[发明专利]一种云端恶意检测引擎识别方法

权利要求书

1.一种云端恶意检测引擎识别方法，其特征在于，该方法包含以下步骤：

步骤1、云端多个异构检测引擎并行检测用户端上传的可疑文件；

步骤2、根据文件检测结果将云端检测引擎划分为结果组，即检测结果相同的检测引擎划分为一组；

步骤3、按少数服从多数的投票策略取组内元素最多的组作为最佳结果组；

步骤4、根据Dempster-Shafer理论融合最佳结果组的各检测结果，并将生成结果作为该文件的最终判定结果；

步骤5、计算除了最佳结果组以外的检测引擎的恶意距；

所述的恶意距为最佳结果组外检测引擎的检测结果与综合判定结果的差距；

步骤6、将步骤5得到的最佳结果组外检测引擎的恶意距依次与预设门限值比对，若大于预设门限值，则判定该检测引擎为恶意检测引擎，否则为正常检测引擎。

2.如权利要求1所述的一种云端恶意检测引擎识别方法，其特征在于，所述的云端由两种以上异构检测引擎构成。

3.如权利要求2所述的一种云端恶意检测引擎识别方法，其特征在于，所述的恶意检测引擎数量小于云端检测引擎总数的一半。

4.如权利要求3所述的一种云端恶意检测引擎识别方法，其特征在于，所述的恶意检测引擎报告错误的检测结果，所述的非恶意检测引擎报告正确的检测结果。

5.如权利要求4所述的一种云端恶意检测引擎识别方法，其特征在于，所述的恶意检测引擎并无“协同式“或“勾结式”攻击特征，而是攻击行为相对独立的个体。

6.如权利要求1所述的一种云端恶意检测引擎识别方法，其特征在于，所述步骤4中，Dempster-Shafer融合理论中，

设                                               是一个识别框架，在识别框架上的基本概率分配BPA(Basic Probability Assignment的简称)是一个的函数，并且满足：

对于，识别框架上的有限个函数,,的Dempster合成规则为：

其中，其融合的结果表明经过个检测引擎对识别框架中结果为的概率。

7.如权利要求1所述的一种云端恶意检测引擎识别方法，其特征在于，所述的步骤5中，用差的绝对值或余弦相似度来计算恶意距。