[发明专利]一种恶意文件云环境下跨平台检测方法及系统

权利要求书

1.一种恶意文件云环境下跨平台检测方法，其步骤包括：

1）采集原始可疑恶意文件并存储在云环境下的分布式存储集群中，隔离所述恶意文件；

2）制作所述恶意文件的文件副本，对每个所述恶意文件的副本进行文件后缀名的格式识别，将识别后的恶意文件副本上传到WEB端；

3）根据不同操作系统类型只从所述WEB端下载所述恶意文件副本到各自的系统对应的安全沙盒虚拟机中，进行恶意文件特征和/或运行行为检测；

4）将所述安全沙盒虚拟机中对恶意文件检测结果提交并汇总，与原始恶意文件进行关联后检测出跨平台的恶意文件。

2.如权利要求1所述的恶意文件云环境下跨平台检测方法，其特征在于，所述文件后缀名的格式识别为以下的一种或者多种：

对每个恶意文件的副本中可识别的后缀名进行识别；

对每个恶意文件的副本中不可识别的后缀名补充或者纠正文件扩展名；

对每个恶意文件的副本中按照典型文件后缀补充多种副本。

3.如权利要求1所述的恶意文件云环境下跨平台检测方法，其特征在于，采集原始可疑恶意文件的方法如下：

1）自动批量收集或手动上传的恶意文件，获取最原始的可以恶意文件；

2）将恶意文件以二进制形式平均拆分成N份，其中N>=1；

3）将所述N份子文件分别分开存放在云环境的分布式存储区中，设置文件权限为只读，禁止其运行；

4）对于拆分的恶意文件及子文件建立文件索引。

4.如权利要求1或3所述的恶意文件云环境下跨平台检测方法，其特征在于，所述恶意文件的副本制作方法为：

1)从文件索引中提取第一分块，分析文件头的格式信息；

2)如果有效识别出文件格式，从文件索引处提取并重组文件，将后缀名补充；

3）如果原文件格式与后缀名不一致，对原有错误后缀名进行校正；若果原文件格式有多种疑似，则生成所有可能的副本；

4)若不能有效识别文件格式，则生成预先设定的全部文件格式多副本；

5)生成加密压缩副本，发送并进行发布。

5.如权利要求4所述的恶意文件云环境下跨平台检测方法，其特征在于，步骤5）中生成加密压缩副本同时标注文件信息及预期验证环境。

6.如权利要求5所述的恶意文件云环境下跨平台检测方法，其特征在于，根据文件类型及预期验证环境，对每个副本生成一个以本作为下载附件的WEB下载链。

7.如权利要求1-4任意一项所述的恶意文件云环境下跨平台检测方法，其特征在于，恶意文件后缀名包括windows、linux/unix、Mac OS、IOS、Android典型操作系统上的典型文件：脚本文件、文本文件、库文件、可执行程序文件。

8.如权利要求1-4任意一项所述的恶意文件云环境下跨平台检测方法，其特征在于，恶意文件后缀名包括可增加或变更的：.asp、.php、.jsp、.py、.pl、.sh、.exe、.txt、.jpg、.apk、.dll、.so后缀类型。

9.一种恶意文件云环境下跨平台检测系统，包括B/S结构用户接口、恶意文件管理中心服务器、分布式存储服务器群、恶意文件分发WEB服务器以及虚拟安全沙盒集群，其特征在于，还包括恶意文件采集模块、恶意文件格式校验模块、检测副本WEB下载模块以及多平台检测分析结果汇总模块，

所述恶意文件采集模块，在B/S结构用户接口用于采集原始可疑恶意文件并存储在云环境下的分布式存储服务器群中，隔离所述恶意文件；

所述恶意文件格式校验模块，用于制作所述恶意文件的文件副本，对每个所述恶意文件的副本进行文件后缀名的格式识别，将识别后的恶意文件副本上传到WEB端的恶意文件分发WEB服务器；

所述恶意文件检测副本WEB下载模块，根据不同操作系统类型只从所述WEB端下载所述恶意文件副本到各自的系统对应的安全沙盒虚拟机集群中，提供恶意文件特征和/或运行行为检测；

所述多平台检测分析结果汇总模块，用于将所述安全沙盒虚拟机中对恶意文件检测结果提交并汇总，与原始恶意文件进行关联后检测出跨平台的恶意文件。

10.如权利要求9所述的恶意文件云环境下跨平台检测系统，其特征在于，所述恶意文件副本在安全沙盒虚拟机集群中进行并行检测；用户可以将整个网站的所有页面文件或其它多文件软件一次上传，批量处理后，一次性得到检测结果。