一种基于非文件特征维度的新计算机病毒监控系统及方法

摘要

本发明公开了一种基于非文件特征维度的新计算机病毒监控系统及方法，该新计算机病毒监控系统包括客户端探针、服务端累积数据库和服务端分析模块这三个部分，而该新计算机病毒监控方法包括以下步骤：S1.客户端探针收集计算机的变化信息；S2.服务端累积数据库对收集的信息进行累积和数据处理；S3.对服务端累积数据库处理后的数据进行分析和过滤，得到疑似新病毒爆发的数据。本发明收集的是计算机的变化信息，不需要收集到文件，也不依赖于文件内容，而是从新的非文件特征维度来监控新生计算机病毒，可以及时对新生病毒进行监控，具有快速和可靠性高的优点。本发明广泛应用于安全检测技术领域。

说明书

技术领域

本发明涉及安全检测技术领域，尤其是一种基于非文件特征维度的新计算机病毒监控系统及方法。

背景技术

众所周知，计算机病毒已经成为当今互联网安全的重要威胁。在互联网高速发展的同时计算机病毒也在高速发展：从早期的逃避杀毒软件到现在的直接底层对抗杀毒软件；从病毒文件内容不断免杀到现在直接堂而皇之地使用正规厂商的安全文件做加载器；从单一特征到现在自身变形；从轻巧的体积到现在的自膨胀对抗云安全的应用。病毒与安全的对抗，已经达到白热化的地步，所以如何能够第一时间监控到并且处理掉新生计算机病毒已经成为了当今互联网安全热衷的研究课题。

传统的新生计算机病毒监控，仍然是以文件内容维度作为单一特征监控，如果收集不到文件，就无法监控到计算机病毒；即便监控到新生病毒，但是收集文件不成功，也无法对此病毒进行查杀防御。随着安全和病毒的不断对抗，越来越多的基于文件内容特征维度的免杀技术不断成熟，基于文件内容特征维度的监控系统的局限性也日益凸显。

发明内容

本发明要解决的技术问题是：提供一种基于非文件特征维度的新计算机病毒监控系统及方法，克服基于文件内容维度的监控体系的不足。

为了解决上述技术问题，本发明所采用的技术方案是：

一种基于非文件特征维度的新计算机病毒监控系统，该系统包括：

客户端探针，用于收集计算机的变化信息；

服务端累积数据库，用于对收集的信息进行累积和数据处理；

服务端分析模块，用于对服务端累积数据库处理后的信息进行分析和过滤，得出疑似新病毒爆发的数据。

进一步，所述服务端分析模块的输出端连接有一用于确定所述疑似新病毒爆发的数据是否为新生病毒的病毒检测模块。

进一步，所述客户端探针包括：

归类单元，用于对探针分布的位置进行归类；

统计单元，用于对归类后同一位置的变化信息进行处理；

上报单元，用于将统计单元处理后的信息发送到所述服务端累积数据库。

进一步，所述服务端分析模块包括：

相似度筛选器，用于计算所述服务端累积数据库中不同数据之间的相似度；

聚类分析筛选器，用于将所述服务端累积数据库中具有相同信息的数据聚类，并利用相似度算法对聚类后的数据进行病毒类型划分；

高危行为鉴定器，用于将所述服务端累积数据库的未知数据与已知病毒库的非文件内容维度特征做比较，从而划分出该未知数据的相似等级。

一种基于非文件特征维度的新计算机病毒监控的方法，该方法包括以下步骤：

S1.客户端探针收集计算机的变化信息；

S2.服务端累积数据库对收集的信息进行累积和数据处理；

S3.对服务端累积数据库处理后的数据进行分析和过滤，得到疑似新病毒爆发的数据。

进一步，在所述步骤S3之后还设有步骤S4，所述步骤S4，其具体为：确定所述疑似新病毒爆发的数据是否为新生病毒。

进一步，所述步骤S１包括：

S10.对探针分布的位置进行归类；

S11.通过预先设置的规则对归类后同一类下的变化信息进行处理，并对处理后的信息进行格式化处理和加密保存；

S12.判断加密保存后的信息是否需要上报，若需要，则将该信息发送到服务器。

进一步，所述步骤S3，其具体为，对服务端累积数据库处理后的数据进行相似度筛选，或者对服务端累积数据库处理后的数据进行聚类分析，或者对服务端累积数据库处理后的数据进行高危行为鉴定。

本发明的有益效果是：本发明基于非文件特征维度的新计算机病毒监控系统及方法收集的是计算机的变化信息，不需要收集到文件，也不依赖于文件内容，而是从新的非文件特征维度来监控新生计算机病毒，可以及时对新生病毒进行监控，具有快速和可靠性高的优点。

附图说明

图1是本发明的功能模块方框图；

图2是本发明的主步骤流程示意图；

图3是本发明的步骤Ｓ１的流程示意图。

具体实施方式

下面结合附图对本发明的具体实施方式作进一步说明。

如图1所示，一种基于非文件特征维度的新计算机病毒监控系统，该系统包括：

客户端探针，用于收集计算机的变化信息；

服务端累积数据库，用于对收集的信息进行累积和数据处理；

服务端分析模块，用于对服务端累积数据库处理后的信息进行分析和过滤，得出疑似新病毒爆发的数据。

进一步作为优选的实施方式，所述服务端分析模块的输出端连接有一用于确定所述疑似新病毒爆发的数据是否为新生病毒的病毒检测模块。

进一步作为优选的实施方式，所述客户端探针包括：

归类单元，用于对探针分布的位置进行归类；

统计单元，用于对归类后同一位置的变化信息进行处理；

上报单元，用于将统计单元处理后的信息发送到所述服务端累积数据库。

本发明的客户端探针集成于网络客户端的探针，分布于操作系统的各个部分。在开启客户端、防御病毒和查杀病毒时都会用到客户端探针，所述客户端探针负责对计算机中的变化信息进行归类、统计和上报。

其中，归类单元负责对照探针分布的位置进行归类，统计单元通过预先设置的规则（如按照位置相同的规则）对该类下的全部变化信息进行处理，并对处理后的信息进行格式化处理和加密保存。上报单元用于将加密保存后的信息发送到服务器，为后续数据的收集做准备。上报的信息包括但不限于监控位置、注册表位置（如果是通过监控注册表得到）、文件路径、文件大小、文件版本信息、文件创建时间、文件修改时间、数字签名信息、文件微特征和文件源文件名等，这些上报的信息就是客户端需要收集的变化信息。

而服务端累积数据库则主要用于累积客户端探针上报的信息，并将上报的信息进行解密，按归类录入数据库。服务端累积数据库是一个庞大的信息库，可以存储海量数据。

如图１所示，进一步作为优选的实施方式，所述服务端分析模块包括：

相似度筛选器，用于计算所述服务端累积数据库中不同数据之间的相似度；

聚类分析筛选器，用于将所述服务端累积数据库中具有相同信息的数据聚类，并利用相似度算法对聚类后的数据进行病毒类型划分；

高危行为鉴定器，用于将所述服务端累积数据库的未知数据与已知病毒库的非文件内容维度特征做比较，从而划分出该未知数据的相似等级。

服务端分析模块是本发明的核心与灵魂。它通过客户端探针收集各个信息，接着对收集每种的信息，在服务端累积数据库中进行海量数据处理，进而通过相似筛选器、聚类分析器和高危行为鉴定器分析出所述服务端累积数据库中数据的关联，从而过滤出疑似新病毒爆发的数据。所述服务端分析模块的三个子模块的具体介绍如下：

相似度筛选器：通过数据相似度比较算法，计算出收集的不同数据之间的相似度，例如数字签名相同但是文件名有一定相似度等，当相似度大于等于设定的相似阈值时，即认为相似。

聚类分析筛选器：将所述服务端累积数据库中具有相同信息的数据聚类，并利用相似度算法对聚类后的数据进行病毒类型划分。

高危行为鉴定器：根据后台数据库中的海量已知病毒非文件内容维度特征，与数据库中未知数据做比较，当相似度达到设定阈值后，按相似等级划分为极度相似、比较相似和可疑这三个级别。

经过服务端分析模块过滤后的数据（即疑似新病毒爆发的数据），均为互联网新生并且数量在一定时间阈值内达到一定规模的数据。得到的疑似新病毒爆发的数据由病毒监测模块确认是病毒或者是正常软件的程序，从而判定其为新病毒或者新生、新版本正常软件，进而达到快速响应和监控互联网新生病毒的目的。

如图２所示，本发明还揭示了一种基于非文件特征维度的新计算机病毒监控的方法，该方法包括以下步骤：

S1.客户端探针收集计算机的变化信息；

S2.服务端累积数据库对收集的信息进行累积和数据处理；

S3.对服务端累积数据库处理后的数据进行分析和过滤，得到疑似新病毒爆发的数据。

进一步作为优选的实施方式，在所述步骤S3之后还设有步骤S4，所述步骤S4，其具体为：确定所述疑似新病毒爆发的数据是否为新生病毒。

如图3所示，进一步作为优选的实施方式，所述步骤S１包括：

S10.对探针分布的位置进行归类；

S11.通过预先设置的规则对归类后同一类下的变化信息进行处理，并对处理后的信息进行格式化处理和加密保存；

S12.判断加密保存后的信息是否需要上报，若需要，则将该信息发送到服务器。上报的信息包括但不限于监控位置、注册表位置（如果是通过监控注册表得到）、文件路径、文件大小、文件版本信息、文件创建时间、文件修改时间、数字签名信息、文件微特征和文件源文件名等，这些上报的信息就是客户端需要收集的变化信息。

进一步作为优选的实施方式，所述步骤S3，其具体为，对服务端累积数据库处理后的数据进行相似度筛选，或者对服务端累积数据库处理后的数据进行聚类分析，或者对服务端累积数据库处理后的数据进行高危行为鉴定。

其中，相似度筛选用于计算出所述服务端累积数据库中不同数据之间的相似度；

聚类分析筛选，将所述服务端累积数据库中具有相同信息的数据聚类，并使用相似度算法对聚类后的数据进行病毒类型的划分；

高危行为鉴定，将所述服务端累积数据库的未知数据与已知病毒库的非文件内容维度特征做比较，从而划分出该未知数据的相似等级。

本发明收集的是计算机的变化信息，不需要收集到文件，也不依赖于文件内容，而是从新的非文件特征维度来监控新生计算机病毒，可以及时对新生病毒进行监控，与传统的病毒监控方法与系统相比具有快速和可靠性高的优点。

以上是对本发明的较佳实施例进行了具体说明，但本发明创造并不限于所述实施例，熟悉本领域的技术人员在不违背本发明精神的前提下还可以作出种种的等同变形或替换，这些等同的变形或替换均包含在本申请权利要求所限定的范围内。