技術領域

本發明涉及信息安全領域，更具體地，本發明涉及一種基于云平臺的主動防御方法。

背景技術

長期以來，計算機病毒一直威脅著計算機系統的數據安全。計算機病毒的隱蔽性，傳染性及破壞性嚴重干擾了計算機的正常運行，給人類造成了巨大的損失。隨著計算機網絡及其應用的快速發展，病毒產生的渠道、傳播形式以及生命周期也隨之發生了質的改變。目前新產生的病毒大多來自網絡，通過網絡傳播、自動下載新病毒或自動更新變種，并不斷傳播。

近幾年來，“云安全”的思想被提出，其主要技術方法是通過網狀的大量客戶端，對網絡中軟件行為的異常監測，獲取互聯網中木馬、惡意程序的最新信息，推送到服務端進行自動分析和處理，再把病毒和木馬的解決方案分發到每一個客戶端。目前各安全廠商都已經推出云安全解決方案，有如下兩種典型方案：1.客戶端與“云安全”平臺實時通信，組成監測木馬和惡意網址的互聯網絡，客戶端對用戶計算機進行掃描，然后提取可能是病毒的文件上報，經過云端檢測處理后，升級殺毒軟件并將解決方案送達所有客戶端，所有客戶端就都能防范這一威脅，這種方案里，所有客戶端組成云網絡；2.利用龐大的服務器群，實時收集應用請求，并通過在云端的計算，判斷這些請求是否是安全的，比如打開一條網站鏈接，先通過存儲在其云端的數據對這些請求進行鑒別，分析其是否是安全的鏈接或程序，并給客戶以反饋，通過云端強大的存儲和處理能力保證用戶得到同步反饋。

現有的云安全解決方案擴大了惡意軟件樣本的獲取渠道，使殺毒軟件廠商可以更快的獲取新樣本，但仍然存在一些局限：首先，惡意代碼可能對抗云安全分析，比如增大自身大小對抗上傳，或者只在特定條件下才暴露其惡意行為；其次，受到目前惡意軟件自動化分析技術的限制，殺毒軟件廠商仍然不能對新樣本即時分析，并迅速做出響應。新病毒樣本從出現到被殺毒軟件廠商識別的時間差內依然有大量用戶會被惡意軟件感染，也就是云安全所存在的首批受害者問題；最后，即使在服務端采用云安全方案時，客戶端仍然要安裝殺毒軟件，客戶端資源消耗較大。

發明內容

本發明的目的在于提供一種基于云平臺的主動防御方法，其中客戶端與云端服務器協同完成對惡意程序的檢測。

本發明是通過以下技術方案實現的：

一種基于云平臺的主動防御方法，包括以下步驟：客戶端攔截進程創建，以獲取進程的程序文件路徑，根據程序文件路徑計算程序文件的特征值，判斷程序文件的特征值是否存在于本地數據庫中，若程序文件的特征值不是存在于本地數據庫中，則將程序文件的特征值發送至云端，判斷程序文件的特征值是否存在于云端的數據庫中，若程序文件的特征值不是存在于云端的數據庫中，則判斷是否需要對程序文件執行云端分析，若需要對程序文件執行云端分析，則將程序文件發送到云端，云端執行程序文件中的命令，具體包括子步驟：判斷命令是否包括用戶環境相關命令，若命令包括用戶環境相關命令，則對客戶端執行系統調用，訪問客戶端的注冊表及資源文件，判斷程序文件中的命令是否已經執行完畢，如命令已經執行完畢，則過程結束，如果命令沒有執行完畢，則返回判斷命令是否包括用戶環境相關命令的步驟，判斷程序文件中的剩余命令是否不包括用戶環境相關命令，若剩余命令不包括用戶環境相關命令，則執行剩余命令，根據程序文件的行為記錄檢測程序文件的安全性，將檢測結果返回給客戶端。

本發明的方法還包括步驟：若不需要對程序文件執行云端分析，則則直接返回安全的結果。

云端執行程序文件中的命令的步驟還包括：若命令不包括用戶環境相關命令，則對命令執行本地調用，訪問云端的注冊表及資源文件，并返回判斷程序文件中的命令是否已經執行完畢的步驟。

本發明的方法還包括步驟：若剩余命令包括用戶環境相關命令，則返回云端執行程序文件中的命令的步驟。

本發明具有以下優點：

(1)對客戶端保護更加有效

客戶端會攔截所有進程創建及其操作，程序特征碼及行為被上傳到服務器端查詢，服務器端首先采用查詢特征碼等黑白名單庫給出檢測結果，當查詢未命中時在客戶端執行惡意程序但所有危險操作都被定位到服務器端，即使對抗云端分析的惡意程序仍然可以在本地執行而不會對本地系統造成危害，因而可以有效保護客戶端的安全；

(2)云端的分析響應速度更快

客戶端所攔截的所有可疑文件都會被選擇在重定位到云端執行，并且可以借助客戶端的配合模擬真實的用戶環境，能夠充分捕捉惡意軟件的行為，避免惡意軟件有意逃避虛擬環境的檢測。由多個客戶端配合進行不同實例的分析，能對惡意軟件做最全面和充分的行為分析；