本發明提供了一種基于特征向量的反病毒云檢測方法及系統，所述方法通過提取客戶端未檢測出的文件指定位置的特征，組成特征向量，并將所述特征向量發送到云端進行檢測，若云端檢測為惡意，則將結果發送到客戶端，并對待檢測文件進行查殺處理，否則將所述待檢測文件放行，并且云端特征庫根據預設時間進行定期清理及更新。通過本發明的方法及系統，只需要在云端服務器部署病毒特征庫，不需要對文件整體存儲及檢測，因此能夠提高檢測效率、快速響應的同時，減輕云端服務器的壓力。

技術領域

本發明涉及網絡安全領域，特別涉及一種基于特征向量的反病毒云檢測方法及系統。

背景技術

隨著計算機中的惡意代碼呈現出爆炸式增長的趨勢，用戶對惡意代碼的檢測時效性要求越來越高，如未及時更新反病毒引擎的病毒特征庫，導致用戶計算機在用戶未知情況下隨時可能遭受新出現的惡意代碼的威脅。尤其在地下產業鏈利益驅使下，高速發展并出現的大量新的未知惡意木馬，時時刻刻對用戶計算機造成巨大威脅。

目前反病毒軟件(集成反病毒引擎)主要利用本地病毒特征庫對惡意代碼進行查殺。而對于新出現的惡意代碼的查殺需要依靠實時更新病毒特征庫得以保障，但是現在的反病毒軟件一般設置每天每隔幾小時升級一次，有些殺毒軟件甚至一天升級一次。這對于實時防御新增的惡意代碼可能束手無策，如反病毒引擎廠商新發現了一個具有重大危害的木馬并新增到了反病毒引擎廠商的服務器病毒特征庫中，但是由于用戶計算機中的反病毒軟件未及時更新服務器的病毒特征庫至本地病毒特征庫中，可能導致用戶計算機遭受此木馬的危害而不得而知。

現在也出現了一類基于云安全的惡意程序判別系統和云計算惡意代碼分析系統，此類系統可準實時防御新增的惡意代碼，保障用戶客戶端機器免遭危害。但是此類系統側重于云端后臺分析判定，其云端主要通過多引擎對照分析客戶端上傳的未知惡意樣本文件后判別樣本黑白，然后提取全文HASH存入黑白名單庫，依靠云端分析來逐漸更新擴充黑白名單庫，并定時或準實時更新給客戶端防御軟件。這樣勢必導致云端服務器壓力增加，而不能快速響應用戶客戶端機器請求，如云端服務器需實時接受樣本、存儲樣本、啟動多引擎對照掃描樣本、樣本黑白決策、逐漸形成黑白名單海量數據庫。

發明內容

本發明提供了一種基于特征向量的反病毒云檢測方法及系統，能夠解決云端服務器對未知文件整體檢測響應慢，存儲壓力大的問題，及時響應客戶端請求，并反饋檢測結果。

一種基于特征向量的反病毒云檢測方法，包括：

客戶端反病毒引擎檢測待檢測文件，若待檢測文件未檢出，則判斷待檢測文件格式；

根據待檢測文件格式，提取待檢測文件的云特征向量；所述云特征向量由根據文件格式預設的文件特征提取位置，所提取的文件特征hash值組成；其中預設的文件特征提取位置一般為已知格式中，易出現惡意代碼的位置，并且針對不同格式的文件，其所預設的文件特征提取位置不同，因此提取特征hash的數量也不同，云特征向量即為一組hash值；

客戶端將所述云特征向量發送到云端服務器，并等待接收云端服務器檢測結果；

判斷云端服務器檢測結果是否為惡意，如果是，則告警并攔截所述待檢測文件，否則忽略所述待檢測文件；

云端服務器接收客戶端發送的云特征向量；

判斷所述云特征向量是否在云端服務器特征庫中，如果是，則判定待檢測文件為惡意，并記錄對應病毒名稱，否則，判定待檢測文件非惡意；

將云端服務器判斷結果發送到客戶端。

所述的方法中，所述客戶端與云端服務器間通過TCP協議傳輸特征向量及判斷結果。通過TCP協議進行數據傳輸的優勢是穩定，且不易丟包，能夠保證數據的準確性。