[发明专利]一种云端恶意检测引擎识别方法

说明书

技术领域

本发明涉及一种云端恶意检测引擎识别方法。

背景技术

随着云计算的发展，利用云安全进行恶意程序分析、判断和决策是恶意程序防治的一个必然趋势。而云安全本质上就是杀毒软件的网络化，即将恶意程序判断工作转移至云端服务器，把客户端作为病毒收集器，从而实现新病毒的快速响应。然而由于现有商业模式的限制，360、趋势等公司推出的“云杀毒”产品的云端由多个单一类型的检测引擎构成，这在一定程度上提升了恶意程序的检测速度，但并不能提高检测的范围和精度。

为了解决这个问题，异构检测引擎构成的云安全技术路线应运而生。安全厂商在云端部署多个异构检测引擎，当用户进行系统访问时，客户端进行拦截并上传至云端，由云端综合检测后向用户端反馈结果。为了提高系统运行的效率，可以在本地和云端分别建立检测结果数据库，避免相同威胁的重复检测。

异构检测引擎构成的云安全相比单一类型检测引擎构成的云安全优势体现在以下几个方面：

1、丰富了恶意程序判断的技术手段。不同的检测引擎对恶意程序认识的侧重点不同，决定了其采用技术手段的差异性，因而将云端单一类型恶意检测技术升级为多重保护。

2、扩大了恶意程序的识别范围。单一类型检测引擎可能对某种类型的恶意程序检测十分有效，但是对于其它类型的恶意程序可能存在缺陷。如果云端采用多个单一类型的检测引擎将会存在一定的限制。异构检测引擎构成的云安全保证了云端检测引擎的多样性，从而提高了恶意程序检测的覆盖面。

3、解决了单点失效(single failure)问题。如果云端采用单一类型的多个检测引擎，一旦因为某种人为或非人为因素干扰造成该种类型的检测引擎失效，将直接导致整个云端检测系统的瘫痪。而异构检测引擎构成的云安全则避免了单点失效风险，即便某种类型的检测引擎因故失效，云端仍然有其它多种选择。理论上多个异构检测引擎同时失效为小概率事件，基本上不会发生。

4、提高了恶意程序判断的可靠性和准确性。异构检测引擎对恶意程序判定的结果存在差异性，为云端提供了多个参考依据，提高了恶意程序判定的可靠性；另一方面，不同的检测引擎其准确率也不同，云端可采用综合判断算法提高恶意程序判定的准确性。

实际上，融合多种异构检测引擎的恶意程序判断方案本质上综合了多种恶意检测技术的优势，因而其检测的覆盖面和精度都比单一类型检测引擎高。但多引擎综合优势体现的前提是各检测引擎能够正常运行，其检测结果完全可靠。然而，检测引擎并不总是可靠的。美国国家漏洞数据库(National Vulnerability Database)披露了十种主流杀毒软件2005-2007年间的漏洞数量，结果显示各主流杀毒软件都存在不同程度的漏洞缺陷，并且高危漏洞所占比例最大。随着检测引擎功能越来越强大，其内部结构也日益复杂，检测引擎本身的漏洞更容易遭受到黑客的攻击，这直接影响到检测结果的正确性和整个云安全系统的可靠性。而如何应对受攻击的恶意检测引擎，还鲜有报道。

发明内容

本发明提供的一种云端恶意检测引擎识别方法，保障了云端恶意程序判断的可靠性，提高了云端恶意程序判断的准确性，能够高效地识别云端恶意检测引擎，具有广泛的实用性。

为了达到上述目的，本发明提供一种云端恶意检测引擎识别方法，该方法包含以下步骤：

步骤1、云端多个异构检测引擎并行检测用户端上传的可疑文件；

步骤2、根据文件检测结果将云端检测引擎划分为结果组，即检测结果相同的检测引擎划分为一组；

步骤3、按少数服从多数的投票策略取组内元素最多的组作为最佳结果组；

步骤4、根据Dempster-Shafer理论融合最佳结果组的各检测结果，并将生成结果作为该文件的最终判定结果；

步骤5、计算除了最佳结果组以外的检测引擎的恶意距；

所述的恶意距为最佳结果组外检测引擎的检测结果与综合判定结果的差距；

步骤6、将步骤5得到的最佳结果组外检测引擎的恶意距依次与预设门限值比对，若大于预设门限值，则判定该检测引擎为恶意检测引擎，否则为正常检测引擎。

所述的云端由两种以上异构检测引擎构成。

所述的恶意检测引擎数量小于云端检测引擎总数的一半。

所述的恶意检测引擎报告错误的检测结果，所述的非恶意检测引擎报告正确的检测结果。

所述的恶意检测引擎并无“协同式“或“勾结式”攻击特征，而是攻击行为相对独立的个体。

所述步骤4中，Dempster-Shafer融合理论中，