[发明专利]基于模糊哈希算法的恶意代码检测系统及方法

权利要求书

1.一种基于模糊哈希算法的恶意代码检测系统，包括客户端和云端服务器，其特征在于，

所述客户端用于计算待检测对象的模糊哈希值，并传输给云端服务器，等待云端服务器返回判定结果，认为所述待检测对象是恶意代码或者认为所述待检测对象不是恶意代码或者认为所述待检测对象需要进一步判断；如果所述判定结果是认为所述待检测对象需要进一步判断，则所述客户端将所述待检测对象上传至云端服务器，并等待云端服务器再次返回所述待检测对象是否为恶意代码的判定结果；

所述云端服务器包括黑名单服务器、白名单服务器、检测服务器和深度分析服务器；

所述黑名单服务器用于存储已知恶意代码的模糊哈希值；

所述白名单服务器用于存储已知不是恶意代码的普通文件的模糊哈希值；

所述检测服务器用于接收客户端传来的模糊哈希值，分别与所述白名单服务器和所述黑名单服务器中存储的模糊哈希值进行比较，将比较得到的模糊哈希值的相似度依照判定策略形成判定结果发送给客户端；

所述深度分析服务器用于接收客户端传来的需要进一步判断的待检测对象，采用传统的云查杀技术进行检测，判断所述待检测对象是否为恶意代码，并将判定结果发给客户端。

2.如权利要求1所述的基于模糊哈希算法的恶意代码检测系统，其特征在于，所述待检测对象包括文件、内存、网页、网络数据包。

3.如权利要求1所述的基于模糊哈希算法的恶意代码检测系统，其特征在于，所述检测服务器用于接收客户端传来的模糊哈希值，分别与所述白名单服务器和所述黑名单服务器中存储的模糊哈希值进行比较，采用模糊哈希算法中的比较方法进行比较。

4.如权利要求1所述的基于模糊哈希算法的恶意代码检测系统，其特征在于，所述判定策略包括：如果白名单服务器中存在任何一个模糊哈希值与所述待检测对象的模糊哈希值的相似度超过白名单阈值，则认为所述待检测对象不是恶意代码；否则，如果黑名单服务器中存在任何一个模糊哈希值与所述待检测对象的模糊哈希值的相似度超过黑名单阈值，则认为所述待检测对象是恶意代码；否则，认为所述待检测对象需要进一步判断。

5.如权利要求4所述的基于模糊哈希算法的恶意代码检测系统，其特征在于，所述白名单阈值和黑名单阈值是预先设定或者在系统运行过程中根据统计数据实时调整的白名单阈值和黑名单阈值。

6.一种基于模糊哈希算法的恶意代码检测方法，其特征在于，适用于权利要求1所述的系统，所述方法包括：

客户端获得待检测对象，计算所述待检测对象的模糊哈希值并发送给云端的检测服务器；

客户端接收云端的检测服务器返回的判定结果，如果所述判定结果是认为所述待检测对象是恶意代码或者认为所述待检测对象不是恶意代码，则输出所述判定结果；

否则，如果所述判定结果是认为所述待检测对象需要进一步判断，则将所述待检测对象上传至云端的深度分析服务器；

接收并输出云端的深度分析服务器传回的所述待检测对象的检测结果。

7.如权利要求6所述的基于模糊哈希算法的恶意代码检测方法，其特征在于，采用开源工具ssdeep中实现的模糊哈希算法计算所述待检测对象的模糊哈希值。

8.一种基于模糊哈希算法的恶意代码检测方法，其特征在于，适用于权利要求1所述的系统，所述方法包括：

检测服务器接收客户端传来的模糊哈希值；

遍历白名单服务器中存储的所有模糊哈希值，分别与客户端传来的模糊哈希值进行比较，记录下所有得到的相似度；

如果所有得到的相似度中有一个或一个以上超过预先设定的白名单阈值，则向客户端发回认为待检测对象不是恶意代码的判定结果；

遍历黑名单服务器中存储的所有模糊哈希值，分别与客户端传来的模糊哈希值进行比较，记录下所有得到的相似度；

如果所有得到的相似度中有一个或一个以上超过预先设定的黑名单阈值，则向客户端软件发回认为待检测对象是恶意代码的判定结果；

否则，向客户端发回认为待检测对象需要进一步判断的判定结果。

9.一种基于模糊哈希算法的恶意代码检测方法，其特征在于，适用于权利要求1所述的系统，所述方法包括：

深度分析服务器从客户端接收需要进一步判断的待检测对象；

调用现有的对完整检测对象进行云查杀的技术，对所述待检测对象做进一步分析和判断；

得出认为检测对象是恶意代码或认为检测对象不是恶意代码的判定结果，并将所述判断结果发回给客户端。