[发明专利]基于判定策略前置的反病毒引擎检测方法及系统

说明书

本发明提出一种基于判定策略前置的反病毒引擎检测方法及系统：反病毒引擎向终端输出全部向量检测规则；用户根据终端系统需求，选择相应向量检测规则建立防御配置策略；生成用户向量检测规则；获取待检测文件；基于用户向量检测规则，检测待检测文件；判断是否存在威胁，如果是，则对用户进行告警；否则所述待检测文件无威胁。本发明还给出相应系统及存储介质技术方案。通过本发明的方法，能够增加检测和防御结果的不确定性，可以有效应对攻击者的攻击尝试，增加用户针对自身环境特点的防御能力。用户由被动防御方案的接受者，转变为主动进行防御方案定制，使得反病毒引擎判定策略由厂商判定转变为厂商和用户共同判定。

技术领域

本发明涉及计算机网络安全技术领域，特别涉及一种基于判定策略前置的反病毒引擎检测方法及系统。

背景技术

传统的反病毒厂商通常将检测判定策略置于后端平台或者特征库中，通常仅会输出判定的结果，用户侧的检测结果是确定性的，即检测结果对于所有用户是一致的，用户很难根据自身环境特点和敏感等级进行调整。由于攻击者和防御者的资源不对等，攻击者会相对容易获得防御者的检测引擎，并进行修改和测试，直到不再对所发出的攻击进行告警，进而在用户侧也不会产生告警，从而逃避检测。

发明内容

基于上述问题，本发明提出了一种基于判定策略前置的反病毒引擎检测方法及系统，利用将检测规则前置到用户侧，由用户来制定检测规则，有效解决攻击不确定性的问题。

一种基于判定策略前置的反病毒引擎检测方法，包括：

反病毒引擎向终端输出全部向量检测规则；

用户根据终端系统需求，选择相应向量检测规则建立防御配置策略；

生成用户向量检测规则；

获取待检测文件；

基于用户向量检测规则，检测待检测文件；

判断是否存在威胁，如果是，则对用户进行告警；否则所述待检测文件无威胁。

所述的方法中，所述向量检测规则包括：加密算法、壳信息、混淆、反虚拟机及动态拼接字符串行为。

所述的方法中，所述终端系统需求包括：终端配置、敏感等级及防御目标。

所述的方法中，所述基于用户向量检测规则，检测待检测文件，具体为：对待检测文件进行全向量提取，将所提取的全向量基于用户向量检测规则进行检测。

一种基于判定策略前置的反病毒引擎检测系统，包括：

检测规则输出模块，反病毒引擎向终端输出全部向量检测规则；

检测规则配置模块，用户根据终端系统需求，选择相应向量检测规则建立防御配置策略；

规则生成模块，生成用户向量检测规则；

获取模块，获取待检测文件；

检测模块，基于用户向量检测规则，检测待检测文件；并判断是否存在威胁，如果是，则对用户进行告警；否则所述待检测文件无威胁。

所述的系统中，所述向量检测规则包括：加密算法、壳信息、混淆、反虚拟机及动态拼接字符串行为。

所述的系统中，所述终端系统需求包括：终端配置、敏感等级及防御目标。

所述的系统中，所述基于用户向量检测规则，检测待检测文件，具体为：对待检测文件进行全向量提取，将所提取的全向量基于用户向量检测规则进行检测。

本发明还提出一种非临时性计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现如上所述的任一基于判定策略前置的反病毒引擎检测方法。