一种多维度引擎间联合判定启动点安全性的启发检测方法

摘要

本发明公开了一种多维度引擎间联合判定启动点安全性的启发检测方法,包括以下步骤：a.客户端扫描启动点；b.将启动点信息提交给文件云引擎进行文件内容信息获取，以及将启动点信息提交给毒霸KSC引擎；c.文件云引擎对文件内容的安全性进行判断并返回安全结果，毒霸KSC引擎对启动点的安全性进行判断并返回安全结果；d.根据返回安全结果判断是否提交给安全等级逻辑处理模块；e.确定最终安全等级。所述方法把不同引擎联合起来，在一个启动点中取各引擎最优势的信息，综合分析后来判定启动点的安全性等级，最终实现启动点的安全性判定，更可靠、更安全。本发明多维度引擎间联合判定启动点安全性的启发检测方法广泛应用于安全检测技术领域。

说明书

技术领域

本发明涉及安全检测技术领域，尤其是一种多维度引擎间联合判定启动点安全性的启发检测方法。

背景技术

众所周知，基于文件内容维度的检测引擎，已经是安全行业内部最为广泛和成熟的安全检测方式，但近年来随着安全与病毒产业的不断对抗，病毒程序已经逐步告别从前的各种文件内容的修改来躲避文件引擎的扫描，而是逐步转为利用安全的计算机程序的各种漏洞来使病毒文件被运行从而达到危害计算机安全的目的。

KSC是Kingsoft System Intelligent Cloud的简写，是金山可信云认证体系下的一个系统级别人工智能云体系。毒霸KSC引擎是金山毒霸开发的基于KSC的检测引擎。与基于文件内容维度的检测引擎不同的是，毒霸KSC引擎是基于系统级别云体系的，它无视文件本身信息，转而聚焦文件所处环境——操作系统的多维度安全特征，全面封锁和侦查启动点，在病毒最关键的启动点给予精准致命打击，从而形成了全新的系统安全模式。但是由于KSC高启发规则的高启发特性，会将一部分安全程序但是行为类似病毒的启动点报出造成误报。

由此可见，现有安全检测技术大都是基于单一的引擎或者检测方式来进行安全判定的，由于各个引擎及检测方式都存在其固有的优势和缺点，故而使用单一引擎的检测都无法避免其缺点所造成的先天不足。

发明内容

本发明要解决的技术问题是：提供一种多维度引擎间联合判定启动点安全性的启发检测方法，克服使用单一引擎检测方式的不足。

为了解决上述技术问题，本发明所采用的技术方案是：

一种多维度引擎间联合判定启动点安全性的启发检测方法，该方法包括以下步骤：

a.客户端扫描启动点；

b.将启动点信息提交给文件云引擎进行文件内容信息获取，以及将启动点信息提交给毒霸KSC引擎；

c.文件云引擎对文件内容的安全性进行判断并返回安全结果，毒霸KSC引擎对启动点的安全性进行判断并返回安全结果；

d.根据返回安全结果判断是否提交给安全等级逻辑处理模块；

e.确定最终安全等级。

优选地，所述步骤b，其具体为：

将启动点信息提交给文件云引擎进行文件内容信息获取，并对文件云引擎所需信息进行处理，以及将启动点信息提交给毒霸KSC引擎，进而对启动点中非文件内容维度属性信息进行格式化处理。

优选地，所述步骤c，其包括：

文件云引擎对文件内容的安全性进行判断，并将返回的安全结果存储起来；

毒霸KSC引擎对非文件内容维度的启动点安全性进行判断，并判断该安全结果是否为KSC高启发威胁特征，若是，则对文件云引擎返回的安全结果进行获取后，将文件云引擎返回的安全结果以及毒霸KSC引擎返回的安全结果一起提交给安全等级逻辑处理模块，否则将继续执行KSC独立流程。

优选地，所述步骤c中文件云引擎返回的安全结果存储在文件云引擎结果存储器内。

优选地，所述步骤c中文件云引擎返回的安全结果包括云2.0安全、云3.0安全、云2.0危险、云3.0危险、未知这五种状态，毒霸KSC引擎返回的安全结果包括安全、危险、高启发威胁、未知+分布广度这四种状态和启动点的广度值。

优选地，所述安全等级逻辑处理模块的逻辑为：

如果毒霸KSC引擎状态=云3.0安全，则最终安全等级为安全；

如果毒霸KSC引擎状态=云2.0安全且文件云引擎广度<预定阈值，则最终安全等级为可疑；

如果毒霸KSC引擎状态=云2.0安全且文件云引擎广度>=预定阈值，则最终安全等级为安全；

否则，其他情况最终安全等级均为威胁。

本发明的有益效果是：本发明不使用单一的引擎来判断启动点的安全性，而是把不同引擎联合起来，在一个启动点中取各引擎最优势的信息，综合分析后来判定启动点的安全性等级，最终实现启动点的安全性判定，更可靠、更安全。

附图说明

附图是本发明多维度引擎间联合判定启动点安全性的启发检测方法的步骤流程图。

具体实施方式

下面结合附图对本发明的具体实施方式作进一步说明：

参照附图，一种多维度引擎间联合判定启动点安全性的启发检测方法，该方法包括以下步骤：

a.客户端扫描启动点；

b.将启动点信息提交给文件云引擎进行文件内容信息获取，以及将启动点信息提交给毒霸KSC引擎；

c.文件云引擎对文件内容的安全性进行判断并返回安全结果，毒霸KSC引擎对启动点的安全性进行判断并返回安全结果；

d.根据返回安全结果判断是否提交给安全等级逻辑处理模块；

e.确定最终安全等级。

作为进一步优选的实施方式，所述步骤b，其具体为：

将启动点信息提交给文件云引擎进行文件内容信息获取，并对文件云引擎所需信息进行处理，以及将启动点信息提交给毒霸KSC引擎，进而对启动点中非文件内容维度属性信息进行格式化处理。

作为进一步优选的实施方式，所述步骤c，其包括：

文件云引擎对文件内容的安全性进行判断，并将返回的安全结果存储起来；

毒霸KSC引擎对非文件内容维度的启动点安全性进行判断，并判断该安全结果是否为KSC高启发威胁特征，若是，则对文件云引擎返回的安全结果进行获取后，将文件云引擎返回的安全结果以及毒霸KSC引擎返回的安全结果一起提交给安全等级逻辑处理模块，否则将继续执行KSC独立流程。而文件云引擎在返回安全结果后将继续执行文件云引擎独立流程。

作为进一步优选的实施方式，所述步骤c中文件云引擎返回的安全结果存储在文件云引擎结果存储器内。

作为进一步优选的实施方式，所述步骤c中文件云引擎返回的安全结果包括云2.0安全、云3.0安全、云2.0危险、云3.0危险、未知这五种状态，毒霸KSC引擎返回的安全结果包括安全、危险、高启发威胁、未知+分布广度这四种状态和启动点的广度值。

作为进一步优选的实施方式，所述安全等级逻辑处理模块中的逻辑为：

如果毒霸KSC引擎状态=云3.0安全，则最终安全等级为安全；

如果毒霸KSC引擎状态=云2.0安全且文件云引擎广度<预定阈值，则最终安全等级为可疑；

如果毒霸KSC引擎状态=云2.0安全且文件云引擎广度>=预定阈值，则最终安全等级为安全；

否则，其他情况最终安全等级均为威胁。

当毒霸KSC引擎返回的安全结果为高启发威胁状态时，毒霸KSC引擎才会把该状态信息传给安全等级逻辑处理模块，并且毒霸KSC引擎还会将启动点的广度信息传给安全等级逻辑处理模块。而文件云引擎的每个状态都会传给安全等级逻辑处理模块。

由此可见，本发明多维度引擎间联合判定启动点安全性的检测方法，发挥了文件云引擎和毒霸KSC引擎之间的最大联动，把各引擎的强势发挥出来，形成各引擎之间的联动互补，优缺互补的检测策略最终判定启动点的安全性的检测方式是更安全的。

以上是对本发明的较佳实施例进行了具体说明，但本发明创造并不限于所述实施例，熟悉本领域的技术人员在不违背本发明精神的前提下还可以作出种种的等同变形或替换，这些等同的变形或替换均包含在本申请权利要求所限定的范围内。