CN116962086B - 一种文件安全性检测方法及系统 - Google Patents

一种文件安全性检测方法及系统 Download PDF

Info

Publication number
CN116962086B
CN116962086B CN202311216448.2A CN202311216448A CN116962086B CN 116962086 B CN116962086 B CN 116962086B CN 202311216448 A CN202311216448 A CN 202311216448A CN 116962086 B CN116962086 B CN 116962086B
Authority
CN
China
Prior art keywords
detection
file
detected
detection model
client
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202311216448.2A
Other languages
English (en)
Other versions
CN116962086A (zh
Inventor
吕经祥
李石磊
肖新光
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Antiy Network Technology Co Ltd
Original Assignee
Beijing Antiy Network Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Antiy Network Technology Co Ltd filed Critical Beijing Antiy Network Technology Co Ltd
Priority to CN202311216448.2A priority Critical patent/CN116962086B/zh
Publication of CN116962086A publication Critical patent/CN116962086A/zh
Application granted granted Critical
Publication of CN116962086B publication Critical patent/CN116962086B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/50Allocation of resources, e.g. of the central processing unit [CPU]
    • G06F9/5083Techniques for rebalancing the load in a distributed system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/302Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information gathering intelligence information for situation awareness or reconnaissance
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/06Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • H04L67/1004Server selection for load balancing
    • H04L67/1008Server selection for load balancing based on parameters of servers, e.g. available memory or workload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/141Denial of service attacks against endpoints in a network
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Abstract

本发明公开一种文件安全性检测方法及系统,涉及网络安全技术领域,包括客户端和服务端,客户端与服务端连接,客户端和服务端均安装有n个检测模型,每一检测模型唯一对应一个预设攻击类型;客户端安装的第i个检测模型与服务端安装的第i个检测模型相同;客户端根据检测模型的检测优先级从高到低运行各检测模型,以对待检测文件进行检测,每运行一个检测模型并得到检测结果,便判断待检测文件是否为恶意文件,若为恶意文件则结束检测,否则判断客户端当前的性能和资源是否能够承载下一个检测模型的检测任务,若不能承载,则将待检测文件上传服务端继续检测,以得到所述待检测文件的安全性检测结果。本发明能够有效提升检测效率。

Description

一种文件安全性检测方法及系统
技术领域
本发明涉及网络安全技术领域,特别是涉及一种文件安全性检测方法及系统。
背景技术
随着网络安全技术的不断发展,网络安全检测引擎等网络安全防护工具不断优化,为网络安全防护提供了必要的技术支撑。但现有的网络安全检测引擎类工具在执行检测任务时,均为单侧工作,即检测模型仅部署在服务端,仅在服务端执行检测任务,或检测模型仅部署在客户端,仅在客户端执行检测任务。可见,现有的网络安全检测引擎类工具未将服务端和客户端的性能进行综合考虑,若测模型仅部署在服务端,服务端要同时对大量客户端发送的样本进行检测,则服务端承载的检测压力较大,若测模型仅部署在客户端,由于客户端的算力有限,则检测效率和检测精准度难以保障,在检测较大样本时也会影响其他程序的运行,造成运行卡顿等现象,影响用户体验。
发明内容
有鉴于此,本发明提供一种文件安全性检测方法及系统,将网络安全检测引擎中包含的各检测模型同时部署在客户端和服务端,客户端执行对待检测文件的检测任务时,结合自身计算资源情况对检测任务的承载能力进行动态判断,当计算资源不足以承载检测任务时,将待检测文件发送至服务端继续检测,客户端与服务端交互式对待检测文件进行检测,有效均衡客户端和服务端负载情况,提升检测效率,保障最终检测结果的准确性,至少部分解决现有技术中存在的问题。
具体发明内容为:
一种文件安全性检测方法,应用于客户端,所述客户端安装有n个检测模型,每一所述检测模型唯一对应一个预设攻击类型;所述客户端与服务端连接,所述服务端安装有所述客户端安装的n个检测模型。
所述方法包括以下步骤:
步骤11,获取待检测文件对应的检测优先级集A=(A1,A2,…,Ai,…,An);其中,i=1,2,…,n;Ai为第i个检测模型对所述待检测文件的检测优先级,;Xi为第i个检测模型检测所述待检测文件的预测时长;Ki为所述待检测文件的攻击类型为第i个检测模型对应的预设攻击类型的预测值,Ki大于等于1;e为自然常数。
步骤12,根据A获取检测模型对应的初始标识序列B=(B1,B2,…,Bi,…,Bn);其中,Bi为检测优先级排序第i的检测模型对应的标识;Bj对应的检测模型的检测优先级大于Bj+1对应的检测模型的检测优先级;j=1,2,…,n-1。
步骤13,获取目标值u=1。
步骤14,若u<n,则将所述待检测文件输入Bu对应的检测模型中进行检测,得到Bu对应的检测模型输出的检测结果。
步骤15,若所述检测结果表示所述待检测文件为非恶意文件,则获取目标使用率ZM;否则,判定所述待检测文件为恶意文件,并结束对所述待检测文件的安全性检测;ZM为预测的Bu+1对应的检测模型在检测所述待检测文件的过程中最大CPU使用率。
步骤16,若ZM小于当前时间对应的使用率阈值,则获取u=u+1,并进入步骤14;否则,将所述待检测文件和目标标识序列B’=(Bu+1,Bu+2,…,Bn)上传至服务端,以使所述服务端根据B’对所述待检测文件进行检测,以得到所述待检测文件的安全性检测结果。
进一步地,所述当前时间对应的使用率阈值通过以下步骤获取:
步骤21,确定当前时间对应的目标时间段;所述目标时间段的开始时间早于当前时间,结束时间晚于当前时间。
步骤22,获取中间使用率集M=(M1,M2,…,Ma,…,Mt);其中,a=1,2,…,t;t为预设历史天数;Ma为预设历史天数中的第a天对应的目标时间段内的最大CPU使用率;所述预设历史天数中的最后一天为当前时间对应的前一天。
步骤23,根据M确定当前时间对应的使用率阈值;其中,PM=(Σt a=1Ma)/t;β为预设的调整系数,0<β<1。
进一步地,在所述步骤21之后还包括:
步骤211,获取预设历史天数对应的历史使用率列表集P=(P1,P2,…,Pa,…,Pt);其中,Pa为预设历史天数中的第a天对应的目标时间段的历史使用率列表;Pa=(Pa1,Pa2,…,Pab,…Pag);b=1,2,…,g;Pab为预设历史天数中的第a天对应的目标时间段内,第b个关键时间段对应的最大CPU使用率;所述目标时间段包括g个连续排布的关键时间段,目标时间段的长度为,ΔT为每一关键时间段的长度。
进一步地,作为一种可选方案,所述Ma通过以下步骤获取:
步骤31,确定预设历史天数中的第a天对应的目标时间段内,是否运行了任意所述检测模型,若是,则执行步骤32至步骤34;否则,将Pa中的最大值确定为Ma
步骤32,将运行了检测模型的关键时间段确定为待过滤时间段。
步骤33,在Pa中将每一待过滤时间段所对应的最大CPU使用率删除,以得到Pa对应的过滤后使用率列表Pa’。
步骤34,将Pa’ 中的最大值确定为Ma
进一步地,作为另一种可选方案,所述Ma通过以下步骤获取:
步骤41,确定Pa中的最大值,并将Pa中的最大值对应的关键时间段确定为第一时间段。
步骤42,将位于所述第一时间段之前的num个关键时间段确定为第一对比时间段,以及将位于所述第一时间段之后的num个关键时间段确定为第二对比时间段;num为预设第一数量。
步骤43,将每一第一对比时间段中num个最大CPU使用率中的中位值确定为第一对比值,以及将每一第二对比时间段中num个最大CPU使用率中的中位值确定为第二对比值。
步骤44,若第一对比值和第二对比值均小于第一预设阈值,则将Pa中的最大值确定为Ma;否则进入步骤45。
步骤45,将Pa中的最大值删除,并进入步骤41。
进一步地,作为另一种可选方案,所述Ma通过以下步骤获取:
步骤51,确定Pa中的最大值,并将Pa中的最大值对应的关键时间段确定为第二时间段。
步骤52,将位于所述第二时间段之后的num’个关键时间段确定为第三对比时间段;num’为预设第二数量。
步骤53,将每一第三对比时间段中num’个最大CPU使用率中的最大值确定为关键最大值。
步骤54,若Pa中的最大值与每一所述关键最大值的差值均小于第二预设阈值,则将Pa中的最大值确定为Ma;否则进入步骤55。
步骤55,将Pa中的最大值删除,并进入步骤51。
进一步地,所述Bu对应的检测模型输出的检测结果包括:黑、白、灰;其中,检测结果为黑,则待检测文件为Bu对应的检测模型所对应的预设攻击类型的文件;检测结果为白,则待检测文件非Bu对应的检测模型所对应的预设攻击类型的文件,检测结果为灰,则待检测文件是否为Bu对应的检测模型所对应的预设攻击类型的文件的情况未知。
Bu对应的检测模型输出的检测结果为白或为灰,则表示所述待检测文件为非恶意文件。
进一步地,在所述步骤16之后,还包括:
步骤17,接收由服务端返回的检测结果,根据服务端返回的检测结果判定所述待检测文件的安全性。
一种文件安全性检测方法,应用于服务端,所述服务端安装有n个检测模型,每一所述检测模型唯一对应一个预设攻击类型;所述服务端与客户端连接,所述客户端安装有所述服务端安装的n个检测模型。
所述方法包括以下步骤:
步骤61,接收所述客户端发送的非恶意的待检测文件和目标标识序列;所述目标标识序列为客户端根据初始标识序列对待检测文件进行检测的过程中得到的;所述初始标识序列中包含n个标识,每一标识唯一对应一个所述检测模型,其中,第j个标识对应的检测模型的检测优先级大于第j+1个标识对应的检测优先级,j=1,2,…,n-1;当客户端根据所述初始标识序列对待检测文件进行检测的过程中,若未得到表示所述待检测文件为恶意的检测结果,且确定下一个用于检测所述待检测文件的检测模型在检测所述待检测文件的过程中最大CPU使用率小于当前时间对应的使用率阈值时,则将所述初始标识序列中,从下一个用于检测所述待检测文件的检测模型对应的标识起至最后一个标识的序列段,确定为所述目标标识序列,同时客户端结束对所述待检测文件的安全性检测。
步骤62,逐一利用所述目标标识序列包含的标识对应的检测模型对所述待检测文件进行检测,依次得到相应检测模型输出的检测结果。
步骤63,若得到为黑的检测结果,则结束对所述待检测文件的安全性检测;否则根据所述目标标识序列继续对待检测文件的安全性进行检测。
步骤64,在得到的每一检测结果中标记对应检测模型的标识。
步骤65,将标记了标识的每一检测结果返回至所述客户端,以使所述客户端对所述待检测文件的安全性进行判定。
一种文件安全性检测系统,包括客户端和服务端,所述客户端与所述服务端连接,所述客户端和所述服务端均安装有n个检测模型,每一所述检测模型唯一对应一个预设攻击类型;客户端安装的第i个检测模型与服务端安装的第i个检测模型相同;其中,i=1,2,…,n。
所述客户端包括:
检测优先级集获取模块,用于获取待检测文件对应的检测优先级集A=(A1,A2,…,Ai,…,An);其中,i=1,2,…,n;Ai为第i个检测模型对所述待检测文件的检测优先级,;Xi为第i个检测模型检测所述待检测文件的预测时长;Ki为所述待检测文件的攻击类型为第i个检测模型对应的预设攻击类型的预测值,Ki大于等于1;e为自然常数。
初始标识序列获取模块,用于根据A获取检测模型对应的初始标识序列B=(B1,B2,…,Bi,…,Bn);其中,Bi为检测优先级排序第i的检测模型对应的标识;Bj对应的检测模型的检测优先级大于Bj+1对应的检测模型的检测优先级;j=1,2,…,n-1。
目标值获取模块,用于获取目标值u=1。
第一检测模块,用于若u<n,则将所述待检测文件输入Bu对应的检测模型中进行检测,得到Bu对应的检测模型输出的检测结果。
第一安全性判定模块,用于若所述检测结果表示所述待检测文件为非恶意文件,则获取目标使用率ZM;否则,判定所述待检测文件为恶意文件,并结束对所述待检测文件的安全性检测;ZM为预测的Bu+1对应的检测模型在检测所述待检测文件的过程中最大CPU使用率。
第二安全性判定模块,用于若ZM小于当前时间对应的使用率阈值,则获取u=u+1,并执行所述第一检测模块;否则,将所述待检测文件和目标标识序列B’=(Bu+1,Bu+2,…,Bn)上传至服务端,以使所述服务端根据B’对所述待检测文件进行检测,以得到所述待检测文件的安全性检测结果。
所述服务端包括:
待检测文件接收模块,用于接收所述客户端发送的非恶意的待检测文件和目标标识序列。
第二检测模块,用于逐一利用所述目标标识序列包含的标识对应的检测模型对所述待检测文件进行检测,依次得到相应检测模型输出的检测结果。
检测判定模块,用于若得到为黑的检测结果,则结束对所述待检测文件的安全性检测;否则根据所述目标标识序列继续对待检测文件的安全性进行检测。
标识标记模块,用于在得到的每一检测结果中标记对应检测模型的标识。
检测结果返回模块,用于将标记了标识的每一检测结果返回至所述客户端,以使所述客户端对所述待检测文件的安全性进行判定。
本发明的有益效果体现在:
本发明能够针对待检测文件获取每一检测模型对应的检测优先级,且每一检测优先级均对待检测文件对应的预测时长和预测值进行了均衡考虑,基于这样的优先级运行每一检测模型,能够在待检测文件为恶意文件时,提升在客户端对其检出的概率,以提高检测效率。本发明将属于同一网络安全检测引擎的各检测模型同时部署在客户端和服务端,客户端根据检测模型的检测优先级从高到低运行各检测模型,以对待检测文件进行检测,每运行一个检测模型并得到检测结果,判断待检测文件是否为恶意文件,若为恶意文件则结束检测,无需将待检测文件发送至服务端,否则判断客户端当前的性能和资源是否能够承载下一个检测模型的检测任务,若能承载,则客户端继续对待检测文件进行检测,否则将待检测文件上传服务端继续检测,且服务端仅运行客户端未运行的检测模型即可,以得到所述待检测文件的安全性检测结果。因此,本发明能够在有效均衡客户端和服务端负载的同时,有效提升检测效率和检测结果的准确性,更好地保障用户侧的信息安全。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种应用于客户端的文件安全性检测方法流程图;
图2为本发明实施例提供的一种应用于服务端的文件安全性检测方法流程图;
图3为本发明实施例提供的一种文件安全性检测系统结构图。
具体实施方式
需说明的是,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合;并且,基于本公开中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本公开保护的范围。
需要说明的是,下文描述在所附权利要求书的范围内的实施例的各种方面。应显而易见,本文中所描述的方面可体现于广泛多种形式中,且本文中所描述的任何特定结构及/或功能仅为说明性的。基于本公开,所属领域的技术人员应了解,本文中所描述的一个方面可与任何其它方面独立地实施,且可以各种方式组合这些方面中的两者或两者以上。举例来说,可使用本文中所阐述的任何数目个方面来实施设备及/或实践方法。另外,可使用除了本文中所阐述的方面中的一或多者之外的其它结构及/或功能性实施此设备及/或实践此方法。
本发明提供一种文件安全性检测方法实施例,应用于客户端,所述客户端安装有n个检测模型,每一所述检测模型唯一对应一个预设攻击类型;所述客户端与服务端连接,所述服务端安装有所述客户端安装的n个检测模型。
本实施例如图1所示,包括:
步骤11,获取待检测文件对应的检测优先级集A=(A1,A2,…,Ai,…,An);其中,i=1,2,…,n;Ai为第i个检测模型对所述待检测文件的检测优先级,;Xi为第i个检测模型检测所述待检测文件的预测时长;Ki为所述待检测文件的攻击类型为第i个检测模型对应的预设攻击类型的预测值,Ki大于等于1;e为自然常数。
步骤12,根据A获取检测模型对应的初始标识序列B=(B1,B2,…,Bi,…,Bn);其中,Bi为检测优先级排序第i的检测模型对应的标识;Bj对应的检测模型的检测优先级大于Bj+1对应的检测模型的检测优先级;j=1,2,…,n-1。
步骤13,获取目标值u=1。
步骤14,若u<n,则将所述待检测文件输入Bu对应的检测模型中进行检测,得到Bu对应的检测模型输出的检测结果。
步骤15,若所述检测结果表示所述待检测文件为非恶意文件,则获取目标使用率ZM;否则,判定所述待检测文件为恶意文件,并结束对所述待检测文件的安全性检测;ZM为预测的Bu+1对应的检测模型在检测所述待检测文件的过程中最大CPU使用率。
步骤16,若ZM小于当前时间对应的使用率阈值,则获取u=u+1,并进入步骤14;否则,将所述待检测文件和目标标识序列B’=(Bu+1,Bu+2,…,Bn)上传至服务端,以使所述服务端根据B’对所述待检测文件进行检测,以得到所述待检测文件的安全性检测结果。
图1所述实施例中,所述预设攻击类型包括APT攻击(Advanced PersistentThreat,高级持续性威胁攻击)、代码注入攻击、DDoS攻击(Distributed Denial ofService,分布式阻断服务)等。所述待检测文件包括文本文件、应用文件、日志文件、网络数据文件等。所述Xi与第i个检测模型使用的检测算法和待检测文件的大小相关,可结合待检测文件的大小计算第i个检测模型使用的检测算法的时间复杂度得到。所述Ki可通过待检测文件大小、类型、结构等基础特征得到,例如,获取待检测文件的大小、类型和结构特征,组成特征向量,计算特征向量与第i个检测模型对应的预设攻击类型的特征向量的相似度,将相似度计算结果乘以10,得到Ki。所述Ai受Xi和Ki的影响,在Xi不变的情况下,Ki越大则Ai越大,Ki越小则Ai越小,即检测优先级与预测值成正比趋势;在Ki不变的情况下,Xi越大则Ai越小,Xi越小则Ai越大,即检测优先级与预测时长成反比趋势,这使得Ai是在更好地均衡Ki和Xi的情况下得到的。所述ZM是结合所述待检测文件大小计算Bu+1对应的检测模型使用的检测算法的空间复杂度得到的。若ZM小于当前时间对应的使用率阈值,则表示客户端当前的性能和资源可以承载Bu+1对应的检测模型的检测任务,否则将待检测文件上传至服务端继续检测,以得到所述待检测文件的安全性检测结果。
图1所述实施例能够针对待检测文件获取每一检测模型对应的检测优先级,且每一检测优先级均对待检测文件对应的预测时长和预测值进行了均衡考虑,基于这样的优先级运行每一检测模型,能够在待检测文件为恶意文件时,提升在客户端对其检出的概率,以提高检测效率。图1所述实施例将属于同一网络安全检测引擎的各检测模型同时部署在客户端和服务端,客户端根据检测模型的检测优先级从高到低运行各检测模型,以对待检测文件进行检测,每运行一个检测模型并得到检测结果,判断待检测文件是否为恶意文件,若为恶意文件则结束检测,无需将待检测文件发送至服务端,否则判断客户端当前的性能和资源是否能够承载下一个检测模型的检测任务,若能承载,则客户端继续对待检测文件进行检测,否则将待检测文件上传服务端继续检测,且服务端仅运行客户端未运行的检测模型即可,以得到所述待检测文件的安全性检测结果。因此,图1所述实施例能够在有效均衡客户端和服务端负载的同时,有效提升检测效率和检测结果的准确性,更好地保障用户侧的信息安全。图1所述实施例在判定待检测文件为恶意文件后,可根据判定出的恶意文件对应的预设攻击类型为客户端部署安全策略,或向客户端用户发送安全提示信息,提供候选安全策略供用户选择,避免用户侧遭受威胁攻击,保障用户侧的信息安全。
优选地,所述当前时间对应的使用率阈值通过以下步骤获取:
步骤21,确定当前时间对应的目标时间段;所述目标时间段的开始时间早于当前时间,结束时间晚于当前时间。
步骤22,获取中间使用率集M=(M1,M2,…,Ma,…,Mt);其中,a=1,2,…,t;t为预设历史天数;Ma为预设历史天数中的第a天对应的目标时间段内的最大CPU使用率;所述预设历史天数中的最后一天为当前时间对应的前一天。
步骤23,根据M确定当前时间对应的使用率阈值;其中,PM=(Σt a=1Ma)/t;β为预设的调整系数,0<β<1。
上述优选方案中,所述目标时间段和预设历史天数根据实际应用需求进行设置,所述PM为M的均值,PM可体现客户端在当前时间对应的目标时间段的最大CPU使用率情况,从而得到当前时间对应的目标时间段可支配的CPU使用率为1-PM,可支配的CPU使用率可用于运行检测模型或执行其他程序任务,为避免客户端在继续运行检测模型时产生重负载、卡顿等现象,在确定当前时间对应的使用率阈值Y时,引入预设的调整系数β,以进一步缩减可支配的CPU使用率,以保障客户端的性能。对上述优选方案举例如下:
假设目标时间段为早于当前时间30分钟到晚于当前时间30分钟的时间段,预设历史天数为7天,β=0.8,且当前时间为17点30分,则目标时间段为17点到18点。假设获取到的中间使用率集M=(0.4,0.3,0.5,0.4,0.5,0.3,0.4),则PM=0.4,Y=0.32。
优选地,在所述步骤21之后还包括:
步骤211,获取预设历史天数对应的历史使用率列表集P=(P1,P2,…,Pa,…,Pt);其中,Pa为预设历史天数中的第a天对应的目标时间段的历史使用率列表;Pa=(Pa1,Pa2,…,Pab,…Pag);b=1,2,…,g;Pab为预设历史天数中的第a天对应的目标时间段内,第b个关键时间段对应的最大CPU使用率;所述目标时间段包括g个连续排布的关键时间段,目标时间段的长度为,ΔT为每一关键时间段的长度。
上述优选方案中,所述关键时间段的长度ΔT和关键时间段的个数g,根据实际应用需求结合目标时间段长度进行设置,例如,目标时间段的长度为1小时,关键时间段的长度为5分钟,则g=12。
优选地,作为一种可选方案,所述Ma通过以下步骤获取:
步骤31,确定预设历史天数中的第a天对应的目标时间段内,是否运行了任意所述检测模型,若是,则执行步骤32至步骤34;否则,将Pa中的最大值确定为Ma
步骤32,将运行了检测模型的关键时间段确定为待过滤时间段。
步骤33,在Pa中将每一待过滤时间段所对应的最大CPU使用率删除,以得到Pa对应的过滤后使用率列表Pa’。
步骤34,将Pa’中的最大值确定为Ma
上述优选方案在预设历史天数中的第a天对应的目标时间段内,将运行了检测模型的关键时间段对应的最大CPU使用率删除,仅保留客户端日常工作状态的最大CPU使用率,能够得到更能体现客户端日常工作状态的Ma,以使得到的当前时间对应的使用率阈值Y更加准确,进而在保障客户端性能的基础上提升对待检测文件的检测效率。
优选地,作为另一种可选方案,所述Ma通过以下步骤获取:
步骤41,确定Pa中的最大值,并将Pa中的最大值对应的关键时间段确定为第一时间段。
步骤42,将位于所述第一时间段之前的num个关键时间段确定为第一对比时间段,以及将位于所述第一时间段之后的num个关键时间段确定为第二对比时间段;num为预设第一数量。
步骤43,将每一第一对比时间段中num个最大CPU使用率中的中位值确定为第一对比值,以及将每一第二对比时间段中num个最大CPU使用率中的中位值确定为第二对比值。
步骤44,若第一对比值和第二对比值均小于第一预设阈值,则将Pa中的最大值确定为Ma;否则进入步骤45。
步骤45,将Pa中的最大值删除,并进入步骤41。
上述优选方案中,所述预设第一数量num根据实际应用需求进行设置,例如5、10等,所述第一预设阈值根据实际应用需求进行设置,例如0.3或0.2等,第一预设阈值设置的越小,表示满足条件的Ma为与Pa中的其他最大CPU使用率差距更小的最大值。上述优选方案考虑到客户端可能会因硬盘温度、接入外联设备等产生瞬时重负载情况,造成CPU使用率瞬时升高和回降的现象,因此若当前Pa中的最大值对应的第一对比值和/或第二对比值大于等于第一预设阈值,则将当前Pa中的最大值删除,然后确定Pa中的下一个最大值再次进行判断,直到寻找到满足条件的最大值,并将其确定为Ma。该过程能够准确删除瞬时高负载产生的最大CPU使用率,排除瞬时高负载产生的影响,以更精确地确定Ma
优选地,作为另一种可选方案,所述Ma通过以下步骤获取:
步骤51,确定Pa中的最大值,并将Pa中的最大值对应的关键时间段确定为第二时间段。
步骤52,将位于所述第二时间段之后的num’个关键时间段确定为第三对比时间段;num’为预设第二数量。
步骤53,将每一第三对比时间段中num’个最大CPU使用率中的最大值确定为关键最大值。
步骤54,若Pa中的最大值与每一所述关键最大值的差值均小于第二预设阈值,则将Pa中的最大值确定为Ma;否则进入步骤55。
步骤55,将Pa中的最大值删除,并进入步骤51。
上述优选方案中,所述预设第二数量num’ 根据实际应用需求进行设置,例如5、10等,所述第二预设阈值根据实际应用需求进行设置,例如0.1或0.2等,第二预设阈值设置的越小,表示满足条件的Ma为与Pa中的其他最大CPU使用率差距更小的最大值。上述优选方案同样能够准确删除瞬时高负载产生的最大CPU使用率,排除瞬时高负载产生的影响,以更精确地确定Ma
优选地,所述Bu对应的检测模型输出的检测结果包括:黑、白、灰;其中,检测结果为黑,则待检测文件为Bu对应的检测模型所对应的预设攻击类型的文件;检测结果为白,则待检测文件非Bu对应的检测模型所对应的预设攻击类型的文件,检测结果为灰,则待检测文件是否为Bu对应的检测模型所对应的预设攻击类型的文件的情况未知。
Bu对应的检测模型输出的检测结果为白或为灰,则表示所述待检测文件为非恶意文件。
优选地,在所述步骤16之后,还包括:
步骤17,接收由服务端返回的检测结果,根据服务端返回的检测结果判定所述待检测文件的安全性。若服务端返回的检测结果中包含为黑的检测结果,则判定待检测文件为恶意文件,若服务端返回的检测结果中仅包含为白的检测结果,则判定待检测文件为非恶意文件,若服务端返回的检测结果中包含为灰的检测结果,不包含为黑的检测结果,则判定待检测文件的安全性情况未知。
本发明提供一种文件安全性检测方法实施例,应用于服务端,所述服务端安装有n个检测模型,每一所述检测模型唯一对应一个预设攻击类型;所述服务端与客户端连接,所述客户端安装有所述服务端安装的n个检测模型。
本实施例如图2所示,包括:
步骤61,接收所述客户端发送的非恶意的待检测文件和目标标识序列;所述目标标识序列为客户端根据初始标识序列对待检测文件进行检测的过程中得到的;所述初始标识序列中包含n个标识,每一标识唯一对应一个所述检测模型,其中,第j个标识对应的检测模型的检测优先级大于第j+1个标识对应的检测优先级,j=1,2,…,n-1;当客户端根据所述初始标识序列对待检测文件进行检测的过程中,若未得到表示所述待检测文件为恶意的检测结果,且确定下一个用于检测所述待检测文件的检测模型在检测所述待检测文件的过程中最大CPU使用率小于当前时间对应的使用率阈值时,则将所述初始标识序列中,从下一个用于检测所述待检测文件的检测模型对应的标识起至最后一个标识的序列段,确定为所述目标标识序列,同时客户端结束对所述待检测文件的安全性检测。
步骤62,逐一利用所述目标标识序列包含的标识对应的检测模型对所述待检测文件进行检测,依次得到相应检测模型输出的检测结果。
步骤63,若得到为黑的检测结果,则结束对所述待检测文件的安全性检测;否则根据所述目标标识序列继续对待检测文件的安全性进行检测。
步骤64,在得到的每一检测结果中标记对应检测模型的标识。
步骤65,将标记了标识的每一检测结果返回至所述客户端,以使所述客户端对所述待检测文件的安全性进行判定。
图2所述实施例根据目标标识序列,按照相应检测模型的优先级顺序,对待检测文件进行检测,当得到为黑的检测结果时,结束对待检测文件的检测,可有效提升对待检测文件的检测效率,降低服务端算力资源占用。在得到的每一检测结果中标记对应检测模型的标识后,再将每一检测结果返回至客户端,可在待检测文件为恶意文件时,客户端根据为黑的检测结果对应的标识判定恶意文件对应的预设攻击类型,有助于客户端有针对性的进行后续的安全防护工作。
本发明提供一种文件安全性检测系统实施例,如图3所示,包括客户端和服务端,所述客户端与所述服务端连接,所述客户端和所述服务端均安装有n个检测模型,每一所述检测模型唯一对应一个预设攻击类型;客户端安装的第i个检测模型与服务端安装的第i个检测模型相同;其中,i=1,2,…,n。
所述客户端包括:
检测优先级集获取模块301,用于获取待检测文件对应的检测优先级集A=(A1,A2,…,Ai,…,An);其中,i=1,2,…,n;Ai为第i个检测模型对所述待检测文件的检测优先级,;Xi为第i个检测模型检测所述待检测文件的预测时长;Ki为所述待检测文件的攻击类型为第i个检测模型对应的预设攻击类型的预测值,Ki大于等于1;e为自然常数。
初始标识序列获取模块302,用于根据A获取检测模型对应的初始标识序列B=(B1,B2,…,Bi,…,Bn);其中,Bi为检测优先级排序第i的检测模型对应的标识;Bj对应的检测模型的检测优先级大于Bj+1对应的检测模型的检测优先级;j=1,2,…,n-1。
目标值获取模块303,用于获取目标值u=1。
第一检测模块304,用于若u<n,则将所述待检测文件输入Bu对应的检测模型中进行检测,得到Bu对应的检测模型输出的检测结果。
第一安全性判定模块305,用于若所述检测结果表示所述待检测文件为非恶意文件,则获取目标使用率ZM;否则,判定所述待检测文件为恶意文件,并结束对所述待检测文件的安全性检测;ZM为预测的Bu+1对应的检测模型在检测所述待检测文件的过程中最大CPU使用率。
第二安全性判定模块306,用于若ZM小于当前时间对应的使用率阈值,则获取u=u+1,并执行所述第一检测模块304;否则,将所述待检测文件和目标标识序列B’=(Bu+1,Bu+2,…,Bn)上传至服务端,以使所述服务端根据B’对所述待检测文件进行检测,以得到所述待检测文件的安全性检测结果。
所述服务端包括:
待检测文件接收模块311,用于接收所述客户端发送的非恶意的待检测文件和目标标识序列。
第二检测模块312,用于逐一利用所述目标标识序列包含的标识对应的检测模型对所述待检测文件进行检测,依次得到相应检测模型输出的检测结果。
检测判定模块313,用于若得到为黑的检测结果,则结束对所述待检测文件的安全性检测;否则根据所述目标标识序列继续对待检测文件的安全性进行检测。
标识标记模块314,用于在得到的每一检测结果中标记对应检测模型的标识。
检测结果返回模块315,用于将标记了标识的每一检测结果返回至所述客户端,以使所述客户端对所述待检测文件的安全性进行判定。
图3所述实施例中,所述预设攻击类型包括APT攻击(Advanced PersistentThreat,高级持续性威胁攻击)、代码注入攻击、DDoS攻击(Distributed Denial ofService,分布式阻断服务)等。所述待检测文件包括文本文件、应用文件、日志文件、网络数据文件等。所述Xi与第i个检测模型使用的检测算法和待检测文件的大小相关,可结合待检测文件的大小计算第i个检测模型使用的检测算法的时间复杂度得到。所述Ki可通过待检测文件大小、类型、结构等基础特征得到,例如,获取待检测文件的大小、类型和结构特征,组成特征向量,计算特征向量与第i个检测模型对应的预设攻击类型的特征向量的相似度,将相似度计算结果乘以10,得到Ki。所述Ai受Xi和Ki的影响,在Xi不变的情况下,Ki越大则Ai越大,Ki越小则Ai越小,即检测优先级与预测值成正比趋势;在Ki不变的情况下,Xi越大则Ai越小,Xi越小则Ai越大,即检测优先级与预测时长成反比趋势,这使得Ai是在更好地均衡Ki和Xi的情况下得到的。所述ZM是结合所述待检测文件大小计算Bu+1对应的检测模型使用的检测算法的空间复杂度得到的。若ZM小于当前时间对应的使用率阈值,则表示客户端当前的性能和资源可以承载Bu+1对应的检测模型的检测任务,否则将待检测文件上传至服务端继续检测,以得到所述待检测文件的安全性检测结果。
图3所述实施例能够针对待检测文件获取每一检测模型对应的检测优先级,且每一检测优先级均对待检测文件对应的预测时长和预测值进行了均衡考虑,基于这样的优先级运行每一检测模型,能够在待检测文件为恶意文件时,提升在客户端对其检出的概率,以提高检测效率。图3所述实施例将属于同一网络安全检测引擎的各检测模型同时部署在客户端和服务端,客户端根据检测模型的检测优先级从高到低运行各检测模型,以对待检测文件进行检测,每运行一个检测模型并得到检测结果,判断待检测文件是否为恶意文件,若为恶意文件则结束检测,无需将待检测文件发送至服务端,否则判断客户端当前的性能和资源是否能够承载下一个检测模型的检测任务,若能承载,则客户端继续对待检测文件进行检测,否则将待检测文件上传服务端继续检测,且服务端仅运行客户端未运行的检测模型即可,以得到所述待检测文件的安全性检测结果。因此,图3所述实施例能够在有效均衡客户端和服务端负载的同时,有效提升检测效率和检测结果的准确性,更好地保障用户侧的信息安全。图3所述实施例在判定待检测文件为恶意文件后,可根据判定出的恶意文件对应的预设攻击类型为客户端部署安全策略,或向客户端用户发送安全提示信息,提供候选安全策略供用户选择,避免用户侧遭受威胁攻击,保障用户侧的信息安全。
优选地,所述系统还包括使用率阈值获取模块,在执行所述第二安全性判定模块306之前执行,或在执行所述检测优先级集获取模块301之前执行,所述使用率阈值获取模块用于:
确定当前时间对应的目标时间段;所述目标时间段的开始时间早于当前时间,结束时间晚于当前时间;。
获取中间使用率集M=(M1,M2,…,Ma,…,Mt);其中,a=1,2,…,t;t为预设历史天数;Ma为预设历史天数中的第a天对应的目标时间段内的最大CPU使用率;所述预设历史天数中的最后一天为当前时间对应的前一天。
根据M确定当前时间对应的使用率阈值;其中,PM=(Σt a=1Ma)/t;β为预设的调整系数,0<β<1。
优选地,所述使用率阈值获取模块还用于:
获取预设历史天数对应的历史使用率列表集P=(P1,P2,…,Pa,…,Pt);其中,Pa为预设历史天数中的第a天对应的目标时间段的历史使用率列表;Pa=(Pa1,Pa2,…,Pab,…Pag);b=1,2,…,g;Pab为预设历史天数中的第a天对应的目标时间段内,第b个关键时间段对应的最大CPU使用率;所述目标时间段包括g个连续排布的关键时间段,目标时间段的长度为,ΔT为每一关键时间段的长度。
优选地,作为一种可选方案,所述Ma通过以下方式获取:
确定预设历史天数中的第a天对应的目标时间段内,是否运行了任意所述检测模型,若是,则执行步骤32至步骤34;否则,将Pa中的最大值确定为Ma
将运行了检测模型的关键时间段确定为待过滤时间段。
在Pa中将每一待过滤时间段所对应的最大CPU使用率删除,以得到Pa对应的过滤后使用率列表Pa’。
将Pa’ 中的最大值确定为Ma
优选地,作为另一种可选方案,所述Ma通过以下方式获取:
确定Pa中的最大值,并将Pa中的最大值对应的关键时间段确定为第一时间段。
将位于所述第一时间段之前的num个关键时间段确定为第一对比时间段,以及将位于所述第一时间段之后的num个关键时间段确定为第二对比时间段;num为预设第一数量。
将每一第一对比时间段中num个最大CPU使用率中的中位值确定为第一对比值,以及将每一第二对比时间段中num个最大CPU使用率中的中位值确定为第二对比值。
若第一对比值和第二对比值均小于第一预设阈值,则将Pa中的最大值确定为Ma;否则,将Pa中的最大值删除,并重新确定Pa中的最大值和第一时间段,直至确定出Ma
优选地,作为另一种可选方案,所述Ma通过以下方式获取:
确定Pa中的最大值,并将Pa中的最大值对应的关键时间段确定为第二时间段;
将位于所述第二时间段之后的num’个关键时间段确定为第三对比时间段;num’为预设第二数量。
将每一第三对比时间段中num’个最大CPU使用率中的最大值确定为关键最大值。
若Pa中的最大值与每一所述关键最大值的差值均小于第二预设阈值,则将Pa中的最大值确定为Ma;否则,将Pa中的最大值删除,并重新确定Pa中的最大值和第二时间段,直至确定出Ma
优选地,所述Bu对应的检测模型输出的检测结果包括:黑、白、灰;其中,检测结果为黑,则待检测文件为Bu对应的检测模型所对应的预设攻击类型的文件;检测结果为白,则待检测文件非Bu对应的检测模型所对应的预设攻击类型的文件,检测结果为灰,则待检测文件是否为Bu对应的检测模型所对应的预设攻击类型的文件的情况未知。
Bu对应的检测模型输出的检测结果为白或为灰,则表示所述待检测文件为非恶意文件。
优选地,所述第二安全性判定模块306还用于:
接收由服务端返回的检测结果,根据服务端返回的检测结果判定所述待检测文件的安全性。
图3所述实施例为图1、图2所述方法实施例所对应的系统实施例,图3所述实施例的部分实现过程和技术效果与图1、图2所述实施例相近,因此,对图3所述实施例的描述较为简单,相关之处请参照图1、图2所述实施例。
此外,尽管在附图中以特定顺序描述了本公开中方法的各个步骤,但是,这并非要求或者暗示必须按照该特定顺序来执行这些步骤,或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的,可以省略某些步骤,将多个步骤合并为一个步骤执行,以及/或者将一个步骤分解为多个步骤执行等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本公开实施方式的方法。
在本公开的示例性实施例中,还提供了一种能够实现上述方法的电子设备。
所属技术领域的技术人员能够理解,本申请的各个方面可以实现为系统、方法或程序产品。因此,本申请的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
根据本申请的这种实施方式的电子设备。电子设备仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
电子设备以通用计算设备的形式表现。电子设备的组件可以包括但不限于:上述至少一个处理器、上述至少一个储存器、连接不同系统组件(包括储存器和处理器)的总线。
其中,所述储存器存储有程序代码,所述程序代码可以被所述处理器执行,使得所述处理器执行本说明书上述“示例性方法”部分中描述的根据本申请各种示例性实施方式的步骤。
储存器可以包括易失性储存器形式的可读介质,例如随机存取储存器(RAM)和/或高速缓存储存器,还可以进一步包括只读储存器(ROM)。
储存器还可以包括具有一组(至少一个)程序模块的程序/实用工具,这样的程序模块包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线可以为表示几类总线结构中的一种或多种,包括储存器总线或者储存器控制器、外围总线、图形加速端口、处理器或者使用多种总线结构中的任意总线结构的局域总线。
电子设备也可以与一个或多个外部设备(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备交互的设备通信,和/或与使得该电子设备能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口进行。并且,电子设备还可以通过网络适配器与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。网络适配器通过总线与电子设备的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施方式的方法。
在本公开的示例性实施例中,还提供了一种计算机可读存储介质,其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中,本申请的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在终端设备上运行时,所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本申请各种示例性实施方式的步骤。
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本申请操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
此外,上述附图仅是根据本申请示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。

Claims (10)

1.一种文件安全性检测方法,其特征在于,应用于客户端,所述客户端安装有n个检测模型,每一所述检测模型唯一对应一个预设攻击类型;所述客户端与服务端连接,所述服务端安装有所述客户端安装的n个检测模型;
所述方法包括以下步骤:
步骤11,获取待检测文件对应的检测优先级集A=(A1,A2,…,Ai,…,An);其中,i=1,2,…,n;Ai为第i个检测模型对所述待检测文件的检测优先级,;Xi为第i个检测模型检测所述待检测文件的预测时长;Ki为所述待检测文件的攻击类型为第i个检测模型对应的预设攻击类型的预测值,Ki大于等于1;e为自然常数;
步骤12,根据A获取检测模型对应的初始标识序列B=(B1,B2,…,Bi,…,Bn);其中,Bi为检测优先级排序第i的检测模型对应的标识;Bj对应的检测模型的检测优先级大于Bj+1对应的检测模型的检测优先级;j=1,2,…,n-1;
步骤13,获取目标值u=1;
步骤14,若u<n,则将所述待检测文件输入Bu对应的检测模型中进行检测,得到Bu对应的检测模型输出的检测结果;
步骤15,若所述检测结果表示所述待检测文件为非恶意文件,则获取目标使用率ZM;否则,判定所述待检测文件为恶意文件,并结束对所述待检测文件的安全性检测;ZM为预测的Bu+1对应的检测模型在检测所述待检测文件的过程中最大CPU使用率;
步骤16,若ZM小于当前时间对应的使用率阈值,则获取u=u+1,并进入步骤14;否则,将所述待检测文件和目标标识序列B’=(Bu+1,Bu+2,…,Bn)上传至服务端,以使所述服务端根据B’对所述待检测文件进行检测,以得到所述待检测文件的安全性检测结果。
2.根据权利要求1所述的方法,其特征在于,所述当前时间对应的使用率阈值通过以下步骤获取:
步骤21,确定当前时间对应的目标时间段;所述目标时间段的开始时间早于当前时间,结束时间晚于当前时间;
步骤22,获取中间使用率集M=(M1,M2,…,Ma,…,Mt);其中,a=1,2,…,t;t为预设历史天数;Ma为预设历史天数中的第a天对应的目标时间段内的最大CPU使用率;所述预设历史天数中的最后一天为当前时间对应的前一天;
步骤23,根据M确定当前时间对应的使用率阈值;其中,PM=(Σt a=1Ma)/t;β为预设的调整系数,0<β<1。
3.根据权利要求2所述的方法,其特征在于,在所述步骤21之后还包括:
步骤211,获取预设历史天数对应的历史使用率列表集P=(P1,P2,…,Pa,…,Pt);其中,Pa为预设历史天数中的第a天对应的目标时间段的历史使用率列表;Pa=(Pa1,Pa2,…,Pab,…Pag);b=1,2,…,g;Pab为预设历史天数中的第a天对应的目标时间段内,第b个关键时间段对应的最大CPU使用率;所述目标时间段包括g个连续排布的关键时间段,目标时间段的长度为,ΔT为每一关键时间段的长度。
4.根据权利要求3所述的方法,其特征在于,所述Ma通过以下步骤获取:
步骤31,确定预设历史天数中的第a天对应的目标时间段内,是否运行了任意所述检测模型,若是,则执行步骤32至步骤34;否则,将Pa中的最大值确定为Ma
步骤32,将运行了检测模型的关键时间段确定为待过滤时间段;
步骤33,在Pa中将每一待过滤时间段所对应的最大CPU使用率删除,以得到Pa对应的过滤后使用率列表Pa’;
步骤34,将Pa’ 中的最大值确定为Ma
5.根据权利要求3所述的方法,其特征在于,所述Ma通过以下步骤获取:
步骤41,确定Pa中的最大值,并将Pa中的最大值对应的关键时间段确定为第一时间段;
步骤42,将位于所述第一时间段之前的num个关键时间段确定为第一对比时间段,以及将位于所述第一时间段之后的num个关键时间段确定为第二对比时间段;num为预设第一数量;
步骤43,将每一第一对比时间段中num个最大CPU使用率中的中位值确定为第一对比值,以及将每一第二对比时间段中num个最大CPU使用率中的中位值确定为第二对比值;
步骤44,若第一对比值和第二对比值均小于第一预设阈值,则将Pa中的最大值确定为Ma;否则进入步骤45;
步骤45,将Pa中的最大值删除,并进入步骤41。
6.根据权利要求3所述的方法,其特征在于,所述Ma通过以下步骤获取:
步骤51,确定Pa中的最大值,并将Pa中的最大值对应的关键时间段确定为第二时间段;
步骤52,将位于所述第二时间段之后的num’个关键时间段确定为第三对比时间段;num’为预设第二数量;
步骤53,将每一第三对比时间段中num’个最大CPU使用率中的最大值确定为关键最大值;
步骤54,若Pa中的最大值与每一所述关键最大值的差值均小于第二预设阈值,则将Pa中的最大值确定为Ma;否则进入步骤55;
步骤55,将Pa中的最大值删除,并进入步骤51。
7.根据权利要求1-6中任一项所述的方法,其特征在于,所述Bu对应的检测模型输出的检测结果包括:黑、白、灰;其中,检测结果为黑,则待检测文件为Bu对应的检测模型所对应的预设攻击类型的文件;检测结果为白,则待检测文件非Bu对应的检测模型所对应的预设攻击类型的文件,检测结果为灰,则待检测文件是否为Bu对应的检测模型所对应的预设攻击类型的文件的情况未知;
Bu对应的检测模型输出的检测结果为白或为灰,则表示所述待检测文件为非恶意文件。
8.根据权利要求7所述的方法,其特征在于,在所述步骤16之后,还包括:
步骤17,接收由服务端返回的检测结果,根据服务端返回的检测结果判定所述待检测文件的安全性。
9.一种文件安全性检测方法,其特征在于,应用于服务端,所述服务端安装有n个检测模型,每一所述检测模型唯一对应一个预设攻击类型;所述服务端与客户端连接,所述客户端安装有所述服务端安装的n个检测模型;
所述方法包括以下步骤:
步骤61,接收所述客户端发送的非恶意的待检测文件和目标标识序列;所述目标标识序列为客户端根据初始标识序列对待检测文件进行检测的过程中得到的;所述初始标识序列中包含n个标识,每一标识唯一对应一个所述检测模型,其中,第j个标识对应的检测模型的检测优先级大于第j+1个标识对应的检测优先级,j=1,2,…,n-1;当客户端根据所述初始标识序列对待检测文件进行检测的过程中,若未得到表示所述待检测文件为恶意的检测结果,且确定下一个用于检测所述待检测文件的检测模型在检测所述待检测文件的过程中最大CPU使用率小于当前时间对应的使用率阈值时,则将所述初始标识序列中,从下一个用于检测所述待检测文件的检测模型对应的标识起至最后一个标识的序列段,确定为所述目标标识序列,同时客户端结束对所述待检测文件的安全性检测;
步骤62,逐一利用所述目标标识序列包含的标识对应的检测模型对所述待检测文件进行检测,依次得到相应检测模型输出的检测结果;
步骤63,若得到为黑的检测结果,则结束对所述待检测文件的安全性检测;否则根据所述目标标识序列继续对待检测文件的安全性进行检测;
步骤64,在得到的每一检测结果中标记对应检测模型的标识;
步骤65,将标记了标识的每一检测结果返回至所述客户端,以使所述客户端对所述待检测文件的安全性进行判定。
10.一种文件安全性检测系统,其特征在于,包括客户端和服务端,所述客户端与所述服务端连接,所述客户端和所述服务端均安装有n个检测模型,每一所述检测模型唯一对应一个预设攻击类型;客户端安装的第i个检测模型与服务端安装的第i个检测模型相同;其中,i=1,2,…,n;
所述客户端包括:
检测优先级集获取模块,用于获取待检测文件对应的检测优先级集A=(A1,A2,…,Ai,…,An);其中,i=1,2,…,n;Ai为第i个检测模型对所述待检测文件的检测优先级,;Xi为第i个检测模型检测所述待检测文件的预测时长;Ki为所述待检测文件的攻击类型为第i个检测模型对应的预设攻击类型的预测值,Ki大于等于1;e为自然常数;
初始标识序列获取模块,用于根据A获取检测模型对应的初始标识序列B=(B1,B2,…,Bi,…,Bn);其中,Bi为检测优先级排序第i的检测模型对应的标识;Bj对应的检测模型的检测优先级大于Bj+1对应的检测模型的检测优先级;j=1,2,…,n-1;
目标值获取模块,用于获取目标值u=1;
第一检测模块,用于若u<n,则将所述待检测文件输入Bu对应的检测模型中进行检测,得到Bu对应的检测模型输出的检测结果;
第一安全性判定模块,用于若所述检测结果表示所述待检测文件为非恶意文件,则获取目标使用率ZM;否则,判定所述待检测文件为恶意文件,并结束对所述待检测文件的安全性检测;ZM为预测的Bu+1对应的检测模型在检测所述待检测文件的过程中最大CPU使用率;
第二安全性判定模块,用于若ZM小于当前时间对应的使用率阈值,则获取u=u+1,并执行所述第一检测模块;否则,将所述待检测文件和目标标识序列B’=(Bu+1,Bu+2,…,Bn)上传至服务端,以使所述服务端根据B’对所述待检测文件进行检测,以得到所述待检测文件的安全性检测结果;
所述服务端包括:
待检测文件接收模块,用于接收所述客户端发送的非恶意的待检测文件和目标标识序列;
第二检测模块,用于逐一利用所述目标标识序列包含的标识对应的检测模型对所述待检测文件进行检测,依次得到相应检测模型输出的检测结果;
检测判定模块,用于若得到为黑的检测结果,则结束对所述待检测文件的安全性检测;否则根据所述目标标识序列继续对待检测文件的安全性进行检测;
标识标记模块,用于在得到的每一检测结果中标记对应检测模型的标识;
检测结果返回模块,用于将标记了标识的每一检测结果返回至所述客户端,以使所述客户端对所述待检测文件的安全性进行判定。
CN202311216448.2A 2023-09-20 2023-09-20 一种文件安全性检测方法及系统 Active CN116962086B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311216448.2A CN116962086B (zh) 2023-09-20 2023-09-20 一种文件安全性检测方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311216448.2A CN116962086B (zh) 2023-09-20 2023-09-20 一种文件安全性检测方法及系统

Publications (2)

Publication Number Publication Date
CN116962086A CN116962086A (zh) 2023-10-27
CN116962086B true CN116962086B (zh) 2023-11-24

Family

ID=88455086

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311216448.2A Active CN116962086B (zh) 2023-09-20 2023-09-20 一种文件安全性检测方法及系统

Country Status (1)

Country Link
CN (1) CN116962086B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3474175A1 (en) * 2017-10-18 2019-04-24 AO Kaspersky Lab System and method of managing computing resources for detection of malicious files based on machine learning model
CN110287701A (zh) * 2019-06-28 2019-09-27 深信服科技股份有限公司 一种恶意文件检测方法、装置、系统及相关组件
CN114338188A (zh) * 2021-12-30 2022-04-12 杭州电子科技大学 一种基于进程行为序列分片的恶意软件智能云检测系统
CN115952458A (zh) * 2023-01-06 2023-04-11 支付宝(杭州)信息技术有限公司 一种内容伪造攻击检测方法、装置以及设备

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3474175A1 (en) * 2017-10-18 2019-04-24 AO Kaspersky Lab System and method of managing computing resources for detection of malicious files based on machine learning model
CN110287701A (zh) * 2019-06-28 2019-09-27 深信服科技股份有限公司 一种恶意文件检测方法、装置、系统及相关组件
CN114338188A (zh) * 2021-12-30 2022-04-12 杭州电子科技大学 一种基于进程行为序列分片的恶意软件智能云检测系统
CN115952458A (zh) * 2023-01-06 2023-04-11 支付宝(杭州)信息技术有限公司 一种内容伪造攻击检测方法、装置以及设备

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
漏洞检测与主动防御系统模型的研究与实现;郎良等;《计算机工程》(第13期);第38-40, 94页 *

Also Published As

Publication number Publication date
CN116962086A (zh) 2023-10-27

Similar Documents

Publication Publication Date Title
US10671303B2 (en) Controlling a storage system
US8060577B1 (en) Method and system for employing user input for file classification and malware identification
US11086996B2 (en) Automatic idle-state scanning for malicious code
US8364776B1 (en) Method and system for employing user input for website classification
CN117033146B (zh) 指定共识合约执行进程的识别方法、装置、设备及介质
CN116962086B (zh) 一种文件安全性检测方法及系统
US11429436B2 (en) Method, device and computer program product for determining execution progress of task
KR102089450B1 (ko) 데이터이주장치 및 그 동작 방법
CN117131516A (zh) 一种运维方法和装置
CN116861430A (zh) 一种恶意文件检测方法、装置、设备及介质
CN116015861A (zh) 一种数据检测方法、装置、电子设备及存储介质
CN116975934B (zh) 一种文件安全性检测方法及系统
CN114357449A (zh) 异常进程检测方法及装置、电子设备和存储介质
CN116827694B (zh) 一种数据安全性检测方法及系统
CN117056927B (zh) 一种基于指令的恶意进程确定方法、装置、设备及介质
US10924478B2 (en) Identification based on snapshot of device memory
CN116992439B (zh) 一种用户行为习惯模型确定方法及装置、设备及介质
CN117040938B (zh) 一种异常ip检测方法及装置、电子设备及存储介质
CN116956296B (zh) 一种文件的动态检测方法、电子设备及存储介质
CN117056928B (zh) 一种病毒库部署方法、装置、介质和电子设备
CN114629694B (zh) 一种分布式拒绝服务DDoS的检测方法及相关装置
CN117056915B (zh) 一种文件检测方法、装置、介质和电子设备
CN116760644B (zh) 一种终端异常判定方法、系统、存储介质及电子设备
CN116910757B (zh) 一种多进程检测系统、电子设备及存储介质
CN116595529B (zh) 一种信息安全检测方法、电子设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant