[发明专利]一种基于云计算的恶意代码识别方法

说明书

技术领域

本发明是一种基于云计算平台恶意代码识别的解决方案，主要解决当前恶意代码变异越来越快，靠传统的病毒库更新无法达到及时查杀等问题，属于病毒检测与防护领域。

背景技术

随着计算机技术的发展，尤其是计算机网络的飞速发展，恶意代码数量有着呈指数级增长的趋势。早期的恶意代码并没有采用过多的自我保护机制，都具有固定的特征码。因此,反病毒软件可以利用病毒特征码匹配很容易的检测出隐藏在系统中的病毒程序。但随着技术的发展，恶意代码纷纷采用自我保护技术对抗反病毒检测引擎。致使传统的基于特征码定位杀毒引擎准确率大幅下降。

云计算（cloud computing），是一种基于互联网的计算方式，通过这种方式，共享的软硬件资源和信息可以按需提供给计算机和其他设备。整个运行方式很像电网。云计算是继1980年代大型计算机到客户端-服务器的大转变之后的又一种巨变。用户不再需要了解“云”中基础设施的细节，不必具有相应的专业知识，也无需直接进行控制，用户只需要提交需求，云服务根据用户提交的数据计算出结果返回给用户。云计算通常涉及通过互联网来提供动态易扩展而且经常是虚拟化的资源。 

发明内容

技术问题：本发明的目的是提供一种基于云计算的恶意代码识别方法，需要解决的技术问题是，首先，当前的恶意代码变异速度加快，其依靠自身加密机制，通过不断变换加密密钥使得产生的代码主体相似度极低，而传统的基于特征码检测引擎没有办法识别，造成查杀率不断下降。其次，随着技术的发展，恶意代码中加入更多的自我保护技术，尤其对现行比较流行的虚拟机查杀机制展开对抗，使得在真实环境中很简单的代码在杀毒引擎的虚拟机里分析的过程变得异常复杂，最终达到无法识别的目的。这显然需要新的可行方案来解决当前环境下对恶意代码的识别，从而做到有效的防御。

技术方案：本发明的方法是一种策略性的方法，通过引入云计算服务解决对未知代码的识别问题，具体是通过以下方案来实现的：

一、体系结构

本方案的实现主要分为两部分应用：用户端应用和服务器端应用。服务器端应用：这里的服务器端应用泛指的是多个不同功能的服务器相互联接组成的服务器集群，对外表现为一个整体，相互配合共同完成相应功能，包括哈希匹配服务器、恶意代码检测服务器和特征行为提取服务器。客户端应用为一个功能简单的杀毒引擎，包括二进制特征码匹配引擎、行为特征匹配引擎、小型的二进制以及行为特征数据库和可疑代码提交系统。

下面我们给出几个具体部分的说明：

哈希匹配服务器：主要功能为根据客户端提交的代码的哈希值，在服务器的哈希值数据库中进行查找，并返回结果，从而对客户端代码执行识别。

恶意代码检测服务器：主要功能为对客户端提交的未知代码，通过服务器强大的计算能力，以及配合人工分析对其进行确定。

特征行为提取服务器：对确定的恶意代码行为进行分析，提取特征行为，并进行储存。

二进制特征码匹配引擎：用于对未知代码进行简单的二进制特征匹配。

行为特征匹配引擎：用于对未知代码进行深层次的行为特征匹配。

小型的二进制以及行为特征数据库：用于对常见的恶意代码进行快速识别。

可疑代码提交系统：对用户认为的可疑的未知代码提交给云服务器进行识别。

二、方法流程

本发明的一种基于云计算的恶意代码识别方法所包含的步骤为：

步骤1：用户通过网站或是其它形式下载安装客户端程序，并与服务器建立连接；

步骤2：当用户对某个未知代码检测时，首先由本机的二进制特征引擎进行快速检测；

步骤3：当二进制特征引擎没有检测出结果，待检测代码会提交给行为特征检测引擎做比较准确的检测；

步骤4：行为特征检测引擎没有得到检测结果时，客户端会计算出待检测代码的哈希值提交给哈希匹配服务器检测；

步骤5：哈希匹配服务器根据客户端提交的待检测代码哈希值在数据库中查找，给出最终的检测结果；

步骤6：用户向恶意代码检测服务器提交可疑文件进行检测；

步骤7：恶意代码检测服务器利用自身的强大的检测引擎，以及利用病毒分析专家人工检测的方式对用户提交的未知代码做准确的判断；