CN103220299B - 一种云端“协同式”恶意检测引擎识别方法 - Google Patents
一种云端“协同式”恶意检测引擎识别方法 Download PDFInfo
- Publication number
- CN103220299B CN103220299B CN201310151916.2A CN201310151916A CN103220299B CN 103220299 B CN103220299 B CN 103220299B CN 201310151916 A CN201310151916 A CN 201310151916A CN 103220299 B CN103220299 B CN 103220299B
- Authority
- CN
- China
- Prior art keywords
- alarm
- detecting
- group
- result
- clouds
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Testing Of Engines (AREA)
- Combined Controls Of Internal Combustion Engines (AREA)
Abstract
一种云端“协同式”恶意检测引擎识别方法,通过云端随机选择若干异构检测引擎并行检测客户端上传的可疑文件,将检测结果相同的检测引擎划分为同一结果组,依次计算各结果组的组权重并与预设门限值t比对,若大于或等于t则将该结果组作为优胜组,否则从云端取出一个“新”检测引擎继续扫描上传文件并重新计算各结果组组权重,直至产生优胜组为止,分别计算优胜组外可疑检测引擎的错误率,并与恶意检测引擎的判断标准预设门限值比对,若超过则判定为恶意检测引擎。本发明不仅保障了云端恶意程序判断的可靠性和准确性,还能高效地识别云端非“协同式”和“协同式”两类恶意检测引擎。
Description
技术领域
本发明涉及一种云端“协同式”恶意检测引擎识别方法。
背景技术
当前,采用异构检测引擎构成的云安全技术路线进行恶意程序防治成为学术界和产业界关注的焦点。异构检测引擎构成的云安全相比当前主流的单一类型检测引擎构成的云安全优势更为明显:一方面扩大了云端恶意程序识别的范围;另一方面提高了云端恶意程序判断的准确性和可靠性。
异构检测引擎综合优势体现的前提是云端各检测引擎都能够正常运行,产生的检测结果完全可靠。然而,检测引擎并不总是可靠的。美国国家漏洞数据库(NationalVulnerabilityDatabase)披露了十种主流杀毒软件2005-2007年间的漏洞数量,结果显示各主流杀毒软件都存在不同程度的漏洞缺陷,并且高危漏洞所占比例最大。随着检测引擎功能越来越强大,其内部结构也日益复杂,检测引擎本身的漏洞更容易遭受到黑客的攻击,这直接影响到检测结果的正确性和整个云安全系统的可靠性。
检测引擎的攻击形式分为非“协同式”和“协同式”攻击两类。所谓“协同式”攻击,是指被黑客攻击的检测引擎间呈现出某种“共性”或一致的异常行为特点。相应地,所有不具有“协同式”攻击特征的攻击行为就属于非“协同式”攻击。显然,区分两者的关键在于受攻击的检测引擎间是否表现出一致的异常行为。例如,云端恶意程序判断系统由A、B、C三种杀毒软件构成,其中A正常而B、C被黑客攻击。“协同式”攻击的一个典型场景是:对于一个正常文件n.txt,A的判断结果为安全,B、C检测出恶意,且恶意名称、级别等属性完全一致。而非“协同式”攻击中B、C并不表现出这种同步性和一致性,比如B判断为一般恶意而C判定为严重恶意,或B判断为安全而C判定为一般恶意等。
针对非“协同式”恶意检测引擎,在云端正常检测引擎数量偏多的前提下可根据投票策略来保障检测结果的正确性。而“协同式”恶意检测引擎则更加隐蔽和复杂,利用常规的投票策略会产生错误的判断结果,甚至与实际情况完全相反的结论。如何识别云端恶意检测引擎,尤其是这种“协同式”恶意检测引擎还少见文献报道。
发明内容
本发明提供的一种云端“协同式”恶意检测引擎识别方法,保障了云端恶意程序判断的可靠性,提高了云端恶意程序判断的准确性,能够高效地识别云端非“协同式”和“协同式”恶意检测引擎。
为了达到上述目的,本发明提供一种云端“协同式”恶意检测引擎识别方法,该方法包含以下步骤:
步骤1、云端多个异构检测引擎并行检测用户端上传的可疑文件;
所述的云端有n(n≥2)个异构检测引擎;
所述的多个异构检测引擎是从云端随机抽取的r(2≤r≤n)个可用检测引擎;
步骤2、根据文件检测结果将云端检测引擎划分为结果组,即检测结果相同的检测引擎划分为一组;
步骤3、根据检测引擎的权重计算每个结果组的组权重;
所述的权重指的是该检测引擎返回正确检测结果的次数与返回结果的总次数的比例;
所述的组权重指的是该结果组内检测引擎的权重和与所有取出的检测引擎的权重和的比例;
步骤4、将每个结果组的组权重与预设权重门限值t比对,判断结果组的组权重是否大于或等于预设权重门限值t,若是,则转到步骤6,若否,这转到步骤5;
所述的预设门限值t为云端恶意检测结果被接受的最低标准;
步骤5、从云端取出一个未参与过该文件检测的检测引擎,对可疑文件重新检测,然后转到步骤3,将检测结果加入到结果组中并重新计算组权重;
步骤6、若某个组的组权重达到t,则将该结果组作为优胜组,优胜组的综合判断结果即为可疑文件的云端综合判断结果;
步骤7、更新优胜组内所有检测引擎的权重;
步骤8、计算非优胜组内所有检测引擎的错误率;
所述的错误率为检测引擎返回错误检测结果的次数与返回结果的总次数的比例;
步骤9、判断步骤8中得到的检测引擎的错误率是否大于恶意检测引擎判断的门限值,若大于,则判定该检测引擎为恶意检测引擎,若不大于,则判定该检测引擎为正常检测引擎;
所述的恶意检测引擎判断的门限值为云端恶意检测引擎的最低错误率。
所述的云端恶意检测引擎数量不超过可用检测引擎总数的一半。
所述的恶意检测引擎可能报告错误的检测结果,所述的非恶意检测引擎报告正确的检测结果。
所述的恶意检测引擎既可以具备非“协同式”攻击特征,也可以具备“协同式”攻击特征。
步骤3中,代表第个检测引擎的权重,代表结果组的判断结果,则组的组权重的计算公式为:
;
其中,检测引擎的权重是基于其历史返回正确检测结果所占的比例,过去一直返回正确结果的检测引擎的可靠性更高,其下一次也返回正确结果的概率更大。
步骤7中,更新优胜组内所有检测引擎的权重,计算公式为:;
其中,和分别为检测引擎i返回正确结果的次数和返回结果的总次数。
步骤8中,计算非优胜组检测引擎的错误率,计算公式为:;
其中,和分别为检测引擎j返回错误结果的次数和返回结果的总次数;显然,有成立。
步骤9中,若为恶意检测引擎判断的门限值,则将检测引擎i判断为恶意检测引擎,列入黑名单。
本发明具有以下优点及效果:
1、保障了云端恶意程序判断的可靠性。只有某一结果组的组权重达到预设门限值t才能成为优胜组,进而其综合判断结果被接受为云端恶意检测结果。而组权重归根结底体现了组内各检测引擎的可信度,即过去返回正确检测结果比例高的检测引擎的可靠性更高。因此,设置优胜组组权重的门限值t保障了云端恶意程序判断的可靠性。
2、提高了云端恶意程序判断的准确性。优胜组融合了当前云端可信度高的若干异构检测引擎,也就是综合了若干可靠的恶意检测技术的优势,因而提高了云端恶意程序判断的准确性。
3、高效地识别云端非“协同式”和“协同式”恶意检测引擎。非优胜组内的检测引擎都是可疑检测引擎,存在被攻击而返回错误检测结果的可能性。而本发明通过计算可疑检测引擎的错误率,若大于门限值则判定为恶意检测引擎,这对非“协同式”和“协同式”两类恶意检测引擎同时适用。
附图说明
图1是本发明的流程图。
具体实施方式
以下根据图1,具体说明本发明的较佳实施例。
如图1所示,本发明提供一种云端“协同式”恶意检测引擎识别方法,该方法包含以下步骤:
步骤1、云端多个异构检测引擎并行检测用户端上传的可疑文件;
所述的云端由两种以上异构检测引擎构成;
所述的云端恶意检测引擎数量不超过可用检测引擎总数的一半;
所述的恶意检测引擎可能报告错误的检测结果,所述的非恶意检测引擎报告正确的检测结果;
所述的恶意检测引擎既可以具备非“协同式”攻击特征,也可以具备“协同式”攻击特征;
所述的多个异构检测引擎是从云端随机抽取的r(2≤r≤n)个可用检测引擎,其中n为云端可用检测引擎的数目;
步骤2、根据文件检测结果将云端检测引擎划分为结果组(resultgroup),即检测结果相同的检测引擎划分为一组;
步骤3、根据检测引擎的权重(weight)计算每个结果组的组权重(groupweight);
所述的权重指的是该检测引擎返回正确检测结果的次数与返回结果的总次数的比例;
所述的组权重指的是该结果组内检测引擎的权重和与所有取出的检测引擎的权重和的比例;
步骤4、将每个结果组的组权重与预设权重门限值t比对,判断结果组的组权重是否大于或等于预设权重门限值t,若是,则转到步骤6,若否,这转到步骤5;
所述的预设门限值t为云端恶意检测结果被接受的最低标准;
步骤5、从云端取出一个“新”检测引擎(未参与过该文件的检测)对可疑文件重新检测,然后转到步骤3,将检测结果加入到结果组中并重新计算组权重;
步骤6、若某个组的组权重达到t,则将该结果组作为优胜组(winnergroup),优胜组的综合判断结果即为可疑文件的云端综合判断结果;
步骤7、更新优胜组内所有检测引擎的权重;
步骤8、计算其它结果组(非优胜组)内所有检测引擎的错误率;
所述的错误率为检测引擎返回错误检测结果的次数与返回结果的总次数的比例;
步骤9、判断步骤8中得到的检测引擎的错误率是否大于恶意检测引擎判断的门限值,若大于,则判定该检测引擎为恶意检测引擎,若不大于,则判定该检测引擎为正常检测引擎;
所述的恶意检测引擎判断的门限值为云端恶意检测引擎的最低错误率。
下面用一个实施例来阐述本方法。
假设云端有n(n≥2)个异构检测引擎,每次随机取出r(2≤r≤n)个检测引擎进行恶意分析。
这里用代表第个检测引擎的权重,代表结果组的判断结果,则组的组权重的计算公式为:
;
其中,检测引擎的权重是基于其历史返回正确检测结果所占的比例,过去一直返回正确结果的检测引擎的可靠性更高,其下一次也返回正确结果的概率更大。
具体来说,本发明中,步骤7-步骤9中检测引擎权重的具体更新步骤为:
步骤7、更新优胜组内所有检测引擎的权重,计算公式为:;
其中,和分别为检测引擎i返回正确结果的次数和返回结果的总次数;
步骤8、计算其它结果组(非优胜组)检测引擎的错误率,计算公式为:;
其中,和分别为检测引擎j返回错误结果的次数和返回结果的总次数;
显然,有成立;
步骤9、若(为恶意检测引擎判断的门限值),则将检测引擎i判断为恶意检测引擎,列入黑名单。
下面用一个实例来阐述本方法。
假定云端恶意程序判断系统由异构检测引擎A、B、C、D、E构成,各检测引擎的历史执行情况如表1所示。
表1云端检测引擎的历史执行情况
| 检测引擎 | A | B | C | D | E |
| 历史执行次数 | 10 | 8 | 7 | 6 | 10 |
| 返回正确结果次数 | 9 | 7 | 3 | 5 | 5 |
| 权重 | 0.9 | 0.875 | 0.429 | 0.833 | 0.5 |
若用户端上传一个正常文件n.txt(100%安全),云端随机选择B、C、E三个检测引擎进行并行检测,检测结果如表2所示。
由表2知检测结果可划分为两个结果组和,且它们的组权重分别为,。
这里我们预先设定组权重门限值t=0.7,显然,则启动“新”检测引擎参与检测。
表3和表4是启动检测引擎A、D后组权重的更新情况。由表4知,因此将结果组作为优胜组,其综合检测结果为最终结果。经过计算,n.txt的云端综合检测结果显示安全等级为0.997。
表2检测引擎B、C、E的检测结果
| 检测引擎 | B | C | E |
| 检测结果 | 安全 | 恶意 | 恶意 |
表3启动检测引擎A检测后各结果组的组权重
| 结果组 | ||
| 组权重 | 0.656 | 0.344 |
表4启动检测引擎D检测后各结果组的组权重
| 结果组 | ||
| 组权重 | 0.737 | 0.263 |
进一步地,我们需要对优胜组内检测引擎的权重进行更新,如表5所示。同时,计算其他组检测引擎的错误率,如表6所示。
表5优胜组检测引擎更新结果
| 检测引擎 | A | B | D |
| 历史执行次数 | 11 | 9 | 7 |
| 返回正确结果次数 | 10 | 8 | 6 |
| 权重 | 0.909 | 0.889 | 0.857 |
表6其他组检测引擎错误率计算结果
| 检测引擎 | C | E |
| 历史执行次数 | 8 | 11 |
| 返回错误结果次数 | 5 | 6 |
| 错误率 | 0.625 | 0.545 |
假设我们将设为0.5,即当检测引擎的错误率达到一半以上就认为其已被攻击,则本实施例中检测引擎C、E均被列入黑名单。
尽管本发明的内容已经通过上述优选实施例作了详细介绍,但应当认识到上述的描述不应被认为是对本发明的限制。在本领域技术人员阅读了上述内容后,对于本发明的多种修改和替代都将是显而易见的。因此,本发明的保护范围应由所附的权利要求来限定。
Claims (8)
1.一种云端“协同式”恶意检测引擎识别方法,其特征在于,该方法包含以下步骤:
步骤1、云端多个异构检测引擎并行检测用户端上传的可疑文件;
所述的云端有n个异构检测引擎,其中n≥2;
所述的多个异构检测引擎是从云端随机抽取的r个可用检测引擎,其中2≤r≤n;
步骤2、根据文件检测结果将云端检测引擎划分为结果组,即检测结果相同的检测引擎划分为一组;
步骤3、根据检测引擎的权重计算每个结果组的组权重;
所述的权重指的是该检测引擎返回正确检测结果的次数与返回结果的总次数的比例;
所述的组权重指的是该结果组内检测引擎的权重和与所有取出的检测引擎的权重和的比例;
步骤4、将每个结果组的组权重与预设门限值t比对,判断结果组的组权重是否大于或等于预设门限值t,若是,则转到步骤6,若否,则转到步骤5;
所述的预设门限值t为云端恶意检测结果被接受的最低标准;
步骤5、从云端取出一个未参与过该文件检测的检测引擎,对可疑文件重新检测,然后转到步骤3,将检测结果加入到结果组中并重新计算组权重;
步骤6、若某个组的组权重达到预设门限值t,则将该结果组作为优胜组,优胜组的综合判断结果即为可疑文件的云端综合判断结果;
步骤7、更新优胜组内所有检测引擎的权重;
步骤8、计算非优胜组内所有检测引擎的错误率;
所述的错误率为检测引擎返回错误检测结果的次数与返回结果的总次数的比例;
步骤9、判断步骤8中得到的检测引擎的错误率是否大于恶意检测引擎判断的门限值Emax,若大于Emax,则判定该检测引擎为恶意检测引擎,若不大于,则判定该检测引擎为正常检测引擎;
所述的恶意检测引擎判断的门限值Emax为云端恶意检测引擎的最低错误率。
2.如权利要求1所述的云端“协同式”恶意检测引擎识别方法,其特征在于,所述的云端恶意检测引擎数量不超过可用检测引擎总数的一半。
3.如权利要求2所述的云端“协同式”恶意检测引擎识别方法,其特征在于,所述的恶意检测引擎可能报告错误的检测结果,所述的正常检测引擎报告正确的检测结果。
4.如权利要求3所述的云端“协同式”恶意检测引擎识别方法,其特征在于,所述的恶意检测引擎既可以具备非“协同式”攻击特征,也可以具备“协同式”攻击特征。
5.如权利要求1-4中任意一个所述的云端“协同式”恶意检测引擎识别方法,其特征在于,步骤3中,Wi代表第i个检测引擎的权重,V(Gj)代表结果组Gj的判断结果,V(i)表示第i个检测引擎的判断结果,则组Gj的组权重的计算公式为:
其中,V(i)=V(Gj)表示第i个检测引擎的判断结果与组Gj结果一致,Wi:V(i)=V(Gj)表示与组Gj结果一致的第i个检测引擎的权重,检测引擎的权重是基于其历史返回正确检测结果所占的比例,过去一直返回正确结果的检测引擎的可靠性更高,其下一次也返回正确结果的概率更大。
6.如权利要求5所述的云端“协同式”恶意检测引擎识别方法,其特征在于,步骤7中,更新优胜组内所有检测引擎的权重,计算公式为:
其中,ni和Ni分别为检测引擎i返回正确结果的次数和返回结果的总次数。
7.如权利要求6所述的云端“协同式”恶意检测引擎识别方法,其特征在于,步骤8中,计算非优胜组检测引擎的错误率,计算公式为:
其中,ej和Nj分别为检测引擎j返回错误结果的次数和返回结果的总次数;
显然,有Wi+Ei=1成立,其中Wi表示第i个检测引擎检测的正确率,Ei表示第i个检测引擎检测的错误率。
8.如权利要求7所述的云端“协同式”恶意检测引擎识别方法,其特征在于,步骤9中,若Ei>Emax,Emax为恶意检测引擎判断的门限值,则将检测引擎i判断为恶意检测引擎,列入黑名单。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310151916.2A CN103220299B (zh) | 2013-04-27 | 2013-04-27 | 一种云端“协同式”恶意检测引擎识别方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310151916.2A CN103220299B (zh) | 2013-04-27 | 2013-04-27 | 一种云端“协同式”恶意检测引擎识别方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103220299A CN103220299A (zh) | 2013-07-24 |
| CN103220299B true CN103220299B (zh) | 2016-02-10 |
Family
ID=48817763
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310151916.2A Expired - Fee Related CN103220299B (zh) | 2013-04-27 | 2013-04-27 | 一种云端“协同式”恶意检测引擎识别方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103220299B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105046113B (zh) * | 2015-06-10 | 2018-01-05 | 国家计算机网络与信息安全管理中心 | 基于随机性检验的Android软件加固检测方法 |
| CN113343241B (zh) * | 2021-07-20 | 2023-04-11 | 南京中孚信息技术有限公司 | 基于在线恶意软件扫描平台的动态标签生成方法 |
| WO2024065446A1 (zh) * | 2022-09-29 | 2024-04-04 | 西门子股份公司 | 一种ot设备中文件的识别方法、装置、系统及存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102346828A (zh) * | 2011-09-20 | 2012-02-08 | 海南意源高科技有限公司 | 一种基于云安全的恶意程序判断方法 |
| CN103065086A (zh) * | 2012-12-24 | 2013-04-24 | 北京启明星辰信息技术股份有限公司 | 应用于动态虚拟化环境的分布式入侵检测系统及方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9516451B2 (en) * | 2012-04-10 | 2016-12-06 | Mcafee, Inc. | Opportunistic system scanning |
-
2013
- 2013-04-27 CN CN201310151916.2A patent/CN103220299B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102346828A (zh) * | 2011-09-20 | 2012-02-08 | 海南意源高科技有限公司 | 一种基于云安全的恶意程序判断方法 |
| CN103065086A (zh) * | 2012-12-24 | 2013-04-24 | 北京启明星辰信息技术股份有限公司 | 应用于动态虚拟化环境的分布式入侵检测系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103220299A (zh) | 2013-07-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106790186B (zh) | 基于多源异常事件关联分析的多步攻击检测方法 | |
| US10826684B1 (en) | System and method of validating Internet of Things (IOT) devices | |
| CN107104978B (zh) | 一种基于深度学习的网络风险预警方法 | |
| CN108989150B (zh) | 一种登录异常检测方法及装置 | |
| CN111786950B (zh) | 基于态势感知的网络安全监控方法、装置、设备及介质 | |
| WO2021109695A1 (zh) | 一种对抗攻击的监测方法和装置 | |
| CN110493179B (zh) | 基于时间序列的网络安全态势感知系统和方法 | |
| CN101950338A (zh) | 一种基于层次化漏洞威胁评估的漏洞修复方法 | |
| CN109413016B (zh) | 一种基于规则的报文检测方法和装置 | |
| CN108228722B (zh) | 破碎化区域采样点的地理空间分布均匀度检测方法 | |
| CN107276851B (zh) | 一种节点的异常检测方法、装置、网络节点及控制台 | |
| CN110995482A (zh) | 告警分析方法、装置、计算机设备及计算机可读存储介质 | |
| CN112749097B (zh) | 一种模糊测试工具性能测评方法、装置 | |
| CN109190375B (zh) | 分析恶意程序传播规律的方程组及恶意程序扩散预测方法 | |
| CN103220299B (zh) | 一种云端“协同式”恶意检测引擎识别方法 | |
| Juvonen et al. | An efficient network log anomaly detection system using random projection dimensionality reduction | |
| Kuznetsov et al. | Variance analysis of networks traffic for intrusion detection in smart grids | |
| CN111835781B (zh) | 一种基于失陷主机发现同源攻击的主机的方法及系统 | |
| CN103235914B (zh) | 一种云端恶意检测引擎识别方法 | |
| CN111191683B (zh) | 基于随机森林和贝叶斯网络的网络安全态势评估方法 | |
| Asadian et al. | Identification of Sybil attacks on social networks using a framework based on user interactions | |
| CN113364786A (zh) | 基于安全云服务大数据的组件配置方法及ai云服务系统 | |
| KR102433581B1 (ko) | 시계열 학습형 앙상블 인공지능 기법을 이용한 사회이슈 기반 사이버 표적공격 예측 시스템 및 그 예측 방법 | |
| CN113596064B (zh) | 一种安防平台的分析控制方法及系统 | |
| CN115827379A (zh) | 异常进程检测方法、装置、设备和介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160210 Termination date: 20190427 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |