[發明專利]一種未知病毒檢測方法及系統在審
| 申請號: | 202110534740.3 | 申請日: | 2021-05-17 |
| 公開(公告)號: | CN113360904A | 公開(公告)日: | 2021-09-07 |
| 發明(設計)人: | 毛菲;劉雋良;柳遵梁;王月兵;覃錦端 | 申請(專利權)人: | 杭州美創科技有限公司 |
| 主分類號: | G06F21/56 | 分類號: | G06F21/56 |
| 代理公司: | 杭州杭誠專利事務所有限公司 33109 | 代理人: | 劉正君 |
| 地址: | 310011 浙江省杭州市拱*** | 國省代碼: | 浙江;33 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 未知 病毒 檢測 方法 系統 | ||
1.一種未知病毒檢測方法,其特征在于:包括以下步驟:
S1.各端點主機向服務器上傳主機數據,服務器生成各端點主機Hash數據集合;
S2.對主機數據進行共識機制判定,包括:
統計每個端點主機Hash數據集合中每一條Hash數據在其他端點主機Hash數據集合中出現的次數;根據次數判斷是否符合共識機制,將各端點主機Hash數據分配生成安全文件Hash集合和待定文件Hash集合;
S3.獲取待定文件Hash集合中Hash數據對應的各文件,進行異常行為判定,將異常文件對應Hash數據生成黑名單集合,將正常文件對應Hash數據加入安全文件Hash集合作為白名單集合,將黑名單集合和白名單集合下發到各端點主機;
S4.監控端點主機新增文件,將新增文件Hash數據與黑名單集合和白名單集合進行匹配,判斷病毒文件。
2.根據權利要求1所述的一種未知病毒檢測方法,其特征是步驟S1的具體過程包括:
S11.由各端點主機采集主機數據,主機數據包括主機文件對應的Hash數據集合TDx和端點主機代號Tx,其中x為端點主機數量;
S12.服務器接收到各端點主機上傳的Hash數據集合TDx和端點主機代號Tx后,進行文件Hash統計,生成各端點主機Hash數據集合{TD1,TD2,……,TDx}。
3.根據權利要求1所述的一種未知病毒檢測方法,其特征是步驟S2的具體過程包括:
S21.統計每個端點主機文件Hash數據集合中每一條Hash數據HyDx在集合Texcept(Dx)中出現的次數Sy,其中集合Texcept(Dx)為除了Hash數據HyDx所在Hash數據集合TDx外所有屬于端點主機文件Hash數據集合;
S22.獲得次數統計集合SDx{S1,S2,S3,……,Sy},進行共識比較計算W{(Sy,N)},N為指定的閾值;
S23.將次數統計集合SDx{S1,S2,S3,……,Sy}中每一個元素Sy與N做比較,
當Sy = N 時,則W{(Sy,N)} = 0,認為該Hash數據符合共識機制判定,對應文件安全,將Sy對應Hash數據HyDx放入主機Tx安全文件Hash集合WDx;
當Sy N時,則W{(Sy ,N)} = 1,認為該Hash數據不符合共識機制判定,將Sy對應Hash數據HyDx放入主機Tx待定文件Hash集合PDx;
S24.經過算法W后,各主機Tx對應Hash集合TDx被分為安全文件Hash集合WDx與待定文件Hash集合PDx兩個子集;
S25.統計主機群組T{T1,T2,……,Tx}全部安全文件Hash集合W{WD1,WD2,WD3,……,WDx},對{WD1,WD2,WD3,……,WDx}中各集合元素進行去重,最終生成主機群組T{T1,T2,……,Tx}全部且唯一安全文件Hash集合Wall,統計主機群組T{T1,T2,……,Tx}全部待定文件Hash集合P{PD1,PD2,PD3,……,PDx},對{PD1,PD2,PD3,……,PDx}中各集合元素進行去重,最終生成主機群組T{T1,T2,……,Tx}全部且唯一待定文件Hash集合Pall。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于杭州美創科技有限公司,未經杭州美創科技有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202110534740.3/1.html,轉載請聲明來源鉆瓜專利網。
