公开/公告号CN103902894A
专利类型发明专利
公开/公告日2014-07-02
原文格式PDF
申请/专利号CN201210568110.9
申请日2012-12-24
分类号G06F21/56(20130101);
代理机构44100 广州新诺专利商标事务所有限公司;
代理人张奇洲;华辉
地址 519015 广东省珠海市吉大景山路莲山巷8号
入库时间 2023-12-17 00:01:10
法律状态公告日
法律状态信息
法律状态
2019-12-20
专利权的转移 IPC(主分类):G06F21/56 登记生效日:20191202 变更前: 变更后: 变更前:
专利申请权、专利权的转移
2018-09-25
专利权人的姓名或者名称、地址的变更 IPC(主分类):G06F21/56 变更前: 变更后: 变更前: 变更后: 申请日:20121224
专利权人的姓名或者名称、地址的变更
2017-12-22
授权
授权
2014-07-30
实质审查的生效 IPC(主分类):G06F21/56 申请日:20121224
实质审查的生效
2014-07-02
公开
公开
技术领域
本发明属于病毒防御技术领域,具体涉及一种基于用户行为差异化的病毒防御方法及系统。
背景技术
编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码被称为计算机病毒(Computer Virus)。它具有破坏性,复制性和传染性。
现有的病毒防御方法仅仅是基于文件内容和行为的判定方法,其大致是:
1、客户端根据病毒数据库进行扫描,以鉴别病毒文件和安全文件;
2、针对客户端无法鉴别的灰文件,上传至云端服务器;
3、云端服务器基于文件内容和行为进行鉴定,并将鉴定结果反馈给客户端;
4、客户端按照反馈结果采取对应的防御措施。
申请人通过研究发现,现有的病毒制作者为了绕过上述防御系统,采用了一种伪装的方法,如盗号软件伪装成刷Q币软件,目前这种单一维度(仅仅基于文件内容和行为)的判断方法,很难对新出现的灰文件进行快速鉴定。
发明内容
针对现有病毒系统很难鉴定的灰文件,本发明的目的在于提供一种快速鉴定此类文件的基于用户行为差异化的病毒防御方法及系统。
通过申请人研究发现,通常情况下经常浏览色情网站和下载外挂等非正常浏览行为用户中毒频率就较高,可能三两天中一次毒,我们称之为危险客户端;然而,正常浏览常规网站的中毒频率相对就较低,可能几个月才中一次毒。当该灰文件主要集中在高频率中毒的客户端时,是病毒的可能性较高,反之该灰文件主要集中在中毒频率较低的客户端时,是病毒的可能性较低。所谓的中毒频率就是平均多少天中一次毒,比如:平均3天中一次病毒,则中毒频率为3天每次,又比如:平均每天中毒4次,则其中毒频率为1/4天每次,即是平均每次中毒之间的间隔越小,表明中毒频率越高,反之则越低。
通过申请人研究还发现,一般情况下一个文件如果在大多数用户都出现时,那么该文件是病毒的可能性相对较小,一个文件如果在少数用户中出现,为病毒文件的概率就相对更高,也即是该文件的分布广度。该灰文件的分布越广为病毒的概率越小,因为同一病毒感染用户的数量相对比所有用户的量应该是极少数的。
通过申请人研究还发现,一般情况下其执行行为和病毒行为相似度越高,是病毒的可能性就越大,比如:修改系统参数、上传客户资料等等。虽然它们与病毒行为相似,但它也不一定就是病毒,比如游戏外挂,它就会修改游戏参数等,显然不能将其当作病毒,正是因为这点病毒就经常利用他们来迷惑用户,进而逃过查杀。
为了实现上述发明目的,基于上述研究发现,得到了以下技术方案:
一种基于用户行为差异化的病毒防御方法,用于鉴别现有病毒防御系统很难鉴别的灰文件,包括以下步骤:
获取包含有所述灰文件的危险客户端与包含有该灰文件的所有客户端的第一比值,所述危险客户端为中毒频率超过预设阈值的客户端;
根据包含有所述灰文件的客户端和云系统中包含的所有客户端数量,获取表示该灰文件分布广度的第二比值;
获取所述灰文件的执行行为与预设病毒行为相似度的第三比值;
根据所述第一比值、第二比值、以及第三比值三者的预设权重,加权获得该灰文件的危险指数;
根据所述危险指数与预设的危险指数阈值大小关系判定该灰文件的安全性质。
进一步的,根据所述危险指数与预设的危险指数阈值大小关系判定该灰文件的安全性质,具体是:
所述危险指数大于等于所述预设的危险指数阈值时,判定为病毒文件;
所述危险指数小于所述预设的危险指数阈值时,判定为安全文件。
进一步的,所述中毒频率预设的阈值为4天每次。
进一步的,所述第一比值预设的权重为20分,所述第二比值预设的权重为10分,所述第三比值预设的权重为70分,所述预设的危险指数阈值为70分。
进一步的,根据包含有所述灰文件的客户端和云系统中包含的所有客户端数量,获取表示该灰文件分布广度的第二比值,具体是:获取包含有该灰文件的客户端数与所有数客户端的比值,并将所述广度比值与预设的广度阈值范围进行比较以获取所述广度阈值范围对应的预设的第二比值。
一种基于用户行为差异化的病毒防御系统,用于鉴别现有病毒防御系统很难鉴别的灰文件,包括以下模块:
第一比值获取模块,获取包含有所述灰文件的危险客户端与包含有该灰文件的所有客户端的第一比值,所述危险客户端为中毒频率超过预设阈值的客户端;
第二比值获取模块,根据包含有所述灰文件的客户端和云系统中包含的所有客户端数量,获取表示该灰文件分布广度的第二比值;
第三比值获取模块,获取所述灰文件的执行行为与预设病毒行为相似度的第三比值;
危险指数获取模块,根据所述第一比值、第二比值、以及第三比值三者的预设权重,加权获得该灰文件的危险指数;
安全性质判定模块,根据所述危险指数与预设的危险指数阈值大小关系判定该灰文件的安全性质。
进一步的,所述安全性质判定模块根据所述危险指数与预设的危险指数阈值大小关系判定该灰文件的安全性质,具体是:
所述危险指数大于等于所述预设的危险指数阈值时,判定为病毒文件;
所述危险指数小于所述预设的危险指数阈值时,判定为安全文件。
进一步的,所述中毒频率预设的阈值为4天每次。
进一步的,所述第一比值预设的权重为20分,所述第二比值预设的权重为10分,所述第三比值预设的权重为70分,所述预设的危险指数阈值为70分。
进一步的,所述第二比值获取模块根据包含有所述灰文件的客户端和云系统中包含的所有客户端数量,获取表示该灰文件分布广度的第二比值,具体是:获取包含有该灰文件的客户端数与所有数客户端的比值,并将所述广度比值与预设的广度阈值范围进行比较以获取所述广度阈值范围对应的预设的第二比值。
本发明从该灰文件在危险客户端中出现概率(第一比值)、该灰文件的分布广度(第二比值)、以及该文件与病毒行为相似度的第三比值三个维度出发,根据它们的各自的情况设置一定的权重,从而加权获得该灰文件的危险指数,并据所述危险指数与预设的危险指数阈值大小关系判定该灰文件的安全性质。
因此,本发明相对现有技术判断灰文件的维度更加贴近病毒出现的情况,进而能够更加快速和准确的判定灰文件的安全性质。
附图说明
此附图说明所提供的图片用来辅助对本发明的进一步理解,构成本申请的一部分,并不构成对本发明的不当限定,在附图中:
图1是本发明方法对应的流程图;
图2是本发明系统对应的框图。
具体实施方式
如图1所示,本实施例公开了一种基于用户行为差异化的病毒防御方法,用于鉴别现有病毒防御系统很难鉴别的灰文件,包括以下步骤:
Step1:获取包含有所述灰文件的危险客户端与包含有该灰文件的所有客户端的第一比值,所述危险客户端为中毒频率超过预设阈值的客户端;本步骤具体实施时,需要云端服务器统计各客户端的每次中毒数据,将其分为危险客户端和一般客户端,其中危险客户端预设的中毒频率阈值为4天每次,即是平均小于等于4天就中毒一次的客户为危险客户端,其具体可以根据现有病毒防御系统病毒扫描统计数据获得;
Step2:根据包含有所述灰文件的客户端和云系统中包含的所有客户端数量,获取表示该灰文件分布广度的第二比值,具体可以是:获取包含有该灰文件的客户端数与所有数客户端的比值,并将所述广度比值与预设的广度阈值范围进行比较以获取所述广度阈值范围对应的预设的第二比值;由于灰文件是经过现有病毒防御系统检测后无法识别的文件,该文件已经通过现有病毒防御系统进行了检测,那么利用现有病毒防御系统就可以快速的收集和统计包含有该灰文件的客户端数目,至于所有客户端的数量就等于该病毒防御系统的所有用户量,那么就可以很快得到所述广度比值;其中,所述预设的广度阈值范围和与其对应的预设的第二比值,意思就是将广度比值分段给予不同的比值,比如:广度比值在:1%到100%之间预设的第二比值为10%、千分之一到百分之一之间预设第二比值为30%、万分之一到千分之一之间预设的比值为50%、十万分之一到万分之一之间预设的比值为70%、百万分之一到十万分之一之间为90%、小于百万分之一则为100%;
Step3:获取所述灰文件的执行行为与预设病毒行为相似度的第三比值,具体可以是在预设一系列病毒行为比如:修改系统某个参数、上传某项数据等等,该灰文件的所有执行行为包括第一行为、第二行为、第三行为,如果其中第一和第二行为就为预设的病毒行为,那么其相似度为三分之二;如果第一至三行为都为预设的病毒行为,那么其相似度就为百分之百;
Step4:根据所述第一比值、第二比值、以及第三比值三者的预设权重,加权获得该灰文件的危险指数,其中所述第一比值预设的权重为20分,所述第二比值预设的权重为10分,所述第三比值预设的权重为70分;所谓的加权就是用各自的比重乘以各自的比值相加;比如:第一比值为A,第二比值为B,第三比值为C,则危险指数=30%A+20%B+50%C;
Step5:根据所述危险指数与预设的危险指数阈值大小关系判定该灰文件的安全性质,所述预设的危险指数阈值为70分,具体是:所述危险指数大于等于70分时,判定为病毒文件;所述危险指数小于70分时,判定为安全文件。
本实施例还公开了一种基于用户行为差异化的病毒防御系统,用于鉴别现有病毒防御系统很难鉴别的灰文件,包括以下模块:
第一比值获取模块1,获取包含有所述灰文件的危险客户端与包含有该灰文件的所有客户端的第一比值,所述危险客户端为中毒频率超过预设阈值的客户端,所述中毒频率预设的阈值为4天每次;
第二比值获取模块2,根据包含有所述灰文件的客户端和云系统中包含的所有客户端数量,获取表示该灰文件分布广度的第二比值,具体可以是:获取包含有该灰文件的客户端数与所有数客户端的比值,并将所述广度比值与预设的广度阈值范围进行比较以获取所述广度阈值范围对应的预设的第二比值;
第三比值获取模块3,获取所述灰文件的执行行为与预设病毒行为相似度的第三比值;
危险指数获取模块4,根据所述第一比值、第二比值、以及第三比值三者的预设权重,加权获得该灰文件的危险指数;其中,所述第一比值预设的权重为20分,所述第二比值预设的权重为10分,所述第三比值预设的权重为70分;
安全性质判定模块5,根据所述危险指数与预设的危险指数阈值大小关系判定该灰文件的安全性质,具体是:所述危险指数大于等于所述预设的危险指数阈值时,判定为病毒文件;所述危险指数小于所述预设的危险指数阈值时,判定为安全文件;其中,所述预设的危险指数阈值为70分。
根据上述方法和系统,再进一步举例说明:
比如:包含有所述灰文件的危险客户端X=980,包含有该灰文件的所有客户端Y=20,总共的客户端为100万,该灰度文件的5个执行行为中的4个为预设的病毒行为;
那么,第一比值=980/1000=98%,第二比值=50%(20/100万=十分分之二,位于万分之一到千分之一之间,则其预设的比值为50%),第三比值=4/5=80%;
那么,危险指数=30*98%+20*50%+50*80%=29.4+10+40=89.4;
由于,89.4大于预设的危险指数阈值,则判定该灰文件为病毒文件。
需要说明的是,本实施例所列举的一些数据,并不代表对本发明的任何限制,具体实施时还可以根据病毒样本的分析或者病毒的发展,设定不同的数值,但是所有根据本发明方法按照这三个维度去判定灰文件性质的做法都是本发明的保护范围。
以上详细描述了本发明的较佳具体实施例,应当理解,本领域的普通技术无需创造性劳动就可以根据本发明的构思做出诸多修改和变化。因此,凡本技术领域中技术人员依本发明构思在现有技术基础上通过逻辑分析、推理或者根据有限的实验可以得到的技术方案,均应该在由本权利要求书所确定的保护范围之中。
机译: 在基于位置的社交网络服务中输入有关用户情绪和行为的信息的系统和方法,以及基于位置的关于用户情绪和行为的信息的方法
机译: 基于用户行为自适应控制用户行为的系统和方法
机译: 基于用户行为自适应控制用户行为的系统和方法
