技術領域

本發明是一種基于云計算平臺惡意代碼識別的解決方案，主要解決當前惡意代碼變異越來越快，靠傳統的病毒庫更新無法達到及時查殺等問題，屬于病毒檢測與防護領域。

背景技術

隨著計算機技術的發展，尤其是計算機網絡的飛速發展，惡意代碼數量有著呈指數級增長的趨勢。早期的惡意代碼并沒有采用過多的自我保護機制，都具有固定的特征碼。因此,反病毒軟件可以利用病毒特征碼匹配很容易的檢測出隱藏在系統中的病毒程序。但隨著技術的發展，惡意代碼紛紛采用自我保護技術對抗反病毒檢測引擎。致使傳統的基于特征碼定位殺毒引擎準確率大幅下降。

云計算（cloud?computing），是一種基于互聯網的計算方式，通過這種方式，共享的軟硬件資源和信息可以按需提供給計算機和其他設備。整個運行方式很像電網。云計算是繼1980年代大型計算機到客戶端-服務器的大轉變之后的又一種巨變。用戶不再需要了解“云”中基礎設施的細節，不必具有相應的專業知識，也無需直接進行控制，用戶只需要提交需求，云服務根據用戶提交的數據計算出結果返回給用戶。云計算通常涉及通過互聯網來提供動態易擴展而且經常是虛擬化的資源。?

發明內容

????技術問題：本發明的目的是提供一種基于云計算的惡意代碼識別方法，需要解決的技術問題是，首先，當前的惡意代碼變異速度加快，其依靠自身加密機制，通過不斷變換加密密鑰使得產生的代碼主體相似度極低，而傳統的基于特征碼檢測引擎沒有辦法識別，造成查殺率不斷下降。其次，隨著技術的發展，惡意代碼中加入更多的自我保護技術，尤其對現行比較流行的虛擬機查殺機制展開對抗，使得在真實環境中很簡單的代碼在殺毒引擎的虛擬機里分析的過程變得異常復雜，最終達到無法識別的目的。這顯然需要新的可行方案來解決當前環境下對惡意代碼的識別，從而做到有效的防御。

技術方案：本發明的方法是一種策略性的方法，通過引入云計算服務解決對未知代碼的識別問題，具體是通過以下方案來實現的：

一、體系結構

本方案的實現主要分為兩部分應用：用戶端應用和服務器端應用。服務器端應用：這里的服務器端應用泛指的是多個不同功能的服務器相互聯接組成的服務器集群，對外表現為一個整體，相互配合共同完成相應功能，包括哈希匹配服務器、惡意代碼檢測服務器和特征行為提取服務器。客戶端應用為一個功能簡單的殺毒引擎，包括二進制特征碼匹配引擎、行為特征匹配引擎、小型的二進制以及行為特征數據庫和可疑代碼提交系統。

下面我們給出幾個具體部分的說明：

哈希匹配服務器：主要功能為根據客戶端提交的代碼的哈希值，在服務器的哈希值數據庫中進行查找，并返回結果，從而對客戶端代碼執行識別。

惡意代碼檢測服務器：主要功能為對客戶端提交的未知代碼，通過服務器強大的計算能力，以及配合人工分析對其進行確定。

特征行為提取服務器：對確定的惡意代碼行為進行分析，提取特征行為，并進行儲存。

二進制特征碼匹配引擎：用于對未知代碼進行簡單的二進制特征匹配。

行為特征匹配引擎：用于對未知代碼進行深層次的行為特征匹配。

小型的二進制以及行為特征數據庫：用于對常見的惡意代碼進行快速識別。

可疑代碼提交系統：對用戶認為的可疑的未知代碼提交給云服務器進行識別。

二、方法流程

本發明的一種基于云計算的惡意代碼識別方法所包含的步驟為：

步驟1：用戶通過網站或是其它形式下載安裝客戶端程序，并與服務器建立連接；

步驟2：當用戶對某個未知代碼檢測時，首先由本機的二進制特征引擎進行快速檢測；

步驟3：當二進制特征引擎沒有檢測出結果，待檢測代碼會提交給行為特征檢測引擎做比較準確的檢測；

步驟4：行為特征檢測引擎沒有得到檢測結果時，客戶端會計算出待檢測代碼的哈希值提交給哈希匹配服務器檢測；

步驟5：哈希匹配服務器根據客戶端提交的待檢測代碼哈希值在數據庫中查找，給出最終的檢測結果；

步驟6：用戶向惡意代碼檢測服務器提交可疑文件進行檢測；

步驟7：惡意代碼檢測服務器利用自身的強大的檢測引擎，以及利用病毒分析專家人工檢測的方式對用戶提交的未知代碼做準確的判斷；