CN116975934A - 一种文件安全性检测方法及系统 - Google Patents
一种文件安全性检测方法及系统 Download PDFInfo
- Publication number
- CN116975934A CN116975934A CN202311216435.5A CN202311216435A CN116975934A CN 116975934 A CN116975934 A CN 116975934A CN 202311216435 A CN202311216435 A CN 202311216435A CN 116975934 A CN116975934 A CN 116975934A
- Authority
- CN
- China
- Prior art keywords
- detection
- file
- detected
- duration
- predicted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 338
- 238000000034 method Methods 0.000 claims abstract description 72
- 238000009825 accumulation Methods 0.000 claims description 16
- 230000002776 aggregation Effects 0.000 claims description 4
- 238000004220 aggregation Methods 0.000 claims description 4
- 230000001174 ascending effect Effects 0.000 claims description 4
- 238000004364 calculation method Methods 0.000 claims description 3
- 239000000243 solution Substances 0.000 description 5
- 230000000903 blocking effect Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000002347 injection Methods 0.000 description 2
- 239000007924 injection Substances 0.000 description 2
- 239000004973 liquid crystal related substance Substances 0.000 description 2
- 239000013307 optical fiber Substances 0.000 description 2
- 230000002085 persistent effect Effects 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/50—Allocation of resources, e.g. of the central processing unit [CPU]
- G06F9/5083—Techniques for rebalancing the load in a distributed system
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/302—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information gathering intelligence information for situation awareness or reconnaissance
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/06—Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
- H04L67/1004—Server selection for load balancing
- H04L67/1008—Server selection for load balancing based on parameters of servers, e.g. available memory or workload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/141—Denial of service attacks against endpoints in a network
Abstract
本发明公开一种文件安全性检测方法及系统,涉及网络安全技术领域,包括客户端和服务端,客户端与服务端连接,客户端和服务端均安装有n个检测模型,每一检测模型唯一对应一个预设攻击类型;客户端安装的第i个检测模型与服务端安装的第i个检测模型相同;在对待检测文件的安全性进行检测时,客户端根据当前的空闲时长确定执行哪些检测模型,服务端则负责执行客户端不执行的检测模型,且客户端和服务端同时对待检测文件进行检测,最终根据客户端和服务端的检测结果对待检测文件的安全性进行判定。本发明能够有效提升检测效率,同时保障客户端性能和用户体验。
Description
技术领域
本发明涉及网络安全技术领域,特别是涉及一种文件安全性检测方法及系统。
背景技术
威胁检测引擎类工具通过包含的各检测模型,为用户侧提供安全技术支撑。但现有的威胁检测引擎类工具或单独在服务端执行检测模型,或单独在客户端执行检测模型,若单独在服务端执行检测模型,则检测效率受网络环境影响较大,客户端接收检测结果及进行网络安全防护的时效性无法保障;若单独在客户端执行检测模型,则客户端的负载压力较大,很容易产生重负载、卡顿等现象,极大地影响客户端性能和用户体验。
发明内容
有鉴于此,本发明提供一种文件安全性检测方法及系统,威胁检测引擎中包含的各检测模型同时安装在客户端和服务端,在对待检测文件的安全性进行检测时,客户端根据当前的空闲时长确定执行哪些检测模型,服务端则负责执行客户端不执行的检测模型,且客户端和服务端同时对待检测文件进行检测,最终根据客户端和服务端的检测结果对待检测文件的安全性进行判定,本发明能够有效提升检测效率,同时保障客户端性能和用户体验,至少部分解决现有技术中存在的问题。
具体发明内容为:
一种文件安全性检测方法,应用于客户端,所述客户端安装有n个检测模型,每一所述检测模型唯一对应一个预设攻击类型;所述客户端与服务端连接,所述服务端安装有所述客户端安装的n个检测模型;
所述方法包括以下步骤:
步骤11,确定当前时间是否处于空闲时段,若是则确定从当前时间起的空闲时长FT,并进入步骤12。
步骤12,获取待检测文件对应的预测检测时长集T=(T1,T2,…,Ti,…,Tn);其中,i=1,2,…,n;Ti为第i个检测模型对应的检测所述待检测文件的预测时长。
步骤13,获取预测检测总时长S=Σn i=1Ti。
步骤14,若S>FT,则在T中确定出m个目标预测时长;其中,1≤m<n;m个目标预测时长之和小于等于FT。
步骤15;获取T中每一目标检测时长对应的检测模型的标识,得到第一标识列表;获取T中每一非目标预测时长对应的检测模型的标识,得到第二标识列表。
步骤16,根据第一标识列表对所述待检测文件进行检测,得到第一检测结果;同时,将所述待检测文件和第二标识列表发送至服务端,以使所述服务端根据第二标识列表对所述待检测文件进行检测,以得到第二检测结果。
步骤17,接收由服务端返回的第二检测结果,根据所述第一检测结果和第二检测结果对所述待检测文件的安全性进行判定。
进一步地,所述空闲时段通过以下步骤确定:
步骤21,获取目标历史时间段对应的CPU使用率列表集P=(P1,P2,…,Px,…,Pt);其中,x=1,2,…,t;目标历史时间段的时长为t天;目标历史时间段的结束时间为早于当前时间的0点;目标历史时间段内的每一天均包含w个连续的关键时间段,为1天的时长,ΔT为每一所述关键时间段的时长;Px为目标历史时间段内第x天对应的CPU使用率列表;Px=(Px1,Px2,…,Pxy,…,Pxw);y=1,2,…,w;Pxy为目标历史时间段内第x天的第y个关键时间段对应的最大CPU使用率。
步骤22,获取关键时间段对应的CPU使用率列表集U=(U1,U2,…,Uy,…,Uw);其中,Uy为目标历史时间段内的每一天的第y个关键时间段对应的CPU使用率列表;Uy=(P1y,P2y,…,Pxy,…,Pty)。
步骤23,获取关键时间段对应的目标CPU使用率集D=(D1,D2,…,Dy,…,Dw);其中,Dy为目标历史时间段内的每一天的第y个关键时间段对应的目标CPU使用率;Dy=(Σt x=1Pxy)/t。
步骤24,获取目标数值c=1。
步骤25,若c<w-num,且Dc小于预设阈值,则将D中位于Dc之后的第一个大于所述预设阈值的目标CPU使用率之间的关键时间段确定为对比时间段;num为预设数量。
步骤26,若第c个关键时间段与所述对比时间段相隔的关键时间段的数量大于num,则将第c个关键时间段的开始时间到所述对比时间段的开始时间对应的时间段确定为一个空闲时段,并将D中位于所述对比时间段之后的第一个目标CPU使用率确定为Dc,进入步骤25;否则获取c=c+1,并进入步骤25。
进一步地,每一所述关键时间段包含z个连续的目标时间段;;其中,ΔT’为每一所述目标时间段的时长;所述Pxy通过以下步骤确定:
步骤31,获取目标历史时间段内第x天的第y个关键时间段对应的CPU使用率集Pxy’=(Pxy1’, Pxy2’,…, Pxyg’,…,Pxyz’);其中,g=1,2,…,z; Pxyg’为目标历史时间段内第x天的第y个关键时间段内的第g个目标时间段对应的最大CPU使用率。
步骤32,对Pxy’中包含的各最大CPU使用率进行聚类计算,得到若干个CPU使用率聚类集;每一所述CPU使用率聚类集中包含至少一个最大CPU使用率。
步骤33,确定包含最大CPU使用率的数量最多的CPU使用率聚类集,并将该CPU使用率聚类集中的最大值确定为所述Pxy。
进一步地,所述步骤11包括:
步骤111,确定当前时间是否处于空闲时段,若是则执行步骤112至步骤113;否则进入步骤114。
步骤112,将当前时间与当前空闲时段的结束时间之间的时长确定为对比时长。
步骤113,若所述对比时长大于T中的最小值,则将所述对比时长确定为FT,并进入步骤12;否则进入步骤114。
步骤114,获取所述待检测文件的特征向量,并将所述特征向量发送至服务端;以使所述服务端将所述特征向量输入检测模型进行检测,以得到所述待检测文件的安全性检测结果。
进一步地,所述步骤114包括:
步骤1141,获取所述待检测文件对应的特征向量集F=(F1,F2,…,Fi,…,Fn);其中,Fi为第i个检测模型对所述待检测文件的安全性进行检测时,需要的所述待检测文件的特征向量。
步骤1142,将F发送至服务端;以使所述服务端将F中包含的每一特征向量输入对应的检测模型中进行检测,以得到所述待检测文件的安全性检测结果。
进一步地,所述步骤14包括:
步骤141,对T中的各预测时长进行升序排序,得到所述待检测文件对应的预测检测时长序列T’=(T1’,T2’,…,Ti’,…,Tn’);其中,Ti’为T中排序第i的预测时长。
步骤142,获取T’中每一第奇数个预测时长,得到第一预测时长序列A=(A1,A2,…,Aq,…,Ad);其中,q=1,2,…,d;Aq为A中第q个预测时长;d大于等于n/2;获取T’中每一第偶数个预测时长,得到第二预测时长序列B=(B1,B2,…,Bf,…,Bv);其中,f=1,2,…,v;v小于等于n/2;d+v=n;若n为偶数,则d=v。
步骤143,获取第一预测总时长A’=Σd q=1Aq。
步骤144,若A’≥ FT,则m≤d,执行步骤145至步骤146;否则d<m<n,执行步骤147至步骤149。
步骤145,对A中包含的预测时长进行顺序累加,每累加一次得到一个累加值。
步骤146,当得到大于等于FT的累加值时,结束累加,并将前一个累加值对应的各预测时长确定为目标预测时长。
步骤147,确定目标时长L=FT- A’。
步骤148,对B中包含的预测时长进行顺序累加,每累加一次得到一个累加值。
步骤149,当得到大于等于L的累加值时,结束累加,并将前一个累加值对应的各预测时长和A中包含的各预测时长确定为目标预测时长。
进一步地,所述第一检测结果包括第一标识列表中包含的每一标识对应的检测模型输出的检测结果;所述第二检测结果包括第二标识列表中包含的每一标识对应的检测模型输出的检测结果;所述检测结果包括:黑、白、灰;其中,检测结果为黑,则待检测文件为当前检测模型对应的预设攻击类型对应的文件;检测结果为白,则待检测文件非当前检测模型对应的预设攻击类型对应的文件;检测结果为灰,则待检测文件是否为当前检测模型对应的预设攻击类型对应的文件的情况未知。
进一步地,所述步骤17包括:
步骤171,接收由服务端返回的第二检测结果。
步骤172,若所述第一检测结果和所述第二检测结果中包含为黑的检测结果,则判定所述待检测文件为恶意文件。
一种文件安全性检测方法,应用于服务端,所述服务端安装有n个检测模型,每一所述检测模型唯一对应一个预设攻击类型;所述服务端与客户端连接,所述客户端安装有所述服务端安装的n个检测模型。
所述方法包括以下步骤:
步骤41,接收由所述客户端发送的待检测文件和第二标识列表。
步骤42,根据所述第二标识列表对所述待检测文件进行检测,得到第二检测结果。
步骤43,将所述第二检测结果返回至所述客户端,以使所述客户端对所述待检测文件的安全性进行判定。
一种文件安全性检测系统,包括客户端和服务端,所述客户端与所述服务端连接,所述客户端和所述服务端均安装有n个检测模型,每一所述检测模型唯一对应一个预设攻击类型;客户端安装的第i个检测模型与服务端安装的第i个检测模型相同;其中,i=1,2,…,n;
所述客户端包括:
空闲时长确定模块,用于确定当前时间是否处于空闲时段,若是则确定从当前时间起的空闲时长FT,并执行预测检测时长集获取模块。
预测检测时长集获取模块,用于获取待检测文件对应的预测检测时长集T=(T1,T2,…,Ti,…,Tn);其中,i=1,2,…,n;Ti为第i个检测模型对应的检测所述待检测文件的预测时长。
预测检测总时长获取模块,用于获取预测检测总时长S=Σn i=1Ti。
目标预测时长确定模块,用于若S>FT,则在T中确定出m个目标预测时长;其中,1≤m<n;m个目标预测时长之和小于等于FT。
标识列表获取模块,用于获取T中每一目标检测时长对应的检测模型的标识,得到第一标识列表;获取T中每一非目标预测时长对应的检测模型的标识,得到第二标识列表。
第一检测模块,用于根据第一标识列表对所述待检测文件进行检测,得到第一检测结果;同时,将所述待检测文件和第二标识列表发送至服务端,以使所述服务端根据第二标识列表对所述待检测文件进行检测,以得到第二检测结果。
安全性判定模块,用于接收由服务端返回的第二检测结果,根据所述第一检测结果和第二检测结果对所述待检测文件的安全性进行判定。
所述服务端包括:
待检测文件接收模块,用于接收由所述客户端发送的待检测文件和第二标识列表;所述第二标识列表是客户端根据从当前时间起的空闲时长和待检测文件对应的预测检测时长集得到的;所述待检测文件对应的预测检测时长集中包含每一所述检测模型对应的检测所述待检测文件的预测时长;若所述待检测文件对应的预测检测时长集中包含的各预测时长之和大于所述空闲时长,则在所述待检测文件对应的预测检测时长集中确定出若干目标预测时长;所述目标预测时长的数量小于n;各目标预测时长之和不大于所述空闲时长;将所述待检测文件对应的预测检测时长集中每一非目标预测时长对应的检测模型的标识组成的列表,确定为所述第二标识列表。
第二检测模块,用于根据所述第二标识列表对所述待检测文件进行检测,得到第二检测结果。
检测结果返回模块,用于将所述第二检测结果返回至所述客户端,以使所述客户端对所述待检测文件的安全性进行判定。
本发明的有益效果体现在:
本发明将属于同一威胁检测引擎的各检测模型同时安装在客户端和服务端,客户端根据当前的空闲时长确定执行哪些检测模型,服务端负责执行客户端不执行的检测模型,且客户端和服务端同时对待检测文件进行检测,能够有效提升检测效率,且不影响客户端性能,保障用户体验。客户端在确定执行哪些检测模块时,根据各检测模块对应的检测所述待检测文件的预测时长进行确定,能够确定出总的检测时长不超出空闲时长的,更适合在客户端执行的检测模块,进一步保障客户端性能,避免客户端瞬时重负载、卡顿等情况的发生,同时能够更好地均衡客户端和服务端的负载,确保检测结果的准确性,更好地保障用户侧的信息安全。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种应用于客户端的文件安全性检测方法流程图;
图2为本发明实施例提供的一种应用于服务端的文件安全性检测方法流程图;
图3为本发明实施例提供的一种文件安全性检测系统结构图。
具体实施方式
需说明的是,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合;并且,基于本公开中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本公开保护的范围。
需要说明的是,下文描述在所附权利要求书的范围内的实施例的各种方面。应显而易见,本文中所描述的方面可体现于广泛多种形式中,且本文中所描述的任何特定结构及/或功能仅为说明性的。基于本公开,所属领域的技术人员应了解,本文中所描述的一个方面可与任何其它方面独立地实施,且可以各种方式组合这些方面中的两者或两者以上。举例来说,可使用本文中所阐述的任何数目个方面来实施设备及/或实践方法。另外,可使用除了本文中所阐述的方面中的一或多者之外的其它结构及/或功能性实施此设备及/或实践此方法。
本发明提供一种文件安全性检测方法实施例,应用于客户端,所述客户端安装有n个检测模型,每一所述检测模型唯一对应一个预设攻击类型;所述客户端与服务端连接,所述服务端安装有所述客户端安装的n个检测模型;
所述方法实施例如图1所示,包括以下步骤:
步骤11,确定当前时间是否处于空闲时段,若是则确定从当前时间起的空闲时长FT,并进入步骤12。
步骤12,获取待检测文件对应的预测检测时长集T=(T1,T2,…,Ti,…,Tn);其中,i=1,2,…,n;Ti为第i个检测模型对应的检测所述待检测文件的预测时长。
步骤13,获取预测检测总时长S=Σn i=1Ti。
步骤14,若S>FT,则在T中确定出m个目标预测时长;其中,1≤m<n;m个目标预测时长之和小于等于FT。
步骤15;获取T中每一目标检测时长对应的检测模型的标识,得到第一标识列表;获取T中每一非目标预测时长对应的检测模型的标识,得到第二标识列表。
步骤16,根据第一标识列表对所述待检测文件进行检测,得到第一检测结果;同时,将所述待检测文件和第二标识列表发送至服务端,以使所述服务端根据第二标识列表对所述待检测文件进行检测,以得到第二检测结果。
步骤17,接收由服务端返回的第二检测结果,根据所述第一检测结果和第二检测结果对所述待检测文件的安全性进行判定。
图1所述实施例中,所述预设攻击类型包括APT攻击(Advanced PersistentThreat,高级持续性威胁攻击)、代码注入攻击、DDoS攻击(Distributed Denial ofService,分布式阻断服务)等。所述待检测文件包括文本文件、应用文件、日志文件、网络数据文件等。所述Ti与第i个检测模型使用的检测算法和待检测文件的大小相关,可结合待检测文件的大小计算第i个检测模型使用的检测算法的时间复杂度得到。若S≤FT,则表示每一所述检测模型均可在客户端执行,此时单独在客户端完成对待检测文件的检测即可,且不会影响客户端的性能。在判定待检测文件为恶意文件后,可根据判定出的恶意文件对应的预设攻击类型为客户端部署安全策略,或向客户端用户发送安全提示信息,提供候选安全策略供用户选择,避免用户侧遭受威胁攻击,保障用户侧的信息安全。
图1所述实施例将属于同一威胁检测引擎的各检测模型同时安装在客户端和服务端,客户端根据当前的空闲时长确定执行哪些检测模型,服务端负责执行客户端不执行的检测模型,且客户端和服务端同时对待检测文件进行检测,能够有效提升检测效率,且不影响客户端性能,保障用户体验。客户端在确定执行哪些检测模块时,根据各检测模块对应的检测所述待检测文件的预测时长进行确定,能够确定出总的检测时长不超出空闲时长的,更适合在客户端执行的检测模块,进一步保障客户端性能,避免客户端瞬时重负载、卡顿等情况的发生,同时能够更好地均衡客户端和服务端的负载,确保检测结果的准确性,更好地保障用户侧的信息安全。
优选地,所述空闲时段通过以下步骤确定:
步骤21,获取目标历史时间段对应的CPU使用率列表集P=(P1,P2,…,Px,…,Pt);其中,x=1,2,…,t;目标历史时间段的时长为t天;目标历史时间段的结束时间为早于当前时间的0点;目标历史时间段内的每一天均包含w个连续的关键时间段,为1天的时长,ΔT为每一所述关键时间段的时长;Px为目标历史时间段内第x天对应的CPU使用率列表;Px=(Px1,Px2,…,Pxy,…,Pxw);y=1,2,…,w;Pxy为目标历史时间段内第x天的第y个关键时间段对应的最大CPU使用率。
步骤22,获取关键时间段对应的CPU使用率列表集U=(U1,U2,…,Uy,…,Uw);其中,Uy为目标历史时间段内的每一天的第y个关键时间段对应的CPU使用率列表;Uy=(P1y,P2y,…,Pxy,…,Pty)。
步骤23,获取关键时间段对应的目标CPU使用率集D=(D1,D2,…,Dy,…,Dw);其中,Dy为目标历史时间段内的每一天的第y个关键时间段对应的目标CPU使用率;Dy=(Σt x=1Pxy)/t。
步骤24,获取目标数值c=1。
步骤25,若c<w-num,且Dc小于预设阈值,则将D中位于Dc之后的第一个大于所述预设阈值的目标CPU使用率对应的关键时间段确定为对比时间段;num为预设数量。
步骤26,若第c个关键时间段与所述对比时间段相隔的关键时间段的数量大于num,则将第c个关键时间段的开始时间到所述对比时间段的开始时间之间的时间段确定为一个空闲时段,并将D中位于所述对比时间段之后的第一个目标CPU使用率确定为Dc,进入步骤25;否则获取c=c+1,并进入步骤25。
上述优选方案中,通过P、U和D,能够得到客户端在一天当中的CPU使用率趋势情况,以确定出一天当中的至少一个空闲时段。所述预设阈值根据实际应用需求进行设置,例如,为更好地保障检测模型的运行效率,避免计算资源抢占等情况的发生,可获取每一检测模型在检测待检测文件时的CPU使用率预测值,该CPU使用率预测值可结合待检测文件的大小计算每一检测模型的空间复杂度得到,然后根据CPU使用率预测值的均值或最大值确定所述预设阈值,假设各CPU使用率预测值中的最大值为0.6,则预设阈值设置为0.4(即1-0.6)。预设数量num根据实际应用需求进行设置,例如5、10等。为避免CPU使用率瞬时降低的孤立关键时间段的影响,利用步骤25至步骤26将连续的目标CPU使用率小于预设阈值的关键时间段组成的时间段确定为空闲时间段。
对步骤25至步骤26举例如下:
假设ΔT=5min,则w=288;假设num=4,预设阈值为0.4;假设经过3轮迭代后,D4是第一个小于预设阈值的目标CPU使用率,D10是D中位于D4之后第一个大于所述预设阈值的目标CPU使用率;由于D10与D4之间相隔5个关键时间段,因此将D4的开始时间到D10的开始时间之间的时间段确定为一个空闲时间段,即将0:15分到0:45分确定为一个空闲时间段,然后从D11开始进入迭代,直至确定出一天当中的所有空闲时间段。
优选地,每一所述关键时间段包含z个连续的目标时间段;;其中,ΔT’为每一所述目标时间段的时长;所述Pxy通过以下步骤确定:
步骤31,获取目标历史时间段内第x天的第y个关键时间段对应的CPU使用率集Pxy’=(Pxy1’, Pxy2’,…, Pxyg’,…,Pxyz’);其中,g=1,2,…,z; Pxyg’为目标历史时间段内第x天的第y个关键时间段内的第g个目标时间段对应的最大CPU使用率。
步骤32,对Pxy’中包含的各最大CPU使用率进行聚类计算,得到若干个CPU使用率聚类集;每一所述CPU使用率聚类集中包含至少一个最大CPU使用率。
步骤33,确定包含最大CPU使用率的数量最多的CPU使用率聚类集,并将该CPU使用率聚类集中的最大值确定为所述Pxy。
上述优选方案能够排除客户端因硬盘温度、接入外联设备等产生瞬时重负载,造成CPU使用率瞬时升高和回降的现象对Pxy的影响,以确定出更加合适的Pxy,以更精准地对客户端执行的检测模型进行确定。
优选地,所述步骤11包括:
步骤111,确定当前时间是否处于空闲时段,若是则执行步骤112至步骤113;否则进入步骤114。
步骤112,将当前时间与当前空闲时段的结束时间之间的时长确定为对比时长。
步骤113,若所述对比时长大于T中的最小值,则将所述对比时长确定为FT,并进入步骤12;否则进入步骤114。
步骤114,获取所述待检测文件的特征向量,并将所述特征向量发送至服务端;以使所述服务端将所述特征向量输入检测模型进行检测,以得到所述待检测文件的安全性检测结果。
上述优选方案在客户端未处于空闲时段时,仅获取待检测文件的特征向量发送至服务端进行检测,与将待检测文件发送至服务端进行检测相比,能够有效降低网络资源占用,提升发送效率,同时能够有效提升服务端的检测效率。客户端仅获取待检测文件的特征向量,不必对待检测文件进行本地检测,能够有效保障客户端性能,避免资源抢占等情况的发生。该优选方案既能提升检测效率,又能保障检测结果的准确性。
优选地,所述步骤114包括:
步骤1141,获取所述待检测文件对应的特征向量集F=(F1,F2,…,Fi,…,Fn);其中,Fi为第i个检测模型对所述待检测文件的安全性进行检测时,需要的所述待检测文件的特征向量。每一所述特征向量包括至少一个特征,例如,假设第1个检测模型用于检测待检测文件是否为代码注入攻击,需要的特征包括文件类型、文件结构、文件MD5、文件字符串特征,则获取待检测文件对应的这些特征,得到第1个检测模型所需的特征向量。
步骤1142,将F发送至服务端;以使所述服务端将F中包含的每一特征向量输入对应的检测模型中进行检测,以得到所述待检测文件的安全性检测结果。
优选地,所述步骤14包括:
步骤141,对T中的各预测时长进行升序排序,得到所述待检测文件对应的预测检测时长序列T’=(T1’,T2’,…,Ti’,…,Tn’);其中,Ti’为T中排序第i的预测时长。
步骤142,获取T’中每一第奇数个预测时长,得到第一预测时长序列A=(A1,A2,…,Aq,…,Ad);其中,q=1,2,…,d;Aq为A中第q个预测时长;d大于等于n/2;获取T’中每一第偶数个预测时长,得到第二预测时长序列B=(B1,B2,…,Bf,…,Bv);其中,f=1,2,…,v;v小于等于n/2;d+v=n;若n为偶数,则d=v。
步骤143,获取第一预测总时长A’=Σd q=1Aq。
步骤144,若A’≥ FT,则m≤d,执行步骤145至步骤146;否则d<m<n,执行步骤147至步骤149。
步骤145,对A中包含的预测时长进行顺序累加,每累加一次得到一个累加值。
步骤146,当得到大于等于FT的累加值时,结束累加,并将前一个累加值对应的各预测时长确定为目标预测时长。
步骤147,确定目标时长L=FT- A’。
步骤148,对B中包含的预测时长进行顺序累加,每累加一次得到一个累加值。
步骤149,当得到大于等于L的累加值时,结束累加,并将前一个累加值对应的各预测时长和A中包含的各预测时长确定为目标预测时长。
上述优选方案通过在T’中错位选取预测时长的方式确定各目标预测时长,以确定在客户端执行的各检测模型。由于本发明在对待检测文件进行检测时,是客户端与服务端同时进行检测,因此,上述优选方案与根据T随机选取符合条件的预测时长作为目标预测时长,或根据T’顺序选取符合条件的预测时长作为目标预测时长等方式相比,能够避免在客户端执行预测检测时长较短的检测模型,在服务端执行预测检测时长较长的模型等造成的客户端与服务端执行时长不均衡的问题,有效优化检测时长,提升检测效率。同时,上述优选方案能够达到,只要客户端对应的FT允许,则尽可能在客户端执行更多的检测模型的目的,以将客户端与服务端的网络资源消耗降到最低,并避免网络环境的影响,进一步提升检测效率,保障检测结果准确性。
优选地,所述第一检测结果包括第一标识列表中包含的每一标识对应的检测模型输出的检测结果;所述第二检测结果包括第二标识列表中包含的每一标识对应的检测模型输出的检测结果;所述检测结果包括:黑、白、灰;其中,检测结果为黑,则待检测文件为当前检测模型对应的预设攻击类型对应的文件;检测结果为白,则待检测文件非当前检测模型对应的预设攻击类型对应的文件;检测结果为灰,则待检测文件是否为当前检测模型对应的预设攻击类型对应的文件的情况未知。
优选地,所述步骤17包括:
步骤171,接收由服务端返回的第二检测结果。
步骤172,若所述第一检测结果和所述第二检测结果中包含为黑的检测结果,则判定所述待检测文件为恶意文件。同时,可根据为黑的检测结果对应的检测模型,确定出待检测文件对应的预设攻击类型,以对客户端进行针对性的安全防护。所述安全防护包括:安全信息提示、安全策略推荐、安全策略部署、恶意文件删除,以及对客户端所述网络中的其他关联设备进行安全防护。
本发明提供一种文件安全性检测方法实施例,应用于服务端,所述服务端安装有n个检测模型,每一所述检测模型唯一对应一个预设攻击类型;所述服务端与客户端连接,所述客户端安装有所述服务端安装的n个检测模型。
所述方法实施例如图2所示,包括以下步骤:
步骤41,接收由所述客户端发送的待检测文件和第二标识列表;所述第二标识列表是客户端根据从当前时间起的空闲时长和待检测文件对应的预测检测时长集得到的;所述待检测文件对应的预测检测时长集中包含每一所述检测模型对应的检测所述待检测文件的预测时长;若所述待检测文件对应的预测检测时长集中包含的各预测时长之和大于所述空闲时长,则在所述待检测文件对应的预测检测时长集中确定出若干目标预测时长;所述目标预测时长的数量小于n;各目标预测时长之和不大于所述空闲时长;将所述待检测文件对应的预测检测时长集中每一非目标预测时长对应的检测模型的标识组成的列表,确定为所述第二标识列表。
步骤42,根据所述第二标识列表对所述待检测文件进行检测,得到第二检测结果。
步骤43,将所述第二检测结果返回至所述客户端,以使所述客户端对所述待检测文件的安全性进行判定。
图2所述实施例中,服务端根据第二标识列表对待检测文件进行检测,所述第二检测结果包括第二标识列表中包含的每一标识对应的检测模型输出的检测结果,可在每一检测结果中标记对应检测模型的标识,将标记标识后对应的第二检测结果返回至客户端,有助于在待检测文件为恶意文件时,客户端根据检测结果为黑的标识确定出待检测文件对应的预设攻击类型,以对客户端进行针对性的安全防护。
本发明提供一种文件安全性检测系统实施例,如图3所示,包括客户端和服务端,所述客户端与所述服务端连接,所述客户端和所述服务端均安装有n个检测模型,每一所述检测模型唯一对应一个预设攻击类型;客户端安装的第i个检测模型与服务端安装的第i个检测模型相同;其中,i=1,2,…,n;
所述客户端包括:
空闲时长确定模块301,用于确定当前时间是否处于空闲时段,若是则确定从当前时间起的空闲时长FT,并执行预测检测时长集获取模块302。
预测检测时长集获取模块302,用于获取待检测文件对应的预测检测时长集T=(T1,T2,…,Ti,…,Tn);其中,i=1,2,…,n;Ti为第i个检测模型对应的检测所述待检测文件的预测时长。
预测检测总时长获取模块303,用于获取预测检测总时长S=Σn i=1Ti。
目标预测时长确定模块304,用于若S>FT,则在T中确定出m个目标预测时长;其中,1≤m<n;m个目标预测时长之和小于等于FT。
标识列表获取模块305,用于获取T中每一目标检测时长对应的检测模型的标识,得到第一标识列表;获取T中每一非目标预测时长对应的检测模型的标识,得到第二标识列表。
第一检测模块306,用于根据第一标识列表对所述待检测文件进行检测,得到第一检测结果;同时,将所述待检测文件和第二标识列表发送至服务端;以使所述服务端根据第二标识列表对所述待检测文件进行检测,以得到第二检测结果。
安全性判定模块307,用于接收由服务端返回的第二检测结果,根据所述第一检测结果和第二检测结果对所述待检测文件的安全性进行判定。
所述服务端包括:
待检测文件接收模块311,用于接收由所述客户端发送的待检测文件和第二标识列表。
第二检测模块312,用于根据所述第二标识列表对所述待检测文件进行检测,得到第二检测结果。
检测结果返回模块313,用于将所述第二检测结果返回至所述客户端,以使所述客户端对所述待检测文件的安全性进行判定。
优选地,还包括空闲时段确定模块,在执行所述空闲时长确定模块301之前执行,所述空闲时段确定模块用于:
获取目标历史时间段对应的CPU使用率列表集P=(P1,P2,…,Px,…,Pt);其中,x=1,2,…,t;目标历史时间段的时长为t天;目标历史时间段的结束时间为早于当前时间的0点;目标历史时间段内的每一天均包含w个连续的关键时间段,为1天的时长,ΔT为每一所述关键时间段的时长;Px为目标历史时间段内第x天对应的CPU使用率列表;Px=(Px1,Px2,…,Pxy,…,Pxw);y=1,2,…,w;Pxy为目标历史时间段内第x天的第y个关键时间段对应的最大CPU使用率。
获取关键时间段对应的CPU使用率列表集U=(U1,U2,…,Uy,…,Uw);其中,Uy为目标历史时间段内的每一天的第y个关键时间段对应的CPU使用率列表;Uy=(P1y,P2y,…,Pxy,…,Pty)。
获取关键时间段对应的目标CPU使用率集D=(D1,D2,…,Dy,…,Dw);其中,Dy为目标历史时间段内的每一天的第y个关键时间段对应的目标CPU使用率;Dy=(Σt x=1Pxy)/t。
获取目标数值c=1。
若c<w-num,且Dc小于预设阈值,则将D中位于Dc之后的第一个大于所述预设阈值的目标CPU使用率对应的关键时间段确定为对比时间段;num为预设数量。
若第c个关键时间段与所述对比时间段相隔的关键时间段的数量大于num,则将第c个关键时间段的开始时间到所述对比时间段的开始时间之间的时间段确定为一个空闲时段,并将D中位于所述对比时间段之后的第一个目标CPU使用率确定为Dc,并再次确定对比时间段,以确定出全部空闲时段;否则获取c=c+1,并再次确定对比时间段,以确定出全部空闲时段。
优选地,每一所述关键时间段包含z个连续的目标时间段;;其中,ΔT’为每一所述目标时间段的时长;所述Pxy通过以下方式确定:
获取目标历史时间段内第x天的第y个关键时间段对应的CPU使用率集Pxy’=(Pxy1’,Pxy2’,…, Pxyg’,…,Pxyz’);其中,g=1,2,…,z; Pxyg’为目标历史时间段内第x天的第y个关键时间段内的第g个目标时间段对应的最大CPU使用率。
对Pxy’中包含的各最大CPU使用率进行聚类计算,得到若干个CPU使用率聚类集;每一所述CPU使用率聚类集中包含至少一个最大CPU使用率。
确定包含最大CPU使用率的数量最多的CPU使用率聚类集,并将该CPU使用率聚类集中的最大值确定为所述Pxy。
优选地,空闲时长确定模块301具体用于:
确定当前时间是否处于空闲时段,若当前时间处于空闲时段,则将当前时间与当前空闲时段的结束时间之间的时长确定为对比时长;若所述对比时长大于T中的最小值,则将所述对比时长确定为FT;
若当前时间未处于空闲时段,则获取所述待检测文件的特征向量,并将所述特征向量发送至服务端;以使所述服务端将所述特征向量输入检测模型进行检测,以得到所述待检测文件的安全性检测结果。
优选地,所述则获取所述待检测文件的特征向量,并将所述特征向量发送至服务端,包括:
获取所述待检测文件对应的特征向量集F=(F1,F2,…,Fi,…,Fn);其中,Fi为第i个检测模型对所述待检测文件的安全性进行检测时,需要的所述待检测文件的特征向量。
将F发送至服务端;以使所述服务端将F中包含的每一特征向量输入对应的检测模型中进行检测,以得到所述待检测文件的安全性检测结果。
优选地,所述目标预测时长通过以下方式获取:
对T中的各预测时长进行升序排序,得到所述待检测文件对应的预测检测时长序列T’=(T1’,T2’,…,Ti’,…,Tn’);其中,Ti’为T中排序第i的预测时长。
获取T’中每一第奇数个预测时长,得到第一预测时长序列A=(A1,A2,…,Aq,…,Ad);其中,q=1,2,…,d;Aq为A中第q个预测时长;d大于等于n/2;获取T’中每一第偶数个预测时长,得到第二预测时长序列B=(B1,B2,…,Bf,…,Bv);其中,f=1,2,…,v;v小于等于n/2;d+v=n;若n为偶数,则d=v。
获取第一预测总时长A’=Σd q=1Aq。
若A’≥ FT,则m≤d,对A中包含的预测时长进行顺序累加,每累加一次得到一个累加值,当得到大于等于FT的累加值时,结束累加,并将前一个累加值对应的各预测时长确定为目标预测时长。
若A’<FT,则d<m<n,确定目标时长L=FT- A’,对B中包含的预测时长进行顺序累加,每累加一次得到一个累加值,当得到大于等于L的累加值时,结束累加,并将前一个累加值对应的各预测时长和A中包含的各预测时长确定为目标预测时长。
优选地,所述第一检测结果包括第一标识列表中包含的每一标识对应的检测模型输出的检测结果;所述第二检测结果包括第二标识列表中包含的每一标识对应的检测模型输出的检测结果;所述检测结果包括:黑、白、灰;其中,检测结果为黑,则待检测文件为当前检测模型对应的预设攻击类型对应的文件;检测结果为白,则待检测文件非当前检测模型对应的预设攻击类型对应的文件;检测结果为灰,则待检测文件是否为当前检测模型对应的预设攻击类型对应的文件的情况未知。
优选地,所述根据所述第一检测结果和第二检测结果对所述待检测文件的安全性进行判定,包括:
若所述第一检测结果和所述第二检测结果中包含为黑的检测结果,则判定所述待检测文件为恶意文件。
图3所述实施例为图1、图2所述方法实施例所对应的系统实施例,图3所述实施例的部分实现过程和技术效果与图1、图2所述实施例相近,因此,对图3所述实施例的描述较为简单,相关之处请参照图1、图2所述实施例。
此外,尽管在附图中以特定顺序描述了本公开中方法的各个步骤,但是,这并非要求或者暗示必须按照该特定顺序来执行这些步骤,或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的,可以省略某些步骤,将多个步骤合并为一个步骤执行,以及/或者将一个步骤分解为多个步骤执行等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本公开实施方式的方法。
在本公开的示例性实施例中,还提供了一种能够实现上述方法的电子设备。
所属技术领域的技术人员能够理解,本申请的各个方面可以实现为系统、方法或程序产品。因此,本申请的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
根据本申请的这种实施方式的电子设备。电子设备仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
电子设备以通用计算设备的形式表现。电子设备的组件可以包括但不限于:上述至少一个处理器、上述至少一个储存器、连接不同系统组件(包括储存器和处理器)的总线。
其中,所述储存器存储有程序代码,所述程序代码可以被所述处理器执行,使得所述处理器执行本说明书上述“示例性方法”部分中描述的根据本申请各种示例性实施方式的步骤。
储存器可以包括易失性储存器形式的可读介质,例如随机存取储存器(RAM)和/或高速缓存储存器,还可以进一步包括只读储存器(ROM)。
储存器还可以包括具有一组(至少一个)程序模块的程序/实用工具,这样的程序模块包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线可以为表示几类总线结构中的一种或多种,包括储存器总线或者储存器控制器、外围总线、图形加速端口、处理器或者使用多种总线结构中的任意总线结构的局域总线。
电子设备也可以与一个或多个外部设备(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备交互的设备通信,和/或与使得该电子设备能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口进行。并且,电子设备还可以通过网络适配器与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。网络适配器通过总线与电子设备的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施方式的方法。
在本公开的示例性实施例中,还提供了一种计算机可读存储介质,其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中,本申请的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在终端设备上运行时,所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本申请各种示例性实施方式的步骤。
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本申请操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
此外,上述附图仅是根据本申请示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。
Claims (10)
1.一种文件安全性检测方法,其特征在于,应用于客户端,所述客户端安装有n个检测模型,每一所述检测模型唯一对应一个预设攻击类型;所述客户端与服务端连接,所述服务端安装有所述客户端安装的n个检测模型;
所述方法包括以下步骤:
步骤11,确定当前时间是否处于空闲时段,若是则确定从当前时间起的空闲时长FT,并进入步骤12;
步骤12,获取待检测文件对应的预测检测时长集T=(T1,T2,…,Ti,…,Tn);其中,i=1,2,…,n;Ti为第i个检测模型对应的检测所述待检测文件的预测时长;
步骤13,获取预测检测总时长S=Σn i=1Ti;
步骤14,若S>FT,则在T中确定出m个目标预测时长;其中,1≤m<n;m个目标预测时长之和小于等于FT;
步骤15;获取T中每一目标检测时长对应的检测模型的标识,得到第一标识列表;获取T中每一非目标预测时长对应的检测模型的标识,得到第二标识列表;
步骤16,根据第一标识列表对所述待检测文件进行检测,得到第一检测结果;同时,将所述待检测文件和第二标识列表发送至服务端,以使所述服务端根据第二标识列表对所述待检测文件进行检测,以得到第二检测结果;
步骤17,接收由服务端返回的第二检测结果,根据所述第一检测结果和第二检测结果对所述待检测文件的安全性进行判定。
2.根据权利要求1所述的方法,其特征在于,所述空闲时段通过以下步骤确定:
步骤21,获取目标历史时间段对应的CPU使用率列表集P=(P1,P2,…,Px,…,Pt);其中,x=1,2,…,t;目标历史时间段的时长为t天;目标历史时间段的结束时间为早于当前时间的0点;目标历史时间段内的每一天均包含w个连续的关键时间段,为1天的时长,ΔT为每一所述关键时间段的时长;Px为目标历史时间段内第x天对应的CPU使用率列表;Px=(Px1,Px2,…,Pxy,…,Pxw);y=1,2,…,w;Pxy为目标历史时间段内第x天的第y个关键时间段对应的最大CPU使用率;
步骤22,获取关键时间段对应的CPU使用率列表集U=(U1,U2,…,Uy,…,Uw);其中,Uy为目标历史时间段内的每一天的第y个关键时间段对应的CPU使用率列表;Uy=(P1y,P2y,…,Pxy,…,Pty);
步骤23,获取关键时间段对应的目标CPU使用率集D=(D1,D2,…,Dy,…,Dw);其中,Dy为目标历史时间段内的每一天的第y个关键时间段对应的目标CPU使用率;Dy=(Σt x=1Pxy)/t;
步骤24,获取目标数值c=1;
步骤25,若c<w-num,且Dc小于预设阈值,则将D中位于Dc之后的第一个大于所述预设阈值的目标CPU使用率对应的关键时间段确定为对比时间段;num为预设数量;
步骤26,若第c个关键时间段与所述对比时间段相隔的关键时间段的数量大于num,则将第c个关键时间段的开始时间到所述对比时间段的开始时间之间的时间段确定为一个空闲时段,并将D中位于所述对比时间段之后的第一个目标CPU使用率确定为Dc,进入步骤25;否则获取c=c+1,并进入步骤25。
3.根据权利要求2所述的方法,其特征在于,每一所述关键时间段包含z个连续的目标时间段;;其中,ΔT’为每一所述目标时间段的时长;所述Pxy通过以下步骤确定:
步骤31,获取目标历史时间段内第x天的第y个关键时间段对应的CPU使用率集Pxy’=(Pxy1’, Pxy2’,…, Pxyg’,…,Pxyz’);其中,g=1,2,…,z; Pxyg’为目标历史时间段内第x天的第y个关键时间段内的第g个目标时间段对应的最大CPU使用率;
步骤32,对Pxy’中包含的各最大CPU使用率进行聚类计算,得到若干个CPU使用率聚类集;每一所述CPU使用率聚类集中包含至少一个最大CPU使用率;
步骤33,确定包含最大CPU使用率的数量最多的CPU使用率聚类集,并将该CPU使用率聚类集中的最大值确定为所述Pxy。
4.根据权利要求1所述的方法,其特征在于,所述步骤11包括:
步骤111,确定当前时间是否处于空闲时段,若是则执行步骤112至步骤113;否则进入步骤114;
步骤112,将当前时间与当前空闲时段的结束时间之间的时长确定为对比时长;
步骤113,若所述对比时长大于T中的最小值,则将所述对比时长确定为FT,并进入步骤12;否则进入步骤114;
步骤114,获取所述待检测文件的特征向量,并将所述特征向量发送至服务端;以使所述服务端将所述特征向量输入检测模型进行检测,以得到所述待检测文件的安全性检测结果。
5.根据权利要求4所述的方法,其特征在于,所述步骤114包括:
步骤1141,获取所述待检测文件对应的特征向量集F=(F1,F2,…,Fi,…,Fn);其中,Fi为第i个检测模型对所述待检测文件的安全性进行检测时,需要的所述待检测文件的特征向量;
步骤1142,将F发送至服务端;以使所述服务端将F中包含的每一特征向量输入对应的检测模型中进行检测,以得到所述待检测文件的安全性检测结果。
6.根据权利要求1所述的方法,其特征在于,所述步骤14包括:
步骤141,对T中的各预测时长进行升序排序,得到所述待检测文件对应的预测检测时长序列T’=(T1’,T2’,…,Ti’,…,Tn’);其中,Ti’为T中排序第i的预测时长;
步骤142,获取T’中每一第奇数个预测时长,得到第一预测时长序列A=(A1,A2,…,Aq,…,Ad);其中,q=1,2,…,d;Aq为A中第q个预测时长;d大于等于n/2;获取T’中每一第偶数个预测时长,得到第二预测时长序列B=(B1,B2,…,Bf,…,Bv);其中,f=1,2,…,v;v小于等于n/2;d+v=n;若n为偶数,则d=v;
步骤143,获取第一预测总时长A’=Σd q=1Aq;
步骤144,若A’≥ FT,则m≤d,执行步骤145至步骤146;否则d<m<n,执行步骤147至步骤149;
步骤145,对A中包含的预测时长进行顺序累加,每累加一次得到一个累加值;
步骤146,当得到大于等于FT的累加值时,结束累加,并将前一个累加值对应的各预测时长确定为目标预测时长;
步骤147,确定目标时长L=FT- A’;
步骤148,对B中包含的预测时长进行顺序累加,每累加一次得到一个累加值;
步骤149,当得到大于等于L的累加值时,结束累加,并将前一个累加值对应的各预测时长和A中包含的各预测时长确定为目标预测时长。
7.根据权利要求1-6中任一项所述的方法,其特征在于,所述第一检测结果包括第一标识列表中包含的每一标识对应的检测模型输出的检测结果;所述第二检测结果包括第二标识列表中包含的每一标识对应的检测模型输出的检测结果;所述检测结果包括:黑、白、灰;其中,检测结果为黑,则待检测文件为当前检测模型对应的预设攻击类型对应的文件;检测结果为白,则待检测文件非当前检测模型对应的预设攻击类型对应的文件;检测结果为灰,则待检测文件是否为当前检测模型对应的预设攻击类型对应的文件的情况未知。
8.根据权利要求7所述的方法,其特征在于,所述步骤17包括:
步骤171,接收由服务端返回的第二检测结果;
步骤172,若所述第一检测结果和所述第二检测结果中包含为黑的检测结果,则判定所述待检测文件为恶意文件。
9.一种文件安全性检测方法,其特征在于,应用于服务端,所述服务端安装有n个检测模型,每一所述检测模型唯一对应一个预设攻击类型;所述服务端与客户端连接,所述客户端安装有所述服务端安装的n个检测模型;
所述方法包括以下步骤:
步骤41,接收由所述客户端发送的待检测文件和第二标识列表;所述第二标识列表是客户端根据从当前时间起的空闲时长和待检测文件对应的预测检测时长集得到的;所述待检测文件对应的预测检测时长集中包含每一所述检测模型对应的检测所述待检测文件的预测时长;若所述待检测文件对应的预测检测时长集中包含的各预测时长之和大于所述空闲时长,则在所述待检测文件对应的预测检测时长集中确定出若干目标预测时长;所述目标预测时长的数量小于n;各目标预测时长之和不大于所述空闲时长;将所述待检测文件对应的预测检测时长集中每一非目标预测时长对应的检测模型的标识组成的列表,确定为所述第二标识列表;
步骤42,根据所述第二标识列表对所述待检测文件进行检测,得到第二检测结果;
步骤43,将所述第二检测结果返回至所述客户端,以使所述客户端对所述待检测文件的安全性进行判定。
10.一种文件安全性检测系统,其特征在于,包括客户端和服务端,所述客户端与所述服务端连接,所述客户端和所述服务端均安装有n个检测模型,每一所述检测模型唯一对应一个预设攻击类型;客户端安装的第i个检测模型与服务端安装的第i个检测模型相同;其中,i=1,2,…,n;
所述客户端包括:
空闲时长确定模块,用于确定当前时间是否处于空闲时段,若是则确定从当前时间起的空闲时长FT,并执行预测检测时长集获取模块;
预测检测时长集获取模块,用于获取待检测文件对应的预测检测时长集T=(T1,T2,…,Ti,…,Tn);其中,i=1,2,…,n;Ti为第i个检测模型对应的检测所述待检测文件的预测时长;
预测检测总时长获取模块,用于获取预测检测总时长S=Σn i=1Ti;
目标预测时长确定模块,用于若S>FT,则在T中确定出m个目标预测时长;其中,1≤m<n;m个目标预测时长之和小于等于FT;
标识列表获取模块,用于获取T中每一目标检测时长对应的检测模型的标识,得到第一标识列表;获取T中每一非目标预测时长对应的检测模型的标识,得到第二标识列表;
第一检测模块,用于根据第一标识列表对所述待检测文件进行检测,得到第一检测结果;同时,将所述待检测文件和第二标识列表发送至服务端,以使所述服务端根据第二标识列表对所述待检测文件进行检测,以得到第二检测结果;
安全性判定模块,用于接收由服务端返回的第二检测结果,根据所述第一检测结果和第二检测结果对所述待检测文件的安全性进行判定;
所述服务端包括:
待检测文件接收模块,用于接收由所述客户端发送的待检测文件和第二标识列表;
第二检测模块,用于根据所述第二标识列表对所述待检测文件进行检测,得到第二检测结果;
检测结果返回模块,用于将所述第二检测结果返回至所述客户端,以使所述客户端对所述待检测文件的安全性进行判定。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311216435.5A CN116975934B (zh) | 2023-09-20 | 2023-09-20 | 一种文件安全性检测方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311216435.5A CN116975934B (zh) | 2023-09-20 | 2023-09-20 | 一种文件安全性检测方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116975934A true CN116975934A (zh) | 2023-10-31 |
CN116975934B CN116975934B (zh) | 2023-12-15 |
Family
ID=88481747
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311216435.5A Active CN116975934B (zh) | 2023-09-20 | 2023-09-20 | 一种文件安全性检测方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116975934B (zh) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007148675A (ja) * | 2005-11-25 | 2007-06-14 | Nippon Telegr & Teleph Corp <Ntt> | ユーザ行動検知システム |
CN106161451A (zh) * | 2016-07-19 | 2016-11-23 | 青松智慧(北京)科技有限公司 | 防御cc攻击的方法、装置及系统 |
CN110955890A (zh) * | 2018-09-26 | 2020-04-03 | 瑞数信息技术(上海)有限公司 | 恶意批量访问行为的检测方法、装置和计算机存储介质 |
CN114553720A (zh) * | 2022-02-28 | 2022-05-27 | 中国工商银行股份有限公司 | 用户操作异常检测方法及装置 |
CN115603939A (zh) * | 2022-08-24 | 2023-01-13 | 浙江工业大学(Cn) | 基于长短期记忆和注意力模型的分布式拒绝服务攻击检测方法 |
CN115952458A (zh) * | 2023-01-06 | 2023-04-11 | 支付宝(杭州)信息技术有限公司 | 一种内容伪造攻击检测方法、装置以及设备 |
-
2023
- 2023-09-20 CN CN202311216435.5A patent/CN116975934B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007148675A (ja) * | 2005-11-25 | 2007-06-14 | Nippon Telegr & Teleph Corp <Ntt> | ユーザ行動検知システム |
CN106161451A (zh) * | 2016-07-19 | 2016-11-23 | 青松智慧(北京)科技有限公司 | 防御cc攻击的方法、装置及系统 |
CN110955890A (zh) * | 2018-09-26 | 2020-04-03 | 瑞数信息技术(上海)有限公司 | 恶意批量访问行为的检测方法、装置和计算机存储介质 |
CN114553720A (zh) * | 2022-02-28 | 2022-05-27 | 中国工商银行股份有限公司 | 用户操作异常检测方法及装置 |
CN115603939A (zh) * | 2022-08-24 | 2023-01-13 | 浙江工业大学(Cn) | 基于长短期记忆和注意力模型的分布式拒绝服务攻击检测方法 |
CN115952458A (zh) * | 2023-01-06 | 2023-04-11 | 支付宝(杭州)信息技术有限公司 | 一种内容伪造攻击检测方法、装置以及设备 |
Non-Patent Citations (2)
Title |
---|
康海燕;祈鑫;魏美荣;: "中小型网站智能安全检测研究", 信息网络安全, no. 01 * |
段国云;陈浩;: "基于环结构技术的Web防篡改系统研究", 计算机工程与应用, no. 14 * |
Also Published As
Publication number | Publication date |
---|---|
CN116975934B (zh) | 2023-12-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10248910B2 (en) | Detection mitigation and remediation of cyberattacks employing an advanced cyber-decision platform | |
US20180302430A1 (en) | SYSTEM AND METHOD FOR DETECTING CREATION OF MALICIOUS new USER ACCOUNTS BY AN ATTACKER | |
US20080120720A1 (en) | Intrusion detection via high dimensional vector matching | |
US10943010B2 (en) | Generation of a random value for a child process | |
US20200387597A1 (en) | System and method of detecting unauthorized access to computing resources for cryptomining | |
CN116305155A (zh) | 一种程序安全检测防护方法、装置、介质及电子设备 | |
CN116975934B (zh) | 一种文件安全性检测方法及系统 | |
CN116595523A (zh) | 基于动态编排的多引擎文件检测方法、系统、设备及介质 | |
CN116962086B (zh) | 一种文件安全性检测方法及系统 | |
CN117056927B (zh) | 一种基于指令的恶意进程确定方法、装置、设备及介质 | |
CN111488316B (zh) | 文件缓存回收方法及装置 | |
LIU et al. | Online detection of SQL injection attacks based on ECA rules and dynamic taint analysis | |
CN110851258B (zh) | Api调用方法、装置、计算机设备及存储介质 | |
CN114331446A (zh) | 区块链的链外服务实现方法、装置、设备和介质 | |
CN116827694B (zh) | 一种数据安全性检测方法及系统 | |
US20170149831A1 (en) | Apparatus and method for verifying detection rule | |
CN113849813A (zh) | 数据检测方法、装置、电子设备及存储介质 | |
US10949542B2 (en) | Self-evolved adjustment framework for cloud-based large system based on machine learning | |
CN114629694B (zh) | 一种分布式拒绝服务DDoS的检测方法及相关装置 | |
CN117056915B (zh) | 一种文件检测方法、装置、介质和电子设备 | |
Neelakantan | A secure framework for the cloud to protect the virtual machine from malicious events | |
CN116074118B (zh) | 一种api访问控制方法、系统、智能终端及存储介质 | |
US20230267199A1 (en) | Adaptable framework for spike detection under dynamic constraints | |
CN116760644B (zh) | 一种终端异常判定方法、系统、存储介质及电子设备 | |
US8230060B2 (en) | Web browser security |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |