[发明专利]一种云端“协同式”恶意检测引擎识别方法

摘要

一种云端“协同式”恶意检测引擎识别方法，通过云端随机选择若干异构检测引擎并行检测客户端上传的可疑文件，将检测结果相同的检测引擎划分为同一结果组，依次计算各结果组的组权重并与预设门限值t比对，若大于或等于t则将该结果组作为优胜组，否则从云端取出一个“新”检测引擎继续扫描上传文件并重新计算各结果组组权重，直至产生优胜组为止，分别计算优胜组外可疑检测引擎的错误率，并与恶意检测引擎的判断标准预设门限值比对，若超过则判定为恶意检测引擎。本发明不仅保障了云端恶意程序判断的可靠性和准确性，还能高效地识别云端非“协同式”和“协同式”两类恶意检测引擎。

主权项

1.一种云端“协同式”恶意检测引擎识别方法，其特征在于，该方法包含以下步骤：步骤1、云端多个异构检测引擎并行检测用户端上传的可疑文件；所述的云端有n(n≥2)个异构检测引擎；所述的多个异构检测引擎是从云端随机抽取的r（2≤r≤n）个可用检测引擎；步骤2、根据文件检测结果将云端检测引擎划分为结果组，即检测结果相同的检测引擎划分为一组；步骤3、根据检测引擎的权重计算每个结果组的组权重；所述的权重指的是该检测引擎返回正确检测结果的次数与返回结果的总次数的比例；所述的组权重指的是该结果组内检测引擎的权重和与所有取出的检测引擎的权重和的比例；步骤4、将每个结果组的组权重与预设权重门限值t比对，判断结果组的组权重是否大于或等于预设权重门限值t，若是，则转到步骤6，若否，这转到步骤5；所述的预设门限值t为云端恶意检测结果被接受的最低标准；步骤5、从云端取出一个未参与过该文件检测的检测引擎，对可疑文件重新检测，然后转到步骤3，将检测结果加入到结果组中并重新计算组权重；步骤6、若某个组的组权重达到t，则将该结果组作为优胜组，优胜组的综合判断结果即为可疑文件的云端综合判断结果；步骤7、更新优胜组内所有检测引擎的权重；步骤8、计算非优胜组内所有检测引擎的错误率；所述的错误率为检测引擎返回错误检测结果的次数与返回结果的总次数的比例；步骤9、判断步骤8中得到的检测引擎的错误率是否大于恶意检测引擎判断的门限值，若大于，则判定该检测引擎为恶意检测引擎，若不大于，则判定该检测引擎为正常检测引擎；所述的恶意检测引擎判断的门限值为云端恶意检测引擎的最低错误率。