CN103235914B

CN103235914B - 一种云端恶意检测引擎识别方法

Info

Publication number: CN103235914B
Application number: CN201310151944.4A
Authority: CN
Inventors: 聂雄丁; 韩德志; 毕坤
Original assignee: Shanghai Maritime University
Current assignee: Shanghai Maritime University
Priority date: 2013-04-27
Filing date: 2013-04-27
Publication date: 2015-12-23
Anticipated expiration: 2033-04-27
Also published as: CN103235914A

Abstract

一种云端恶意检测引擎识别方法，通过云端多个异构检测引擎并行检测客户端上传的可疑文件，将检测结果相同的检测引擎划分为同一结果组，并采取少数服从多数的投票策略选取检测引擎数量最多的结果组为最佳结果组，按照Dempster-Shafer综合判断方法融合最佳结果组内各检测引擎的检测结果，并将其作为文件的云端综合判断结果，计算非最佳结果组内的各可疑检测引擎的恶意距，并将其与预设门限值比对，若大于预设门限值则判定为恶意检测引擎。本发明不仅保障了云端恶意程序判断的可靠性和准确性，还能高效地识别云端恶意检测引擎。

Description

一种云端恶意检测引擎识别方法

技术领域

本发明涉及一种云端恶意检测引擎识别方法。

背景技术

随着云计算的发展，利用云安全进行恶意程序分析、判断和决策是恶意程序防治的一个必然趋势。而云安全本质上就是杀毒软件的网络化，即将恶意程序判断工作转移至云端服务器，把客户端作为病毒收集器，从而实现新病毒的快速响应。然而由于现有商业模式的限制，360、趋势等公司推出的“云杀毒”产品的云端由多个单一类型的检测引擎构成，这在一定程度上提升了恶意程序的检测速度，但并不能提高检测的范围和精度。

为了解决这个问题，异构检测引擎构成的云安全技术路线应运而生。安全厂商在云端部署多个异构检测引擎，当用户进行系统访问时，客户端进行拦截并上传至云端，由云端综合检测后向用户端反馈结果。为了提高系统运行的效率，可以在本地和云端分别建立检测结果数据库，避免相同威胁的重复检测。

异构检测引擎构成的云安全相比单一类型检测引擎构成的云安全优势体现在以下几个方面：

1、丰富了恶意程序判断的技术手段。不同的检测引擎对恶意程序认识的侧重点不同，决定了其采用技术手段的差异性，因而将云端单一类型恶意检测技术升级为多重保护。

2、扩大了恶意程序的识别范围。单一类型检测引擎可能对某种类型的恶意程序检测十分有效，但是对于其它类型的恶意程序可能存在缺陷。如果云端采用多个单一类型的检测引擎将会存在一定的限制。异构检测引擎构成的云安全保证了云端检测引擎的多样性，从而提高了恶意程序检测的覆盖面。

3、解决了单点失效(singlefailure)问题。如果云端采用单一类型的多个检测引擎，一旦因为某种人为或非人为因素干扰造成该种类型的检测引擎失效，将直接导致整个云端检测系统的瘫痪。而异构检测引擎构成的云安全则避免了单点失效风险，即便某种类型的检测引擎因故失效，云端仍然有其它多种选择。理论上多个异构检测引擎同时失效为小概率事件，基本上不会发生。

4、提高了恶意程序判断的可靠性和准确性。异构检测引擎对恶意程序判定的结果存在差异性，为云端提供了多个参考依据，提高了恶意程序判定的可靠性；另一方面，不同的检测引擎其准确率也不同，云端可采用综合判断算法提高恶意程序判定的准确性。

实际上，融合多种异构检测引擎的恶意程序判断方案本质上综合了多种恶意检测技术的优势，因而其检测的覆盖面和精度都比单一类型检测引擎高。但多引擎综合优势体现的前提是各检测引擎能够正常运行，其检测结果完全可靠。然而，检测引擎并不总是可靠的。美国国家漏洞数据库(NationalVulnerabilityDatabase)披露了十种主流杀毒软件2005-2007年间的漏洞数量，结果显示各主流杀毒软件都存在不同程度的漏洞缺陷，并且高危漏洞所占比例最大。随着检测引擎功能越来越强大，其内部结构也日益复杂，检测引擎本身的漏洞更容易遭受到黑客的攻击，这直接影响到检测结果的正确性和整个云安全系统的可靠性。而如何应对受攻击的恶意检测引擎，还鲜有报道。

发明内容

本发明提供的一种云端恶意检测引擎识别方法，保障了云端恶意程序判断的可靠性，提高了云端恶意程序判断的准确性，能够高效地识别云端恶意检测引擎，具有广泛的实用性。

为了达到上述目的，本发明提供一种云端恶意检测引擎识别方法，该方法包含以下步骤：

步骤1、云端多个异构检测引擎并行检测用户端上传的可疑文件；

步骤2、根据文件检测结果将云端检测引擎划分为结果组，即检测结果相同的检测引擎划分为一组；

步骤3、按少数服从多数的投票策略取组内元素最多的组作为最佳结果组；

步骤4、根据Dempster-Shafer理论融合最佳结果组的各检测结果，并将生成结果作为该文件的最终判定结果；

步骤5、计算除了最佳结果组以外的检测引擎的恶意距；

所述的恶意距为最佳结果组外检测引擎的检测结果与综合判定结果的差距；

步骤6、将步骤5得到的最佳结果组外检测引擎的恶意距依次与预设门限值比对，若大于预设门限值，则判定该检测引擎为恶意检测引擎，否则为正常检测引擎。

所述的云端由两种以上异构检测引擎构成。

所述的恶意检测引擎数量小于云端检测引擎总数的一半。

所述的恶意检测引擎报告错误的检测结果，所述的非恶意检测引擎报告正确的检测结果。

所述的恶意检测引擎并无“协同式“或“勾结式”攻击特征，而是攻击行为相对独立的个体。

所述步骤4中，Dempster-Shafer融合理论中，

设是一个识别框架，在识别框架上的基本概率分配BPA(BasicProbabilityAssignment的简称)是一个的函数，并且满足：

对于，识别框架上的有限个函数,,的Dempster合成规则为：

其中，其融合的结果表明经过个检测引擎对识别框架中结果为的概率。

所述的步骤5中，用差的绝对值或余弦相似度来计算恶意距。

本发明具有以下优点及效果：

1、保障了云端恶意程序判断的可靠性。根据少数服从多数的投票策略可知最佳结果组内各检测引擎是正常的，而其它结果组的检测引擎存在可疑，因而取最佳结果组的综合判断结果可保障云端恶意判断的可靠性。

2、提高了云端恶意程序判断的准确性。各异构检测引擎的准确率存在差异，根据Dempster-Shafer理论融合最佳结果组的各检测结果，可提高云端恶意程序判断的准确性。

3、高效地识别云端恶意检测引擎。目前针对恶意检测引擎的应对策略还缺乏相关研究，而在异构检测引擎构成的云端如何识别恶意检测引擎显得尤为重要和迫切。本发明通过计算可疑检测引擎的恶意距，并将其与预设门限值比对，可有效地识别云端恶意检测引擎。特别地，相比计算个体差异度的取“平均值”常见方法，本发明优势更明显。

4、广泛的实用性。针对应用场合的不同特点，科学地设计恶意检测引擎的判断标准—预设门限值，可适应于不同的场景。

附图说明

图1是本发明的流程图。

图2是基于余弦相似度的恶意距示意图。

具体实施方式

以下根据图1和图2，具体说明本发明的较佳实施例。

如图1所示，本发明提供一种云端恶意检测引擎识别方法，其包含以下步骤：

所述的云端由两种以上异构检测引擎构成；

所述的恶意检测引擎并无“协同式“或“勾结式”攻击特征，而是攻击行为相对独立的个体；

所述的恶意检测引擎数量小于云端检测引擎总数的一半；

所述的恶意检测引擎报告错误的检测结果，所述的非恶意检测引擎报告正确的检测结果；

步骤2、根据文件检测结果将云端检测引擎划分为结果组(resultgroup),即检测结果相同的检测引擎划分为一组；

步骤3、按少数服从多数的投票策略取组内元素最多的组作为最佳结果组(bestresultgroup)；

步骤4、根据Dempster-Shafer（证据理论）理论融合最佳结果组的各检测结果，并将生成结果作为该文件的最终判定结果；

所述的Dempster-Shafer融合理论的基本知识如下：

对于，识别框架上的有限个函数,,的Dempster合成规则为：

步骤5、计算除了最佳结果组以外的检测引擎的恶意距；

所述的恶意距为最佳结果组外检测引擎的检测结果与综合判定结果的差距，用差的绝对值或余弦相似度表示；

所述的预设门限值不是一个固定值，而是根据实际情况科学衡量可疑检测引擎是否为恶意检测引擎的标准。所述的预设门限值根据检测的要求来度量，当要求较高时设置得大一些，当要求较低时设置得小一些。

用一个实例来阐述步骤4中所述基于Dempster-Shafer理论的云端综合判断方法。假设云端由异构检测引擎A、B构成，且异构检测引擎A的准确率为0.7，异构检测引擎B的准确率为0.8，客户端上传可疑文件x至云端，其中异构检测引擎A判断为正常(Normal)，而异构检测引擎B判断为恶意(Malicious)。根据Dempster-Shafer理论来融合两个检测引擎的检测结果，客户端上传文件存在正常(N)和恶意(M)两种互斥状态，且。因此可得识别框架，且两个证据源的基本概率分别为：，；，。计算归一化常数K==0.7*0.2+0.3*0.8=0.38。将两种检测引擎的检测结果进行融合，根据Shafer融合规则得到恶意程序的概率为：。因此，根据两种引擎的判断结果，云端发现该文件有0.63的概率为恶意程序。

下面用一个实施例来阐述本方法：

假设云端包含异构检测引擎A、B、C，且它们的准确率分别为0.9、0.8、0.7，约定如表1所示的字母表。

表1字母表

假设客户端提交的文件x是完全可靠的(100%安全)，则云端正常检测引擎的个数为2个或3个，且检测出x是安全的。于是，我们可计算各种情况下x的综合判断结果，如表2所示。

表2各种情形下x的综合判断结果

根据表2，我们依次可计算出各情形下可疑检测引擎的恶意距，如表3所示。

表3各种情形下可疑检测引擎的恶意距

若我们预先设定恶意检测引擎判断的门限值，则可依次判断表3中可疑检测引擎A、B、C为恶意检测引擎。而若将设为0.7，则可确定和情形下的可疑检测引擎A、B为恶意检测引擎。这里的门限值并不是一个固定的值，应根据实际情况动态设定。

关于恶意距，我们也可以采用“余弦相似度(cosinesimilarity)”方案来度量。这里，可取<正常概率，恶意概率>作为评测向量，因此可疑检测引擎的待测向量与大多数正常检测引擎生成的基准向量间的夹角就代表了其偏离度，如图2所示。假设待测向量为，基准向量为(其中)，则两者的“余弦相似度”为：

特别地，当大多数正常引擎的综合判断结果为100%安全，而可疑检测引擎的检测结果为100%危险时，即基准向量为(1,0)而待测向量为(0,1)，此时两者的余弦相似度为0且夹角为，达到最大偏离度。我们可以按“余弦相似度”重新计算表3，如表4所示。注意：余弦函数在[0,]内单调递减，因此“余弦相似度”越小表明偏离度越大。

表4各种情形下受攻击检测引擎的余弦相似度

显然，恶意距是衡量可疑检测引擎是否为恶意检测引擎的标准，因为其代表了可疑检测引擎检测结果与绝大多数正常检测引擎的综合检测结果的偏离值，偏离值越大则说明受到攻击的概率越大。

为了证明本发明的优越性，我们将其与常见的取“平均值”方法进行比较，比较结果如表5所示。

表5本发明与取“平均值”两种方案的对比结果

从表5可以看到，本发明与取“平均值”方案相比，计算出的恶意距更大。实际上，对于一个100%安全的文件x而言，少数检测出恶意的可疑检测引擎被攻击的概率非常大。因此，本发明更容易判断出可疑检测引擎是否被恶意攻击，优势更明显。

尽管本发明的内容已经通过上述优选实施例作了详细介绍，但应当认识到上述的描述不应被认为是对本发明的限制。在本领域技术人员阅读了上述内容后，对于本发明的多种修改和替代都将是显而易见的。因此，本发明的保护范围应由所附的权利要求来限定。

Claims

1.一种云端恶意检测引擎识别方法，其特征在于，该方法包含以下步骤：

步骤5、计算除了最佳结果组以外的检测引擎的恶意距；

2.如权利要求1所述的一种云端恶意检测引擎识别方法，其特征在于，所述的云端由两种以上异构检测引擎构成。

3.如权利要求2所述的一种云端恶意检测引擎识别方法，其特征在于，所述的恶意检测引擎数量小于云端检测引擎总数的一半。

4.如权利要求3所述的一种云端恶意检测引擎识别方法，其特征在于，所述的恶意检测引擎报告错误的检测结果，所述的正常检测引擎报告正确的检测结果。

5.如权利要求4所述的一种云端恶意检测引擎识别方法，其特征在于，所述的恶意检测引擎并无“协同式“或“勾结式”攻击特征，而是攻击行为相对独立的个体。

6.如权利要求1所述的一种云端恶意检测引擎识别方法，其特征在于，所述步骤4中，Dempster-Shafer融合理论中，

设Θ是一个识别框架，在识别框架Θ上的基本概率分配BPA(BasicProbabilityAssignment的简称)是一个2^Θ→[0,1]的函数m，并且满足：

m(φ)＝0

\underset{A &SubsetEqual; Θ}{Σ} m (A) = 1

对于识别框架Θ上的有限个m函数m₁,m₂,…m_n的Dempster合成规则为：

(m_{1 &CirclePlus; m_{2}} &CirclePlus; ... &CirclePlus; m_{n}) (A) = \frac{1}{K} \underset{A_{1} \cap A_{2} \cap ... \cap A_{n} = A}{Σ} m_{1} (A_{1}) \cdot m_{2} (A_{2}) ... m_{n} (A_{n})

K = \underset{A_{1} \cap A_{2} \cap ... \cap A_{n} &NotEqual; φ}{Σ} m_{1} (A_{1}) \cdot m_{2} (A_{2}) ... m_{n} (A_{n})

其中，其融合的结果表明经过n个检测引擎对识别框架Θ中结果为A的概率。

7.如权利要求1所述的一种云端恶意检测引擎识别方法，其特征在于，所述的步骤5中，用差的绝对值或余弦相似度来计算恶意距。