[发明专利]云端实时防御方法及系统

说明书

技术领域

本发明涉及互联网安全领域，特别是涉及一种云端实时防御方法以及一种云端实时防御系统。

背景技术

随着互联网不断与人类生活融合，经济、政治、文化等等人类现实社会的主体已经与互联网这个虚拟的世界不断的关联和接轨了，现实社会的主要元素与互联网这个虚拟化的社会界限也越来越模糊。随之而来的是现实世界的问题也在虚拟的互联网中出现和爆发。其中安全就是一个非常关键和敏感的互联网问题，而病毒木马则是这一问题的一个主要的源头和推动者。目前，安全防御的盾与病毒木马的矛之间的对抗已经越来越激烈。

传统的防御方法中，主要是对病毒木马进行特征识别，这是基于已经识别出事病毒木马的基础上，通过分析和提取特征来识别同类再出现的文件。然而，采用传统的方法虽然能够有效的打击已知的恶意程序及其变种，但是对于新的病毒木马或者是未发现的未知潜伏病毒木马，这种检测方式就显得捉襟见肘了。面对这个日益严重的问题，主动防御技术应运而生。

主动防御不再是固守对已知文件进行特征提取的思路，而是通过归纳总结什么是恶意程序、恶意程序的行为是不是有所特征，通过对已知恶意程序的行为进行分析和学习来提取行为序列的特征，从而拦截恶意程序。主动防御技术给未知恶意程序的打击提供了非常高效的方法，因为无论程序代码如何变更，恶意的行为是不会时刻有新的技术手段的，从而极大的提高了防御方的可控性。

目前的主动防御技术，主要分为两类，一类是基于单点云查拦截的主动防御，即只是对系统单个动作行为进行监控，然后对动作的操作者文件进行特征云查，通过云查得到的文件黑白结果，来做拦截还是放行的处理；另外一类是多步行为匹配的主动防御，即对系统多个动作进行关联检测，通过内置本地行为特征库，匹配行为序列的方式来判断这个程序的行为是否是恶意的从而进行拦截。

但是，上述的主动防御方法中，无论是单点拦截还是多步行为匹配，都要依赖白名单来做到非白即黑，对于白名单的依赖程度较大。然而白名单的收集往往是滞后的，很难保证不误报或误报可控，导致传统的主动防御方法对未知的恶意程序拦截的易用性不高，比较容易发生误报。

发明内容

基于此，有必要针对上述高误报的问题，提供一种云端实时防御方法及系统。

为实现上述目的，本发明实施例中采用如下的技术方案：

一种云端实时防御方法，包括以下步骤：

接收客户端发送的第一查询信息；所述第一查询信息包括客户端所采集到的第一程序行为；

根据所述第一查询信息获取文件行为结果库中与所述第一程序行为相匹配的行为分析结果；其中，所述文件行为结果库用于存储对各客户端上传的第二程序行为进行鉴定识别后的行为分析结果；

将所述行为分析结果发送给所述客户端。

一种云端实时防御方法，包括以下步骤：

当检测到预设的系统事件被触发后，对该系统事件所对应的第一程序行为进行采集；

发送第一查询信息给服务器；所述第一查询信息包括所采集到的第一程序行为；

接收服务器所反馈的与所述第一程序行为相匹配的行为分析结果，并根据所述行为分析结果执行相应的处理动作。

一种云端实时防御系统，包括服务器，所述服务器包括：

第一接收模块，用于接收客户端发送的第一查询信息；所述第一查询信息包括客户端所采集到的第一程序行为；

结果获取模块，用于根据所述第一查询信息获取文件行为结果库中与所述第一程序行为相匹配的行为分析结果；其中，所述文件行为结果库用于存储对各客户端上传的第二程序行为进行鉴定识别后的行为分析结果；

结果发送模块，用于将所述行为分析结果发送给所述客户端。

一种云端实时防御系统，包括客户端，所述客户端包括：

程序行为采集模块，用于当检测到预设的系统事件被触发后，对该系统事件所对应的第一程序行为进行采集；

第一发送模块，用于发送第一查询信息给服务器；所述第一查询信息包括所采集到的第一程序行为；

处理模块，用于接收服务器所反馈的与所述第一程序行为相匹配的行为分析结果，并根据所述行为分析结果执行相应的处理动作。