專利名稱:一種云端“協同式”惡意檢測引擎識別方法
技術領域:
本發明涉及一種云端“協同式”惡意檢測引擎識別方法。
背景技術:
當前,采用異構檢測引擎構成的云安全技術路線進行惡意程序防治成為學術界和產業界關注的焦點。異構檢測引擎構成的云安全相比當前主流的單一類型檢測引擎構成的云安全優勢更為明顯:一方面擴大了云端惡意程序識別的范圍;另一方面提高了云端惡意程序判斷的準確性和可靠性。異構檢測引擎綜合優勢體現的前提是云端各檢測引擎都能夠正常運行,產生的檢測結果完全可靠。然而,檢測引擎并不總是可靠的。美國國家漏洞數據庫(NationalVulnerability Database)披露了十種主流殺毒軟件2005-2007年間的漏洞數量,結果顯示各主流殺毒軟件都存在不同程度的漏洞缺陷,并且高危漏洞所占比例最大。隨著檢測引擎功能越來越強大,其內部結構也日益復雜,檢測引擎本身的漏洞更容易遭受到黑客的攻擊,這直接影響到檢測結果的正確性和整個云安全系統的可靠性。檢測引擎的攻擊形式分為非“協同式”和“協同式”攻擊兩類。所謂“協同式”攻擊,是指被黑客攻擊的檢測引擎間呈現出某種“共性”或一致的異常行為特點。相應地,所有不具有“協同式”攻擊特征的攻擊行為就屬于非“協同式”攻擊。顯然,區分兩者的關鍵在于受攻擊的檢測引擎間是否表現出一致的異常行為。例如,云端惡意程序判斷系統由A、
B、C三種殺毒軟件構成,其中A正常而B、C被黑客攻擊。“協同式”攻擊的一個典型場景是:對于一個正常文件n.txt, A的判斷結果為安全,B、C檢測出惡意,且惡意名稱、級別等屬性完全一致。而非“協同式”攻擊中B、C并不表現出這種同步性和一致性,比如B判斷為一般惡意而C判定為嚴重惡意,或B判斷為安全而C判定為一般惡意等。針對非“協同式”惡意檢測引擎,在云端正常檢測引擎數量偏多的前提下可根據投票策略來保障檢測結果的正確性。而“協同式”惡意檢測引擎則更加隱蔽和復雜,利用常規的投票策略會產生錯誤的判斷結果,甚至與實際情況完全相反的結論。如何識別云端惡意檢測引擎,尤其是這種“協同式”惡意檢測引擎還少見文獻報道。
發明內容
本發明提供的一種云端“協同式”惡意檢測引擎識別方法,保障了云端惡意程序判斷的可靠性,提高了云端惡意程序判斷的準確性,能夠高效地識別云端非“協同式”和“協同式”惡意檢測引擎。為了達到上述目的,本發明提供一種云端“協同式”惡意檢測引擎識別方法,該方法包含以下步驟:
步驟1、云端多個異構檢測引擎并行檢測用戶端上傳的可疑文件;
所述的云端有n(n ^ 2)個異構檢測引擎;
所述的多個異構檢測引擎是從云端隨機抽取的r (2 < r < η)個可用檢測引擎;步驟2、根據文件檢測結果將云端檢測引擎劃分為結果組,即檢測結果相同的檢測引擎劃分為一組;
步驟3、根據檢測引擎的權重計算每個結果組的組權重;
所述的權重指的是該檢測引擎返回正確檢測結果的次數與返回結果的總次數的比
例;
所述的組權重指的是該結果組內檢測引擎的權重和與所有取出的檢測引擎的權重和的比例;
步驟4、將每個結果組的組權重與預設權重門限值t比對,判斷結果組的組權重是否大于或等于預設權重門限值t,若是,則轉到步驟6,若否,這轉到步驟5 ;
所述的預設門限值t為云端惡意檢測結果被接受的最低標準;
步驟5、從云端取出一個未參與過該文件檢測的檢測引擎,對可疑文件重新檢測,然后轉到步驟3,將檢測結果加入到結果組中并重新計算組權重;
步驟6、若某個組的組權重達到t,則將該結果組作為優勝組,優勝組的綜合判斷結果即為可疑文件的云端綜合判斷結果;
步驟7、更新優勝組內所有檢測引擎的權重;
步驟8、計算非優勝組內所有檢測引擎的錯誤率;
所述的錯誤率為檢測引擎返回錯誤檢測結果的次數與返回結果的總次數的比例; 步驟9、判斷步驟8中得到的檢測引擎的錯誤率是否大于惡意檢測引擎判斷的門限值
若大于Ffnax,則判定該檢測引擎為惡意檢測引擎,若不大于,則判定該檢測引擎為
正常檢測引擎;
所述的惡意檢測引擎判斷的門限值.為云端惡意檢測引擎的最低錯誤率。所述的云端惡意檢測引擎數量不超過可用檢測引擎總數的一半。所述的惡意檢測引擎可能報告錯誤的檢測結果,所述的非惡意檢測引擎報告正確的檢測結果。所述的惡意檢測引擎既可以具備非“協同式”攻擊特征,也可以具備“協同式”攻擊特征。步驟3中,M^代表第i個檢測引擎的權重,V(Gi)代表結果組Gi的判斷結果,則組
Cj的組權重的計算公式為:
權利要求
1.一種云端“協同式”惡意檢測引擎識別方法,其特征在于,該方法包含以下步驟: 步驟1、云端多個異構檢測引擎并行檢測用戶端上傳的可疑文件; 所述的云端有n(n ^ 2)個異構檢測引擎; 所述的多個異構檢測引擎是從云端隨機抽取的r (2 ≤ r ≤ n)個可用檢測引擎; 步驟2、根據文件檢測結果將云端檢測引擎劃分為結果組,即檢測結果相同的檢測引擎劃分為一組; 步驟3、根據檢測引擎的權重計算每個結果組的組權重; 所述的權重指的是該檢測引擎返回正確檢測結果的次數與返回結果的總次數的比例; 所述的組權重指的是該結果組內檢測引擎的權重和與所有取出的檢測引擎的權重和的比例; 步驟4、將每個結果組的組權重與預設權重門限值t比對,判斷結果組的組權重是否大于或等于預設權重門限值t,若是,則轉到步驟6,若否,這轉到步驟5 ; 所述的預設門限值t為云端惡意檢測結果被接受的最低標準; 步驟5、從云端取出一個未參與過該文件檢測的檢測引擎,對可疑文件重新檢測,然后轉到步驟3,將檢測結果加入到結果組中并重新計算組權重; 步驟6、若某個組的組權重達到t,則將該結果組作為優勝組,優勝組的綜合判斷結果即為可疑文件的云端綜合判斷結果; 步驟7、更新優勝組內所有檢測引擎的權重; 步驟8、計算非優勝組內所有檢測引擎的錯誤率; 所述的錯誤率為檢測引擎返回錯誤檢測結果的次數與返回結果的總次數的比例; 步驟9、判斷步驟8中得到的檢測引擎的錯誤率是否大于惡意檢測引擎判斷的門限值 ,若大于,則判定該檢測引擎為惡意檢測引擎,若不大于,則判定該檢測引擎為正常檢測引擎; 所述的惡意檢測引擎判斷的門限值.為云端惡意檢測引擎的最低錯誤率。
2.如權利要求1所述的云端“協同式”惡意檢測引擎識別方法,其特征在于,所述的云端惡意檢測引擎數量不超過可用檢測引擎總數的一半。
3.如權利要求2所述的云端“協同式”惡意檢測引擎識別方法,其特征在于,所述的惡意檢測引擎可能報告錯誤的檢測結果,所述的非惡意檢測引擎報告正確的檢測結果。
4.如權利要求3所述的云端“協同式”惡意檢測引擎識別方法,其特征在于,所述的惡意檢測引擎既可以具備非“協同式”攻擊特征,也可以具備“協同式”攻擊特征。
5.如權利要求1-4中任意一個所述的云端“協同式”惡意檢測引擎識別方法,其特征在于,步驟3中,VR代表第i個檢測引擎的權重,V(G7)代表結果組Gj的判斷結果,則組$的組權重的計算公式為:
6.如權利要求5所述的云端“協同式”惡意檢測引擎識別方法,其特征在于,步驟7中,更新優勝組內所有檢測引擎的權重,計算公式為
7.如權利要求6所述的云端“協同式”惡意檢測引擎識別方法,其特征在于,步驟8中,計算非優勝組檢測引擎的錯誤率,計算公式為
8.如權利要求7所述的云端“協同式”惡意檢測引擎識別方法,其特征在于,步驟9中,若E.>Fr^r, 為惡意檢測引擎判斷的門限值,則將檢測引擎i判斷為惡意檢測引擎,列入黑名單。
全文摘要
一種云端“協同式”惡意檢測引擎識別方法,通過云端隨機選擇若干異構檢測引擎并行檢測客戶端上傳的可疑文件,將檢測結果相同的檢測引擎劃分為同一結果組,依次計算各結果組的組權重并與預設門限值t比對,若大于或等于t則將該結果組作為優勝組,否則從云端取出一個“新”檢測引擎繼續掃描上傳文件并重新計算各結果組組權重,直至產生優勝組為止,分別計算優勝組外可疑檢測引擎的錯誤率,并與惡意檢測引擎的判斷標準預設門限值比對,若超過則判定為惡意檢測引擎。本發明不僅保障了云端惡意程序判斷的可靠性和準確性,還能高效地識別云端非“協同式”和“協同式”兩類惡意檢測引擎。
文檔編號G06F21/56GK103220299SQ20131015191
公開日2013年7月24日 申請日期2013年4月27日 優先權日2013年4月27日
發明者聶雄丁, 韓德志, 畢坤 申請人:上海海事大學