技術領域

本發明屬于病毒防御技術領域，具體涉及一種基于用戶行為差異化的病毒防御方法及系統。

背景技術

編制或者在計算機程序中插入的破壞計算機功能或者破壞數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼被稱為計算機病毒（Computer Virus）。它具有破壞性，復制性和傳染性。

現有的病毒防御方法僅僅是基于文件內容和行為的判定方法，其大致是：

1、客戶端根據病毒數據庫進行掃描，以鑒別病毒文件和安全文件；

2、針對客戶端無法鑒別的灰文件，上傳至云端服務器；

3、云端服務器基于文件內容和行為進行鑒定，并將鑒定結果反饋給客戶端；

4、客戶端按照反饋結果采取對應的防御措施。

申請人通過研究發現，現有的病毒制作者為了繞過上述防御系統，采用了一種偽裝的方法，如盜號軟件偽裝成刷Q幣軟件，目前這種單一維度（僅僅基于文件內容和行為）的判斷方法，很難對新出現的灰文件進行快速鑒定。

發明內容

針對現有病毒系統很難鑒定的灰文件，本發明的目的在于提供一種快速鑒定此類文件的基于用戶行為差異化的病毒防御方法及系統。

通過申請人研究發現，通常情況下經常瀏覽色情網站和下載外掛等非正常瀏覽行為用戶中毒頻率就較高，可能三兩天中一次毒，我們稱之為危險客戶端；然而，正常瀏覽常規網站的中毒頻率相對就較低，可能幾個月才中一次毒。當該灰文件主要集中在高頻率中毒的客戶端時，是病毒的可能性較高，反之該灰文件主要集中在中毒頻率較低的客戶端時，是病毒的可能性較低。所謂的中毒頻率就是平均多少天中一次毒，比如：平均3天中一次病毒，則中毒頻率為3天每次，又比如：平均每天中毒4次，則其中毒頻率為1/4天每次，即是平均每次中毒之間的間隔越小，表明中毒頻率越高，反之則越低。

通過申請人研究還發現，一般情況下一個文件如果在大多數用戶都出現時，那么該文件是病毒的可能性相對較小，一個文件如果在少數用戶中出現，為病毒文件的概率就相對更高，也即是該文件的分布廣度。該灰文件的分布越廣為病毒的概率越小，因為同一病毒感染用戶的數量相對比所有用戶的量應該是極少數的。

通過申請人研究還發現，一般情況下其執行行為和病毒行為相似度越高，是病毒的可能性就越大，比如：修改系統參數、上傳客戶資料等等。雖然它們與病毒行為相似，但它也不一定就是病毒，比如游戲外掛，它就會修改游戲參數等，顯然不能將其當作病毒，正是因為這點病毒就經常利用他們來迷惑用戶，進而逃過查殺。

為了實現上述發明目的，基于上述研究發現，得到了以下技術方案：

一種基于用戶行為差異化的病毒防御方法，用于鑒別現有病毒防御系統很難鑒別的灰文件，包括以下步驟：

獲取包含有所述灰文件的危險客戶端與包含有該灰文件的所有客戶端的第一比值，所述危險客戶端為中毒頻率超過預設閾值的客戶端；

根據包含有所述灰文件的客戶端和云系統中包含的所有客戶端數量，獲取表示該灰文件分布廣度的第二比值；

獲取所述灰文件的執行行為與預設病毒行為相似度的第三比值；

根據所述第一比值、第二比值、以及第三比值三者的預設權重，加權獲得該灰文件的危險指數；

根據所述危險指數與預設的危險指數閾值大小關系判定該灰文件的安全性質。

進一步的，根據所述危險指數與預設的危險指數閾值大小關系判定該灰文件的安全性質，具體是：

所述危險指數大于等于所述預設的危險指數閾值時，判定為病毒文件；

所述危險指數小于所述預設的危險指數閾值時，判定為安全文件。

進一步的，所述中毒頻率預設的閾值為4天每次。

進一步的，所述第一比值預設的權重為20分，所述第二比值預設的權重為10分，所述第三比值預設的權重為70分，所述預設的危險指數閾值為70分。

進一步的，根據包含有所述灰文件的客戶端和云系統中包含的所有客戶端數量，獲取表示該灰文件分布廣度的第二比值，具體是：獲取包含有該灰文件的客戶端數與所有數客戶端的比值，并將所述廣度比值與預設的廣度閾值范圍進行比較以獲取所述廣度閾值范圍對應的預設的第二比值。

一種基于用戶行為差異化的病毒防御系統，用于鑒別現有病毒防御系統很難鑒別的灰文件，包括以下模塊：

第一比值獲取模塊，獲取包含有所述灰文件的危險客戶端與包含有該灰文件的所有客戶端的第一比值，所述危險客戶端為中毒頻率超過預設閾值的客戶端；