[发明专利]云端实时防御方法及系统

权利要求书

1.一种云端实时防御方法，其特征在于，包括以下步骤：

接收客户端发送的第一查询信息；所述第一查询信息包括客户端所采集到的第一程序行为；

根据所述第一查询信息获取文件行为结果库中与所述第一程序行为相匹配的行为分析结果；其中，所述文件行为结果库用于存储对各客户端上传的第二程序行为进行鉴定识别后的行为分析结果；

将所述行为分析结果发送给所述客户端。

2.根据权利要求1所述的云端实时防御方法，其特征在于，在接收客户端发送的第一查询信息之前，还包括步骤：

接收客户端发送的第二查询信息；所述第二查询信息包括客户端所采集到的第二程序行为的描述信息；

根据所述描述信息判断文件行为库中是否已经存在对应的第二程序行为；其中，所述文件行为库用于接收各客户端上传的第二程序行为；

若否，则发送上传所述第二程序行为的通知给客户端，并接收客户端所上传的第二程序行为，将所接收到的第二程序行为保存到所述文件行为库中；

对所述第二程序行为进行鉴定识别，并将得到的行为分析结果保存到所述文件行为结果库中。

3.根据权利要求2所述的云端实时防御方法，其特征在于，对所述第二程序行为进行鉴定识别的过程包括：

从已知的黑文件和白文件中提取出行为规则特征；

根据所述行为规则特征对所述第二程序行为进行鉴定识别，得到所述行为分析结果。

4.根据权利要求3所述的云端实时防御方法，其特征在于，所述第一查询信息还包括客户端所采集到的应用程序的文件特征；

对所述第二程序行为进行鉴定识别的过程还包括：根据所述文件特征来对所述第二程序行为进行鉴定识别。

5.根据权利要求2所述的云端实时防御方法，其特征在于，所述行为分析结果中包括：应用程序的黑白属性以及各属性对应的拦截规则。

6.根据权利要求1所述的云端实时防御方法，其特征在于，还包括步骤：

若所述文件行为结果库中不存在与所述第一程序行为相匹配的行为分析结果，则发送匹配失败的信息给客户端。

7.根据权利要求1至6任意一项所述的云端实时防御方法，其特征在于，所述程序行为包括：文件行为、注册表行为、网络行为或进程线程行为。

8.一种云端实时防御方法，其特征在于，包括以下步骤：

当检测到预设的系统事件被触发后，对该系统事件所对应的第一程序行为进行采集；

发送第一查询信息给服务器；所述第一查询信息包括所采集到的第一程序行为；

接收服务器所反馈的与所述第一程序行为相匹配的行为分析结果，并根据所述行为分析结果执行相应的处理动作。

9.根据权利要求8所述的云端实时防御方法，其特征在于，在发送第一查询信息给服务器之前，还包括步骤：

发送第二查询信息给服务器；所述第二查询信息包括所采集到的第二程序行为的描述信息；

当接收到服务器所反馈的上传所述第二程序行为的通知时，将所述第二程序行为组包上传。

10.根据权利要求8或9所述的云端实时防御方法，其特征在于，还包括步骤：

当接收到服务器发送的匹配失败的信息之后，允许所述程序行为运行；其中，所述匹配失败的信息为当服务器检测到文件行为结果库中不存在与所述第一程序行为相匹配的行为分析结果后所发送的信息。

11.一种云端实时防御系统，其特征在于，包括服务器，所述服务器包括：

第一接收模块，用于接收客户端发送的第一查询信息；所述第一查询信息包括客户端所采集到的第一程序行为；

结果获取模块，用于根据所述第一查询信息获取文件行为结果库中与所述第一程序行为相匹配的行为分析结果；其中，所述文件行为结果库用于存储对各客户端上传的第二程序行为进行鉴定识别后的行为分析结果；

结果发送模块，用于将所述行为分析结果发送给所述客户端。