[发明专利]安全应用的服务器检测方法及其系统

说明书

技术领域

本发明涉及安全应用检测的技术领域，尤其涉及一种安全应用的服务器检测方法，以及一种安全应用的服务器检测系统。

背景技术

互联网技术的快速发展给人们生活带来越来越多的便利。人们通过互联网可以方便的分享和下载各类资料、获取各类重要信息、在线支付账单等。与此同时，互联网的安全形势也不容乐观，各类木马病毒伪装成正常文件肆意传播，钓鱼网站模仿正常网站盗取用户帐号密码愈演愈烈。因此，安全应用开始受到越来越多的重视。

传统的安全应用对于恶意样本的检测主要部署在客户端，例如对于文件安全性的判定是通过将文件与本地病毒特征库相比对，如果通过所述本地病毒特征库可以匹配到，则认为文件有害，否则文件就是安全的，检测时客户端不需要连接互联网。然而，由于本地病毒特征库更新缓慢，传统安全应用对于新型攻击的响应太慢，因此越来越多安全应用厂商开始建立自己的云安全体系。

云安全应用对于恶意行为的检测逻辑主要部署在服务端(即云端)，客户端软件需要在联网环境下工作。以反钓鱼检测模块为例，当用户访问某网站时，客户端会截获当前网址，将其发送到服务端做安全性查询，服务端返回查询结果给客户端。如果查询结果为恶意网站，客户端就会做相应的拦截操作。

目前对于安全应用的检测，通常是选定一批检测样本，包括恶意样本和安全样本，测试安全应用对其是否拦截。依据评测功能的不同，样本可以有不同的表现形式，例如：如果是测试安全应用的防病毒木马功能，这里的样本就是文件；如果是测试防恶意网站功能，这里的样本就是URL(Uniform Resoure Locator，统一资源定位器)；如果是测试恶意电话标记功能，这里的样本就是电话号码，如图1所示。目前主流的安全应用检测方法均采用这一方法。

然而，传统的安全应用检测方法适应于传统的客户端安全应用，而对于云安全应用则显得不再合适了。通常的云安全应用对于首次出现的恶意样本，由于其未在服务端中识别过，因此通常其认定为安全。因此，如果按照现有评测方法，选取100条恶意URL检测某云安全应用的识别能力，发现该云安全应用对所有样本均未拦截，因此得到本次检测其对恶意URL的覆盖率为0％。而实际情况可能是，这100条URL对于云安全应用都是首次遇到，因此，未能立即拦截，而在首次检测之后的一段时间内，服务端可能对这些URL进行自动分析检测，根据所述URL爬取相关的网页内容进行安全性分析后，得到这100条URL全部为恶意URL的结论。则之后如果再次检测，则云安全应用对这100条URL都会拦截。实际上，云安全应用对于这类恶意URL的识别率为100％，因此传统的安全应用的检测方法对于云安全应用的检测准确度不高。

发明内容

基于此，针对如何提高对云安全应用的检测准确度的问题，本发明提供一种安全应用的服务器检测方法，能够通过对云安全应用的服务端的检测，提高对云安全应用的检测准确度。

一种安全应用的服务器检测方法，包括以下步骤：

获取多个安全状态已知的检测样本；

连接待测安全应用的服务器，将所述检测样本发送到所述服务器中进行检测，并查询所述检测样本在所述服务器的样本数据库中是否为已知样本；

如果所述检测样本在所述样本数据库中为已知样本，则获取所述待测安全应用的服务器对所述检测样本的检测结果；否则以预设时间周期循环查询所述样本数据库，直到查询所述检测样本在所述样本数据库中为已知样本后，获取所述待测安全应用的服务器对所述检测样本的检测结果；

将所述检测结果与所述检测样本已知的安全状态比较，判断所述待测安全应用的检测准确度。

对应于所述安全应用的服务器检测方法，本发明还提供一种安全应用的服务器检测方法，同样能够通过对云安全应用的服务端的检测，提高对云安全应用的检测准确度。

一种安全应用的服务器检测系统，包括：

样本获取模块，用于获取多个安全状态已知的检测样本；

查询模块，用于连接待测安全应用的服务器，将所述检测样本发送到所述服务器中进行检测，并查询所述检测样本在所述服务器的样本数据库中是否为已知样本；

检测模块，用于如果所述检测样本在所述样本数据库中为已知样本，则获取所述待测安全应用的服务器对所述检测样本的检测结果；否则以预设时间周期循环查询所述样本数据库，直到查询所述检测样本在所述样本数据库中为已知样本后，获取所述待测安全应用的服务器对所述检测样本的检测结果；

判断模块，用于将所述检测结果与所述检测样本已知的安全状态比较，判断所述待测安全应用的检测准确度。