[发明专利]一种样本收集方法及系统

说明书

技术领域

本发明涉及计算机安全技术领域，特别是涉及一种样本收集方法及系统。

背景技术

在互联网时代，信息爆炸性增长，木马、病毒也随之爆发性的泛滥，如何快速反应，及时发现新的木马和病毒，及早控制木马、病毒的传播是安全行业面临的新的挑战。

海量样本实时鉴定技术，是基于服务器端强大的处理能力对海量的样本进行收集并实时给出精准的鉴定结果的一种云鉴定技术。海量样本实时鉴定系统主要包含四大部分：样本收集，样本鉴定，样本存储，鉴定结果发布。样本收集指的是利用各种探测工具收集互联网上最新出现的未被鉴定系统识别过的可执行文件；样本存储指的是妥善的存储海量的样本，并能做到数据的高可靠性、高可用性；样本鉴定指的是灵活的组织调度各种各样的鉴定服务快速的给出样本的各种鉴定结果，并综合这些鉴定结果最终确定该样本的安全等级；鉴定结果发布指的是样本鉴定结果快速发布到云引擎服务器，为客户端提供鉴定结果查询。这一实现方式，大大缩短了互联网中新增样本的识别时间，远优于传统杀软利用病毒库升级来识别新样本的传统模式，其目标是做到实时鉴定，实时查杀。

但是在现有的海量样本实时鉴定系统中还存在许多待改善提高的地方，例如，在样本收集方面，现有技术中通常采用由客户端发现可疑样本，然后上传到服务器进行鉴定，但是，经常出现大样本无法上传导致上传失败，以及上传效率比较低等问题。

发明内容

本发明提供了一种样本收集方法及系统，能够提高样本收集的效率及成功率。

本发明提供了如下方案：

一种样本收集方法，包括：

当客户端发现待上传样本时，向管理服务器发送上传样本的请求；

客户端根据管理服务器返回的分片策略，对所述待上传样本进行分片；

客户端以分片为单位向数据服务器进行样本上传；其中，如果不同的客户端发现同一待上传样本，则由各个客户端并行上传该同一待上传样本的不同分片。

其中，所述以分片为单位向数据服务器进行样本上传包括：

按照分片号的顺序，向所述管理服务器发送样本上传请求，所述管理服务器根据其他客户端针对该样本的各分片的已上传情况，确定当前客户端是否需要上传当前分片；

如果接收到需要上传的响应消息，则将当前分片上传到数据服务器。

其中，还包括：

如果接收到不需要上传的响应消息，则放弃上传当前分片，并向所述管理服务器发送上传其他分片的请求。

其中，还包括：

所述管理服务器根据该客户端的IP地址确定该客户端需要上传的数据服务器，并返回给所述客户端；

所述以分片为单位向数据服务器进行样本上传包括：

以分片为单位向所述需要上传的数据服务器进行样本上传。

其中，还包括：

所述管理服务器将不同客户端上传的同一样本的各个分片路由到同一个组包服务器，由所述组包服务器对各个分片进行组包。

一种样本收集系统，包括：

样本发现单元，用于当客户端发现待上传样本时，向管理服务器发送上传样本的请求；

样本分片单元，用于客户端根据管理服务器返回的分片策略，对所述待上传样本进行分片；

分片上传单元，用于客户端以分片为单位向数据服务器进行样本上传；其中，如果不同的客户端发现同一待上传样本，则由各个客户端并行上传该同一待上传样本的不同分片。

其中，所述分片上传单元包括：

请求子单元，用于按照分片号的顺序，向所述管理服务器发送样本上传请求，所述管理服务器根据其他客户端针对该样本的各分片的已上传情况，确定当前客户端是否需要上传当前分片；

上传子单元，用于如果接收到需要上传的响应消息，则将当前分片上传到数据服务器。

其中，还包括：

放弃上传单元，用于如果接收到不需要上传的响应消息，则放弃上传当前分片，并向所述管理服务器发送上传其他分片的请求。

其中，还包括：

数据服务器获知单元，用于所述管理服务器根据该客户端的IP地址确定该客户端需要上传的数据服务器，并返回给所述客户端；

所述分片上传单元具体用于：

以分片为单位向所述需要上传的数据服务器进行样本上传。

其中，还包括：

组包单元，用于所述管理服务器将不同客户端上传的同一样本的各个分片路由到同一个组包服务器，由所述组包服务器对各个分片进行组包。

根据本发明提供的具体实施例，本发明公开了以下技术效果：