[发明专利]基于用户行为差异化的病毒防御方法及系统

说明书

技术领域

本发明属于病毒防御技术领域，具体涉及一种基于用户行为差异化的病毒防御方法及系统。

背景技术

编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码被称为计算机病毒（Computer Virus）。它具有破坏性，复制性和传染性。

现有的病毒防御方法仅仅是基于文件内容和行为的判定方法，其大致是：

1、客户端根据病毒数据库进行扫描，以鉴别病毒文件和安全文件；

2、针对客户端无法鉴别的灰文件，上传至云端服务器；

3、云端服务器基于文件内容和行为进行鉴定，并将鉴定结果反馈给客户端；

4、客户端按照反馈结果采取对应的防御措施。

申请人通过研究发现，现有的病毒制作者为了绕过上述防御系统，采用了一种伪装的方法，如盗号软件伪装成刷Q币软件，目前这种单一维度（仅仅基于文件内容和行为）的判断方法，很难对新出现的灰文件进行快速鉴定。

发明内容

针对现有病毒系统很难鉴定的灰文件，本发明的目的在于提供一种快速鉴定此类文件的基于用户行为差异化的病毒防御方法及系统。

通过申请人研究发现，通常情况下经常浏览色情网站和下载外挂等非正常浏览行为用户中毒频率就较高，可能三两天中一次毒，我们称之为危险客户端；然而，正常浏览常规网站的中毒频率相对就较低，可能几个月才中一次毒。当该灰文件主要集中在高频率中毒的客户端时，是病毒的可能性较高，反之该灰文件主要集中在中毒频率较低的客户端时，是病毒的可能性较低。所谓的中毒频率就是平均多少天中一次毒，比如：平均3天中一次病毒，则中毒频率为3天每次，又比如：平均每天中毒4次，则其中毒频率为1/4天每次，即是平均每次中毒之间的间隔越小，表明中毒频率越高，反之则越低。

通过申请人研究还发现，一般情况下一个文件如果在大多数用户都出现时，那么该文件是病毒的可能性相对较小，一个文件如果在少数用户中出现，为病毒文件的概率就相对更高，也即是该文件的分布广度。该灰文件的分布越广为病毒的概率越小，因为同一病毒感染用户的数量相对比所有用户的量应该是极少数的。

通过申请人研究还发现，一般情况下其执行行为和病毒行为相似度越高，是病毒的可能性就越大，比如：修改系统参数、上传客户资料等等。虽然它们与病毒行为相似，但它也不一定就是病毒，比如游戏外挂，它就会修改游戏参数等，显然不能将其当作病毒，正是因为这点病毒就经常利用他们来迷惑用户，进而逃过查杀。

为了实现上述发明目的，基于上述研究发现，得到了以下技术方案：

一种基于用户行为差异化的病毒防御方法，用于鉴别现有病毒防御系统很难鉴别的灰文件，包括以下步骤：

获取包含有所述灰文件的危险客户端与包含有该灰文件的所有客户端的第一比值，所述危险客户端为中毒频率超过预设阈值的客户端；

根据包含有所述灰文件的客户端和云系统中包含的所有客户端数量，获取表示该灰文件分布广度的第二比值；

获取所述灰文件的执行行为与预设病毒行为相似度的第三比值；

根据所述第一比值、第二比值、以及第三比值三者的预设权重，加权获得该灰文件的危险指数；

根据所述危险指数与预设的危险指数阈值大小关系判定该灰文件的安全性质。

进一步的，根据所述危险指数与预设的危险指数阈值大小关系判定该灰文件的安全性质，具体是：

所述危险指数大于等于所述预设的危险指数阈值时，判定为病毒文件；

所述危险指数小于所述预设的危险指数阈值时，判定为安全文件。

进一步的，所述中毒频率预设的阈值为4天每次。

进一步的，所述第一比值预设的权重为20分，所述第二比值预设的权重为10分，所述第三比值预设的权重为70分，所述预设的危险指数阈值为70分。

进一步的，根据包含有所述灰文件的客户端和云系统中包含的所有客户端数量，获取表示该灰文件分布广度的第二比值，具体是：获取包含有该灰文件的客户端数与所有数客户端的比值，并将所述广度比值与预设的广度阈值范围进行比较以获取所述广度阈值范围对应的预设的第二比值。

一种基于用户行为差异化的病毒防御系统，用于鉴别现有病毒防御系统很难鉴别的灰文件，包括以下模块：

第一比值获取模块，获取包含有所述灰文件的危险客户端与包含有该灰文件的所有客户端的第一比值，所述危险客户端为中毒频率超过预设阈值的客户端；