五鉴定器的鉴定规则进行匹配;第二服务器判断第三匹配结果和第四匹配结果是否相同,其中,第三匹配结果为数据与第四鉴定器的鉴定规则的匹配结果,第四匹配结果为数据与第五鉴定器的鉴定规则的匹配结果;第二服务器在判断出第三匹配结果和第四匹配结果相同时,第二服务器判断第三匹配结果对应的启动点的状态是否为未知状态;以及第二服务器在判断出第三匹配结果和第四匹配结果相同,并且第三匹配结果对应的启动点的状态为非未知状态时,第二服务器将第三匹配结果及与第三匹配结果对应的数据的MD5值发送至第一服务器。
进一步地,第四鉴定器包括第一子鉴定器和第二子鉴定器,第三匹配结果包括启动点的状态为未知状态、启动点的状态为安全状态和启动点的状态为危险状态,其中,第二服务器将数据与第四鉴定器的鉴定规则进行匹配包括:第二服务器将数据与第一子鉴定器的鉴定规则进行匹配;第二服务器在确定数据与第一子鉴定器的鉴定规则不相匹配时,确定启动点的状态为未知状态;第二服务器在确定数据与第一子鉴定器的鉴定规则相匹配时,第二服务器将数据与第二子鉴定器的鉴定规则相匹配;第二服务器在确定数据与第二子鉴定器的鉴定规则相匹配时,确定启动点的状态为安全状态;以及第二服务器在确定数据与第二子鉴定器的鉴定规则不相匹配时,确定启动点的状态为危险状态。
进一步地,第四匹配结果包括启动点的状态为未知状态和启动点的状态为安全状态,其中,第二服务器在确定数据与第五鉴定器的鉴定规则相匹配时,确定启动点的状态为安全状态,第二服务器在确定数据与第五鉴定器的鉴定规则不相匹配时,确定启动点的状态为未知状态。
进一步地,在第二服务器判断出第三匹配结果和第四匹配结果不相同时,计算机安全防护方法还包括:第二服务器将数据保存至第二服务器的第一数据库。
进一步地,在第二服务器判断出第三匹配结果和第四匹配结果相同,并且第三匹配结果对应的启动点的状态为未知状态时,计算机安全防护方法还包括:第二服务器将数据与第六鉴定器的鉴定规则进行匹配;第二服务器在确定数据与第六鉴定器的鉴定规则相匹配时,将数据保存至第二服务器的第二数据库;以及第二服务器在确定数据与第六鉴定器的鉴定规则不相匹配时,将数据保存至第二服务器的第三数据库。
为了实现上述目的,根据本发明的第二方面,提供了一种计算机安全防护方法,包括:客户端对计算机的启动点进行扫描以得到启动点的第一原始信息;客户端计算第一原始信息的MD5值;客户端发送第一原始信息的MD5值至服务器,其中,服务器用于在第一数据库中查找与第一原始信息的MD5值对应的匹配结果并将匹配结果发送至客户端,第一数据库中存储有不同MD5值对应的启动点的状态;以及客户端接收来自服务器的匹配结果并按照与匹配结果相对应的操作指令处理启动点。
进一步地,匹配结果包括启动点的状态为安全状态,在客户端接收来自服务器的安全状态的匹配结果之后,客户端按照与安全状态的匹配结果相对应的操作指令处理启动点包括:客户端保存第一原始信息的MD5值及与第一原始信息的MD5值对应的启动点的状态至客户端的数据库,本发明第二方面中所提供的计算机安全防护方法还包括:在客户端再次对计算机的启动点进行扫描以得到启动点的第二原始信息并计算出第二原始信息的MD5值时,客户端将第二原始信息的MD5值与客户端的数据库中的数据进行匹配以得到与第二原始信息的MD5值对应的启动点的状态。
进一步地,匹配结果包括启动点的状态为危险状态,在客户端接收来自服务器的危险状态的匹配结果之后,客户端按照与危险状态的匹配结果相对应的操作指令处理启动点包括:客户端判断第一文件是否为启动点的自带文件,其中,第一文件为启动点中任一启动文件;客户端在判断出第一文件为启动点的自带文件时,修复第一文件;以及客户端在判断出第一文件非启动点的自带文件时,删除第一文件。
为了实现上述目的,根据本发明的第三方面,提供了一种计算机安全防护装置,包括:第一接收单元,用于接收来自客户端的原始信息的MD5值,其中,原始信息为客户端对计算机的启动点进行扫描得到的启动点的信息;第一处理单元,与第一接收单元相连接,用于在第一数据库中查找与MD5值对应的启动点的状态,得到第一匹配结果,其中,第一数据库中存储有不同MD5值对应的启动点的状态;以及第一发送单元,与第一处理单元相连接,用于将第一匹配结果发送至客户端以使客户端按照与第一匹配结果相对应的操作指令处理启动点。
进一步地,第一接收单元包括接收子单元,用于接收来自客户端的原始信息,计算机安全防护装置还包括:第一鉴定器,用于将原始信息与第一鉴定器的鉴定规则进行匹配;第二鉴定器,用于将原始信息与第二鉴定器的鉴定规则进行匹配;以及第三鉴定器,用于将原始信息与第三鉴定器的鉴定规则进行匹配。
进一步地,本发明第三方面所提供的计算机安全防护装置还包括:第二接收单元,用于接收来自第三鉴定器的数据;第二处理单元,用于将接收到的数据与第二处理单元的鉴定器的鉴定规则进行匹配得到第二匹配结果;以及第二发送单元,与第二处理单元相连接,用于将第二匹配结果发送至第一处理单元。
为了实现上述目的,根据本发明的第四方面,提供了一种计算机安全防护装置,包括:扫描单元,用于对计算机的启动点进行扫描以得到启动点的原始信息;处理单元,与扫描单元相连接,用于计算原始信息的MD5值;发送单元,与处理单元相连接,用于发送MD5值至服务器,其中,服务器用于在第一数据库中查找与MD5值对应匹配结果并将匹配结果发送至客户端,第一数据库中存储有不同MD5值对应的启动点的状态;以及接收单元,与处理单元相连接,用于接收来自服务器的匹配结果并按照与匹配结果相对应的操作指令处理启动点。
为了实现上述目的,根据本发明的第五方面,提供了一种计算机安全防护系统,包括第一安全防护装置和第二安全防护装置,其中,第一安全防护装置为本发明上述内容的第三方面所提供的计算机安全防护装置,第二安全防护装置为本发明上述内容的第四方面所提供的计算机安全防护装置。
通过本发明,采用第一服务器接收来自客户端的原始信息的MD5值,其中,原始信息为客户端对计算机的启动点进行扫描得到的启动点的信息;第一服务器在第一数据库中查找与MD5值对应的启动点的状态,得到第一匹配结果,其中,第一数据库中存储有不同MD5值对应的启动点的状态;以及第一服务器将第一匹配结果发送至客户端以使客户端按照与第一匹配结果相对应的操作指令处理启动点,从文件内容角度来讲,即便该文件就是一个安全的文件,单独无任何恶意行为,但是当该白文件启动时,正常情况下会调用其他的安全文件,但是由于校验不严格等原因,被该文件调用的文件可能被病毒替换,从而间接的导致病毒被运行起来,本发明的计算机安全防护方法通过在服务器的数据库中查找与启动点的特征信息(即,MD5值)相对应的状态来确定启动的状态,实现了不单纯依赖于文件内容对启动点的状态进行检测,解决了现有技术中的计算机安全防护方法无法在病毒利用白文件进行启动时对计算机提供安全防护的问题,进而达到了更好地为计算机提供安全防护的效果。
附图说明
构成本申请的一部分的附图用来提供对本发明的进一步理解,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的计算机安全防护系统的示意图;
图2是根据本发明第一实施例的计算机安全防护装置的示意图;
图3是根据本发明第二实施例的计算机安全防护装置的示意图;
图4是根据本发明第一实施例的计算机安全防护方法的流程图;
图5是根据本发明第二实施例的计算机安全防护方法的流程图;
图6是根据本发明优选实施例的计算机安全防护方法中客户端的流程图;
图7是根据本发明优选实施例的计算机安全防护方法中客户端与服务器进行交互的流程图;
图8是根据本发明优选实施例的计算机安全防护方法中后台鉴定服务器的鉴定流程图;
图9是根据本发明优选实施例的计算机安全防护方法中命中内网白鉴定器的流程图;
图10是根据本发明优选实施例的计算机安全防护方法中命中内网黑鉴定器的流程图;
图11是根据本发明优选实施例的计算机安全防护方法中命中外网黑鉴定器的流程图;
图12是根据本发明优选实施例的计算机安全防护方法中命中外网白鉴定器的流程图;
图13是根据本发明优选实施例的计算机安全防护方法中命中内网白转换鉴定器的流程图;以及
图14是根据本发明优选实施例的计算机安全防护方法中命中外网特殊特征的流程图。
具体实施方式
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。
本发明实施例提供了一种计算机安全防护系统,图1是根据本发明实施例的计算机安全防护系统的示意图,如图1所示,本发明实施例的安全防护系统包括第一安全防护装置10和第一安全防护装置20。其中,第一防护装置10为计算机后台服务器端的防护装置,第二防护装置20为计算机客户端的防护装置。
本发明实施例还提供了一种计算机安全防护装置,以下对本发明实施例所提供的计算机安全防护装置进行具体介绍:
图2是根据本发明第一实施例的计算机安全防护装置的示意图,本发明第一实施例的安全防护装置可以包括计算机的后台服务器(以下称作第一服务器),如图2所示,第一服务器包括第一接收单元11、第一处理单元12和第一发送单元13。
具体地,第一接收单元11用于接收来自客户端的原始信息的MD5值,其中,原始信息为客户端对计算机的启动点进行扫描得到的启动点的信息,将原始信息经过MD5(MessageDigestAlgorithm5,简称MD5)算法加密预算之后得到原始信息的MD5值;第一处理单元12与第一接收单元11相连接,用于在第一服务器的数据库中查找MD5值对应的启动点的状态,得到第一匹配结果,其中,第一数据库中存储有不同MD5值对应的启动点的状态;第一发送单元13与第一处理单元12相连接,用于将第一匹配结果发送至客户端以使客户端按照与第一匹配结果相对应的操作指令处理启动点。
本发明第一实施例的计算机安全防护装置通过在第一服务器的数据库中查找与启动点的MD5值对应的启动点的状态来确定启动的状态,实现了不单纯依赖于文件内容级别对启动点的状态进行检测,解决了现有技术中的计算机安全防护方法无法在病毒利用白文件进行启动时对计算机提供安全防护的问题,进而达到了更好地为计算机提供安全防护的效果。
进一步地,第一接收单元11包括接收子单元,用于接收来自客户端的原始信息,具体地,当第一接收单元11接收到的MD5值无法在第一服务器的第一数据库中匹配出结果时,第一服务器会向客户端反馈无法确定启动点状态的反馈信息,客户端在接收到无法确定启动点状态的反馈信息后,将启动点的原始信息发送至接收子单元。第一服务器还包括:第一鉴定器、第二鉴定器和第三鉴定器,具体地,第一鉴定器即为白鉴定器,用于将接收子单元接收到原始信息与其白鉴定规则进行匹配,如果原始信息与白鉴定规则相匹配(即,原始信息命中白鉴定器)则确定启动点的状态为安全状态,如果原始信息与白鉴定规则不相匹配(即,原始信息未命中白鉴定器)则将原始信息转入第二鉴定器中进行鉴定,第二鉴定器为黑鉴定器,用于将原始信息与其黑鉴定规则进行匹配,如果原始信息与黑鉴定规则相匹配(即,原始信息命中黑鉴定器)则确定启动点的状态为危险状态,如果原始信息与黑鉴定规则不相匹配(即,原始信息未命中黑鉴定器),此时,第一服务器会向客户端发送请求指令以从客户端得到与原始信息相关联的附加信息,当第一服务器接收到来自客户端的附加信息后,第一服务器将原始信息和附加信息的组合信息分别与前述的第一鉴定器和第二鉴定器中的鉴定规则进行鉴定,若能够根据组合信息鉴定出启动点的状态,则将鉴定出的状态反馈至客户端,若不能够鉴定出启动点的状态,则确定启动点的状态为未知状态。
优选地,本发明第一实施例的计算机安全防护装置还可以包括第二服务器,第二服务器可以是第一服务器的后台异步统计鉴定服务器,后台异步统计鉴定服务器(即,第二服务器)包括第二接收单元、第二处理单元和第二发送单元,其中,第二接收单元用于接收来自第三鉴定器的数据,具体地,当第一服务器根据启动点的组合信息确定出启动点的状态为未知时,可以将该未知状态及与该状态相对应的组合信息发送至后台异步统计鉴定服务器的第二接收单元,由第二接收单元将接收到的数据传送至第二处理单元,以将接收到的数据与第二服务器的鉴定器的鉴定规则进行匹配得到第二匹配结果,再由第二发送单元将第二匹配结果及与第二匹配结果对应的数据的MD5值发送至第一服务器。
通过在本发明第一实施例的计算机安全防护装置内设置用于对第一服务器处理后的数据进行再次鉴定处理的后台异步统计鉴定服务器,并将再次鉴定后的匹配结果发送至第一服务器中,实现了当第一服务器再次对启动点的状态进行鉴定时,可以按照更新后的鉴定规则进行,达到了提高第一服务器对启动点状态的鉴定准确度的效果。
图3是根据本发明第二实施例的计算机安全防护装置的示意图,本发明第二实施例的安全防护装置可以是安装在计算机上的客户端,如图3所示,客户端包括扫描单元21、处理单元22、发送单元23和接收单元24。
具体地,扫描单元21用于对计算机的启动点进行扫描以得到启动点的原始信息,其中,启动点的原始信息包括启动项位置、名称、内容、内容中的具体项目在系统中的信息、与内容相关联的系统或其他项目信息等;处理单元22与扫描单元21相连接,用于计算原始信息的MD5值,包括对启动点位置信息进行MD5加密算法运算;对内容信息进行按照代码中规则的转化规则,对具有相同属性的路径做类似操作系统环境变量的统一转化,避免因为用户名和系统安装路径不同、路径中包含变化信息如版本号等原因导致的路径不统一;对造成信息膨胀的具有共同属性的数据根据算法进行优化精简转化。然后对预处理后的各项信息,进行MD5加密算法计算,得到特征信息MD5值;发送单元23与处理单元22相连接,用于发送MD5值至服务器,其中,服务器用于在服务器的特征数据库中查找与MD5值对应的启动点的状态,得到匹配结果,第一数据库中存储有不同MD5值对应的启动点的状态;接收单元24与处理单元23相连接,用于接收来自服务器的匹配结果并按照与匹配结果相对应的操作指令处理启动点。
本发明第二实施例的计算机安全防护装置通过对启动点进行扫描得到启动点的原始信息,并通过启动点的原始信息的MD5值查找对应的启动点的状态,实现了不单纯依赖于文件内容对启动点的状态进行检测,解决了现有技术中的计算机安全防护方法无法在病毒利用白文件进行启动时对计算机提供安全防护的问题,进而达到了更好地为计算机提供安全防护的效果。
本发明实施例还提供了一种计算机安全防护方法,以下对本发明实施例的安全防护方法进行具体介绍:
图4是根据本发明第一实施例的计算机安全防护方法的流程图,如图4所示,本发明第一实施例的安全防护方法包括如下的步骤S402至步骤S406:
S402:第一服务器接收来自客户端的原始信息的MD5值,其中,原始信息为客户端对计算机的启动点进行扫描得到的启动点的信息,具体地,启动点的原始信息包括启动项位置、名称、内容、内容中的具体项目在系统中的信息、与内容相关联的系统或其他项目信息等,原始信息的MD5值包括对启动点位置信息进行MD5加密算法运算;对内容信息进行按照代码中规则的转化规则,对具有相同属性的路径做类似操作系统环境变量的统一转化,避免因为用户名和系统安装路径不同、路径中包含变化信息如版本号等原因导致的路径不统一;对造成信息膨胀的具有共同属性的数据根据算法进行优化精简转化,然后对预处理后的各项信息,进行MD5加密算法计算,计算出原始信息的特征信息MD5值。
S404:第一服务器在第一数据库中查找与MD5值对应的启动点的状态,得到第一匹配结果,其中,第一数据库中存储有不同MD5值对应的启动点的状态。具体地,如果原始信息的MD5值与第一数据库中表示启动点的状态为安全状态的MD5值相匹配,则第一匹配结果表示启动点的状态为安全状态;如果原始信息的MD5值与第一数据库中表示启动点的状态为危险状态的MD5值相匹配,则第一匹配结果表示启动点的状态为危险状态;如果原始信息的MD5值与第一数据库中表示启动点的状态为安全状态的MD5值和表示启动点的状态为危险状态的MD5值均不相匹配,则第一匹配结果表示启动点的状态为未知状态。
S406:第一服务器将第一匹配结果发送至客户端以使客户端按照与第一匹配结果相对应的操作指令处理启动点。
本发明第一实施例的计算机安全防护方法通过在服务器的数据库中查找与启动点的特征信息(即,MD5值)相对应的状态来确定启动的状态,实现了不单纯依赖于文件内容级别对启动点的状态进行检测,解决了现有技术中的计算机安全防护方法无法在病毒利用白文件进行启动时对计算机提供安全防护的问题,进而达到了更好地为计算机提供安全防护的效果。
进一步地,如果步骤S404中确定出第一匹配结果表示启动点的状态为未知状态,则当第一服务器将表示启动点的状态为未知状态的匹配结果发送至客户端之后,客户端会将扫描到的启动点的原始信息发送给第一服务器,第一服务器先将接收到的原始信息与第一服务器的白鉴定规则进行匹配,如果原始信息与白鉴定规则相匹配(即,原始信息命中白鉴定器)则确定启动点的状态为安全状态,如果原始信息与白鉴定规则不相匹配(即,原始信息未命中白鉴定器)则将原始信息转入黑鉴定器中与黑鉴定规则进行匹配,如果原始信息与黑鉴定规则相匹配(即,原始信息命中黑鉴定器)则确定启动点的状态为危险状态,如果原始信息与黑鉴定规则不相匹配(即,原始信息未命中黑鉴定器),此时,第一服务器会向客户端发送请求指令以从客户端得到与原始信息相关联的附加信息,当第一服务器接收到来自客户端的附加信息后,第一服务器将原始信息和附加信息的组合信息分别与前述的第一鉴定器和第二鉴定器中的鉴定规则进行鉴定,若能够根据组合信息鉴定出启动点的状态,则将鉴定出的状态反馈至客户端,若不能够鉴定出启动点的状态,则确定启动点的状态为未知状态。
其中,在确定启动点的状态为未知状态之后,本发明第一实施例的计算机安全防护方法还包括如下步骤一至三:
步骤一:第一服务器将确定出的启动点的未知状态及与确定出的该未知状态相对应的组合信息保存在第一服务器的第二数据库中;
步骤二:第一服务器将保存至第二数据库中的数据发送到第二服务器中,具体地,可以将第二数据库中的数据进行压缩加密成数据包,然后定期将压缩加密后的数据包发送至第二服务器,第二服务器可以为后台异步统计鉴定服务器,该后台异步统计鉴定服务器用于在将接收到的数据包进行解密解压缩后,将解密解压缩后的数据与后台异步统计鉴定服务器中的鉴定器的鉴定规则进行匹配得到第二匹配结果,再将第二匹配结果及与第二匹配结果对应的数据的MD5值发送至第一服务器;
步骤三:第一服务器接收来自第二服务器的第二匹配结果及与第二匹配结果对应的数据的MD5值,并按照第二匹配结果及与第二匹配结果对应的数据的MD5值更新第一数据库。
通过由后台异步统计鉴定服务器对第一服务器处理后的数据进行再次鉴定处理,并将再次鉴定后的匹配结果发送至第一服务器中,实现了当第一服务器再次对启动点的状态进行鉴定时,可以按照更新后的鉴定规则进行,达到了提高第一服务器对启动点状态的鉴定准确度的效果。
具体地,后台异步统计鉴定服务器包括第四鉴定器和第五鉴定器,当后台异步统计鉴定服务器接收到第一服务器发送过来的数据后,具体执行以下步骤1至4:
步骤1:后台异步统计鉴定服务器分别将该数据在第四鉴定器和第五鉴定器进行不同分支的鉴定;其中,第四鉴定器包括黑鉴定器和白转换鉴定器,第五鉴定器为白鉴定器,在第一个鉴定分支中,后台异步统计鉴定服务器首先将该数据与黑鉴定器的鉴定规则进行匹配,在数据与黑鉴定器的鉴定规则不相匹配(即,未命中黑鉴定器)时确定启动点的状态为未知状态;在数据与黑鉴定器的鉴定规则相匹配(即,命中黑鉴定器)时将数据与白转换鉴定器的鉴定规则进行匹配,其中,白转换鉴定器的作用为:黑鉴定器在命中若干条黑信息时,也能同时命中少量的几条白信息,白转换鉴定器相当于对命中黑规则的信息,再进行一次白名单过滤,过滤掉其中的安全信息。如果数据与白转换鉴定器的鉴定规则相匹配(即,命中白转换鉴定器),则确定启动点的状态为安全状态,如果数据与白转换鉴定器的鉴定规则不相匹配(即,未命中白转换鉴定器),则确定启动点的状态为危险状态;在第二个鉴定分支中,后台异步统计鉴定服务器将该数据与白鉴定器的鉴定规则进行匹配,在数据与白鉴定器的鉴定规则不相匹配(即,未命中白鉴定器)时确定启动点的状态为未知状态;在数据与白鉴定器的鉴定规则相匹配(即,命中白鉴定器)时确定启动点的状态为安全状态。
步骤2:后台异步统计鉴定服务器判断第三匹配结果和第四匹配结果是否相同,其中,第三匹配结果为数据与第四鉴定器的鉴定规则的匹配结果(即,第一个鉴定分支的鉴定结果),第四匹配结果为数据与第五鉴定器的鉴定规则的匹配结果(即,第二个鉴定分支的鉴定结果);
步骤3:后台异步统计鉴定服务器在判断出第三匹配结果和第四匹配结果相同时,后台异步统计鉴定服务器判断第三匹配结果对应的启动点的状态是否为未知状态;以及
步骤4:后台异步统计鉴定服务器在判断出第三匹配结果和第四匹配结果相同,并且第三匹配结果对应的启动点的状态为非未知状态(第四匹配结果对应的启动点的状态同样为非未知状态)时,后台异步统计鉴定服务器将第三匹配结果及与第三匹配结果对应的数据的MD5值(或将第四匹配结果及与第四匹配结果对应的数据的MD5值)发送至第一服务器。其中,如果后台异步统计鉴定服务器在判断出第三匹配结果和第四匹配结果不相同,则后台异步统计鉴定服务器将接收到的来自第一服务器的数据保存到后台异步统计鉴定服务器的第一数据库中,以实现操作员可以从该第一数据库中调用数据进行人工判断启动点的状态;如果后台异步统计鉴定服务器在判断出第三匹配结果和第四匹配结果相同,但是这两个匹配结果是表示启动点的状态为未知状态的结果,则后台异步统计鉴定服务器将接收到的数据与第六鉴定器进行匹配,其中,第六鉴定器为启发疑黑监控鉴定器,当后台异步统计鉴定服务器进行前述鉴定后仍然只能确定启动点的状态为未知状态时,会将接收到的数据转入启发疑黑监控鉴定器中进行继续判定,启发疑黑监控鉴定器中的鉴定规则可以是根据经验进行确定,其鉴定规则为大多数危险项目都具有的特征,但是有不能直接利用该特征就判定为危险,所以相当于把高度可疑的数据分离出来,减少数据量,增加处理效率。如果未命中,就进行样本累计或等待人工处理,如果鉴定出接收到的数据命中第六鉴定器,则将接收到的数据保存至第二服务器的第二数据库中,以实现操作员优先从该第二数据库中调用数据进行人工判断启动点的状态;如果鉴定出接收到的数据未命中第六鉴定器,则将接收到的数据保存至第二服务器的第三数据库中,以对无法判断启动点的状态的数据进行样本累积。
图5是根据本发明第二实施例的计算机安全防护方法的流程图,如图5所示,本发明第一实施例的安全防护方法包括如下的步骤S502至步骤S508:
S502:客户端对计算机的启动点进行扫描以得到启动点的第一原始信息,第一原始信息包括启动项位置、名称、内容、内容中的具体项目在系统中的信息、与内容相关联的系统或其他项目信息等。
S504:客户端计算第一原始信息的MD5值,具体地,包括对启动点位置信息进行MD5加密算法运算;对内容信息进行按照代码中规则的转化规则,对具有相同属性的路径做类似操作系统环境变量的统一转化,避免因为用户名和系统安装路径不同、路径中包含变化信息如版本号等原因导致的路径不统一;对造成信息膨胀的具有共同属性的数据根据算法进行优化精简转化。然后对预处理后的各项信息,进行MD5加密算法计算,计算第一原始信息的特征信息MD5值。
S506:客户端发送第一原始信息的MD5值至服务器,其中,服务器用于在特征数据库中查找与第一原始信息的MD5值对应的启动点的状态,得到匹配结果,并将匹配结果发送至客户端,具体地,如果原始信息的MD5值与第一数据库中表示启动点的状态为安全状态的MD5值相匹配,则第一匹配结果表示启动点的状态为安全状态;如果原始信息的MD5值与第一数据库中表示启动点的状态为危险状态的MD5值相匹配,则第一匹配结果表示启动点的状态为危险状态;如果原始信息的MD5值与第一数据库中表示启动点的状态为安全状态的MD5值和表示启动点的状态为危险状态的MD5值均不相匹配,则第一匹配结果表示启动点的状态为未知状态。
S508:客户端接收来自服务器的匹配结果并按照与匹配结果相对应的操作指令处理启动点,具体地,如果匹配结果表示启动点的状态为安全状态,则客户端跳过对启动点的操作;如果匹配结果表示启动点的状态为危险状态,则客户端对启动点进行修复和/或删除操作;如果匹配结果表示启动点的状态为未知状态,则客户端暂时不对启动点进行操作。
本发明第二实施例的计算机安全防护方法通过对启动点进行扫描得到启动点的特征信息MD5值,并查找与特征信息MD5值对应的启动点的状态,实现了不单纯依赖于文件内容级别对启动点的状态进行检测,解决了现有技术中的计算机安全防护方法无法在病毒利用白文件进行启动时对计算机提供安全防护的问题,进而达到了更好地为计算机提供安全防护的效果。
需要说明的是,本发明第一实施例的计算机安全防护方法可以通过本发明第一实施例的计算机安全防护装置来执行,本发明第二实施例的计算机安全防护方法可以通过本发明第二实施例的计算机安全防护装置来执行,并且本发明第一实施例中所提供的计算机安全防护方法与本发明第二实施例中所提供的计算机安全防护方法可以相互进行结合,组成本发明优选实施例的计算机安全防护方法。
具体地,图6是根据本发明优选实施例的计算机安全防护方法中客户端的流程图,如图6所示,在开始对计算机执行安全防护方法时,客户端调起扫描进程,扫描进程会根据预定的已知可以被病毒利用或者可能被病毒利用启动点信息进行扫描,获取其中的信息,包括但不限于现有的启动点位置(目前为225项)、内容项名称、内容、内容中的具体项目在系统中的信息、与内容相关联的系统或其他项目信息等,即,得到启动点的原始信息,并对得到的原始信息在客户端进行预处理。预处理包括对启动点位置信息进行MD5加密算法运算;对内容信息进行按照代码中规则的转化规则,对具有相同属性的路径做类似操作系统环境变量的统一转化,避免因为用户名和系统安装路径不同、路径中包含变化信息如版本号等原因导致的路径不统一;对造成信息膨胀的具有共同属性的数据根据算法进行优化精简转化。然后对预处理后的各项信息,进行MD5加密算法计算,计算特征信息MD5值,将该值和预处理后的原始信息传给连云模块,连云模块负责与本地缓存特征库及系统云云端服务器(即,第一服务器)通信。在第一服务器返回启动点的安全状态(包括安全、危险、未知三个状态)及处理指令(包括但不限于:跳过、只删除启动点、删除启动点及对应文件、收集对应文件MD5信息)后客户端对启动点进行后续处理,客户端后续处理包括以下几个部分A至D:
A、当第一服务器返回状态为安全时,客户端将该条MD5在本地以缓存文件的形式保存到缓存特征库,下次发起查询时会优先查询缓存特征库,如果在库中则不再连系统云云端服务器查询,该项流程结束。
B、在第二次以及以后的每一次发起查询时,优先查询缓存特征看,如果未命中缓存特征库则将特征MD5发送到第一服务器进行查询。如果第一服务器此次返回结果为安全,则走A流程。如果返回结果为危险状态,则走C流程。如果返回结果为未知安全状态走D流程。
C、当第一服务器返回危险状态时,同时会返回处理指令。客户端首先判定该启动点是否为需要修复的启动点,即,判断启动点中的启动文件是否为系统启动点的自带文件,如果是自带文件,则将删除命令替换为修复命令,对启动文件进行修复(即,删除病毒部分,保存系统自带的部分);如果不是自带文件,则保持删除文件命令不变,将启动文件进行删除。
D、当第一服务器返回未知状态时,客户端将预处理后的原始信息进行加密,连云模块将原始信息传给第一服务器进行判定处理。如果此次返回安全状态则执行A流程。如果返回为危险状态时执行C流程,若为未知状态时,则该流程结束。
图7是根据本发明优选实施例的计算机安全防护方法中客户端与服务器进行交互的流程图,如图7所示,系统云端服务器的工作原理为如下E至I:
E、当客户端连云模块发起查询时,将特征MD5在特征数据库(第一服务器的第一数据库)中进行查询,存在于特征数据库中则返回对应特征状态及处理指令。如果特征数据库中不存在该特征则执行F流程。
F、返回特征信息MD5值对应的状态为未知状态给客户端,客户端走D流程,第一服务器在收到D中提到的原始信息时,对该条信息现在白规则鉴定器中鉴定,如果命中白规则则返回给客户端安全状态。未命中走G流程。
G、将原始信息在黑规则鉴定器中进行鉴定,如果命中黑规则则返回给客户端危险状态及对应的处理指令。如果未命中继续走H流程。
H、将原始信息在特殊处理鉴定器中鉴定,如果被鉴定器特殊处理命中则返回状态(包括安全和危险)及处理指令,如果仍未命中则返回未知状态,并将灰状态(未知状态)和与该状态对应的启动点的原始信息及与原始信息相关联的附加信息保存到第一服务器的第二数据库中,第二数据库中的数据会随着查询次数的增加而新增其他组合。
I、第一服务器将查询过的所有信息进行累计到第二数据库中,并每隔一定时间进行一次加密压缩打包。
其中,计算机安全防护方法还包括通过第一服务器进行“威胁快速响应支持”和“应急去误报相应支持”,威胁应急响应支持为:当发现外部存在一项新的,包括其他检测手段在内同时暂时无法识别的威胁时,系统云第一服务器可以通过后台数据检索该威胁项的特征,通过人工鉴定后,将人工鉴定确定出的该黑特征发布到第一服务器的特征数据库中,进而实现客户端可以通过发布特征MD5查询到状态结果并执行相应的指令,该过程仅需不到1秒的时间。如果后台数据库(第一服务器的特征数据库)不存在特征或者威胁类型属于发散不收敛特征,可以在第一服务器的规则库中增加规则。整个过程最长不超过5分钟即可完成。正因如此系统云可以在威胁相应支持中达到快速响应。应急去误报响应支持为:当第一服务器将确定出的启动点的危险状态反馈给客户端之后,客户端会得到确定出该启动点的状态为危险状态所采用的鉴定规则的编号Ruleid和进行规则鉴定的MD5的编号signid,并按照启动点位置将病毒名称上报给服务器,如果客户端怀疑对于启动点进行的此次判定有误判,则第一服务器端可以按照上报的病毒名称来查找进行判定时具体采用的鉴定规则和特征MD5,以在确定出真正出现误报时,及时修改鉴定规则,避免下次出现误报。去误报原理和流程同威胁应急响应支持类似,不同的是去误报是将黑特征转换为白特征或者在系统云云端实时服务器的鉴定器中增加白特征,所以是一个修改或转换的过程。
进一步地,本发明优选实施例的计算机安全防护方法中还可以包括为实时鉴定服务器(即,第一服务器)提供后台支持的后台鉴定服务器(即,第二服务器)的具体工作环节,在包括后台鉴定服务器的防护方法中,客户端及客户端与实时鉴定服务器之间的通讯构成外网,实时鉴定服务器、后台鉴定服务器及实时鉴定服务器与后台鉴定服务器之间的通讯构成内网,图8是根据本发明优选实施例的计算机安全防护方法中后台鉴定服务器的鉴定流程图,如图8所示,后台鉴定服务器的工作流程为:
J、系统云后台异步统计鉴定服务器会根据设置好的时间,每隔一段时间在系统云云端实时鉴定服务器的第二数据库中下载一次的数据包,下载后进行解压、解密、录入后台异步统计鉴定服务器的数据库,并将不同的信息录入各自的对应数据库表中,举例说明,将进行查询并得到启动点状态(包括危险和安全)的数据录入当日子表中,将进行查询并得到启动点状态为未知状态的数据录入灰数据表池中,这个过程称为数据下载解包入库。
K、后台异步统计鉴定服务器中的6个鉴定器主要对2类表(当日子表和灰数据表池)进行定期回扫处理,流程包括如下L-P:
L、将当日子表和灰数据表池中的数据分别与2个黑鉴定器、2个白鉴定器进行匹配。鉴定器返回结果包含黑、白、未知三种状态。数据将进行不同分支的鉴定,最终分析处理。下述M流程为黑鉴定流程、N为白鉴定流程、O为冲突鉴定流程。
M、数据经过2个黑鉴定器鉴定后结果如果为黑,再进入1个白转换鉴定器,如果未命中则结果为黑;如果命中白转换鉴定器规则则确定该条数据的结果为白。
N、数据经过2个白鉴定器,如果命中白鉴定器规则,最终结果为白,否则为未知。
O、同一条特征数据经过流程M和N后,鉴定结果包含“黑”或“白”或“未知”,将结果状态与冲突鉴定器的鉴定规则进行冲突鉴定,黑状态和白状态为冲突,对冲突的数据转入冲突数据库表,进行人工数据处理。冲突鉴定器鉴定为不冲突的数据则将最后的黑白状态的数据特征MD5发布到系统云云端实时鉴定服务器的特征数据库中备查。
P、当经过流程M和N后判定结果仍未未知时,特征数据进入启发疑黑监控鉴定器,如果命中鉴定器规则则进入监控数据库表进行高优先人工处理。若未命中会进入灰数据表池用于样本信息统计特征累积。
进一步地,本发明优选实施例的计算机安全防护方法还包括对可以被黑白鉴定器鉴定出结果的数据和对鉴定器无法识别的灰数据进行特征提取鉴定。
具体地,对于可以被黑白鉴定器鉴定出结果的数据,后台异步统计鉴定服务器的变形特征提取器会将这些数据进行归类统计,提取他们的共同特征点进行概率计算,当共性的特征概率大于一个阈值,并且这批数据的查询特性是随机发散不收敛的,则将共同特征点进行自动提取并转化为对应的黑白鉴定规则同步到系统云实时鉴定服务器,以实现在客户端发起下一次特征查询时,优先对特征信息中的上述共同特征点进行规则鉴定,实现快速确定启动点状态;同时,将这批已经匹配的特征会录入一个可优化数据库表中,以在需要优化时进行处理。变形特征提取器每次对这些数据进行归类统计时,会自动对规则文件按启动点位置及黑白进行拆分,同时根据最近一段时间(假设一周)内的规则被数据命中的数目,逐差法计算一个平均值,按规则被数据命中的数目平均值从大到小来智能排列规则的鉴定顺序,以优化实时鉴定速度。
对于鉴定器无法识别的灰数据,变形特征提取器会对这些灰数据进行归类,对每一个提取的特征信息进行聚类及组合出现概率计算,然后将结果录入变形特征提取器对应的数据库表中等待人工审核确认。人工审核确认后会将确定出结果的数据和对应的结果表示的状态加入到系统云云端实时鉴定服务器和系统云后台异步统计鉴定服务器的鉴定规则中。
对本发明优选实施例的防护方法中关于启动点的信息能够被匹配上的几种情况进行举例,具体如图9至14所示,图9是根据本发明优选实施例的计算机安全防护方法中命中内网白鉴定器的流程图;图10是根据本发明优选实施例的计算机安全防护方法中命中内网黑鉴定器的流程图;图11是根据本发明优选实施例的计算机安全防护方法中命中外网黑鉴定器的流程图;图12是根据本发明优选实施例的计算机安全防护方法中命中外网白鉴定器的流程图;图13是根据本发明优选实施例的计算机安全防护方法中命中内网白转换鉴定器的流程图;以及图14是根据本发明优选实施例的计算机安全防护方法中命中外网特殊特征的流程图。
从以上的描述中,可以看出,本发明实现了如下技术效果:
通过对操作系统自身提供的各种机制——“启动点”的检测,提取与此相关的信息与系统云云端服务器进行特征匹配,由系统云云端服务器进行特征匹配后返回该项信息的安全性结果及相应的操作指令代码。客户端在接到云端返回的指令时执行相应的结果抛出和清除、修复等操作。无论安全和反安全领域如何变迁,只要是威胁程序想要达到其目的,就必须用尽一切办法,而只要是运行在现有操作系统的程序想要运行就必须要通过操作系统提供的各种机制,也就是启动点加载。系统云是一种不基于文件内容信息,而基于文件在系统中的行为信息来综合判定其安全性的云安全体系,实现了为计算机提供良好的安全防护的效果。
需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (16)
1.一种计算机安全防护方法,其特征在于,包括:
第一服务器接收来自客户端的原始信息的MD5值,其中,所述原始信息为所述客户端对计算机的启动点进行扫描得到的所述启动点的信息;
所述第一服务器在第一数据库中查找与所述MD5值对应的所述启动点的状态,得到第一匹配结果,其中,所述第一数据库中存储有不同MD5值对应的所述启动点的状态;以及
所述第一服务器将所述第一匹配结果发送至所述客户端以使所述客户端按照与所述第一匹配结果相对应的操作指令处理所述启动点。
2.根据权利要求1所述的计算机安全防护方法,其特征在于,所述第一匹配结果包括所述启动点的状态为未知状态,在所述第一服务器将所述未知状态的匹配结果发送至所述客户端之后,所述方法还包括:
所述第一服务器接收来自所述客户端的所述原始信息;
所述第一服务器将所述原始信息与第一鉴定器的鉴定规则进行匹配;
所述第一服务器在确定所述原始信息与所述第一鉴定器的鉴定规则匹配时,确定所述启动点的状态为安全状态;
所述第一服务器在确定所述原始信息与所述第一鉴定器的鉴定规则不匹配时,将所述原始信息与第二鉴定器的鉴定规则进行匹配;
所述第一服务器在确定所述原始信息与所述第二鉴定器的鉴定规则匹配时,确定所述启动点的状态为危险状态;
所述第一服务器在确定所述原始信息与所述第二鉴定器的鉴定规则不匹配时,将所述原始信息与第三鉴定器的鉴定规则进行匹配;
所述第一服务器在确定所述原始信息与所述第三鉴定器的鉴定规则匹配时,所述第一服务器接收来自所述客户端的附加信息,其中,所述附加信息为与所述原始信息相关联的信息;以及
所述第一服务器将第一信息分别与所述第一鉴定器和所述第二鉴定器的鉴定规则进行匹配以确定所述启动点的状态,其中,所述第一信息为所述原始信息和所述附加信息的组合信息。
3.根据权利要求2所述的计算机安全防护方法,其特征在于,在所述第一服务器将第一信息分别与所述第一鉴定器和所述第二鉴定器的鉴定规则进行匹配确定出所述启动点的状态为未知状态之后,所述方法还包括:
所述第一服务器保存所述第一信息及与所述第一信息对应的所述启动点的状态至所述第一服务器的第二数据库中;
所述第一服务器发送数据至第二服务器,其中,所述数据为所述第二数据库中的数据,所述第二服务器用于将所述数据与所述第二服务器的鉴定器的鉴定规则进行匹配得到第二匹配结果,并将所述第二匹配结果及与所述第二匹配结果对应的所述数据的MD5值发送至所述第一服务器;以及
所述第一服务器接收来自所述第二服务器的第二匹配结果及与所述第二匹配结果对应的所述数据的MD5值,并按照所述第二匹配结果及与所述第二匹配结果对应的所述数据的MD5值更新所述第一数据库。
4.根据权利要求3所述的计算机安全防护方法,其特征在于,在所述第一服务器发送数据至第二服务器之后,所述方法还包括:
所述第二服务器将所述数据分别与第四鉴定器和第五鉴定器的鉴定规则进行匹配;
所述第二服务器判断第三匹配结果和第四匹配结果是否相同,其中,所述第三匹配结果为所述数据与所述第四鉴定器的鉴定规则的匹配结果,所述第四匹配结果为所述数据与所述第五鉴定器的鉴定规则的匹配结果;
所述第二服务器在判断出所述第三匹配结果和所述第四匹配结果相同时,所述第二服务器判断所述第三匹配结果对应的所述启动点的状态是否为未知状态;以及
所述第二服务器在判断出所述第三匹配结果和所述第四匹配结果相同,并且所述第三匹配结果对应的所述启动点的状态为非未知状态时,所述第二服务器将所述第三匹配结果及与所述第三匹配结果对应的所述数据的MD5值发送至所述第一服务器。
5.根据权利要求4所述的计算机安全防护方法,其特征在于,所述第四鉴定器包括第一子鉴定器和第二子鉴定器,所述第三匹配结果包括所述启动点的状态为未知状态、所述启动点的状态为安全状态和所述启动点的状态为危险状态,其中,所述第二服务器将所述数据与所述第四鉴定器的鉴定规则进行匹配包括:
所述第二服务器将所述数据与所述第一子鉴定器的鉴定规则进行匹配;
所述第二服务器在确定所述数据与所述第一子鉴定器的鉴定规则不相匹配时,确定所述启动点的状态为未知状态;
所述第二服务器在确定所述数据与所述第一子鉴定器的鉴定规则相匹配时,所述第二服务器将所述数据与所述第二子鉴定器的鉴定规则相匹配;
所述第二服务器在确定所述数据与所述第二子鉴定器的鉴定规则相匹配时,确定所述启动点的状态为安全状态;以及
所述第二服务器在确定所述数据与所述第二子鉴定器的鉴定规则不相匹配时,确定所述启动点的状态为危险状态。
6.根据权利要求4所述的计算机安全防护方法,其特征在于,所述第四匹配结果包括所述启动点的状态为未知状态和所述启动点的状态为安全状态,其中,所述第二服务器在确定所述数据与所述第五鉴定器的鉴定规则相匹配时,确定所述启动点的状态为安全状态,所述第二服务器在确定所述数据与所述第五鉴定器的鉴定规则不相匹配时,确定所述启动点的状态为未知状态。
7.根据权利要求4所述的计算机安全防护方法,其特征在于,在所述第二服务器判断出所述第三匹配结果和所述第四匹配结果不相同时,所述方法还包括:
所述第二服务器将所述数据保存至所述第二服务器的第一数据库。
8.根据权利要求4所述的计算机安全防护方法,其特征在于,在所述第二服务器判断出所述第三匹配结果和所述第四匹配结果相同,并且所述第三匹配结果对应的所述启动点的状态为未知状态时,所述方法还包括:
所述第二服务器将所述数据与第六鉴定器的鉴定规则进行匹配;
所述第二服务器在确定所述数据与所述第六鉴定器的鉴定规则相匹配时,将所述数据保存至所述第二服务器的第二数据库;以及
所述第二服务器在确定所述数据与所述第六鉴定器的鉴定规则不相匹配时,将所述数据保存至所述第二服务器的第三数据库。
9.一种计算机安全防护方法,其特征在于,包括:
客户端对计算机的启动点进行扫描以得到所述启动点的第一原始信息;
所述客户端计算所述第一原始信息的MD5值;
所述客户端发送所述第一原始信息的MD5值至服务器,其中,所述服务器用于在第一数据库中查找与所述第一原始信息的MD5值对应的匹配结果并将所述匹配结果发送至所述客户端,所述第一数据库中存储有不同MD5值对应的所述启动点的状态;以及
所述客户端接收来自所述服务器的匹配结果并按照与所述匹配结果相对应的操作指令处理所述启动点。
10.根据权利要求9所述的计算机安全防护方法,其特征在于,所述匹配结果包括所述启动点的状态为安全状态,在所述客户端接收来自所述服务器的所述安全状态的匹配结果之后,所述客户端按照与所述安全状态的匹配结果相对应的操作指令处理所述启动点包括:
所述客户端保存所述第一原始信息的MD5值及与所述第一原始信息的MD5值对应的所述启动点的状态至所述客户端的数据库,
所述方法还包括:
在所述客户端再次对计算机的启动点进行扫描以得到所述启动点的第二原始信息并计算出所述第二原始信息的MD5值时,所述客户端将所述第二原始信息的MD5值与所述客户端的数据库中的数据进行匹配以得到与所述第二原始信息的MD5值对应的所述启动点的状态。
11.根据权利要求9所述的计算机安全防护方法,其特征在于,所述匹配结果包括所述启动点的状态为危险状态,在所述客户端接收来自所述服务器的所述危险状态的匹配结果之后,所述客户端按照与所述危险状态的匹配结果相对应的操作指令处理所述启动点包括:
所述客户端判断第一文件是否为所述启动点的自带文件,其中,所述第一文件为所述启动点中任一启动文件;
所述客户端在判断出所述第一文件为所述启动点的自带文件时,修复所述第一文件;以及
所述客户端在判断出所述第一文件非所述启动点的自带文件时,删除所述第一文件。
12.一种计算机安全防护装置,其特征在于,包括:
第一接收单元,用于接收来自客户端的原始信息的MD5值,其中,所述原始信息为所述客户端对计算机的启动点进行扫描得到的所述启动点的信息;
第一处理单元,与所述第一接收单元相连接,用于在第一数据库中查找与所述MD5值对应的所述启动点的状态,得到第一匹配结果,其中,所述第一数据库中存储有不同MD5值对应的所述启动点的状态;以及
第一发送单元,与所述第一处理单元相连接,用于将所述第一匹配结果发送至所述客户端以使所述客户端按照与所述第一匹配结果相对应的操作指令处理所述启动点。
13.根据权利要求12所述的计算机安全防护装置,其特征在于,
所述第一接收单元包括接收子单元,用于接收来自所述客户端的所述原始信息,
所述计算机安全防护装置还包括:
第一鉴定器,用于将所述原始信息与所述第一鉴定器的鉴定规则进行匹配;
第二鉴定器,用于将所述原始信息与所述第二鉴定器的鉴定规则进行匹配;以及
第三鉴定器,用于将所述原始信息与所述第三鉴定器的鉴定规则进行匹配。
14.根据权利要求13所述的计算机安全防护装置,其特征在于,所述计算机安全防护装置还包括:
第二接收单元,用于接收来自所述第三鉴定器的数据;
第二处理单元,用于将接收到的数据与所述第二处理单元的鉴定器的鉴定规则进行匹配得到第二匹配结果;以及
第二发送单元,与所述第二处理单元相连接,用于将所述第二匹配结果发送至所述第一处理单元。
15.一种计算机安全防护装置,其特征在于,包括:
扫描单元,用于对计算机的启动点进行扫描以得到所述启动点的原始信息;
处理单元,与所述扫描单元相连接,用于计算所述原始信息的MD5值;
发送单元,与所述处理单元相连接,用于发送所述MD5值至服务器,其中,所述服务器用于在第一数据库中查找与所述MD5值对应匹配结果并将所述匹配结果发送至客户端,所述第一数据库中存储有不同MD5值对应的所述启动点的状态;以及
接收单元,与所述处理单元相连接,用于接收来自所述服务器的匹配结果并按照与所述匹配结果相对应的操作指令处理所述启动点。
16.一种计算机安全防护系统,其特征在于,包括第一安全防护装置和第二安全防护装置,其中,所述第一安全防护装置为权利要求12至14中任一项所述的安全防护装置,所述第二安全防护装置为权利要求15中所述的安全防护装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210211355.6A CN102915422B (zh) | 2012-06-21 | 2012-06-21 | 计算机安全防护方法、装置和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210211355.6A CN102915422B (zh) | 2012-06-21 | 2012-06-21 | 计算机安全防护方法、装置和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102915422A CN102915422A (zh) | 2013-02-06 |
| CN102915422B true CN102915422B (zh) | 2016-08-03 |
Family
ID=47613785
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210211355.6A Active CN102915422B (zh) | 2012-06-21 | 2012-06-21 | 计算机安全防护方法、装置和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102915422B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104050413A (zh) * | 2013-03-13 | 2014-09-17 | 腾讯科技(深圳)有限公司 | 一种数据处理的方法及终端 |
| CN106295333B (zh) * | 2015-05-27 | 2018-08-17 | 安一恒通(北京)科技有限公司 | 用于检测恶意代码的方法和系统 |
| CN112380538A (zh) * | 2020-11-10 | 2021-02-19 | 广东电力信息科技有限公司 | 互联网信息风险提示方法及监测系统 |
| CN112604298B (zh) * | 2020-12-29 | 2022-09-02 | 珠海金山数字网络科技有限公司 | 一种资源更新方法、装置与系统 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7904187B2 (en) * | 1999-02-01 | 2011-03-08 | Hoffberg Steven M | Internet appliance system and method |
| CN101594248A (zh) * | 2008-05-27 | 2009-12-02 | 奇智软件技术(北京)有限公司 | 信息安全和系统维护的远程协助方法、系统及服务器 |
| CN102346828A (zh) * | 2011-09-20 | 2012-02-08 | 海南意源高科技有限公司 | 一种基于云安全的恶意程序判断方法 |
-
2012
- 2012-06-21 CN CN201210211355.6A patent/CN102915422B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN102915422A (zh) | 2013-02-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7287279B2 (en) | System and method for locating malware | |
| US9639697B2 (en) | Method and apparatus for retroactively detecting malicious or otherwise undesirable software | |
| CN110730175B (zh) | 一种基于威胁情报的僵尸网络检测方法及检测系统 | |
| CN103235913B (zh) | 一种用于识别、拦截捆绑软件的系统、设备及方法 | |
| US7836500B2 (en) | Computer virus and malware cleaner | |
| WO2016095479A1 (zh) | 一种病毒处理方法、装置、系统、设备和计算机存储介质 | |
| US8850585B2 (en) | Systems and methods for automated malware artifact retrieval and analysis | |
| CN103281325A (zh) | 基于云安全的文件处理方法及装置 | |
| CN102982284B (zh) | 用于恶意程序查杀的扫描设备、云端管理设备及方法和系统 | |
| CN103390130B (zh) | 基于云安全的恶意程序查杀的方法、装置和服务器 | |
| CN105491053A (zh) | 一种Web恶意代码检测方法及系统 | |
| KR101589656B1 (ko) | Api 기반 악성 코드 변종 탐지 조회 시스템 및 방법 | |
| US8776240B1 (en) | Pre-scan by historical URL access | |
| CN106874768B (zh) | 渗透测试的方法及装置 | |
| CN102915422B (zh) | 计算机安全防护方法、装置和系统 | |
| CN103034808B (zh) | 扫描方法、设备和系统以及云端管理方法和设备 | |
| CN102810138A (zh) | 一种用户端文件的修复方法和系统 | |
| CN101816148A (zh) | 用于验证、数据传送和防御网络钓鱼的系统和方法 | |
| CN103607381B (zh) | 白名单生成及恶意程序检测方法、客户端和服务器 | |
| WO2012022251A1 (zh) | 一种依据白名单进行恶意程序检测的方法 | |
| US20060075468A1 (en) | System and method for locating malware and generating malware definitions | |
| KR20160109870A (ko) | 안드로이드 멀웨어의 고속 검색 시스템 및 방법 | |
| CN103716394B (zh) | 下载文件的管理方法及装置 | |
| CN105631312A (zh) | 恶意程序的处理方法及系统 | |
| KR20100005518A (ko) | 확장자를 위장한 파일을 탐지하는 방법 및 그 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20190129 Address after: 519031 Room 105-53811, No. 6 Baohua Road, Hengqin New District, Zhuhai City, Guangdong Province Patentee after: Zhuhai Leopard Technology Co.,Ltd. Address before: 100022 the 12 level of Fuxing International Center, 237 Chaoyang North Road, Chaoyang District, Beijing. Patentee before: BEIJING KINGSOFT INTERNET SECURITY SOFTWARE Co.,Ltd. |
|
| TR01 | Transfer of patent right |