一種基於雲安全的主動防禦方法

2023-06-11 10:42:31 1

專利名稱：一種基於雲安全的主動防禦方法
技術領域：
本發明屬於網絡安全領域，具體地說，涉及一種基於雲安全的主動防禦方法。
背景技術：
惡意程序是一個概括性的術語，指任何故意創建用來執行未經授權並通常是有害 行為的軟體程序。計算機病毒、後門程序、鍵盤記錄器、密碼盜取者、Word和Excel宏病毒、 引導區病毒、腳本病毒(batch，windows shell，java等)、木馬、犯罪軟體、間諜軟體和廣告 軟體等等，都是一些可以稱之為惡意程序的例子。傳統的惡意程序防殺主要依賴於特徵庫模式。特徵庫是由廠商收集到的惡意程序 樣本的特徵碼組成，而特徵碼則是分析工程師從惡意程序中找到和正當軟體的不同之處， 截取一段類似於「搜索關鍵詞」的程序代碼。當查殺過程中，引擎會讀取文件並與特徵庫中 的所有特徵碼「關鍵詞」進行匹配，如果發現文件程序代碼被命中，就可以判定該文件程序 為惡意程序。特徵庫匹配是查殺已知惡意程序很有效的一項技術。但是現今全球惡意程序數量 呈幾何級增長，基於這種爆發式的增速，特徵庫的生成與更新往往是滯後的，很多時候殺毒 軟體無法防殺層出不窮的未知惡意程序。主動防禦隨之應運而生，其是基於程序行為自主分析判斷的實時防護技術，不以 特徵碼作為判斷惡意程序的依據，而是從最原始的定義出發，直接將程序的行為作為判斷 惡意程序的依據，其中衍生出在本地使用特徵庫、在本地設置行為閾值以及在本地啟發式 殺毒的方式來判別、攔截惡意程序的行為，從而一定程度上達到保護用戶電腦的目的。但是上述本地主動防禦手段也不可避免的存在弊端。首先，本地主動防禦很容易 對惡意程序造成免殺，例如，通過對惡意程序加殼或修改該惡意程序的特徵碼即可以避開 本地主動防禦的特徵庫防殺模式；通過針對惡意程序的行為，減少或替換惡意程序執行的 相關行為從而避免觸發行為閾值防殺模式的啟動上限。另外，本地主動防禦還是要依賴於 本地資料庫的及時更新。

發明內容
有鑑於此，本發明所要解決的技術問題是提供了一種基於雲安全的主動防禦方 法，不依賴於本地資料庫，並且將主動防禦的分析比對操作放在伺服器端完成。為了解決上述技術問題，本發明公開了一種基於雲安全的主動防禦方法，包括客 戶端對其上一程序發起的程序行為和/或發起該行為的程序的程序特徵進行收集，發送到 伺服器端；伺服器端根據所述客戶端發來的程序特徵和/或程序行為在其資料庫中進行分 析比對，根據比對結果對所述程序進行判定，並反饋給所述客戶端；所述客戶端根據反饋的 判定結果決定是否對該程序行為進行攔截、終止執行該程序和/或清理該程序，恢復系統 環境。進一步地，所述程序行為，包括所述程序行為的本體及該程序行為的目標的屬性；所述程序行為的目標的屬性，還包括行為目標本身所屬的黑白等級、所處於系統中的 位置、類型、行為目標所作出行為本體及其所屬的黑白等級。進一步地，所述伺服器端根據所述客戶端發來的其上發起該行為的程序的程序特 徵，與所述資料庫保存的黑名單的特徵碼進行比對，如果命中，則判定所述程序為惡意程 序，並反饋給所述客戶端。進一步地，所述伺服器端根據所收集到的所述客戶端上一程序作出的一串程序行 為，與所述資料庫保存的認定的惡意行為序列進行比對，對其中命中的程序行為的權重值 進行累加，並比對該累加值是否超過一預設閾值，如果超過所述閾值則判定所述程序為惡 意程序，並反饋給對應的客戶端計算機。進一步地，所述伺服器端對其資料庫中保存的各惡意行為賦予相應的權重值，權 重值的設置根據技術人員經驗或根據所收集的大量客戶端數據通過統計學計算獲得。進一步地，所述伺服器端根據所收集到的所述客戶端上一程序作出的一串程序行 為，與所述資料庫保存的認定的惡意行為序列進行比對，對其中命中的程序行為的權重值 進行累加，並比對該累加值是否超過一預設閾值，如果超過所述閾值則對所述程序進行分 析，獲取其特徵碼，根據其特徵碼與所述資料庫保存的黑名單的特徵碼進行比對，如果命 中，則判定所述程序為惡意程序，並反饋給所述客戶端。進一步地，伺服器端根據所述程序特徵和/或程序行為在其資料庫中進行分析比 對，根據比對結果對所述程序進行判定的步驟，還包括一更新步驟所述伺服器端將所述惡 意程序的程序特徵和/或惡意程序行為實時或周期性更新到所述資料庫保存。進一步地，客戶端對一程序行為和/或發起該行為的程序的程序特徵進行收集並 發送到伺服器端的步驟之前，還包括；由客戶端收集程序特徵及其對應的程序行為，並傳送 至伺服器端；在伺服器端資料庫中記錄不同的程序特徵及其對應的程序行為，以及黑/白 名單；根據現有已知黑/白名單中的程序特徵及其對應的程序行為，對未知程序特徵及程 序行為進行分析，以更新黑/白名單。進一步地，所述對未知程序特徵及其程序行為進行分析的步驟，包括如果未知程 序特徵與現有黑/白名單中的已知程序特徵相同，則將該未知程序特徵及其程序行為列入 黑/白名單；如果未知程序行為與現有黑/白名單中的已知程序行為相同或近似，則將該未 知程序行為及其程序特徵列入黑/白名單；當某程序行為被列入黑/白名單時，在資料庫中 將該程序行為對應的程序特徵列入黑/白名單，並將與該程序行為有關聯關係的其他程序 行為和程序特徵也列入黑/白名單；和/或當某程序特徵被列入黑/白名單時，在資料庫中 將該程序特徵對應的程序行為列入黑/白名單，並將與該程序特徵有關聯關係的其他程序 行為和程序特徵也列入黑/白名單。進一步地，還包括在具有相同或近似行為的程序之間建立行為與特徵的關聯關 系，根據所述具有相同或近似行為的程序之間的關聯關係，對未知程序特徵及程序行為進 行分析，以更新黑/白名單；在資料庫中針對被列入黑名單的程序，進一步記錄該程序的逆 向行為，以在確認客戶端計算機中存在該被列入黑名單的程序時，執行所述逆向行為；在數 據庫中針對被列入黑名單的程序，根據該程序的行為，確定客戶端計算機被感染文件的信 息，根據被感染文件的信息，將存儲於資料庫中的一份完好的對應文件下載至客戶端計算 機中覆蓋被感染文件；和/或在資料庫中進一步記錄在一預設時間內由不同客戶端計算機收集到的相同的程序特徵的數量變化，如果在一預設時間內，由不同客戶端計算機收集到 的某個未知程序特徵的數量增減超過閾值，則在資料庫中將該程序特徵及其對應的程序行 為列入黑名單。與現有的方案相比，本發明所獲得的技術效果本發明引入雲安全架構，將所有「雲安全」客戶端與「雲安全」伺服器實時連接，客 戶端不斷採集上報更新，在伺服器端組成一龐大的惡意程序資料庫，並將主動防禦的分析 比對操作放在伺服器端完成，從而使整個雲安全網絡成為一主動防禦工具；針對具有威脅 的程序行為進行收集並保存在伺服器的資料庫中，在伺服器端進行惡意軟體分析時支持直 接使用程序行為進行惡意程序判定；另外，本發明還通過客戶端收集程序行為並關聯到程序特徵，從而在資料庫中記 錄程序特徵及其對應的程序行為，根據收集到的程序行為和程序特徵的關聯關係，可以在 資料庫中對樣本進行分析歸納，從而有助於對軟體或程序進行黑白的分類判別，還可以針 對黑名單中的惡意軟體制定相應的清除或恢復措施


圖1為本發明的基於雲安全的主動防禦模式的流程圖；圖2為根據本發明實施例所述的基於雲的樣本資料庫動態維護方法流程圖；圖3為根據本發明實施例所述的關聯關係示意圖；圖4為根據本發明實施例所述的文件恢復流程圖；圖5為根據本發明實施例所述的分析流程示意圖；圖6為本發明的實施模式示意圖。
具體實施例方式以下將配合圖式及實施例來詳細說明本發明的實施方式，藉此對本發明如何應用 技術手段來解決技術問題並達成技術功效的實現過程能充分理解並據以實施。本發明的核心構思在於通過大量客戶端計算機對各種程序的程序特徵、程序行 為和/或程序屬性進行收集，發送到伺服器端；伺服器端進行分析比對，根據比對結果對該 程序進行判定，並反饋給對應的客戶端計算機；所述客戶端計算機根據反饋的判定結果決 定是否對該程序行為進行攔截、終止執行該程序和/或清理該程序，恢復系統環境。下面對於由大量客戶端計算機102-伺服器端104構成的基於雲安全的主動防禦 模式進行說明。雲結構就是一個大型的客戶端/伺服器(CS)架構，如圖6所示，為本發明的實施 模式示意圖。參考圖1為本發明的基於雲安全的主動防禦模式的流程圖，包括Si，通過大量客戶端計算機對各種程序的程序行為(可以是單一行為，也可以是 一組行為的組合)和/或發起該程序行為的程序的程序特徵進行收集，發送到伺服器端；S2，伺服器端根據所收集到的每一臺客戶端計算機上的一程序的程序特徵和/或 程序行為在伺服器的資料庫進行分析比對，根據比對結果對該程序進行判定，並反饋給對 應的客戶端計算機；
S3，對應客戶端計算機根據反饋的判定結果決定是否對該程序行為進行攔截、終 止執行該程序和/或清理該程序，恢復系統環境。程序行為可以一程序是直接作出的行為，也可以是該程序並不直接做出行為，而 是控制另一目標程序間接做出行為，因此所述程序行為包括程序行為本體及該行為目標 的屬性；所述行為目標的屬性，包括行為目標本身所屬的黑白等級(即惡意或非惡意)、 所處於系統中的位置(如處於引導區等等)、類型(如可執行文件、備份文件等類型)，也可 以擴展包括行為目標所作出行為所屬的黑白等級、行為本身等等。上述程序行為，可以是例如驅動加載行為，文件生成行為，程序或代碼的加載行 為，添加系統啟動項行為，或文件或程序的修改行為等，或者是一系列行為的組合。上述程序特徵，可以是經由MD5 (Message-Digest Algorithm 5，信息-摘要算法) 運算得出的MD5驗證碼，或SHAl碼，或CRC(Cyclic Redundancy Check，循環冗餘校驗)碼 等可唯一標識原程序的特徵碼。對於步驟S2，伺服器端對大量客戶端計算機所採集的各種程序的程序特徵和/或 程序行為(可以是單一行為，也可以是一組行為的組合)進行判定分析的機制，可以由以下 一種或多種方式的組合實現1)所述伺服器端根據所收集到的一臺客戶端計算機上一程序的程序特徵，與所述 資料庫保存的黑名單的特徵碼進行比對，如果命中，則判定所述程序為惡意程序，並反饋給 對應的客戶端計算機；2)所述伺服器端根據所收集到的一臺客戶端計算機上一程序作出的一串程序行 為，與所述資料庫保存的認定的惡意行為序列進行比對，對其中命中的程序行為的權重值 累加，並比對該累加值是否超過一預設閾值(閾值可由技術人員根據經驗設定)，如果超過 所述閾值則判定所述程序為惡意程序，並反饋給對應的客戶端計算機；其中，在資料庫中保存的各惡意行為賦予相應的權重值；權重值的設置根據技術 人員經驗或根據所收集的大量客戶端數據通過統計學算法獲得。以下通過一應用實例對上述基於行為閾值的判定方式進行詳細解釋。伺服器端從 一客戶計算機收集到的一程序A的四個程序行為PA1、PA2、PA3、PA4，然後對這四個程序行 為PA1、PA2、PA3、PA4在其資料庫中保存的惡意行為序列進行比對，結果程序行為PA1、PA2、 PA3命中而PA4未命中，說明三個程序行為PA1、PA2、PA3是惡意的；此時伺服器端再通過對伺服器資料庫中的惡意行為預先設定的權重值對惡意行 為程序行為PA1、PA2、PA3進行累加，比如伺服器端已預先設定了其資料庫中保存的惡意程 序行為PAl的權重值為1，惡意程序行為PA2的權重值為2，惡意程序行為PA3的權重值為3， 這樣三者的累加值等於6，伺服器用這個累加值6與其預設的行為閾值比對，假設行為閾值 已預先設定為5，顯然累加值大於行為閾值，所以即可以判定做出上述程序行為PA1、PA2、 PA3的程序A為惡意程序。在資料庫中保存的各惡意行為，假設包括刪除註冊表啟動項或服務、終止電腦安 全程序工具的進程、弱口令破解區域網其他電腦的管理員帳號並複製傳播、修改註冊表鍵 值導致不能查看隱藏文件和系統文件、嘗試破壞硬碟分區下的文件、刪除用戶的系統備份 文件等等，對這些惡意行為可以根據技術人員經驗判斷其破壞程度或嚴重性，從而對破壞程度或嚴重性高的惡意行為賦予更大的權重值；另外在實作中也可以通過收集的大量客戶 端數據，根據惡意程序行為的上報頻率、破壞範圍等一系列參數建立數學模型，通過統計學 算法獲得各惡意行為的權重並分配權重值。3)所述伺服器端根據所收集到的一臺客戶端計算機上一程序作出的一串程序行 為，與所述資料庫保存的認定的惡意行為序列進行比對，對其中命中的程序行為的權重值 累加，並比對該累加值是否超過一預設閾值，如果超過所述閾值則對所述程序進行分析，獲 取其特徵碼，根據其特徵碼與所述資料庫保存的黑名單的特徵碼進行比對，如果命中，則判 定所述程序為惡意程序，並反饋給對應的客戶端計算機。此處基於行為閾值的判斷的過程與方式2)相同，與方式2)的區別在於其不通過 行為閾值的判斷直接確定惡意程序，而是通過行為閾值的判斷篩選出程序再進行特徵碼檢 測，從而判斷惡意程序。在上述判定分析的機制中，所述伺服器端一旦判定上述程序為惡意程序，則將所 述惡意程序的程序特徵和/或惡意行為實時或周期性更新到所述資料庫保存；在客戶端計算機達到一定數量的前提下，所述伺服器端可以通過客戶端計算機的 大量採集上報在很短的時間內更新伺服器端的資料庫。上述伺服器資料庫的更新，在下面樣本資料庫的構建及動態維護的部分詳細討 論。下面對於伺服器端的資料庫的構建及動態維護進行下說明。如圖2所示，為根據本發明實施例所述的基於雲的樣本資料庫動態維護方法流程 圖，首先，由客戶端計算機收集程序特徵及其對應的程序行為，並傳送至伺服器端(步驟 202)；然後在伺服器端資料庫中記錄不同的程序特徵及其對應的程序行為，以及黑/白名 單(步驟204)；根據現有已知黑/白名單中的程序特徵及其對應的程序行為，對未知程序 特徵及程序行為進行分析，以更新黑/白名單(步驟206)。由於在資料庫中記錄了程序特徵及該特徵對應的行為記錄，因此可以結合已知黑 /白名單對未知程序進行分析。例如，如果未知程序特徵與現有黑/白名單中的已知程序特徵相同，則將該未知 程序特徵及其程序行為都列入黑/白名單。如果未知程序行為與現有黑/白名單中的已知程序行為相同或近似，則將該未知 程序行為及其程序特徵都列入黑/白名單。由於有些惡意程序通過變種或加殼等技術可以改變特徵碼，但其行為則不會有很 大改變，因此，通過程序行為記錄的對比分析，可以較為便捷的確定一些未知程序是否為惡 意程序。這種對比分析有時候不需要對程序的行為本身做追蹤分析，只需要簡單的與現有 黑/白名單中的已知程序行為做比對即可判定未知程序的性質。通過資料庫中的記錄分析，我們可以發現，有一些程序的行為相同或近似，但程序 特徵不同，這時，只要我們在具有相同或近似行為的程序之間建立行為與特徵的關聯關係， 並根據這種關聯關係，就可以更便捷的對未知程序特徵及程序行為進行分析，以更新黑/ 白名單。如圖3所示，為根據本發明實施例所述的關聯關係示意圖。假設未知程序A、B和 C的特徵分別為A、B和C，其各自對應的程序行為為Al A4，Bl B4，Cl C4。如果經過
8分析發現程序行為Al A4，Bl B4，Cl C4之間實質上相同或非常近似，那麼就可以在 特徵A、B、C和行為Al A4，Bl B4，Cl C4之間建立特徵與行為的關聯關係。通過這種關聯關係，在某些條件下可以更加快捷的自擴展的對資料庫進行維護。 例如，當程序B的程序行為Bl B4被確認為惡意程序行為並被列入黑名單時，可以在數據 庫中自動將與該程序行為對應的程序特徵B列入黑名單，同時，根據關聯關係，可以自動將 與該程序行為有關聯關係的程序行為Al A4，Cl C4及對應的程序特徵A，特徵C也列 入黑/白名單。再例如，如果最初時程序A、B和C都屬於黑白未知的程序，而經由其他惡意程序查 殺途徑，程序特徵B首先被確認為屬於惡意程序的特徵，則在資料庫中不僅可以自動將行 為Bl B4的組合列入黑名單，還可以根據關聯關係，將具有相同或近似行為的特徵A和C 也列入黑名單，並將程序行為Al A4，Cl C4也列入黑名單。本發明由於在資料庫中記錄了程序特徵對應的行為，這就使得對未知程序的行為 分析提供了很大的便利。例如，如果對加載驅動的行為感興趣時，可以將全部帶有加載驅動 行為的程序行為調出來綜合分析，如果現有黑名單中帶有加載驅動行為的樣板中，在加載 驅動之後一般都跟隨一個特殊的文件生成行為，那麼對於未知程序中同樣帶有類似行為組 合的程序行為就應列入風險提示或直接列入黑名單。本發明上述分析方法不限於此，還可以利用類似於決策樹，貝葉斯算法，神經網域 計算等方法，或者使用簡單的閾值分析，都可以在本發明的資料庫基礎上得到很好的應用。此外，還可以在資料庫中針對被列入黑名單的程序，進一步記錄該程序的逆向行 為，以在確認客戶端計算機中存在該被列入黑名單的程序時，執行所述逆向行為。例如，根據前臺收集到的信息，在依據云查殺或其他如特徵碼方式查出某個程序 是惡意程序後，可以根據所述記錄的逆向行為執行恢復動作。對於一些無法通過執行逆向行為得到恢復的文件，還可以通過替換的方式得到恢 復，如圖4所示，為根據本發明實施例所述的文件恢復流程圖，首先在資料庫中針對被列入 黑名單的程序，根據該程序的行為，確定客戶端計算機被感染文件的信息(步驟402)；然後 根據被感染文件的信息，將存儲於資料庫中的一份完好的對應文件下載至客戶端計算機中 覆蓋被感染文件(步驟404)。對於被感染文件的信息的獲取，可以通過文件路徑，系統版本，相關聯到的應用程 序組件等信息在資料庫中查詢確定。另外，由於本發明利用大量客戶端計算機收集程序行為和程序特徵的方式將相關 信息記錄於資料庫中，因此，還可以通過監測分析某一程序在短時期內的傳播速度來判定 程序的屬性。請參考圖5，為根據本發明實施例所述的分析流程示意圖，首先在資料庫中進 一步記錄在一預設時間內由不同客戶端計算機收集到的相同的程序特徵的數量變化(步 驟502)；然後根據所述程序特徵的數量變化，對未知程序特徵及程序行為進行分析，以更 新黑/白名單(步驟504)。例如，如果在一預設時間內，由不同客戶端計算機收集到的某個未知程序特徵的 數量增減超過閾值，則在資料庫中將該程序特徵及其對應的程序行為列入黑名單。利用這種方式，將前臺採集到的程序信息傳到後臺伺服器集群，如果這個程序是 一個木馬程序，但它不再做任何傳播，則是一個安安靜靜的死馬，這時就可以認為這個木馬沒有威脅，但如果這個木馬又傳播到一個新的機器裡面，則利用本發明就可以很快感知到， 因為這臺客戶端計算機也會向伺服器報告，當100、500、1000臺機器報告了，伺服器資料庫 就會統計收集到的數量增長的信息，並進行分析和反饋，在一個很短的時間內該程序的增 長數量超過了閾值，或者出現了很多與這個程序的行為具有相似行為的變形程序，利用本 發明就可以自動的進行分析和判定，一旦判斷完成就可以加入黑名單中，並且利用本發明 還可以動態的自擴展的更新資料庫黑名單，極大的提高了資料庫維護以及程序分析的效 率。 上述說明示出並描述了本發明的若干優選實施例，但如前所述，應當理解本發明 並非局限於本文所披露的形式，不應看作是對其他實施例的排除，而可用於各種其他組合、 修改和環境，並能夠在本文所述發明構想範圍內，通過上述教導或相關領域的技術或知識 進行改動。而本領域人員所進行的改動和變化不脫離本發明的精神和範圍，則都應在本發 明所附權利要求的保護範圍內。
權利要求
一種基於雲安全的主動防禦方法，其特徵在於，包括客戶端對其上一程序發起的程序行為和/或發起該行為的程序的程序特徵進行收集，發送到伺服器端；伺服器端根據所述客戶端發來的程序特徵和/或程序行為在其資料庫中進行分析比對，根據比對結果對所述程序進行判定，並反饋給所述客戶端；所述客戶端根據反饋的判定結果決定是否對該程序行為進行攔截、終止執行該程序和/或清理該程序，恢復系統環境。
2.如權利要求1所述的方法，其特徵在於，所述程序行為，包括所述程序行為的本體 及該程序行為的目標的屬性；所述程序行為的目標的屬性，還包括行為目標本身所屬的 黑白等級、所處於系統中的位置、類型、行為目標所作出行為本體及其所屬的黑白等級。
3.如權利要求1所述的方法，其特徵在於，所述伺服器端根據所述客戶端發來的其上 發起該行為的程序的程序特徵，與所述資料庫保存的黑名單的特徵碼進行比對，如果命中， 則判定所述程序為惡意程序，並反饋給所述客戶端。
4.如權利要求2所述的方法，其特徵在於，所述伺服器端根據所收集到的所述客戶端 上一程序作出的一串程序行為，與所述資料庫保存的認定的惡意行為序列進行比對，對其 中命中的程序行為的權重值進行累加，並比對該累加值是否超過一預設閾值，如果超過所 述閾值則判定所述程序為惡意程序，並反饋給對應的客戶端計算機。
5.如權利要求4所述的方法，其特徵在於，所述伺服器端對其資料庫中保存的各惡意 行為賦予相應的權重值，權重值的設置根據技術人員經驗或根據所收集的大量客戶端數據 通過統計學計算獲得。
6.如權利要求2所述的方法，其特徵在於，所述伺服器端根據所收集到的所述客戶端 上一程序作出的一串程序行為，與所述資料庫保存的認定的惡意行為序列進行比對，對其 中命中的程序行為的權重值進行累加，並比對該累加值是否超過一預設閾值，如果超過所 述閾值則對所述程序進行分析，獲取其特徵碼，根據其特徵碼與所述資料庫保存的黑名單 的特徵碼進行比對，如果命中，則判定所述程序為惡意程序，並反饋給所述客戶端。
7.如權利要求3、4或6所述的方法，其特徵在於，伺服器端根據所述程序特徵和/或程 序行為在其資料庫中進行分析比對，根據比對結果對所述程序進行判定的步驟，還包括一 更新步驟所述伺服器端將所述惡意程序的程序特徵和/或惡意程序行為實時或周期性更新到 所述資料庫保存。
8.如權利要求2所述的方法，其特徵在於，客戶端對一程序行為和/或發起該行為的程 序的程序特徵進行收集並發送到伺服器端的步驟之前，還包括；由客戶端收集程序特徵及其對應的程序行為，並傳送至伺服器端；在伺服器端資料庫中記錄不同的程序特徵及其對應的程序行為，以及黑/白名單；根據現有已知黑/白名單中的程序特徵及其對應的程序行為，對未知程序特徵及程序 行為進行分析，以更新黑/白名單。
9.如權利要求8所述的方法，其特徵在於，所述對未知程序特徵及其程序行為進行分 析的步驟，包括如果未知程序特徵與現有黑/白名單中的已知程序特徵相同，則將該未知程序特徵及其程序行為列入黑/白名單；如果未知程序行為與現有黑/白名單中的已知程序行為相同或近似，則將該未知程序 行為及其程序特徵列入黑/白名單；當某程序行為被列入黑/白名單時，在資料庫中將該程序行為對應的程序特徵列入黑 /白名單，並將與該程序行為有關聯關係的其他程序行為和程序特徵也列入黑/白名單；和 /或當某程序特徵被列入黑/白名單時，在資料庫中將該程序特徵對應的程序行為列入黑 /白名單，並將與該程序特徵有關聯關係的其他程序行為和程序特徵也列入黑/白名單。
10.如權利要求9所述的方法，其特徵在於，進一步包括在具有相同或近似行為的程序之間建立行為與特徵的關聯關係，根據所述具有相同或 近似行為的程序之間的關聯關係，對未知程序特徵及程序行為進行分析，以更新黑/白名在資料庫中針對被列入黑名單的程序，進一步記錄該程序的逆向行為，以在確認客戶 端計算機中存在該被列入黑名單的程序時，執行所述逆向行為；在資料庫中針對被列入黑名單的程序，根據該程序的行為，確定客戶端計算機被感染 文件的信息，根據被感染文件的信息，將存儲於資料庫中的一份完好的對應文件下載至客 戶端計算機中覆蓋被感染文件；和/或在資料庫中進一步記錄在一預設時間內由不同客戶端計算機收集到的相同的程序特 徵的數量變化，如果在一預設時間內，由不同客戶端計算機收集到的某個未知程序特徵的 數量增減超過閾值，則在資料庫中將該程序特徵及其對應的程序行為列入黑名單。
全文摘要
本發明公開了一種基於雲安全的主動防禦方法，包括客戶端對其上一程序發起的程序行為和/或發起該行為的程序的程序特徵進行收集，發送到伺服器端；伺服器端根據所述客戶端發來的程序特徵和/或程序行為在其資料庫中進行分析比對，根據比對結果對所述程序進行判定，並反饋給所述客戶端；所述客戶端根據反饋的判定結果決定是否對該程序行為進行攔截、終止執行該程序和/或清理該程序，恢復系統環境。本發明引入雲安全架構並基於主動防禦使用行為特徵進行惡意程序查殺，保證了網絡安全。
文檔編號H04L29/06GK101924762SQ201010256989
公開日2010年12月22日 申請日期2010年8月18日 優先權日2010年8月18日
發明者餘和, 周鴻禕, 範紀鍠, 鄭文彬 申請人:奇智軟體(北京)有限公司