CN103886257B - 杀毒引擎的自动校对方法及系统 - Google Patents
杀毒引擎的自动校对方法及系统 Download PDFInfo
- Publication number
- CN103886257B CN103886257B CN201210563743.0A CN201210563743A CN103886257B CN 103886257 B CN103886257 B CN 103886257B CN 201210563743 A CN201210563743 A CN 201210563743A CN 103886257 B CN103886257 B CN 103886257B
- Authority
- CN
- China
- Prior art keywords
- antivirus
- detection
- result
- antivirus engine
- virus
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/561—Virus type analysis
Abstract
本发明提供一种杀毒引擎的自动校对方法及系统,所述方法包括以下步骤:接收客户端所检出并上报的病毒信息;使用至少两种不同的杀毒引擎对所述病毒信息重新进行检测;判断各杀毒引擎的检测结果是否一致;若否,则对结果有差异的数据使用第三方公用接口进行多元化核准,并根据核准结果对存在检测错误的杀毒引擎进行校对。本发明的杀毒引擎的自动校对方法及系统,充分发挥了各杀毒引擎的优势、相互弥补了各杀毒引擎的弱势,因此较好的解决了多杀毒引擎由于其各自的缺点所带来的病毒误报和容易遗漏某些病毒的问题,并且能够主动的发现杀毒引擎鉴定器存在的问题,从而有力的促进了多杀毒引擎的良性进化和共同进步。
Description
技术领域
本发明涉及计算机安全领域,特别是涉及一种杀毒引擎的自动校对方法以及一种杀毒引擎的自动校对系统。
背景技术
随之互联网攻防的不断发展,多杀毒引擎鉴定器开始进入人们的视眼。但是,在多杀毒引擎鉴定的背后还潜伏着一个巨大的问题,那就是虽然杀毒引擎的数量不断增多,但是每种杀毒引擎都有其各自的优点和缺点,即每种杀毒引擎都有自己擅长检出的病毒类型,然而也存在各自容易误报为病毒的文件类型,甚至在另一方面对某些类型的病毒容易遗漏。
因此,如何发挥各个杀毒引擎的优势、规避其弱势,形成一个良性的循环推动杀毒引擎进化,成为一项极有价值、有意义的研究课题。
发明内容
基于此,有必要针对上述多杀毒引擎由于其各自的缺点所带来的病毒误报和容易遗漏的问题,提供一种杀毒引擎的自动校对方法及系统。
为实现上述目的,本发明采用如下的技术方案:
一种杀毒引擎的自动校对方法,包括以下步骤:
接收客户端所检出并上报的病毒信息;
使用至少两种不同的杀毒引擎对所述病毒信息重新进行检测;
判断各杀毒引擎的检测结果是否一致;
若否,则对结果有差异的数据使用第三方公用接口进行多元化核准,并根据核准结果对存在检测错误的杀毒引擎进行校对;
所述使用至少两种不同的杀毒引擎对所述病毒信息重新进行检测的过程包括:
对所述病毒信息按病毒名、文件MD5、文件路径、用户选择不清除来进行排行,筛选出预定数量的高检出病毒;
对所筛选出的高检出病毒,使用所述至少两种不同的杀毒引擎重新进行检测。
一种杀毒引擎的自动校对系统,包括:
病毒信息接收模块,用于接收客户端所检出并上报的病毒信息;
检测模块,用于使用至少两种不同的杀毒引擎对所述病毒信息重新进行检测;
判断模块,用于判断各杀毒引擎的检测结果是否一致;
校对模块,用于在所述判断模块的判断结果为否时,对结果有差异的数据使用第三方公用接口进行多元化核准,并根据核准结果对存在检测错误的杀毒引擎进行校对;
所述检测模块包括:
筛选模块,用于对所述病毒信息按病毒名、文件MD5、文件路径、用户选择不清除来进行排行,筛选出预定数量的高检出病毒;
高检出病毒检测模块,用于对所筛选出的高检出病毒,使用所述至少两种不同的杀毒引擎重新进行检测。
由以上方案可以看出,本发明的杀毒引擎的自动校对方法及系统,对客户端上报的病毒信息使用至少两种不同原理的杀毒引擎来进行检测和鉴定,并对检测结果有差异的数据使用第三方公用接口即其他杀毒引擎来进行多元化核准判断,从而主动发现杀毒引擎鉴定器的问题并对其进行校对。由于本发明的方案充分发挥了各杀毒引擎的优势、相互弥补了各杀毒引擎的弱势,因此较好的解决了多杀毒引擎由于其各自的缺点所带来的病毒误报和容易遗漏某些病毒的问题,并且能够主动的发现杀毒引擎鉴定器存在的问题,从而有力的促进了多杀毒引擎的良性进化和共同进步。
附图说明
图1为本发明实施列中一种杀毒引擎的自动校对方法的流程示意图;
图2为本发明实施列中一种杀毒引擎的自动校对系统的结构示意图。
具体实施方式
下面结合附图以及具体的实施例,对本发明的技术方案作进一步的描述。
参见图1所示,一种杀毒引擎的自动校对方法,包括如下步骤:
步骤S101,接收客户端所检出并上报的病毒信息。
为保护计算机的安全,客户端一般会定期(如每日)进行病毒查杀,并且对检出的病毒信息进行收集、上报给服务端。在本发明实施例中,在服务端中接收客户端检出并上报的病毒信息,并在服务端后台对这些病毒信息进行汇总录入数据库。
作为一个较好的实施例,所述病毒信息中可以包括(但不限于)如下信息:“报毒的杀毒引擎名称”、“病毒名”、“文件MD5(Message-DigestAlgorithm 5,信息摘要算法第5版)”、“文件路径”、“用户是否选择清除”等。
步骤S102,使用至少两种不同原理的杀毒引擎对所述病毒信息重新进行检测。
由于服务端接从客户端收到的病毒信息是非常巨大的,因此为了提升服务端的工作效率,有必要对所接收到的病毒信息进行一个筛选。因此,作为一个较好的实施例,所述使用至少两种不同的杀毒引擎对所述病毒信息重新进行检测的过程具体可以包括如下步骤:
步骤S1021,对所述病毒信息按“病毒名”、“文件MD5”、“文件路径”、“用户选择不清除”等信息来进行排行,筛选出这些按各种条件的预定数量的高检出病毒。
上述的预定数量,可以根据不同需求做出不同的设置。如本发明实施例中可以设置为单杀毒引擎日检出top500。
步骤S1022,对所筛选出的高检出病毒,使用所述至少两种不同的杀毒引擎重新进行检测。
在其中一个实施例中,所述至少两种不同的杀毒引擎可以采用利用基于非文件特征的系统维度行为的系统云KSC引擎(Kingsoft System Intelligent Cloud,金山系统级自启发式人工智能引擎)、基于文件内容维度的文件云引擎来实现。当然本发明并不局限于此,可以扩展到N(N为自然数)种杀毒引擎。
步骤S103,判断各杀毒引擎的检测结果是否一致。如果一致则说明之前选取的几种杀毒引擎都没有问题,此时不需要做进一步的处理,可以返回步骤S101;如果不一致则进入步骤S104。
具体,所述步骤S103可以通过在服务端的数据库中进行数据自动化校对来判断检测结果是否一致。对比同一个项目各杀毒引擎的检测结果,如果不同杀毒引擎间存在结果不一致的进行等级划分分类。本发明实施例中可以将不同杀毒引擎的检测结果划分为如下的小分组:
冲突组:有任意一种杀毒引擎会报安全;
改进组:有任意一种杀毒引擎会报未知;
一致组:其他杀毒引擎均报为威胁;
体验组:用户选择不处理此威胁。
对上面的小分组,又可以进行一个归类的大归类:
疑似误报归类:冲突组、体验组;
增强检测归类:改进组;
病毒丢弃归类:一致组。
上面的分类中,对于冲突组和体验组可以归为疑似误报的分组;改进组可以归为一种杀毒引擎对此类病毒检测弱、但是用户客户端可以处理的病毒类型;而一致组则几乎可以认为就是病毒。
步骤S104,若步骤S103中的判断结果为否,即不同杀毒引擎的检测结果不一致,则此时需要引入一个第三方公用接口进行多元化核准(即引用其他多杀毒引擎进行判断到底本方案中哪一个杀毒引擎出现了问题),可以对结果有差异的数据使用第三方公用接口进行多元化核准,并根据核准结果对本发明方案中存在检测错误的杀毒引擎进行校对。
作为一个较好的实施例,所述对结果有差异的数据使用第三方公用接口进行多元化核准的过程包括:
步骤S1041,对结果有差异的数据,根据该数据的文件MD5查询第三方公用接口所提供的多引擎查询结果;
步骤S1042,接收由所述第三方公用接口所返回的其他若干款杀毒软件对此文件的报毒情况,根据所述报毒情况找出所述存在检测错误的杀毒引擎。
目前市面上已经存这种第三方公用接口,用户只需要输入文件MD5,则这个第三方公用接口将返回其他若干款(目前已经出现有33款)杀毒软件对此文件的报毒情况。报毒比率越高,说明此文件为病毒的概率越大,反之则说明该文件的误报可能性更大。
另外,作为一个较好的实施例,在步骤S1042中接收到由所述第三方公用接口所返回的结果(即其他若干款杀毒软件对此文件的报毒情况)后,可以对该返回的结果根据报毒比率的高低进行排序。因为排序高就说明这个文件是病毒的可能性更大,从保护计算机安全的角度考虑,可以优先处理排序高的文件。
另外,在本发明实施例中,对于上述的增强检测归类,可以定期将检测结果发送给相关杀毒引擎的开发人员,以增强特定病毒的检测能力。另外对于疑似误报的文件,也可以发给各自杀毒引擎误报处理的相关人员进行人工校验,以自动发现可能的误报。
与上述一种杀毒引擎的自动校对方法相对应的,本发明还提供一种杀毒引擎的自动校对系统,如图2所示,包括:
病毒信息接收模块101,用于接收客户端所检出并上报的病毒信息;
检测模块102,用于使用至少两种不同的杀毒引擎对所述病毒信息重新进行检测;
判断模块103,用于判断各杀毒引擎的检测结果是否一致;
校对模块104,用于在所述判断模块的判断结果为否时,对结果有差异的数据使用第三方公用接口进行多元化核准,并根据核准结果对存在检测错误的杀毒引擎进行校对。
作为一个较好的实施例,所述病毒信息中可以包括(但不限于)如下信息:报毒的杀毒引擎名称、病毒名、文件MD5、文件路径、用户是否选择清除等。
作为一个较好的实施例,所述检测模块可以包括:
筛选模块,用于对所述病毒信息按病毒名、文件MD5、文件路径、用户选择不清除来进行排行,筛选出预定数量的高检出病毒;
高检出病毒检测模块,用于对所筛选出的高检出病毒,使用所述至少两种不同的杀毒引擎重新进行检测。
作为一个较好的实施例,所述校对模块可以包括:
查询模块,用于对结果有差异的数据,根据该数据的文件MD5查询第三方公用接口所提供的多引擎查询结果;
查错模块,用于接收由所述第三方公用接口所返回的其他若干款杀毒软件对此文件的报毒情况,根据所述报毒情况找出所述存在检测错误的杀毒引擎。
作为一个较好的实施例,所述校对模块还可以包括:
排序模块,用于在接收到由所述第三方公用接口所返回的结果后,对该返回结果根据报毒比率的高低进行排序。因为排序高就说明这个文件是病毒的可能性更大,从保护计算机安全的角度考虑,可以优先处理排序高的文件。
上述一种杀毒引擎的自动校对系统的其他技术特征与本发明的一种杀毒引擎的自动校对方法相同,此处不予赘述。
通过以上方案可以看出,本发明的杀毒引擎的自动校对方法及系统,对客户端上报的病毒信息使用至少两种不同原理的杀毒引擎来进行检测和鉴定,并对检测结果有差异的数据使用第三方公用接口即其他杀毒引擎来进行多元化核准判断,从而主动发现杀毒引擎鉴定器的问题并对其进行校对。由于本发明的方案充分发挥了各杀毒引擎的优势、相互弥补了各杀毒引擎的弱势,因此较好的解决了多杀毒引擎由于其各自的缺点所带来的病毒误报和容易遗漏某些病毒的问题,并且能够主动的发现杀毒引擎鉴定器存在的问题,从而有力的促进了多杀毒引擎的良性进化和共同进步。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (8)
1.一种杀毒引擎的自动校对方法,其特征在于,包括以下步骤:
接收客户端所检出并上报的病毒信息;
使用至少两种不同的杀毒引擎对所述病毒信息重新进行检测;
判断各杀毒引擎的检测结果是否一致;
若否,则对结果有差异的数据使用第三方公用接口进行多元化核准,并根据核准结果对存在检测错误的杀毒引擎进行校对;
所述使用至少两种不同的杀毒引擎对所述病毒信息重新进行检测的过程包括:
对所述病毒信息按病毒名、文件MD5、文件路径、用户选择不清除来进行排行,筛选出预定数量的高检出病毒;
对所筛选出的高检出病毒,使用所述至少两种不同的杀毒引擎重新进行检测。
2.根据权利要求1所述的杀毒引擎的自动校对方法,其特征在于,所述病毒信息包括:报毒的杀毒引擎名称、病毒名、文件MD5、文件路径、用户是否选择清除。
3.根据权利要求1所述的杀毒引擎的自动校对方法,其特征在于,所述对结果有差异的数据使用第三方公用接口进行多元化核准的过程包括:
对结果有差异的数据,根据该数据的文件MD5查询第三方公用接口所提供的多引擎查询结果;
接收由所述第三方公用接口所返回的其他若干款杀毒软件对此文件的报毒情况,根据所述报毒情况找出所述存在检测错误的杀毒引擎。
4.根据权利要求3所述的杀毒引擎的自动校对方法,其特征在于,在接收到由所述第三方公用接口所返回的结果后,对该返回的结果根据报毒比率的高低进行排序。
5.一种杀毒引擎的自动校对系统,其特征在于,包括:
病毒信息接收模块,用于接收客户端所检出并上报的病毒信息;
检测模块,用于使用至少两种不同的杀毒引擎对所述病毒信息重新进行检测;
判断模块,用于判断各杀毒引擎的检测结果是否一致;
校对模块,用于在所述判断模块的判断结果为否时,对结果有差异的数据使用第三方公用接口进行多元化核准,并根据核准结果对存在检测错误的杀毒引擎进行校对;
所述检测模块包括:
筛选模块,用于对所述病毒信息按病毒名、文件MD5、文件路径、用户选择不清除来进行排行,筛选出预定数量的高检出病毒;
高检出病毒检测模块,用于对所筛选出的高检出病毒,使用所述至少两种不同的杀毒引擎重新进行检测。
6.根据权利要求5所述的杀毒引擎的自动校对系统,其特征在于,所述病毒信息包括:报毒的杀毒引擎名称、病毒名、文件MD5、文件路径、用户是否选择清除。
7.根据权利要求5所述的杀毒引擎的自动校对系统,其特征在于,所述校对模块包括:
查询模块,用于对结果有差异的数据,根据该数据的文件MD5查询第三方公用接口所提供的多引擎查询结果;
查错模块,用于接收由所述第三方公用接口所返回的其他若干款杀毒软件对此文件的报毒情况,根据所述报毒情况找出所述存在检测错误的杀毒引擎。
8.根据权利要求7所述的杀毒引擎的自动校对系统,其特征在于,所述校对模块还包括:
排序模块,用于在接收到由所述第三方公用接口所返回的结果后,对该返回的结果根据报毒比率的高低进行排序。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210563743.0A CN103886257B (zh) | 2012-12-21 | 2012-12-21 | 杀毒引擎的自动校对方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210563743.0A CN103886257B (zh) | 2012-12-21 | 2012-12-21 | 杀毒引擎的自动校对方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103886257A CN103886257A (zh) | 2014-06-25 |
CN103886257B true CN103886257B (zh) | 2017-05-03 |
Family
ID=50955142
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210563743.0A Active CN103886257B (zh) | 2012-12-21 | 2012-12-21 | 杀毒引擎的自动校对方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103886257B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106326741A (zh) * | 2015-06-17 | 2017-01-11 | 阿里巴巴集团控股有限公司 | 基于多引擎系统的恶意程序检测方法和装置 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6269456B1 (en) * | 1997-12-31 | 2001-07-31 | Network Associates, Inc. | Method and system for providing automated updating and upgrading of antivirus applications using a computer network |
CN1356631A (zh) * | 2001-12-03 | 2002-07-03 | 上海市计算机病毒防范服务中心 | 分布式病毒监测体系结构 |
CN101039177A (zh) * | 2007-04-27 | 2007-09-19 | 珠海金山软件股份有限公司 | 一种在线查毒的装置和方法 |
CN102081714A (zh) * | 2011-01-25 | 2011-06-01 | 潘燕辉 | 一种基于服务器反馈的云查杀方法 |
CN102346828A (zh) * | 2011-09-20 | 2012-02-08 | 海南意源高科技有限公司 | 一种基于云安全的恶意程序判断方法 |
CN102546628A (zh) * | 2011-12-31 | 2012-07-04 | 北京奇虎科技有限公司 | 一种样本鉴定方法及系统 |
-
2012
- 2012-12-21 CN CN201210563743.0A patent/CN103886257B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6269456B1 (en) * | 1997-12-31 | 2001-07-31 | Network Associates, Inc. | Method and system for providing automated updating and upgrading of antivirus applications using a computer network |
CN1356631A (zh) * | 2001-12-03 | 2002-07-03 | 上海市计算机病毒防范服务中心 | 分布式病毒监测体系结构 |
CN101039177A (zh) * | 2007-04-27 | 2007-09-19 | 珠海金山软件股份有限公司 | 一种在线查毒的装置和方法 |
CN102081714A (zh) * | 2011-01-25 | 2011-06-01 | 潘燕辉 | 一种基于服务器反馈的云查杀方法 |
CN102346828A (zh) * | 2011-09-20 | 2012-02-08 | 海南意源高科技有限公司 | 一种基于云安全的恶意程序判断方法 |
CN102546628A (zh) * | 2011-12-31 | 2012-07-04 | 北京奇虎科技有限公司 | 一种样本鉴定方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN103886257A (zh) | 2014-06-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11546364B2 (en) | Phishing data item clustering and analysis | |
CN102799814B (zh) | 一种钓鱼网站查找系统及方法 | |
EP3742694A1 (en) | Computer system for malware analysis based on data clustering | |
CN110691080B (zh) | 自动溯源方法、装置、设备及介质 | |
CN103902889A (zh) | 一种恶意消息云检测方法和服务器 | |
CN107368856B (zh) | 恶意软件的聚类方法及装置、计算机装置及可读存储介质 | |
CN103685575A (zh) | 一种基于云架构的网站安全监控方法 | |
CN104363253B (zh) | 网站安全检测方法与装置 | |
CN103843003A (zh) | 句法指纹识别 | |
CN106850647B (zh) | 基于dns请求周期的恶意域名检测算法 | |
WO2017152877A1 (zh) | 网络威胁事件评估方法及装置 | |
CN101304426A (zh) | 一种可疑文件的识别上报方法和装置 | |
CN109104421B (zh) | 一种网站内容篡改检测方法、装置、设备及可读存储介质 | |
CN106375133B (zh) | 一种网络访问速度信息的处理、显示的方法和装置 | |
CN104378389B (zh) | 网站安全检测方法与装置 | |
CN103532760B (zh) | 用于分析在各主机上执行的命令的分析设备、系统和方法 | |
CN104363252B (zh) | 网站安全检测方法与装置 | |
CN109302421A (zh) | 应用系统安全防护策略优化方法及装置 | |
CN107800686A (zh) | 一种钓鱼网站识别方法和装置 | |
CN107743128A (zh) | 一种基于首页关联域名和同服务ip的非法网站挖掘方法 | |
CN106485148A (zh) | 基于js‑bom结合的恶意代码行为分析沙箱的实现方法 | |
CN103955644A (zh) | 一种基于终端自启动项的静态木马检测方法 | |
Rahman et al. | Analyzing web application vulnerabilities: an empirical study on e-commerce sector in Bangladesh | |
CN103886257B (zh) | 杀毒引擎的自动校对方法及系统 | |
CN109756467A (zh) | 一种钓鱼网站的识别方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right |
Effective date of registration: 20191212 Address after: 519030 Room 105-53811, No. 6 Baohua Road, Hengqin New District, Zhuhai City, Guangdong Province Patentee after: Zhuhai Seal Interest Technology Co., Ltd. Address before: Jinshan computer Building No. 8 Jingshan Hill Road, Lane 519015 Lianshan Jida Zhuhai city in Guangdong Province Patentee before: Zhuhai Juntian Electronic Technology Co.,Ltd. |
|
TR01 | Transfer of patent right |