CN113360904A - 一种未知病毒检测方法及系统 - Google Patents

Abstract

本发明涉及一种未知病毒检测方法及系统，解决现有技术中计算机病毒检测识别无法有效识别多变的未知病毒的问题。过程包括各端点主机向服务器上传主机数据，服务器生成各端点主机Hash数据集合；对主机数据进行共识机制判定；获取待定文件Hash集合中Hash数据对应的各文件，进行异常行为判定，将异常文件对应Hash数据生成黑名单集合，将正常文件对应Hash数据加入安全文件Hash集合作为白名单集合，将黑名单集合和白名单集合下发到各端点主机；监控端点主机新增文件，将新增文件Hash数据与黑名单集合和白名单集合进行匹配，判断病毒文件。本发明方法实现了对未知病毒的精确检测。

Description

一种未知病毒检测方法及系统

技术领域

本发明涉及计算机病毒安全分析技术领域，尤其是涉及一种未知病毒检测方法及系统。

背景技术

传统的计算机病毒检测识别，仅基于已知恶意行为特征库，由已知恶意特征库基于自身的相关规则特征和行为判定来确认当前文件或应用是否正常，是否存在风险性或已知攻击行为。由于其依赖于自有的相关匹配规则或策略，导致在安全问题上往往出现大量误报、漏报，并在情报更新和威胁嗅探上往往囿于劣势；同时，由于其安全判定基于规则黑名单，而规则黑名单往往又是已知威胁的整理集合，导致目前传统计算机病毒安全策略规则长期停留在“事后诸葛亮”的状态，即只有相关问题已大规模爆发，其特征已知后方能更新相关安全策略，从而对其进行相关检出和告警。因此，当前的计算机病毒检测识别方法无法有效识别多变的未知病毒。

发明内容

本发明主要是解决现有技术中计算机病毒检测识别无法有效识别多变的未知病毒的问题，提供了一种未知病毒检测方法及系统。能够实现利用已知安全文件Hash白名单策略，以未知文件沙箱运行、操作行为为依托，以大多数主机文件对应Hash数据为共识，自动化判别其中文件对应Hash数据与共识不同者，从而精准判别异常文件。

本发明的上述技术问题主要是通过下述技术方案得以解决的：一种未知病毒检测方法，包括以下步骤：

S1.各端点主机向服务器上传主机数据，服务器生成各端点主机Hash数据集合；

S2.对主机数据进行共识机制判定，包括：

统计每个端点主机Hash数据集合中每一条Hash数据在其他端点主机Hash数据集合中出现的次数；根据次数判断是否符合共识机制，将各端点主机Hash数据分配生成安全文件Hash集合和待定文件Hash集合；

S3.获取待定文件Hash集合中Hash数据对应的各文件，进行异常行为判定，将异常文件对应Hash数据生成黑名单集合，将正常文件对应Hash数据加入安全文件Hash集合作为白名单集合，将黑名单集合和白名单集合下发到各端点主机；

S4.监控端点主机新增文件，将新增文件Hash数据与黑名单集合和白名单集合进行匹配，判断病毒文件。

本发明方法通过对主机文件对应Hash数据进行获取，正对文件Hash数据信息共识机制判定，当不符合共识机制时，服务器相对应端点主机获取Hash数据对应的文件，置于服务器沙箱中执行，再进行异常行为判定，最后根据文件行为为样本提供黑白名单，用于对新文件病毒检测，实现了对未知病毒的精确检测。

作为一种优选方案，步骤S1的具体过程包括：

S11.由各端点主机采集主机数据，主机数据包括主机文件对应的Hash数据集合T_Dx和端点主机代号T_x，其中x为端点主机数量；通过在各端点主机安装agent软件来实现对文件Hash获取。

S12.服务器接收到各端点主机上传的Hash数据集合T_Dx和端点主机代号T_x后，进行文件Hash统计，生成各端点主机Hash数据集合{T_D1，T_D2，……，T_Dx}。

作为一种优选方案，步骤S2的具体过程包括：

S21.统计每个端点主机文件Hash数据集合中每一条Hash数据H_yDx在集合T_{except（Dx）}中出现的次数S_y，其中集合T_{except（Dx）}为除了Hash数据H_yDx所在Hash数据集合T_Dx外所有属于端点主机文件Hash数据集合；其中y为端点主机文件数量。

S22.获得次数统计集合S_Dx{S₁，S₂，S₃，……，S_y}，进行共识比较计算W{(S_y，N)}，N为指定的阈值；

S23.将次数统计集合S_Dx{S₁，S₂，S₃，……，S_y}中每一个元素S_y与N做比较，

当S_y >= N 时，则W{(S_y，N)} = 0，认为该Hash数据符合共识机制判定，对应文件安全，将S_y对应Hash数据H_yDx放入主机T_x安全文件Hash集合W_Dx；

当S_y < N时，则W{(S_y ，N)} = 1，认为该Hash数据不符合共识机制判定，将S_y对应Hash数据H_yDx放入主机T_x待定文件Hash集合P_Dx；

S24.经过算法W后，各主机T_x对应Hash集合T_Dx被分为安全文件Hash集合W_Dx与待定文件Hash集合P_Dx两个子集；

S25.统计主机群组T{T₁，T₂，……，T_x}全部安全文件Hash集合W{W_D1，W_D2，W_D3，……，W_Dx}，对{W_D1，W_D2，W_D3，……，W_Dx}中各集合元素进行去重，最终生成主机群组T{T₁，T₂，……，T_x}全部且唯一安全文件Hash集合W_all,统计主机群组T{T₁，T₂，……，T_x}全部待定文件Hash集合P{P_D1，P_D2，P_D3，……，P_Dx}，对{P_D1，P_D2，P_D3，……，P_Dx}中各集合元素进行去重，最终生成主机群组T{T₁，T₂，……，T_x}全部且唯一待定文件Hash集合P_all。

作为一种优选方案，步骤S3具体过程包括：

S31.将W_all作为白名单集合，下发到主机群组T{T₁，T₂，……，T_x}全部端点主机；

S32.将主机群组T{T₁，T₂，……，T_x}全部且唯一待定文件Hash集合P_all根据其中每条Hash数据H_yDx的主机代号x，依次向对应端点主机T_x获取对应文件；

S33.将获取到的待定文件Hash集合P_all所对应文件置于服务器沙箱中执行，进行异常行为判定；

若文件存在恶意行为，则将文件对应的Hash数据H_yDx加入文件Hash黑名单，并生成黑名单集合B_all；

若文件不存在恶意行为，则将文件Hash数据H_yDx加入主机群组T{T₁，T₂，……，T_n}全部且唯一安全文件Hash集合W_all，更新白名单集合W_all；

S34.将黑名单集合B_all和更新的白名单集合W_all下发到主机群组T{T₁，T₂，……，T_x}全部端点主机。

作为一种优选方案，所述步骤S4具体过程包括：

S41.端点主机监控新增文件，获取新增文件对应Hash数据集合T_rDx{H_yrDx}和主机端点代号T_x，并上传至服务器，其中H_yrDx为新增文件对应Hash数据；用于主机群组T{T₁，T₂，……，T_n}全部且唯一安全文件Hash集合即白名单集合W_all及黑名单集合B_all的匹配。

S42. 服务器将新增文件Hash数据与黑名单集合B_all和白名单集合W_all进行匹配，计算F2{H_yrDx，(W_all，B_all)}，

H_yrDx∈W_all，则F2{H_yrDx，(W_all，B_all)}=0，H_yrDx所对应的文件安全；

H_yrDx∈B_all，则F2{H_yrDx，(W_all，B_all)}=1，H_yrDx所对应的文件为异常文件，将进行异常处理，拦截或者告警该文件；

H_yrDx∉W_all且H_yrDx∉B_all，则F2{H_yrDx，(W_all，B_all)}=2，认为H_yrDx所对应的文件为新增待定文件。

作为一种优选方案，对于步骤S42中的新增待定文件的处理过程包括：

S4221. 统计主机群组T{T₁，T₂，……，T_n}全部新增待定文件Hash集合P_r{P_rD1，P_rD2，P_rD3，……，P_rDn}；

S4222.对新增待定文件Hash集合P_r{P_rD1，P_rD2，P_rD3，……，P_rDn}中各集合元素进行去重，最终生成主机群组T{T₁，T₂，……，T_n}全部且唯一新增文件Hash集合P_rall；

S4223.将新增文件Hash集合P_rall作为主机群组T{T₁，T₂，……，T_n}全部且唯一待定文件Hash集合P_all，重复步骤S3。

一种未知病毒检测系统，包括各端点主机和服务器，端点主机包括获取单元和文件监控单元，主机包括依次相连的检测单元、沙箱单元、审计单元、匹配单元和告警单元，获取单元与检测单元相连，文件监控单元与匹配单元相连，

获取单元，采集主机数据并上传至服务器，主机数据包括主机文件对应的Hash数据集合T_Dx和端点主机代号T_x，其中x为端点主机数量；

检测单元，对主机数据进行共识机制判定，包括统计每个端点主机Hash数据集合中每一条Hash数据在其他端点主机Hash数据集合中出现的次数，根据次数判断是否符合共识机制，将各端点主机Hash数据分配生成安全文件Hash集合和待定文件Hash集合；

沙箱单元，包括文件执行单元和结果记录单元，文件执行单元执行待定文件Hash集合，结果记录单元记录待定文件Hash集合的执行结果；

审计单元，获取待定文件Hash集合中Hash数据对应的各文件，进行异常行为判定，将异常文件对应Hash数据生成黑名单集合，将正常文件对应Hash数据加入安全文件Hash集合作为白名单集合，将黑名单集合和白名单集合下发到各端点主机；

文件监控单元，监控端点主机新增文件，获取新增文件对应Hash数据集合T_rDx{H_yrDx}上传至服务器；

匹配单元，将新增文件Hash数据与黑名单集合和白名单集合进行匹配，判断病毒文件；

告警单元，对匹配为病毒文件，进行告警该文件。

因此，本发明的优点是：通过对主机文件对应Hash数据进行获取，正对文件Hash数据信息共识机制判定，当不符合共识机制时，服务器相对应端点主机获取Hash数据对应的文件，置于服务器沙箱中执行，再进行异常行为判定，最后根据文件行为为样本提供黑白名单，用于对新文件病毒检测，实现了对未知病毒的精确检测。

附图说明

图1是本发明方法的一种流程示意图；

图2是本发明系统的一种结构框示图。

1-端点主机 11-获取单元 12-文件监控单元 2-服务器 21-检测单元 22-沙箱单元 23-审计单元 24-匹配单元 25-告警单元。

具体实施方式

下面通过实施例，并结合附图，对本发明的技术方案作进一步具体的说明。

实施例：

本实施例一种未知病毒检测方法，如图1所示，包括以下步骤：

S1.各端点主机向服务器上传主机数据，服务器生成各端点主机Hash数据集合；具体的包括：

S11.由各端点主机采集主机数据，主机数据包括主机文件对应的Hash数据集合T_Dx和端点主机代号T_x，其中x为端点主机数量；

以实例进行说明，假设端点主机群组T包含10个主机，即T{T₁，T₂，……，T₁₀}，在端点主机群T{T₁，T₂，……，T₁₀}中各主机上安装agent软件，独立采集各端点主机数据并上传至服务器。采集的数据为主机文件对应Hash数据集合T_Dx和端点主机代号T_x，假设端点主机群组T{T₁，T₂，……，T₁₀}中各有50个文件，即采集的数据为：

主机T₁：T_D1{H_1D1，H_2D1，H_3D1，……，H_50D1}；

主机T₂：T_D2{H_1D2，H_2D2，H_3D2，……，H_50D2}；

主机T₃：T_D3{H_1D3，H_2D3，H_3D3，……，H_50D3}；

主机T₄：T_D4{H_1D4，H_2D4，H_3D4，……，H_50D4}；

主机T₅：T_D5{H_1D5，H_2D5，H_3D5，……，H_50D5}；

主机T₆：T_D6{H_1D6，H_2D6，H_3D6，……，H_50D6}；

主机T₇：T_D7{H_1D7，H_2D7，H_3D7，……，H_50D7}；

主机T₈：T_D8{H_1D8，H_2D8，H_3D8，……，H_50D8}；

主机T₉：T_D9{H_1D9，H_2D9，H_3D9，……，H_50D9}；

主机T₁₀：T_D10{H_1D10，H_2D10，H_3D10，……，H_50D10}；

S12.服务器接收到各端点主机上传的Hash数据集合T_Dx和端点主机代号T_x后，进行文件Hash统计，生成各端点主机Hash数据集合{T_D1，T_D2，……，T_D10}。

S2.对主机数据进行共识机制判定，包括：

统计每个端点主机Hash数据集合中每一条Hash数据在其他端点主机Hash数据集合中出现的次数；根据次数判断是否符合共识机制，将各端点主机Hash数据分配生成安全文件Hash集合和待定文件Hash集合；

具体过程包括：

S21.统计每个端点主机文件Hash数据集合中每一条Hash数据H_yDx在集合T_{except（Dx）}中出现的次数S_y，其中集合T_{except（Dx）}为除了Hash数据H_yDx所在Hash数据集合T_Dx外所有属于端点主机文件Hash数据集合；其中y为端点主机文件数量。

设当前端点主机为T₁，其文件Hash数据集合为T_D1{H_1D1，H_2D1，H_3D1，……，H_50D1}，则T_D1应与{T_D1，T_D2，……，T_D10}中除T_D1外所有属于端点主机文件Hash数据集合T_except(D1){T_D2，T_D3，T_D4，……，T_D10}进行比对，计算F1(T_D1，T_{except（D1）})，统计集合T_D1中每一条Hash数据H_yDx在集合T_{except（D1）}中出现的次数。

S22.获得次数统计集合S_Dx{S₁，S₂，S₃，……，S_y}，进行共识比较计算W{(S_y，N)}，N为指定的阈值；以H_1D1为例，统计H_1D1在各端点主机文件Hash数据集合T_except(D1){T_D2，T_D3，T_D4，……，T_D10}中出现的次数，得出S₁。以H_2D1为例，统计H_2D1在各端点主机文件Hash数据集合T_except(D1){T_D2，T_D3，T_D4，……，T_D10}中出现的次数，得出S₂。依次类推，最终生成集合T_D1中每一条Hash数据H_yD1在集合T_{except（D1）}中出现的次数统计集合S_D1{S₁，S₂，S₃，……，S₅₀}。

将获得的次数统计集合S_D1{S₁，S₂，S₃，……，S₅₀}通过共识比较算法W{(S_y，N)}进行比较。在本实例中，默认文件Hash出现的次数以主机总数的70%为界，则N的默认值为7，亦可根据实际情况调整。

S23.将次数统计集合S_Dx{S₁，S₂，S₃，……，S_y}中每一个元素S_y与N做比较，

当S_y >= N 时，则W{(S_y，N)} = 0，认为该Hash数据符合共识机制判定，对应文件安全，将S_y对应Hash数据H_yDx放入主机T_x安全文件Hash集合W_Dx；

当S_y < N时，则W{(S_y ，N)} = 1，认为该Hash数据不符合共识机制判定，将S_y对应Hash数据H_yDx放入主机T_x待定文件Hash集合P_Dx；

共识比较计算W将次数统计集合S_D1{S₁，S₂，S₃，……，S₅₀}中每一个元素S_y与7做比对。在本实例中，S₁ >= 7 ，则W = 0，认为该文件Hash符合共识机制判定，对应文件安全，将S₁对应文件Hash数据H_1D1放入主机T₁安全文件Hash集合W_D1；S₂ < 7时，则W = 1，认为不符合共识机制判定，将S₂对应文件Hash数据H_2D1放入主机T₁待定文件Hash集合P_D1。以此类推，将次数统计集合S_D1{S₁，S₂，S₃，……，S₅₀}中每一个元素S_y与7逐一做比对。假设本实例中，S₂、S₃、S₄、S₅对应数值小于7，因故对应文件Hash：H_2D1，H_3D1，H_4D1，H_5D1所描述文件在本例中属于待定文件，最终生成主机T₁待定文件Hash集合P_D1{H_2D1，H_3D1，H_4D1，H_5D1}，并将除上述4项Hash以外剩余46项文件Hash放入主机T₁安全文件Hash集合W_D1。

S24.经过算法W后，各主机T_x对应Hash集合T_Dx被分为安全文件Hash集合W_Dx与待定文件Hash集合P_Dx两个子集；

逐一针对剩余9台端点主机群组中的文件Hash数据进行共识机制判定，生成主机群组T{T₁，T₂，……，T₁₀}中的全部安全文件Hash集合W{W_D1，W_D2，W_D3，……，W_D10}与全部待定文件Hash集合P{P_D1，P_D2，P_D3，……，P_D10}。

S25.统计主机群组T{T₁，T₂，……，T_x}全部安全文件Hash集合W{W_D1，W_D2，W_D3，……，W_Dx}，对{W_D1，W_D2，W_D3，……，W_Dx}中各集合元素进行去重，最终生成主机群组T{T₁，T₂，……，T_x}全部且唯一安全文件Hash集合W_all,统计主机群组T{T₁，T₂，……，T_x}全部待定文件Hash集合P{P_D1，P_D2，P_D3，……，P_Dx}，对{P_D1，P_D2，P_D3，……，P_Dx}中各集合元素进行去重，最终生成主机群组T{T₁，T₂，……，T_x}全部且唯一待定文件Hash集合P_all。

本实例中，对{W_D1，W_D2，W_D3，……，W_D10}中各集合元素进行去重，最终生成主机群组T{T₁，T₂，……，T₁₀}全部且唯一安全文件Hash集合W_all，对{P_D1，P_D2，P_D3，……，P_D10}中各集合元素进行去重，最终生成主机群组T{T₁，T₂，……，T₁₀}全部且唯一待定文件Hash集合P_all，生成P_all为{H_2D1，H_3D1，H_4D1，H_5D1，H_2D3，H_3D7，H_9D7，H_3D8，H_8D8，H_3D10}。

S3.获取待定文件Hash集合中Hash数据对应的各文件，进行异常行为判定，将异常文件对应Hash数据生成黑名单集合，将正常文件对应Hash数据加入安全文件Hash集合作为白名单集合，将黑名单集合和白名单集合下发到各端点主机；具体过程包括：

S31.将W_all作为白名单集合，下发到主机群组T{T₁，T₂，……，T_x}全部端点主机；

S32.将主机群组T{T₁，T₂，……，T_x}全部且唯一待定文件Hash集合P_all根据其中每条Hash数据H_yDx的主机代号x，依次向对应端点主机T_x获取对应文件；在实例中，将主机群组T{T₁，T₂，……，T₁₀}全部且唯一待定文件Hash集合P_all{H_2D1，H_3D1，H_4D1，H_5D1，H_2D3，H_3D7，H_9D7，H_3D8，H_8D8，H_3D10}根据主机代号1、3、7、8、10依次向对应端点主机T₁、T₃、T₇、T₈、T₁₀获取对应文件。

S33.将获取到的待定文件Hash集合P_all所对应文件置于服务器沙箱中执行，记录执行结果，进行异常行为判定；

若文件存在恶意行为，则将文件对应的Hash数据H_yDx加入文件Hash黑名单，并生成黑名单集合B_all；

若文件不存在恶意行为，则将文件Hash数据H_yDx加入主机群组T{T₁，T₂，……，T_n}全部且唯一安全文件Hash集合W_all，更新白名单集合W_all；

在本实例中，假设H_3D1，H_2D3，H_3D8，H_8D8所对应的文件存在恶意行为，则将文件Hash数据H_3D1，H_2D3，H_3D8，H_8D8加入文件Hash黑名单，并生成黑名单集合B_all{H_3D1，H_2D3，H_3D8，H_8D8}；H_2D1，H_4D1，H_5D1，H_3D7，H_9D7，H_8D8，H_3D10所对应的文件不存在恶意行为，则将文件Hash数据H_2D1，H_4D1，H_5D1，H_3D7，H_9D7，H_8D8，H_3D10加入主机群组T{T₁，T₂，……，T₁₀}全部且唯一安全文件Hash集合W_all，更新白名单集合W_all；

S34.将黑名单集合B_all和更新的白名单集合W_all下发到主机群组T{T₁，T₂，……，T_x}全部端点主机。实例中将生成的主机群组T{T₁，T₂，……，T₁₀}全部且唯一安全文件Hash白名单集合W_all及黑名单集合B_all{H_3D1，H_2D3，H_3D8，H_8D8}下发至各端点主机。

S4.监控端点主机新增文件，将新增文件Hash数据与黑名单集合和白名单集合进行匹配，判断病毒文件。具体过程包括：

S41.端点主机监控新增文件，获取新增文件对应Hash数据集合T_rDx{H_yrDx}和主机端点代号T_x，并上传至服务器，其中H_yrDx为新增文件对应Hash数据；

实例中假设检测到端点主机T₅中新增3个文件，则端点主机T₅中的agent监控软件自动获取新增文件对应Hash集合T_rD5{H_1rD5，H_2rD5，H_3rD5}，用于主机群组T{T₁，T₂，……，T₁₀}全部且唯一安全文件Hash集合即白名单集合W_all及黑名单集合B_all的匹配。

S42. 服务器将新增文件Hash数据与黑名单集合B_all和白名单集合W_all进行匹配，计算F2{H_yrDx，(W_all，B_all)}，

H_yrDx∈W_all，则F2{H_yrDx，(W_all，B_all)}=0，H_yrDx所对应的文件安全；

H_yrDx∈B_all，则F2{H_yrDx，(W_all，B_all)}=1，H_yrDx所对应的文件为异常文件，将进行异常处理，拦截或者告警该文件；

H_yrDx∉W_all且H_yrDx∉B_all，则F2{H_yrDx，(W_all，B_all)}=2，认为H_yrDx所对应的文件为新增待定文件。

在本实例中：

H_1rD5∈W_all，则F2{H_yrDx，(W_all，B_all)}=0，H_1rD5所对应的文件安全；

H_2rD5∈B_all，则F2{H_yrDx，(W_all，B_all)}=1，H_2rD5所对应的文件为异常文件，将进行异常处理，拦截或者告警该文件；

H_3rD5∉W_all且H_3rD5∉B_all，则F2{H_yrDx，(W_all，B_all)}=2，认为H_3rD5所对应的文件为新增待定文件。将H_3rD5所对应的文件放入主机T₅新增待定文件Hsah集合P_rD5{H_3rD5}。

新增待定文件的处理过程包括：

S4221. 统计主机群组T{T₁，T₂，……，T_n}全部新增待定文件Hash集合P_r{P_rD1，P_rD2，P_rD3，……，P_rDn}；

S4222.对新增待定文件Hash集合P_r{P_rD1，P_rD2，P_rD3，……，P_rDn}中各集合元素进行去重，最终生成主机群组T{T₁，T₂，……，T_n}全部且唯一新增文件Hash集合P_rall；

S4223.将新增文件Hash集合P_rall作为主机群组T{T₁，T₂，……，T_n}全部且唯一待定文件Hash集合P_all，重复步骤S3。

本实施例还提供了采用上述未知病毒检测方法的一种未知病毒检测系统，如图2所示，包括各端点主机1和服务器2，端点主机包括获取单元11和文件监控单元12，主机包括依次相连的检测单元21、沙箱单元22、审计单元23、匹配单元24和告警单元25，获取单元与检测单元相连，文件监控单元与匹配单元相连，

获取单元，采集主机数据并上传至服务器，主机数据包括主机文件对应的Hash数据集合T_Dx和端点主机代号T_x，其中x为端点主机数量；

检测单元，对主机数据进行共识机制判定，包括统计每个端点主机Hash数据集合中每一条Hash数据在其他端点主机Hash数据集合中出现的次数，根据次数判断是否符合共识机制，将各端点主机Hash数据分配生成安全文件Hash集合和待定文件Hash集合；

沙箱单元，包括文件执行单元和结果记录单元，文件执行单元执行待定文件Hash集合，结果记录单元记录待定文件Hash集合的执行结果；

审计单元，获取待定文件Hash集合中Hash数据对应的各文件，进行异常行为判定，将异常文件对应Hash数据生成黑名单集合，将正常文件对应Hash数据加入安全文件Hash集合作为白名单集合，将黑名单集合和白名单集合下发到各端点主机；

文件监控单元，监控端点主机新增文件，获取新增文件对应Hash数据集合T_rDx{H_yrDx}上传至服务器；

匹配单元，将新增文件Hash数据与黑名单集合和白名单集合进行匹配，判断病毒文件；

告警单元，对匹配为病毒文件，进行告警该文件。

本文中所描述的具体实施例仅仅是对本发明精神作举例说明。本发明所属技术领域的技术人员可以对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代，但并不会偏离本发明的精神或者超越所附权利要求书所定义的范围。

尽管本文较多地使用了端点主机、获取单元、文件监控单元、服务器等术语，但并不排除使用其它术语的可能性。使用这些术语仅仅是为了更方便地描述和解释本发明的本质；把它们解释成任何一种附加的限制都是与本发明精神相违背的。

Claims (7)

1.一种未知病毒检测方法，其特征在于：包括以下步骤：

S1.各端点主机向服务器上传主机数据，服务器生成各端点主机Hash数据集合；

S2.对主机数据进行共识机制判定，包括：

统计每个端点主机Hash数据集合中每一条Hash数据在其他端点主机Hash数据集合中出现的次数；根据次数判断是否符合共识机制，将各端点主机Hash数据分配生成安全文件Hash集合和待定文件Hash集合；

S3.获取待定文件Hash集合中Hash数据对应的各文件，进行异常行为判定，将异常文件对应Hash数据生成黑名单集合，将正常文件对应Hash数据加入安全文件Hash集合作为白名单集合，将黑名单集合和白名单集合下发到各端点主机；

S4.监控端点主机新增文件，将新增文件Hash数据与黑名单集合和白名单集合进行匹配，判断病毒文件。

2.根据权利要求1所述的一种未知病毒检测方法，其特征是步骤S1的具体过程包括：

S11.由各端点主机采集主机数据，主机数据包括主机文件对应的Hash数据集合T_Dx和端点主机代号T_x，其中x为端点主机数量；

S12.服务器接收到各端点主机上传的Hash数据集合T_Dx和端点主机代号T_x后，进行文件Hash统计，生成各端点主机Hash数据集合{T_D1，T_D2，……，T_Dx}。

3.根据权利要求1所述的一种未知病毒检测方法，其特征是步骤S2的具体过程包括：

S21.统计每个端点主机文件Hash数据集合中每一条Hash数据H_yDx在集合T_{except（Dx）}中出现的次数S_y，其中集合T_{except（Dx）}为除了Hash数据H_yDx所在Hash数据集合T_Dx外所有属于端点主机文件Hash数据集合；

S22.获得次数统计集合S_Dx{S₁，S₂，S₃，……，S_y}，进行共识比较计算W{(S_y，N)}，N为指定的阈值；

S23.将次数统计集合S_Dx{S₁，S₂，S₃，……，S_y}中每一个元素S_y与N做比较，

当S_y >= N 时，则W{(S_y，N)} = 0，认为该Hash数据符合共识机制判定，对应文件安全，将S_y对应Hash数据H_yDx放入主机T_x安全文件Hash集合W_Dx；

当S_y < N时，则W{(S_y ，N)} = 1，认为该Hash数据不符合共识机制判定，将S_y对应Hash数据H_yDx放入主机T_x待定文件Hash集合P_Dx；

S24.经过算法W后，各主机T_x对应Hash集合T_Dx被分为安全文件Hash集合W_Dx与待定文件Hash集合P_Dx两个子集；

S25.统计主机群组T{T₁，T₂，……，T_x}全部安全文件Hash集合W{W_D1，W_D2，W_D3，……，W_Dx}，对{W_D1，W_D2，W_D3，……，W_Dx}中各集合元素进行去重，最终生成主机群组T{T₁，T₂，……，T_x}全部且唯一安全文件Hash集合W_all,统计主机群组T{T₁，T₂，……，T_x}全部待定文件Hash集合P{P_D1，P_D2，P_D3，……，P_Dx}，对{P_D1，P_D2，P_D3，……，P_Dx}中各集合元素进行去重，最终生成主机群组T{T₁，T₂，……，T_x}全部且唯一待定文件Hash集合P_all。

4.根据权利要求3所述的一种未知病毒检测方法，其特征是步骤S3具体过程包括：

S31.将W_all作为白名单集合，下发到主机群组T{T₁，T₂，……，T_x}全部端点主机；

S32.将主机群组T{T₁，T₂，……，T_x}全部且唯一待定文件Hash集合P_all根据其中每条Hash数据H_yDx的主机代号x，依次向对应端点主机T_x获取对应文件；

S33.将获取到的待定文件Hash集合P_all所对应文件置于服务器沙箱中执行，进行异常行为判定；

若文件存在恶意行为，则将文件对应的Hash数据H_yDx加入文件Hash黑名单，并生成黑名单集合B_all；

若文件不存在恶意行为，则将文件Hash数据H_yDx加入主机群组T{T₁，T₂，……，T_n}全部且唯一安全文件Hash集合W_all，更新白名单集合W_all；

S34.将黑名单集合B_all和更新的白名单集合W_all下发到主机群组T{T₁，T₂，……，T_x}全部端点主机。

5.根据权利要求4所述的一种未知病毒检测方法，其特征是所述步骤S4具体过程包括：

S41.端点主机监控新增文件，获取新增文件对应Hash数据集合T_rDx{H_yrDx}和主机端点代号T_x，并上传至服务器，其中H_yrDx为新增文件对应Hash数据；

S42. 服务器将新增文件Hash数据与黑名单集合B_all和白名单集合W_all进行匹配，计算F2{H_yrDx，(W_all，B_all)}，

H_yrDx∈W_all，则F2{H_yrDx，(W_all，B_all)}=0，H_yrDx所对应的文件安全；

H_yrDx∈B_all，则F2{H_yrDx，(W_all，B_all)}=1，H_yrDx所对应的文件为异常文件，将进行异常处理，拦截或者告警该文件；

H_yrDx∉W_all且H_yrDx∉B_all，则F2{H_yrDx，(W_all，B_all)}=2，认为H_yrDx所对应的文件为新增待定文件。

6.根据权利要求5所述的一种未知病毒检测方法，其特征是对于步骤S42中的新增待定文件的处理过程包括：

S4221. 统计主机群组T{T₁，T₂，……，T_n}全部新增待定文件Hash集合P_r{P_rD1，P_rD2，P_rD3，……，P_rDn}；

S4222.对新增待定文件Hash集合P_r{P_rD1，P_rD2，P_rD3，……，P_rDn}中各集合元素进行去重，最终生成主机群组T{T₁，T₂，……，T_n}全部且唯一新增文件Hash集合P_rall；

S4223.将新增文件Hash集合P_rall作为主机群组T{T₁，T₂，……，T_n}全部且唯一待定文件Hash集合P_all，重复步骤S3。

7.一种未知病毒检测系统，采用权利要求1-6任一项中的未知病毒检测方法，其特征是：包括各端点主机和服务器，端点主机包括获取单元和文件监控单元，主机包括依次相连的检测单元、沙箱单元、审计单元、匹配单元和告警单元，获取单元与检测单元相连，文件监控单元与匹配单元相连，

获取单元，采集主机数据并上传至服务器，主机数据包括主机文件对应的Hash数据集合T_Dx和端点主机代号T_x，其中x为端点主机数量；

检测单元，对主机数据进行共识机制判定，包括统计每个端点主机Hash数据集合中每一条Hash数据在其他端点主机Hash数据集合中出现的次数，根据次数判断是否符合共识机制，将各端点主机Hash数据分配生成安全文件Hash集合和待定文件Hash集合；

沙箱单元，包括文件执行单元和结果记录单元，文件执行单元执行待定文件Hash集合，结果记录单元记录待定文件Hash集合的执行结果；

审计单元，获取待定文件Hash集合中Hash数据对应的各文件，进行异常行为判定，将异常文件对应Hash数据生成黑名单集合，将正常文件对应Hash数据加入安全文件Hash集合作为白名单集合，将黑名单集合和白名单集合下发到各端点主机；

文件监控单元，监控端点主机新增文件，获取新增文件对应Hash数据集合T_rDx{H_yrDx}上传至服务器；

匹配单元，将新增文件Hash数据与黑名单集合和白名单集合进行匹配，判断病毒文件；

告警单元，对匹配为病毒文件，进行告警该文件。

Images