一种云端“协同式”恶意检测引擎识别方法技术

技术编号:8961351 阅读:205 留言:0更新日期:2013-07-25 20:35
一种云端“协同式”恶意检测引擎识别方法,通过云端随机选择若干异构检测引擎并行检测客户端上传的可疑文件,将检测结果相同的检测引擎划分为同一结果组,依次计算各结果组的组权重并与预设门限值t比对,若大于或等于t则将该结果组作为优胜组,否则从云端取出一个“新”检测引擎继续扫描上传文件并重新计算各结果组组权重,直至产生优胜组为止,分别计算优胜组外可疑检测引擎的错误率,并与恶意检测引擎的判断标准预设门限值比对,若超过则判定为恶意检测引擎。本发明专利技术不仅保障了云端恶意程序判断的可靠性和准确性,还能高效地识别云端非“协同式”和“协同式”两类恶意检测引擎。

【技术实现步骤摘要】

本专利技术涉及。
技术介绍
当前,采用异构检测引擎构成的云安全技术路线进行恶意程序防治成为学术界和产业界关注的焦点。异构检测引擎构成的云安全相比当前主流的单一类型检测引擎构成的云安全优势更为明显:一方面扩大了云端恶意程序识别的范围;另一方面提高了云端恶意程序判断的准确性和可靠性。异构检测引擎综合优势体现的前提是云端各检测引擎都能够正常运行,产生的检测结果完全可靠。然而,检测引擎并不总是可靠的。美国国家漏洞数据库(NationalVulnerability Database)披露了十种主流杀毒软件2005-2007年间的漏洞数量,结果显示各主流杀毒软件都存在不同程度的漏洞缺陷,并且高危漏洞所占比例最大。随着检测引擎功能越来越强大,其内部结构也日益复杂,检测引擎本身的漏洞更容易遭受到黑客的攻击,这直接影响到检测结果的正确性和整个云安全系统的可靠性。检测引擎的攻击形式分为非“协同式”和“协同式”攻击两类。所谓“协同式”攻击,是指被黑客攻击的检测引擎间呈现出某种“共性”或一致的异常行为特点。相应地,所有不具有“协同式”攻击特征的攻击行为就属于非“协同式”攻击。显然,区分两者的关键在于受攻击的检测引擎间是否表现出一致的异常行为。例如,云端恶意程序判断系统由A、B、C三种杀毒软件构成,其中A正常而B、C被黑客攻击。“协同式”攻击的一个典型场景是:对于一个正常文件n.txt, A的判断结果为安全,B、C检测出恶意,且恶意名称、级别等属性完全一致。而非“协同式”攻击中B、C并不表现出这种同步性和一致性,比如B判断为一般恶意而C判定为严重恶意,或B判断为安全而C判定为一般恶意等。针对非“协同式”恶意检测引擎,在云端正常检测引擎数量偏多的前提下可根据投票策略来保障检测结果的正确性。而“协同式”恶意检测引擎则更加隐蔽和复杂,利用常规的投票策略会产生错误的判断结果,甚至与实际情况完全相反的结论。如何识别云端恶意检测引擎,尤其是这种“协同式”恶意检测引擎还少见文献报道。
技术实现思路
本专利技术提供的,保障了云端恶意程序判断的可靠性,提高了云端恶意程序判断的准确性,能够高效地识别云端非“协同式”和“协同式”恶意检测引擎。为了达到上述目的,本专利技术提供,该方法包含以下步骤: 步骤1、云端多个异构检测引擎并行检测用户端上传的可疑文件; 所述的云端有n(n ^ 2)个异构检测引擎; 所述的多个异构检测引擎是从云端随机抽取的r (2 < r < η)个可用检测引擎;步骤2、根据文件检测结果将云端检测引擎划分为结果组,即检测结果相同的检测引擎划分为一组; 步骤3、根据检测引擎的权重计算每个结果组的组权重; 所述的权重指的是该检测引擎返回正确检测结果的次数与返回结果的总次数的比例; 所述的组权重指的是该结果组内检测引擎的权重和与所有取出的检测引擎的权重和的比例; 步骤4、将每个结果组的组权重与预设权重门限值t比对,判断结果组的组权重是否大于或等于预设权重门限值t,若是,则转到步骤6,若否,这转到步骤5 ; 所述的预设门限值t为云端恶意检测结果被接受的最低标准; 步骤5、从云端取出一个未参与过该文件检测的检测引擎,对可疑文件重新检测,然后转到步骤3,将检测结果加入到结果组中并重新计算组权重; 步骤6、若某个组的组权重达到t,则将该结果组作为优胜组,优胜组的综合判断结果即为可疑文件的云端综合判断结果; 步骤7、更新优胜组内所有检测引擎的权重; 步骤8、计算非优胜组内所有检测引擎的错误率; 所述的错误率为检测引擎返回错误检测结果的次数与返回结果的总次数的比例; 步骤9、判断步骤8中得到的检测引擎的错误率是否大于恶意检测引擎判断的门限值 若大于Ffnax,则判定该检测引擎为恶意检测引擎,若不大于,则判定该检测引擎为正常检测引擎; 所述的恶意检测引擎判断的门限值.为云端恶意检测引擎的最低错误率。所述的云端恶意检测引擎数量不超过可用检测引擎总数的一半。所述的恶意检测引擎可能报告错误的检测结果,所述的非恶意检测引擎报告正确的检测结果。所述的恶意检测引擎既可以具备非“协同式”攻击特征,也可以具备“协同式”攻击特征。步骤3中,M^代表第i个检测引擎的权重,V(Gi)代表结果组Gi的判断结果,则组Cj的组权重的计算公式为:本文档来自技高网
...

【技术保护点】
一种云端“协同式”恶意检测引擎识别方法,其特征在于,该方法包含以下步骤:步骤1、云端多个异构检测引擎并行检测用户端上传的可疑文件;所述的云端有n(n≥2)个异构检测引擎;所述的多个异构检测引擎是从云端随机抽取的r(2≤r≤n)个可用检测引擎;步骤2、根据文件检测结果将云端检测引擎划分为结果组,即检测结果相同的检测引擎划分为一组;步骤3、根据检测引擎的权重计算每个结果组的组权重;所述的权重指的是该检测引擎返回正确检测结果的次数与返回结果的总次数的比例;所述的组权重指的是该结果组内检测引擎的权重和与所有取出的检测引擎的权重和的比例;步骤4、将每个结果组的组权重与预设权重门限值t比对,判断结果组的组权重是否大于或等于预设权重门限值t,若是,则转到步骤6,若否,这转到步骤5;所述的预设门限值t为云端恶意检测结果被接受的最低标准;步骤5、从云端取出一个未参与过该文件检测的检测引擎,对可疑文件重新检测,然后转到步骤3,将检测结果加入到结果组中并重新计算组权重;步骤6、若某个组的组权重达到t,则将该结果组作为优胜组,优胜组的综合判断结果即为可疑文件的云端综合判断结果;步骤7、更新优胜组内所有检测引擎的权重;步骤8、计算非优胜组内所有检测引擎的错误率;所述的错误率为检测引擎返回错误检测结果的次数与返回结果的总次数的比例;步骤9、判断步骤8中得到的检测引擎的错误率是否大于恶意检测引擎判断的门限值???????????????????????????????????????????????,若大于,则判定该检测引擎为恶意检测引擎,若不大于,则判定该检测引擎为正常检测引擎;所述的恶意检测引擎判断的门限值为云端恶意检测引擎的最低错误率。2013101519162100001dest_path_image002.jpg,254981dest_path_image002.jpg,80986dest_path_image002.jpg...

【技术特征摘要】
1.一种云端“协同式”恶意检测引擎识别方法,其特征在于,该方法包含以下步骤: 步骤1、云端多个异构检测引擎并行检测用户端上传的可疑文件; 所述的云端有n(n ^ 2)个异构检测引擎; 所述的多个异构检测引擎是从云端随机抽取的r (2 ≤ r ≤ n)个可用检测引擎; 步骤2、根据文件检测结果将云端检测引擎划分为结果组,即检测结果相同的检测引擎划分为一组; 步骤3、根据检测引擎的权重计算每个结果组的组权重; 所述的权重指的是该检测引擎返回正确检测结果的次数与返回结果的总次数的比例; 所述的组权重指的是该结果组内检测引擎的权重和与所有取出的检测引擎的权重和的比例; 步骤4、将每个结果组的组权重与预设权重门限值t比对,判断结果组的组权重是否大于或等于预设权重门限值t,若是,则转到步骤6,若否,这转到步骤5 ; 所述的预设门限值t为云端恶意检测结果被接受的最低标准; 步骤5、从云端取出一个未参与过该文件检测的检测引擎,对可疑文件重新检测,然后转到步骤3,将检测结果加入到结果组中并重新计算组权重; 步骤6、若某个组的组权重达到t,则将该结果组作为优胜组,优胜组的综合判断结果即为可疑文件的云端综合判断结果; 步骤7、更新优胜组内所有检测引擎的权重; 步骤8、计算非优胜组内所有检测引擎的错误率; 所述的错误率为检测引擎返回错误检测结果的次数与返回结果的总次数的比例; 步骤9、判断步骤8中得到的检测引擎...

【专利技术属性】
技术研发人员:聂雄丁韩德志毕坤
申请(专利权)人:上海海事大学
类型:发明
国别省市:

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1