CN103581152B - 更新扫描规则的方法及装置 - Google Patents

更新扫描规则的方法及装置 Download PDF

Info

Publication number
CN103581152B
CN103581152B CN201210280617.4A CN201210280617A CN103581152B CN 103581152 B CN103581152 B CN 103581152B CN 201210280617 A CN201210280617 A CN 201210280617A CN 103581152 B CN103581152 B CN 103581152B
Authority
CN
China
Prior art keywords
scanning
user
event
consumers
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201210280617.4A
Other languages
English (en)
Other versions
CN103581152A (zh
Inventor
尚鸿
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tencent Technology Shenzhen Co Ltd
Tencent Cloud Computing Beijing Co Ltd
Original Assignee
Tencent Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tencent Technology Shenzhen Co Ltd filed Critical Tencent Technology Shenzhen Co Ltd
Priority to CN201210280617.4A priority Critical patent/CN103581152B/zh
Priority to PCT/CN2013/080181 priority patent/WO2014023166A1/en
Priority to KR1020147015121A priority patent/KR20140089571A/ko
Priority to US14/097,718 priority patent/US9342686B2/en
Publication of CN103581152A publication Critical patent/CN103581152A/zh
Application granted granted Critical
Publication of CN103581152B publication Critical patent/CN103581152B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2101Auditing as a secondary aspect

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Debugging And Monitoring (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

一种更新扫描规则的方法,包括:获取上传的操作记录,提取所述操作记录对应的扫描信息;根据所述扫描规则获取与所述扫描信息对应的推荐操作提示;计算所述操作记录与所述推荐操作提示的匹配度;根据所述匹配度更新所述扫描规则。此外,还提供了一种更新扫描规则的装置。上述更新扫描规则的方法和装置可以减少扫描时的误报率,从而提高安全性。

Description

更新扫描规则的方法及装置
技术领域
本发明涉及计算机技术领域,特别是涉及一种更新扫描规则的方法及装置。
背景技术
传统技术中,个人终端上通常安装有安全软件的客户端。用户在使用安全软件的客户端查杀病毒时,客户端可结合服务器主动或被动地扫描个人终端上的数据,从而对个人终端起到安全防护的作用。
传统的云扫描数据的方法中,客户端可先根据预设的校验规则对个人终端中的扫描内容进行扫描得到扫描信息,并将扫描信息上传服务器。扫描内容可包括可能导致系统出现安全隐患的文件和/或扫描点。可能导致系统出现安全隐患的文件通常为可执行文件或者dll文件,其校验规则通常为计算文件的MD5码。扫描点通常为安全软件设置的标识位置或者入口位置,如开始菜单、系统启动项、IE加载信息等,其校验规则通常为获取或计算扫描点的配置信息。
服务器上存储有扫描规则,扫描规则中定义了扫描信息与推荐操作提示的对应关系。服务器将扫描信息与预设的校验信息进行比对,若不匹配,则根据预设的扫描规则返回与扫描信息对应的推荐操作提示。客户端的用户可根据推荐操作提示进行相应的处理。
然而,传统技术中,扫描规则为预先设置,通常由提供数据扫描服务的服务商通过小范围内的测试得到,并定期在服务器上根据近期流行的病毒或木马信息进行更新,不能适应不同用户群体的应用环境。且对于存在风险的新创建的文件或扫描点,扫描规则也无法立即对其适配,使得扫描数据时的异常判定的误报率较高,从而降低了数据保护安全性。
发明内容
基于此,有必要提供一种能提高数据保护安全性的更新扫描规则的方法。
一种更新扫描规则的方法,包括:
获取上传的操作记录,提取所述操作记录对应的扫描信息;
根据所述扫描规则获取与所述扫描信息对应的推荐操作提示;
计算所述操作记录与所述推荐操作提示的匹配度;
根据所述匹配度更新所述扫描规则。
此外,还有必要提供一种能提高数据保护安全性的更新扫描规则的装置。
一种更新扫描规则的装置,包括:
操作记录获取模块,用于获取上传的操作记录,提取所述操作记录对应的扫描信息;
推荐操作获取模块,用于根据所述扫描规则获取与所述扫描信息对应的推荐操作提示;
匹配度计算模块,用于计算所述操作记录与所述推荐操作提示的匹配度;
扫描规则更新模块,用于根据所述匹配度更新所述扫描规则。
上述更新扫描规则的方法和装置,通过比较上传的操作记录与对应的推荐操作提示的匹配度更新扫描规则,使得更新后的扫描规则中定义的推荐操作提示可更加适应用户的实际应用环境,从而降低了误报率,提高了安全性。
附图说明
图1为一个实施例中更新扫描规则的方法的流程图;
图2为一个实施例中扫描过程的流程图;
图3为一个实施例中扫描点、校验规则、扫描信息对应关系图;
图4为一个实施例中更新扫描规则的装置的结构示意图;
图5为另一个实施例中更新扫描规则的装置的结构示意图。
具体实施方式
在一个实施例中,如图1所示,一种更新扫描规则的方法,包括:
步骤S102,获取上传的操作记录,提取操作记录对应的扫描信息。
操作记录为用户根据反馈的扫描结果对存在风险的文件进行处理的记录,可包括用户选取的操作类型、用户使用的客户端的硬件环境参数和软件环境参数等。扫描信息即为扫描内容的校验信息。扫描内容可包括文件和扫描点。
在一个实施例中,对扫描内容进行扫描后,可根据用户针对存在风险的扫描内容进行处理时的输入指令的记录生成操作记录。对扫描内容进行扫描的过程可具体为:
步骤S202,获取扫描信息。
步骤S204,判断扫描信息与预设的校验信息是否匹配,若不匹配,则根据扫描规则获取对应的推荐操作提示。
步骤S206,返回推荐操作提示。
扫描信息可以是文件的MD5码,也可以是扫描点的配置信息。可根据预设的校验规则对扫描内容进行处理得到扫描信息。例如,对于文件类型的扫描内容,校验规则可以是计算其MD5码;对于扫描点类型的扫描内容,校验规则可以是获取或计算其配置信息。可通过比较MD5码或配置信息是否相等来判断扫描信息与预设的校验信息是否匹配。
需要说明的是,判断扫描信息与预设的校验信息是否匹配的步骤既可在客户端上执行也可在服务器上执行。在服务器上执行时,客户端先计算扫描内容的扫描信息,然后将该扫描信息上传至服务器,服务器再对该上传的扫描信息进行校验。
在一个实施例中,推荐操作提示可包括删除提示和信任提示。删除提示和信任提示为相反提示。客户端可通过弹窗的形式展示该推荐操作提示,从而引导用户进行相应的操作。在本实施例中,校验信息不匹配的扫描信息对应了存在风险的扫描内容。客户端可在弹出窗口中标注存在风险的扫描内容的名称、扫描内容位置、扫描时间以及推荐操作提示等信息,并展示三个按钮,分别对应删除操作、信任操作以及忽略操作。
在本实施例中,操作记录中包含了用户针对推荐操作提示输入的实际操作类型。例如,若推荐操作提示为删除,而用户认为该提示为误报,则可点击信任按钮,则操作记录中包含的实际操作类型为信任操作;若用户认为不确定,则可点击忽略按钮,则操作记录中包含的实际操作类型为忽略操作。
在一个实施例中,扫描内容还可以对应多项扫描信息,可分别与多项预设的校验信息进行匹配。
如图3所示,扫描点a可分别对应三种校验规则a1、a2以及a3,即在扫描过程中可对扫描点采用三种不同的方法获取其扫描信息。例如,校验规则可以是比较文件数量、比较文件大小、比较文件的目录层级等。
步骤S104,根据扫描规则获取与扫描信息对应的推荐操作提示。
在本实施例中,与扫描信息与对应的推荐操作提示在初始时,可通过测试环境进行设置,例如,可根据流行病毒的感染文件后的特征来设置初始的推荐操作提示,并记录在扫描规则中。
如表1所示:
表1
文件名 校验结果 推荐操作 实际操作
文件1 风险 删除 信任
文件2 风险 删除 删除
文件3 正常 信任 信任
文件4 正常 信任 删除
表1的前三列表示了扫描规则,实际操作为从操作记录中提取的用户针对该文件的提示信息执行的具体的操作。其中,“校验结果”为扫描信息与预设的校验信息比对后的结果。风险即表示比对结果为匹配,正常即表示比对结果为不匹配。
如表2所示:
表2
用户类型 扫描内容 校验规则 扫描信息 匹配 推荐 实际
类型1 文件a 校验规则a 扫描信息a 正常 信任 忽略
类型2 文件a 校验规则a 扫描信息a 风险 删除 忽略
类型2 扫描点b 校验规则b1 扫描信息b1 风险 删除 信任
类型1 扫描点b 校验规则b3 扫描信息b3 风险 删除 删除
类型2 扫描点c 校验规则c2 扫描信息c2 正常 信任 信任
类型2 文件d 校验规则d 扫描信息d 正常 信任 信任
类型3 文件e 校验规则e 扫描信息e 风险 删除 删除
表2表示了接收到的操作记录与扫描规则的整体对应关系。其中,用户类型用于区分不同类型的用户对应的扫描规则。校验规则用于确定扫描内容与扫描信息之间的对应关系。通常情况下,文件类型的扫描内容的校验规则相同,均为通过计算并比较文件的哈希值,例如MD5码等,即校验规则a、d、e可以相同。“推荐”列表示扫描规则定义的扫描信息对应的推荐操作,“实际”列表表示用户的实际操作。
需要说明的是,表1和表2仅用于说明扫描规则中定义的扫描信息与推荐操作的对应关系,实际运行过程以及实际产品中,并不需要存在类似表1的实体表。
步骤S106,计算操作记录与推荐操作提示的匹配度。
在一个实施例中,匹配度包括支持度。
计算操作记录与推荐操作提示的匹配度的步骤为:
获取与操作记录中的用户类型相同的类型用户的总数目,获取类型用户中上传的操作记录对应扫描信息的事件用户的事件用户数,根据事件用户数和总数目计算支持度。
支持度可反映特定用户类型的用户群体中,上传了与扫描信息对应的操作记录的用户所占的比例。由于一般情况下,在扫描信息有风险时才会有相应的操作记录并上传,因此,该比例可以反映该扫描信息的风险涉及的用户范围。
进一步的,匹配度还可包括置信度。
获取类型用户中上传的操作记录对应扫描信息的事件用户的事件用户数的步骤之后还包括:
获取与扫描信息对应的推荐操作提示,获取事件用户中上传的操作记录匹配推荐操作提示的置信用户的置信用户数,根据置信用户数和事件用户数计算置信度。
置信度可反映事件用户中认可推荐操作提示的用户占事件用户的比例。置信度较高时,说明推荐操作提示得到较多数用户的认可,即误报率较低。
进一步的,匹配度还可包括置疑度;
获取类型用户中上传的操作记录对应扫描信息的事件用户的事件用户数的步骤之后还包括:
获取与扫描信息对应的推荐操作提示的相反提示;获取事件用户中上传的操作记录匹配相反提示的置疑用户的置疑用户数;根据置疑用户数和事件用户数计算置疑度。
置疑度可反映事件用户中不认可推荐操作提示的用户占事件用户的比例。置疑度较高时,说明推荐操作提示得到较多数用户的反对或质疑,即误报率较高。
例如,若全体用户数为N,操作记录中的用户类型相同的类型用户的总数目为Nu,则对于扫描信息i,类型用户中上传过对应扫描信息i的操作记录的事件用户的事件用户数为Nui,Nui为Nu的子集。
则,可通过Nui/Nu计算得到支持度。
若事件用户中上传的操作记录包含有信任操作的操作记录的用户数为Nuia,事件用户中上传的操作记录包含有删除操作的操作记录的用户数为Nuid,由于用户可能会选择忽略操作,因此Nuia+Nuid<Nui
则,当推荐操作提示为信任时,Nuia即为置信用户数,Nuid即为置疑用户数。可通过Nuia/Nui计算得到置信度;通过Nuid/Nui计算得到置疑度。
当推荐操作提示为删除时,Nuid即为置信用户数,Nuia即为置疑用户数。可通过Nuid/Nui计算得到置信度;通过Nuia/Nui计算得到置疑度。
需要说明的是,获取类型用户的总数目、事件用户数、置信用户数、置疑用户数的步骤没有严格的执行顺序;计算支持度、置信度以及置疑度的步骤也没有严格的执行顺序,计算支持度、置信度以及置疑度的步骤可同时执行,也可根据实际需要以任意顺序执行。
在本实施例中,获取上传的操作记录的步骤之后还可根据上传的操作记录更新类型用户的总数目、事件用户数、选择信任操作的用户数以及选择删除操作的用户数。
选择信任操作的用户数即为事件用户中上传的操作记录包含有信任操作的用户的总数目;选择删除操作的用户数即为事件用户中上传的操作记录包含有删除操作的用户的总数目。当推荐操作提示为信任时,选择信任操作的用户数即为置信用户数,选择删除操作的用户数即为置疑用户数;当推荐操作提示为删除时,选择信任操作的用户数即为置疑用户数,选择删除操作的用户数即为置信用户数。
在本实施例中,更新类型用户的总数目、事件用户数、选择信任操作的用户数以及选择删除操作的用户数的方法可采用累加法。
例如,可获取操作记录中的用户类型,根据用户类型获取类型用户的总数目并累加;进一步的可根据扫描信息获取类型用户中的事件用户,并将事件用户数并累加;然后判断操作记录中包含的实际操作类型,若为信任操作,则将对应该事件用户的选择信任操作的用户数累加;若为删除操作,则将对应该事件用户的选择删除操作的用户数累加;若为忽略操作,则不做任何操作。
步骤S108,根据匹配度更新扫描规则。
在一个实施例中,匹配度包括支持度、置信度以及置疑度。根据匹配度更新扫描规则的步骤可具体为:在支持度大于支持度阈值,且置信度小于置信度阈值,且置疑度大于置疑度阈值时,更改扫描信息对应的推荐操作提示为相反提示。
如上例中,若推荐操作提示为信任,支持度Nui/Nu大于0.9,且置信度Nuia/Nui小于0.2,且置信度Nuid/Nui大于0.6,则更新扫描信息对应的推荐提示操作为删除。也就是说,当该用户类型的用户群体中,有较大一部分用户检测出风险弹出了提示框时(支持度大于支持度阈值),若只有小部分用户采取了与推荐提示操作相同的实际操作(置信度小于置信度阈值),且有大部分用户采取了与推荐提示操作相反的实际操作(置疑度大于置疑度阈值),则将扫描规则中扫描信息对应的推荐操作提示更改为相反提示。
在一个实施例中,获取上传的扫描信息的步骤之后还可判断是否存在与扫描信息对应的预设的校验信息,若是,则继续执行判断扫描信息与预设的校验信息是否匹配的步骤;否则,根据预设的权重系数通过比较选择信任操作的用户数和选择删除操作的用户数获取所对应的推荐操作提示并返回。
对于未知扫描内容,即未知或新建的文件和未知或新建的扫描点,可求得选择信任操作的用户数和选择删除操作的用户数各自占事件用户数的比例之后,再将比例乘以各自对应的权重系数并相减,根据相减的结果获取对应的推荐操作提示并返回。
例如,若权重系数为a,则选择信任操作的用户数占事件用户数的比例为Nuia/Nui,选择删除操作的用户数占事件用户数的比例为Nuid/Nui,可根据下述公式的计算结果获取推荐操作提示。
T=axNuia/Nui-(1-a)×Nuid/Nui
其中,T为中间结果,a和(1-a)为各自的权重系数。若T大于阈值,例如0,则推荐提示操作为信任,若T小于阈值,则推荐提示操作为删除。
在一个实施例中,如图4所示,一种更新扫描规则的装置,包括:操作记录获取模块102、推荐操作获取模块104、匹配度计算模块106、扫描规则更新模块108,其中:
操作记录获取模块102,用于获取上传的操作记录,提取操作记录对应的扫描信息。
操作记录为用户根据反馈的扫描结果对存在风险的文件进行处理的记录,可包括用户选取的操作类型、用户使用的客户端的硬件环境参数和软件环境参数等。扫描信息即为扫描内容的校验信息。扫描内容可包括文件和扫描点。
在一个实施例中,如图5所示,更新扫描规则的装置还包括:
扫描信息获取模块110,用于获取扫描信息。
扫描信息校验模块112,用于断扫描信息与预设的校验信息是否匹配,若不匹配,则根据扫描规则获取对应的推荐操作提示。
推荐操作返回模块114,用于返回推荐操作提示。
通过扫描信息获取模块110、扫描信息校验模块112以及推荐操作返回模块114对扫描内容进行扫描后,可根据用户针对存在风险的扫描内容进行处理时的输入指令的记录生成操作记录。
扫描信息可以是文件的MD5码,也可以是扫描点的配置信息。扫描信息获取模块110可用于根据预设的校验规则对扫描内容进行处理得到扫描信息。例如,对于文件类型的扫描内容,校验规则可以是计算其MD5码;对于扫描点类型的扫描内容,校验规则可以是获取或计算其配置信息。扫描信息校验模块112可用于通过比较MD5码或配置信息是否相等来判断扫描信息与预设的校验信息是否匹配。
需要说明的是,扫描信息校验模块112既可设置在客户端上也可设置在服务器上。扫描信息校验模块112设置在服务器上时,设置于客户端上的扫描信息获取模块110可先计算扫描内容的扫描信息,然后将该扫描信息上传至服务器上的扫描信息校验模块112,推荐操作返回模块112可用于对该上传的扫描信息进行校验。
在一个实施例中,推荐操作提示可包括删除提示和信任提示。删除提示和信任提示为相反提示。客户端可通过弹窗的形式展示该推荐操作提示,从而引导用户进行相应的操作。在本实施例中,校验信息不匹配的扫描信息对应了存在风险的扫描内容。客户端可在弹出窗口中标注存在风险的扫描内容的名称、扫描内容位置、扫描时间以及推荐操作提示等信息,并展示三个按钮,分别对应删除操作、信任操作以及忽略操作。
在本实施例中,操作记录中包含了用户针对推荐操作提示输入的实际操作类型。例如,若推荐操作提示为删除,而用户认为该提示为误报,则可点击信任按钮,则操作记录中包含的实际操作类型为信任操作;若用户认为不确定,则可点击忽略按钮,则操作记录中包含的实际操作类型为忽略操作。
在一个实施例中,扫描内容还可以对应多项扫描信息,可分别与多项预设的校验信息进行匹配。
如图3所示,扫描点a可分别对应三种校验规则a1、a2以及a3,即在扫描过程中可对扫描点采用三种不同的方法获取其扫描信息。例如,校验规则可以是比较文件数量、比较文件大小、比较文件的目录层级等。
推荐操作获取模块104,根据扫描规则获取与扫描信息对应的推荐操作提示。
在本实施例中,与扫描信息与对应的推荐操作提示在初始时,可通过测试环境进行设置,例如,可根据流行病毒的感染文件后的特征来设置初始的推荐操作提示,并记录在扫描规则中。
如表3所示:
表3
文件名 校验结果 推荐操作 实际操作
文件1 风险 删除 信任
文件2 风险 删除 删除
文件3 正常 信任 信任
文件4 正常 信任 删除
表3的前三列表示了扫描规则,实际操作为从操作记录中提取的用户针对该文件的提示信息执行的具体的操作。其中,“校验结果”为扫描信息与预设的校验信息比对后的结果。风险即表示比对结果为匹配,正常即表示比对结果为不匹配。
如表4所示:
表4
用户类型 扫描内容 校验规则 扫描信息 匹配 推荐 实际
类型1 文件a 校验规则a 扫描信息a 正常 信任 忽略
类型2 文件a 校验规则a 扫描信息a 风险 删除 忽略
类型2 扫描点b 校验规则b1 扫描信息b1 风险 删除 信任
类型1 扫描点b 校验规则b3 扫描信息b3 风险 删除 删除
类型2 扫描点c 校验规则c2 扫描信息c2 正常 信任 信任
类型2 文件d 校验规则d 扫描信息d 正常 信任 信任
类型3 文件e 校验规则e 扫描信息e 风险 删除 删除
表4表示了接收到的操作记录与扫描规则的整体对应关系。其中,用户类型用于区分不同类型的用户对应的扫描规则。校验规则用于确定扫描内容与扫描信息之间的对应关系。通常情况下,文件类型的扫描内容的校验规则相同,均为通过计算并比较文件的哈希值,例如MD5码等,即校验规则a、d、e可以相同。“推荐”列表示扫描规则定义的扫描信息对应的推荐操作,“实际”列表示用户的实际操作。
需要说明的是,表3和表4仅用于说明扫描规则中定义的扫描信息与推荐操作的对应关系,实际运行过程以及实际产品中,并不需要存在类似表3的实体表。
匹配度计算模块106,用于计算操作记录与推荐操作提示的匹配度。
在一个实施例中,匹配度包括支持度。
匹配度计算模块106还可用于获取与操作记录中的用户类型相同的类型用户的总数目,获取类型用户中上传的操作记录对应扫描信息的事件用户的事件用户数,根据事件用户数和总数目计算支持度。
支持度可反映特定用户类型的用户群体中,上传了与扫描信息对应的操作记录的用户所占的比例。由于一般情况下,在扫描信息有风险时才会有相应的操作记录并上传,因此,该比例可以反映该扫描信息的风险涉及的用户范围。
进一步的,匹配度还可包括置信度。
匹配度计算模块106还可用于获取与扫描信息对应的推荐操作提示,获取事件用户中上传的操作记录匹配推荐操作提示的置信用户的置信用户数,根据置信用户数和事件用户数计算置信度。
置信度可反映事件用户中认可推荐操作提示的用户占事件用户的比例。置信度较高时,说明推荐操作提示得到较多数用户的认可,即误报率较低。
进一步的,匹配度还可包括置疑度。
匹配度计算模块106还可用于获取与扫描信息对应的推荐操作提示的相反提示;获取事件用户中上传的操作记录匹配相反提示的置疑用户的置疑用户数;根据置疑用户数和事件用户数计算置疑度。
置疑度可反映事件用户中不认可推荐操作提示的用户占事件用户的比例。置疑度较高时,说明推荐操作提示得到较多数用户的反对或质疑,即误报率较高。
例如,若全体用户数为N,操作记录中的用户类型相同的类型用户的总数目为Nu,则对于扫描信息i,类型用户中上传过对应扫描信息i的操作记录的事件用户的事件用户数为Nui,Nui为Nu的子集。
则,匹配度计算模块106可用于通过计算Nui/Nu得到支持度。
若事件用户中上传的操作记录包含有信任操作的操作记录的用户数为Nuia,事件用户中上传的操作记录包含有删除操作的操作记录的用户数为Nuid,由于用户可能会选择忽略操作,因此Nuia+Nuid<Nui
则,当推荐操作提示为信任时,Nuia即为置信用户数,Nuid即为置疑用户数。可通过Nuia/Nui计算得到置信度;匹配度计算模块106可用于通过计算Nuid/Nui得到置疑度。
当推荐操作提示为删除时,Nuid即为置信用户数,Nuia即为置疑用户数。可通过Nuid/Nui计算得到置信度;匹配度计算模块106可用于通过计算Nuia/Nui得到置疑度。
需要说明的是,匹配度计算模块106在获取类型用户的总数目、事件用户数、置信用户数、置疑用户数时没有严格的执行顺序;匹配度计算模块106在计算支持度、置信度以及置疑度时也没有严格的执行顺序,匹配度计算模块106可同时计算支持度、置信度以及置疑度,也可根据实际需要以任意顺序执行。
在本实施例中,如图5所示,更新扫描规则的装置还包括日志模块116,用于根据上传的操作记录更新类型用户的总数目、事件用户数、选择信任操作的用户数以及选择删除操作的用户数。
选择信任操作的用户数即为事件用户中上传的操作记录包含有信任操作的用户的总数目;选择删除操作的用户数即为事件用户中上传的操作记录包含有删除操作的用户的总数目。当推荐操作提示为信任时,选择信任操作的用户数即为置信用户数,选择删除操作的用户数即为置疑用户数;当推荐操作提示为删除时,选择信任操作的用户数即为置疑用户数,选择删除操作的用户数即为置信用户数。
在本实施例中,日志模块116在更新类型用户的总数目、事件用户数、选择信任操作的用户数以及选择删除操作的用户数时可采用累加法。
例如,日志模块116可用于获取操作记录中的用户类型,根据用户类型获取类型用户的总数目并累加;进一步的日志模块116可用于根据扫描信息获取类型用户中的事件用户,并将事件用户数并累加;日志模块116还可用于判断操作记录中包含的实际操作类型,若为信任操作,则将对应该事件用户的选择信任操作的用户数累加;若为删除操作,则将对应该事件用户的选择删除操作的用户数累加;若为忽略操作,则不做任何操作。
扫描规则更新模块108,用于根据匹配度更新扫描规则。
在一个实施例中,匹配度包括支持度、置信度以及置疑度。扫描规则更新模块108可用于在支持度大于支持度阈值,且置信度小于置信度阈值,且置疑度大于置疑度阈值时,更改扫描信息对应的推荐操作提示为相反提示。
如上例中,若推荐操作提示为信任,支持度Nui/Nu大于0.9,且置信度Nuia/Nui小于0.2,且置信度Nuid/Nui大于0.6,则扫描规则更新模块108更新扫描信息对应的推荐提示操作为删除。也就是说,当该用户类型的用户群体中,有较大一部分用户检测出风险弹出了提示框时(支持度大于支持度阈值),若只有小部分用户采取了与推荐提示操作相同的实际操作(置信度小于置信度阈值),且有大部分用户采取了与推荐提示操作相反的实际操作(置疑度大于置疑度阈值),则扫描规则更新模块108将扫描规则中扫描信息对应的推荐操作提示更改为相反提示。
在一个实施例中,更新扫描规则的装置还包括未知扫描信息处理模块118,用于在与扫描信息对应的预设的校验信息不存在时,根据预设的权重系数通过比较选择信任操作的用户数和选择删除操作的用户数获取所对应的推荐操作提示并返回。
对于未知扫描内容,即未知或新建的文件和未知或新建的扫描点,可求得选择信任操作的用户数和选择删除操作的用户数各自占事件用户数的比例之后,再将比例乘以各自对应的权重系数并相减,根据相减的结果获取对应的推荐操作提示并返回。
例如,若权重系数为a,则选择信任操作的用户数占事件用户数的比例为Nuia/Nui,选择删除操作的用户数占事件用户数的比例为Nuid/Nui,可根据下述公式的计算结果获取推荐操作提示。
T=a×Nuia/Nui-(1-a)×Nuid/Nui
其中,T为中间结果,a和(1-a)为各自的权重系数。若T大于阈值,例如0,则推荐提示操作为信任,若T小于阈值,则推荐提示操作为删除。
需要说明的是,上述更新扫描规则的装置可设置于单一服务器上或者提供云查杀的云服务器的各个服务节点上或者根据实际需要部分设置于P2P服务器上和部分设置于P2P客户端上。
上述更新扫描规则的方法和装置,通过比较上传的操作记录与对应的推荐操作提示的匹配度更新扫描规则,使得更新后的扫描规则中定义的推荐操作提示可更加适应用户的实际应用环境,从而降低了误报率,提高了安全性。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。

Claims (14)

1.一种更新扫描规则的方法,包括:
获取上传的操作记录,提取所述操作记录对应的扫描信息;所述操作记录包括用户选取的操作类型;
根据扫描规则获取与所述扫描信息对应的推荐操作提示;所述扫描规则中定义了扫描信息与推荐操作提示的对应关系;
计算所述操作记录与所述推荐操作提示的匹配度;
根据所述匹配度更新所述扫描规则;
所述匹配度包括支持度;
所述计算所述操作记录与所述推荐操作提示的匹配度的步骤为:
获取与操作记录中的用户类型相同的类型用户的总数目;
获取所述类型用户中上传的操作记录对应所述扫描信息的事件用户的事件用户数;
根据所述事件用户数和所述总数目计算所述支持度;
所述根据所述匹配度更新所述扫描规则的步骤为:在所述支持度大于支持度阈值,且置信度小于置信度阈值,且置疑度大于置疑度阈值时,更改所述扫描信息对应的推荐操作提示为相反提示;
所述方法还包括:
获取扫描信息;
判断所述扫描信息与预设的校验信息是否匹配,若不匹配,则根据所述扫描规则将信任提示作为对应的推荐操作提示,若匹配,则根据所述扫描规则将删除提示作为对应的推荐操作提示;
向客户端返回所述推荐操作提示。
2.根据权利要求1所述的更新扫描规则的方法,其特征在于,所述删除提示和信任提示互为相反提示。
3.根据权利要求1所述的更新扫描规则的方法,其特征在于,所述匹配度还包括置信度;
所述获取所述类型用户中上传的操作记录对应所述扫描信息的事件用户的事件用户数的步骤之后还包括:
获取与所述扫描信息对应的推荐操作提示;
获取所述事件用户中上传的操作记录匹配所述推荐操作提示的置信用户的置信用户数;
根据所述置信用户数和所述事件用户数计算所述置信度。
4.根据权利要求1或3所述的更新扫描规则的方法,其特征在于,所述匹配度还包括置疑度;
所述获取所述类型用户中上传的操作记录对应所述扫描信息的事件用户的事件用户数的步骤之后还包括:
获取与所述扫描信息对应的推荐操作提示的相反提示;
获取所述事件用户中上传的操作记录匹配所述相反提示的置疑用户的置疑用户数;
根据所述置疑用户数和所述事件用户数计算所述置疑度。
5.根据权利要求4所述的更新扫描规则的方法,其特征在于,所述获取上传的操作记录的步骤之后还包括:
根据所述上传的操作记录更新所述类型用户的总数目、事件用户数、选择信任操作的用户数以及选择删除操作的用户数。
6.根据权利要求5所述的更新扫描规则的方法,其特征在于,所述获取上传的扫描信息的步骤之后还包括:
判断是否存在与所述扫描信息对应的预设的校验信息,若是,则继续执行判断所述扫描信息与预设的校验信息是否匹配的步骤;否则,根据预设的权重系数通过比较所述选择信任操作的用户数和所述选择删除操作的用户数获取所对应的推荐操作提示并返回。
7.一种更新扫描规则的装置,其特征在于,包括:
操作记录获取模块,用于获取上传的操作记录,提取所述操作记录对应的扫描信息;所述操作记录包括用户选取的操作类型;
推荐操作获取模块,用于根据扫描规则获取与所述扫描信息对应的推荐操作提示;所述扫描规则中定义了扫描信息与推荐操作提示的对应关系;
匹配度计算模块,用于计算所述操作记录与所述推荐操作提示的匹配度;
扫描规则更新模块,用于根据所述匹配度更新所述扫描规则;
所述匹配度包括支持度;
所述匹配度计算模块还用于获取与操作记录中的用户类型相同的类型用户的总数目,获取所述类型用户中上传的操作记录对应所述扫描信息的事件用户的事件用户数,根据所述事件用户数和所述总数目计算所述支持度;
所述扫描规则更新模块还用于在所述支持度大于支持度阈值,且置信度小于置信度阈值,且置疑度大于置疑度阈值时,更改所述扫描信息对应的推荐操作提示为相反提示;
所述装置还包括:
扫描信息获取模块,用于获取上传的扫描信息;
扫描信息校验模块,用于判断所述扫描信息与预设的校验信息是否匹配,若不匹配,则根据所述扫描规则将信任提示作为对应的推荐操作提示,若匹配,则根据所述扫描规则将删除提示作为对应的推荐操作提示;
推荐操作返回模块,向客户端返回所述推荐操作提示。
8.根据权利要求7所述的更新扫描规则的装置,其特征在于,所述删除提示和信任提示互为相反提示。
9.根据权利要求7所述的更新扫描规则的装置,其特征在于,所述匹配度还包括置信度;
所述匹配度计算模块还用于获取与所述扫描信息对应的推荐操作提示,获取所述事件用户中上传的操作记录匹配所述推荐操作提示的置信用户的置信用户数,根据所述置信用户数和所述事件用户数计算所述置信度。
10.根据权利要求7或9所述的更新扫描规则的装置,其特征在于,所述匹配度还包括置疑度;
所述匹配度计算模块还用于获取与所述扫描信息对应的推荐操作提示的相反提示,获取所述事件用户中上传的操作记录匹配所述相反提示的置疑用户的置疑用户数,根据所述置疑用户数和所述事件用户数计算所述置疑度。
11.根据权利要求10所述的更新扫描规则的装置,其特征在于,还包括日志模块,用于根据所述上传的操作记录更新所述类型用户的总数目、事件用户数、选择信任操作的用户数以及选择删除操作的用户数。
12.根据权利要求11所述的更新扫描规则的装置,其特征在于,还包括未知扫描信息处理模块,用于在与所述扫描信息对应的预设的校验信息不存在时,根据预设的权重系数通过比较所述选择信任操作的用户数和所述选择删除操作的用户数获取所对应的推荐操作提示并返回。
13.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行如权利要求1至6中任一项所述方法的步骤。
14.一种计算机可读存储介质,存储有计算机程序,所述计算机程序被处理器执行时,使得所述处理器执行如权利要求1至6中任一项所述方法的步骤。
CN201210280617.4A 2012-08-08 2012-08-08 更新扫描规则的方法及装置 Active CN103581152B (zh)

Priority Applications (4)

Application Number Priority Date Filing Date Title
CN201210280617.4A CN103581152B (zh) 2012-08-08 2012-08-08 更新扫描规则的方法及装置
PCT/CN2013/080181 WO2014023166A1 (en) 2012-08-08 2013-07-26 Systems and methods for updating scanning rules
KR1020147015121A KR20140089571A (ko) 2012-08-08 2013-07-26 스캐닝 룰을 업데이트하는 시스템 및 방법
US14/097,718 US9342686B2 (en) 2012-08-08 2013-12-05 Systems and methods for updating scanning rules

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201210280617.4A CN103581152B (zh) 2012-08-08 2012-08-08 更新扫描规则的方法及装置

Publications (2)

Publication Number Publication Date
CN103581152A CN103581152A (zh) 2014-02-12
CN103581152B true CN103581152B (zh) 2018-06-15

Family

ID=50052087

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201210280617.4A Active CN103581152B (zh) 2012-08-08 2012-08-08 更新扫描规则的方法及装置

Country Status (4)

Country Link
US (1) US9342686B2 (zh)
KR (1) KR20140089571A (zh)
CN (1) CN103581152B (zh)
WO (1) WO2014023166A1 (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9787534B1 (en) * 2015-01-15 2017-10-10 Amdocs Software Systems Limited System, method, and computer program for generating event tests associated with a testing project
CN108875043B (zh) * 2018-06-27 2022-02-25 腾讯科技(北京)有限公司 用户数据处理方法、装置、计算机设备和存储介质
US11176276B1 (en) * 2019-05-22 2021-11-16 Ca, Inc. Systems and methods for managing endpoint security states using passive data integrity attestations
CN112801619A (zh) * 2021-01-29 2021-05-14 中国农业银行股份有限公司上海市分行 金融业务操作日志的筛查方法及筛查装置

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030097378A1 (en) * 2001-11-20 2003-05-22 Khai Pham Method and system for removing text-based viruses
US7539871B1 (en) * 2004-02-23 2009-05-26 Sun Microsystems, Inc. System and method for identifying message propagation
US8347386B2 (en) * 2008-10-21 2013-01-01 Lookout, Inc. System and method for server-coupled malware prevention
CN101533365A (zh) * 2009-04-16 2009-09-16 唐郡 一种计算机系统及其维护方法和装置
US20100312644A1 (en) * 2009-06-04 2010-12-09 Microsoft Corporation Generating recommendations through use of a trusted network
CN102214134B (zh) * 2010-04-12 2015-08-12 腾讯科技(深圳)有限公司 一种计算机进程终止系统和方法
US20110283358A1 (en) * 2010-05-17 2011-11-17 Mcafee, Inc. Method and system to detect malware that removes anti-virus file system filter driver from a device stack

Also Published As

Publication number Publication date
KR20140089571A (ko) 2014-07-15
CN103581152A (zh) 2014-02-12
WO2014023166A1 (en) 2014-02-13
US9342686B2 (en) 2016-05-17
US20140096187A1 (en) 2014-04-03

Similar Documents

Publication Publication Date Title
US20220109690A1 (en) Automated collection of branded training data for security awareness training
US11138300B2 (en) Multi-factor profile and security fingerprint analysis
CN109376078B (zh) 移动应用的测试方法、终端设备及介质
US11356479B2 (en) Systems and methods for takedown of counterfeit websites
CN101986323B (zh) 用于检测先前未知的恶意软件的系统和方法
CN103685307B (zh) 基于特征库检测钓鱼欺诈网页的方法及系统、客户端、服务器
US9942214B1 (en) Automated agent detection utilizing non-CAPTCHA methods
US9785989B2 (en) Determining a characteristic group
US20170257416A1 (en) Generating processed web address information
US7860971B2 (en) Anti-spam tool for browser
CN103581152B (zh) 更新扫描规则的方法及装置
US10904281B2 (en) Cloud-based security testing interface with security scanners
US20120210435A1 (en) Web content ratings
CN104572907B (zh) 一种业务对象的获取方法和装置
US10505736B1 (en) Remote cyber security validation system
CN106339918B (zh) 一种订单生成方法及装置
US9558348B1 (en) Ranking software applications by combining reputation and code similarity
CN106030527B (zh) 将可供下载的应用程序通知用户的系统和方法
CN102946391B (zh) 一种浏览器中提示恶意网址的方法和一种浏览器
CN110209925A (zh) 应用推送方法、装置、计算机设备和存储介质
CN114185900B (zh) 业务数据处理方法、装置、计算机设备及存储介质
CN109478219A (zh) 用于显示网络分析的用户界面
CN107767226A (zh) 一种支付订单的生成方法
US20140089070A1 (en) System and method of detecting fraud in the provision of a deal for a service on a mobile device
US20140258829A1 (en) Webform monitoring

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20190807

Address after: 518000 Nanshan District science and technology zone, Guangdong, Zhejiang Province, science and technology in the Tencent Building on the 1st floor of the 35 layer

Co-patentee after: Tencent cloud computing (Beijing) limited liability company

Patentee after: Tencent Technology (Shenzhen) Co., Ltd.

Address before: Shenzhen Futian District City, Guangdong province 518044 Zhenxing Road, SEG Science Park 2 East Room 403

Patentee before: Tencent Technology (Shenzhen) Co., Ltd.

TR01 Transfer of patent right