本技術(shù)涉及云安全��,具體而言����,涉及一種惡意軟件的檢測方法�����、裝置及電子設(shè)備���。
背景技術(shù):
1���、云安全中心掃描云端及云外用戶終端上的海量軟件文件����,并對其內(nèi)容進(jìn)行檢測���,這些文件從用戶終端服務(wù)器上采集后��,需要經(jīng)過跨專有網(wǎng)絡(luò)���、跨地區(qū)網(wǎng)絡(luò)上報(bào)以及上傳到云中心保存。整個(gè)惡意軟件的檢測流程冗長且復(fù)雜�,任一位置的節(jié)點(diǎn)出現(xiàn)故障都可能導(dǎo)致服務(wù)整體不可用,在文件檢測場景下�,大量的文件將被送到云中心處理,云中心承擔(dān)了數(shù)據(jù)傳輸��、軟件檢測����、結(jié)果保存等大量流量,發(fā)生故障的概率較高���,且在故障發(fā)生時(shí)的緩沖空間很小�����。
2���、目前,現(xiàn)有的惡意軟件檢測系統(tǒng)一般為終端檢測(如殺毒軟件檢測)和云端檢測�����。終端檢測在本地完成檢測邏輯�,包括采集文件、檢測�、報(bào)警和查殺等,與云計(jì)算基本無關(guān)�,具有低時(shí)延和低成本的特點(diǎn),但是檢測能力較差��,不能有效利用云端的強(qiáng)大算力完成高精度的惡意軟件查殺��。純中心化的云端檢測簡單易用�����,準(zhǔn)確度高��,但是在多地區(qū)之間需要大量的數(shù)據(jù)傳輸和多次的跨網(wǎng)絡(luò)交互,時(shí)效性較低��,延遲較高導(dǎo)致惡意軟件的檢測效率較低�,并且在軟件啟動(dòng)防御的場景下,惡意軟件從被客戶端采集到控制臺告警的時(shí)延最短也要幾百毫秒����,客戶端會在幾百毫秒甚至幾秒的時(shí)間內(nèi)暫停進(jìn)程的啟動(dòng),直到確認(rèn)進(jìn)程無害之后����,才允許其繼續(xù)運(yùn)行,這一時(shí)延在用戶服務(wù)時(shí)效性較敏感的時(shí)候可能會造成故障��。
3�、針對上述的問題,目前尚未提出有效的解決方案���。
技術(shù)實(shí)現(xiàn)思路
1���、本技術(shù)實(shí)施例提供了一種惡意軟件的檢測方法、裝置及電子設(shè)備���,以至少解決相關(guān)技術(shù)中通過云端系統(tǒng)檢測終端的惡意軟件��,存在延遲較高導(dǎo)致惡意軟件的檢測效率較低的技術(shù)問題���。
2��、根據(jù)本技術(shù)實(shí)施例的一個(gè)方面��,提供了一種惡意軟件的檢測方法����,包括:通過云中心節(jié)點(diǎn)接收云邊緣節(jié)點(diǎn)發(fā)送的目標(biāo)請求��,其中�����,目標(biāo)請求中至少包括目標(biāo)處理策略和目標(biāo)數(shù)值���,目標(biāo)處理策略為以下之一:檢測策略、防御策略�����,檢測策略與防御策略對應(yīng)的軟件狀態(tài)不同���,目標(biāo)數(shù)值用于標(biāo)識軟件的軟件文件���;依據(jù)目標(biāo)處理策略和目標(biāo)數(shù)值檢測軟件是否為惡意軟件���,得到目標(biāo)檢測結(jié)果。
3��、進(jìn)一步地����,云中心節(jié)點(diǎn)部署有惡意文件庫和多個(gè)檢測引擎,在目標(biāo)處理策略為檢測策略的情況下�,依據(jù)目標(biāo)處理策略和目標(biāo)數(shù)值檢測軟件是否為惡意軟件,得到目標(biāo)檢測結(jié)果�����,包括:依據(jù)目標(biāo)數(shù)值在惡意文件庫中進(jìn)行匹配�,得到第一匹配結(jié)果;若第一匹配結(jié)果為惡意文件庫中存在與目標(biāo)數(shù)值相同的記錄����,則依據(jù)記錄包含的記錄檢測結(jié)果確定目標(biāo)檢測結(jié)果;若第一匹配結(jié)果為惡意文件庫中不存在與目標(biāo)數(shù)值相同的記錄,則接收云邊緣節(jié)點(diǎn)上傳的軟件文件����,并通過多個(gè)檢測引擎檢測軟件文件內(nèi)容,得到多個(gè)檢測結(jié)果�,依據(jù)多個(gè)檢測結(jié)果確定目標(biāo)檢測結(jié)果。
4���、進(jìn)一步地�,云中心節(jié)點(diǎn)部署有惡意文件庫和多個(gè)檢測引擎�,在目標(biāo)處理策略為防御策略的情況下,依據(jù)目標(biāo)處理策略和目標(biāo)數(shù)值檢測軟件是否為惡意軟件�����,得到目標(biāo)檢測結(jié)果�����,包括:依據(jù)目標(biāo)數(shù)值在惡意文件庫中進(jìn)行匹配��,得到第二匹配結(jié)果�;若第二匹配結(jié)果為惡意文件庫中存在與目標(biāo)數(shù)值相同的記錄�����,則依據(jù)記錄包含的記錄檢測結(jié)果確定目標(biāo)檢測結(jié)果;若第二匹配結(jié)果為惡意文件庫中不存在與目標(biāo)數(shù)值相同的記錄�,則通知云邊緣節(jié)點(diǎn)釋放對軟件的啟動(dòng)進(jìn)程的暫停,并接收云邊緣節(jié)點(diǎn)上傳的軟件文件���,通過多個(gè)檢測引擎異步檢測軟件文件內(nèi)容���,得到多個(gè)檢測結(jié)果,依據(jù)多個(gè)檢測結(jié)果確定目標(biāo)檢測結(jié)果�����。
5�����、進(jìn)一步地����,在目標(biāo)處理策略為檢測策略的情況下,在依據(jù)目標(biāo)處理策略和目標(biāo)數(shù)值檢測軟件是否為惡意軟件�,得到目標(biāo)檢測結(jié)果之后,該方法還包括:若目標(biāo)檢測結(jié)果為軟件為惡意軟件�,則依據(jù)軟件的文件信息生成告警信息,并將告警信息發(fā)送至控制臺;若目標(biāo)檢測結(jié)果為軟件為惡意軟件或目標(biāo)檢測結(jié)果為軟件為非惡意軟件��,則在惡意文件庫中對目標(biāo)數(shù)值和目標(biāo)檢測結(jié)果進(jìn)行存儲�,并將目標(biāo)檢測結(jié)果下發(fā)至云邊緣節(jié)點(diǎn)。
6�、進(jìn)一步地,在目標(biāo)處理策略為防御策略的情況下���,在依據(jù)目標(biāo)處理策略和目標(biāo)數(shù)值檢測軟件是否為惡意軟件��,得到目標(biāo)檢測結(jié)果之后��,該方法還包括:若目標(biāo)檢測結(jié)果為軟件為惡意軟件��,則結(jié)束啟動(dòng)進(jìn)程��,以禁止軟件啟動(dòng)���;若目標(biāo)檢測結(jié)果為軟件為惡意軟件或目標(biāo)檢測結(jié)果為軟件為非惡意軟件���,則在惡意文件庫中對目標(biāo)數(shù)值和目標(biāo)檢測結(jié)果進(jìn)行存儲�����,并將目標(biāo)檢測結(jié)果下發(fā)至云邊緣節(jié)點(diǎn)�。
7、根據(jù)本技術(shù)實(shí)施例的一個(gè)方面�,還提供了一種惡意軟件的檢測方法,包括:通過云邊緣節(jié)點(diǎn)接收終端節(jié)點(diǎn)發(fā)送的第一請求���,其中���,第一請求中至少包括目標(biāo)處理策略和目標(biāo)數(shù)值,目標(biāo)處理策略為以下之一:檢測策略����、防御策略,檢測策略與防御策略對應(yīng)的軟件狀態(tài)不同���,目標(biāo)數(shù)值用于標(biāo)識軟件的軟件文件��;依據(jù)目標(biāo)處理策略和目標(biāo)數(shù)值檢測軟件是否為惡意軟件����,得到第一檢測結(jié)果���;在第一檢測結(jié)果表示無法確定軟件是否為惡意軟件的情況下���,向云中心節(jié)點(diǎn)發(fā)送目標(biāo)請求����,以接收云中心節(jié)點(diǎn)返回的目標(biāo)檢測結(jié)果�。
8、進(jìn)一步地����,云邊緣節(jié)點(diǎn)部署有惡意文件子數(shù)據(jù)庫和子檢測引擎,在目標(biāo)處理策略為檢測策略的情況下�,依據(jù)目標(biāo)處理策略和目標(biāo)數(shù)值檢測軟件是否為惡意軟件,得到第一檢測結(jié)果�����,包括:依據(jù)目標(biāo)數(shù)值在惡意文件子數(shù)據(jù)庫中進(jìn)行匹配�����,得到第三匹配結(jié)果�����;若第三匹配結(jié)果為惡意文件子數(shù)據(jù)庫中存在與目標(biāo)數(shù)值相同的記錄�����,則依據(jù)記錄包含的記錄檢測結(jié)果確定第一檢測結(jié)果���;若第三匹配結(jié)果為惡意文件子數(shù)據(jù)庫中不存在與目標(biāo)數(shù)值相同的記錄��,則接收終端節(jié)點(diǎn)上傳的軟件文件�,并通過子檢測引擎檢測軟件文件內(nèi)容�,在子檢測引擎無法確定軟件文件內(nèi)容是否存在惡意行為的情況下,將無法確定軟件是否為惡意軟件作為第一檢測結(jié)果���。
9��、進(jìn)一步地���,云邊緣節(jié)點(diǎn)部署有惡意文件子數(shù)據(jù)庫,在目標(biāo)處理策略為防御策略的情況下���,依據(jù)目標(biāo)處理策略和目標(biāo)數(shù)值檢測軟件是否為惡意軟件�����,得到第一檢測結(jié)果��,包括:依據(jù)目標(biāo)數(shù)值在惡意文件子數(shù)據(jù)庫中進(jìn)行匹配�,得到第四匹配結(jié)果;若第四匹配結(jié)果為惡意文件子數(shù)據(jù)庫中存在與目標(biāo)數(shù)值相同的記錄���,則依據(jù)記錄包含的記錄檢測結(jié)果確定第一檢測結(jié)果��;若第四匹配結(jié)果為惡意文件子數(shù)據(jù)庫中不存在與目標(biāo)數(shù)值相同的記錄���,則將無法確定軟件是否為惡意軟件作為第一檢測結(jié)果。
10�����、根據(jù)本技術(shù)實(shí)施例的另一方面��,還提供了一種惡意軟件的檢測裝置�,包括:第一接收單元,用于通過云中心節(jié)點(diǎn)接收云邊緣節(jié)點(diǎn)發(fā)送的目標(biāo)請求�,其中,目標(biāo)請求中至少包括目標(biāo)處理策略和目標(biāo)數(shù)值���,目標(biāo)處理策略為以下之一:檢測策略��、防御策略�����,檢測策略與防御策略對應(yīng)的軟件狀態(tài)不同�����,目標(biāo)數(shù)值用于標(biāo)識軟件的軟件文件��;第一確定單元�,用于依據(jù)目標(biāo)處理策略和目標(biāo)數(shù)值檢測軟件是否為惡意軟件�����,得到目標(biāo)檢測結(jié)果����。
11、進(jìn)一步地�,云中心節(jié)點(diǎn)部署有惡意文件庫和多個(gè)檢測引擎,在目標(biāo)處理策略為檢測策略的情況下�����,第一確定單元包括:第一匹配子單元�����,用于依據(jù)目標(biāo)數(shù)值在惡意文件庫中進(jìn)行匹配,得到第一匹配結(jié)果���;第一確定子單元�����,用于若第一匹配結(jié)果為惡意文件庫中存在與目標(biāo)數(shù)值相同的記錄��,則依據(jù)記錄包含的記錄檢測結(jié)果確定目標(biāo)檢測結(jié)果�����;第二確定子單元���,用于若第一匹配結(jié)果為惡意文件庫中不存在與目標(biāo)數(shù)值相同的記錄,則接收云邊緣節(jié)點(diǎn)上傳的軟件文件����,并通過多個(gè)檢測引擎檢測軟件文件內(nèi)容,得到多個(gè)檢測結(jié)果����,依據(jù)多個(gè)檢測結(jié)果確定目標(biāo)檢測結(jié)果��。
12����、進(jìn)一步地��,云中心節(jié)點(diǎn)部署有惡意文件庫和多個(gè)檢測引擎��,在目標(biāo)處理策略為防御策略的情況下���,第一確定單元包括:第二匹配子單元,用于依據(jù)目標(biāo)數(shù)值在惡意文件庫中進(jìn)行匹配���,得到第二匹配結(jié)果����;第三確定子單元����,用于若第二匹配結(jié)果為惡意文件庫中存在與目標(biāo)數(shù)值相同的記錄,則依據(jù)記錄包含的記錄檢測結(jié)果確定目標(biāo)檢測結(jié)果��;第四確定子單元,用于若第二匹配結(jié)果為惡意文件庫中不存在與目標(biāo)數(shù)值相同的記錄����,則通知云邊緣節(jié)點(diǎn)釋放對軟件的啟動(dòng)進(jìn)程的暫停,并接收云邊緣節(jié)點(diǎn)上傳的軟件文件����,通過多個(gè)檢測引擎異步檢測軟件文件內(nèi)容,得到多個(gè)檢測結(jié)果�����,依據(jù)多個(gè)檢測結(jié)果確定目標(biāo)檢測結(jié)果�。
13、進(jìn)一步地�,該裝置還包括:第一處理單元,用于在目標(biāo)處理策略為檢測策略的情況下�,在依據(jù)目標(biāo)處理策略和目標(biāo)數(shù)值檢測軟件是否為惡意軟件,得到目標(biāo)檢測結(jié)果之后�����,若目標(biāo)檢測結(jié)果為軟件為惡意軟件��,則依據(jù)軟件的文件信息生成告警信息���,并將告警信息發(fā)送至控制臺���;第二處理單元����,用于若目標(biāo)檢測結(jié)果為軟件為惡意軟件或目標(biāo)檢測結(jié)果為軟件為非惡意軟件��,則在惡意文件庫中對目標(biāo)數(shù)值和目標(biāo)檢測結(jié)果進(jìn)行存儲�,并將目標(biāo)檢測結(jié)果下發(fā)至云邊緣節(jié)點(diǎn)。
14����、進(jìn)一步地��,該裝置還包括:第三處理單元��,用于在目標(biāo)處理策略為防御策略的情況下����,在依據(jù)目標(biāo)處理策略和目標(biāo)數(shù)值檢測軟件是否為惡意軟件,得到目標(biāo)檢測結(jié)果之后�����,若目標(biāo)檢測結(jié)果為軟件為惡意軟件,則結(jié)束啟動(dòng)進(jìn)程�����,以禁止軟件啟動(dòng)�;第四處理單元,用于若目標(biāo)檢測結(jié)果為軟件為惡意軟件或目標(biāo)檢測結(jié)果為軟件為非惡意軟件���,則在惡意文件庫中對目標(biāo)數(shù)值和目標(biāo)檢測結(jié)果進(jìn)行存儲���,并將目標(biāo)檢測結(jié)果下發(fā)至云邊緣節(jié)點(diǎn)。
15�、根據(jù)本技術(shù)實(shí)施例的另一方面,還提供了一種惡意軟件的檢測裝置����,包括:第二接收單元,用于通過云邊緣節(jié)點(diǎn)接收終端節(jié)點(diǎn)發(fā)送的第一請求����,其中,第一請求中至少包括目標(biāo)處理策略和目標(biāo)數(shù)值�����,目標(biāo)處理策略為以下之一:檢測策略、防御策略�����,檢測策略與防御策略對應(yīng)的軟件狀態(tài)不同�,目標(biāo)數(shù)值用于標(biāo)識軟件的軟件文件;第二確定單元�,用于依據(jù)目標(biāo)處理策略和目標(biāo)數(shù)值檢測軟件是否為惡意軟件,得到第一檢測結(jié)果���;第一發(fā)送單元�,用于在第一檢測結(jié)果表示無法確定軟件是否為惡意軟件的情況下�����,向云中心節(jié)點(diǎn)發(fā)送目標(biāo)請求��,以接收云中心節(jié)點(diǎn)返回的目標(biāo)檢測結(jié)果�。
16���、進(jìn)一步地���,云邊緣節(jié)點(diǎn)部署有惡意文件子數(shù)據(jù)庫和子檢測引擎��,在目標(biāo)處理策略為檢測策略的情況下�����,第二確定單元包括:第三匹配子單元����,用于依據(jù)目標(biāo)數(shù)值在惡意文件子數(shù)據(jù)庫中進(jìn)行匹配�,得到第三匹配結(jié)果;第五確定子單元�,用于若第三匹配結(jié)果為惡意文件子數(shù)據(jù)庫中存在與目標(biāo)數(shù)值相同的記錄,則依據(jù)記錄包含的記錄檢測結(jié)果確定第一檢測結(jié)果����;第六確定子單元,用于若第三匹配結(jié)果為惡意文件子數(shù)據(jù)庫中不存在與目標(biāo)數(shù)值相同的記錄���,則接收終端節(jié)點(diǎn)上傳的軟件文件�����,并通過子檢測引擎檢測軟件文件內(nèi)容�����,在子檢測引擎無法確定軟件文件內(nèi)容是否存在惡意行為的情況下����,將無法確定軟件是否為惡意軟件作為第一檢測結(jié)果。
17�����、進(jìn)一步地��,云邊緣節(jié)點(diǎn)部署有惡意文件子數(shù)據(jù)庫�,在目標(biāo)處理策略為防御策略的情況下,第二確定單元包括:第四匹配子單元����,用于依據(jù)目標(biāo)數(shù)值在惡意文件子數(shù)據(jù)庫中進(jìn)行匹配,得到第四匹配結(jié)果����;第七確定子單元�����,用于若第四匹配結(jié)果為惡意文件子數(shù)據(jù)庫中存在與目標(biāo)數(shù)值相同的記錄��,則依據(jù)記錄包含的記錄檢測結(jié)果確定第一檢測結(jié)果;第八確定子單元�,用于若第四匹配結(jié)果為惡意文件子數(shù)據(jù)庫中不存在與目標(biāo)數(shù)值相同的記錄,則將無法確定軟件是否為惡意軟件作為第一檢測結(jié)果�。
18、根據(jù)本發(fā)明實(shí)施例的另一方面�����,還提供了一種計(jì)算機(jī)可讀存儲介質(zhì)���,所述存儲介質(zhì)存儲程序��,其中���,在所述程序運(yùn)行時(shí)控制所述存儲介質(zhì)所在設(shè)備執(zhí)行上述任意一項(xiàng)所述的惡意軟件的檢測方法。
19����、根據(jù)本發(fā)明實(shí)施例的另一方面,還提供了一種電子設(shè)備�,包括:存儲器,存儲有可執(zhí)行程序���;處理器����,用于運(yùn)行所述程序,其中���,所述程序運(yùn)行時(shí)執(zhí)行上述任意一項(xiàng)所述的惡意軟件的檢測方法��。
20��、在本技術(shù)實(shí)施例中�,采用基于云邊端(云中心-云邊緣-終端)的多層協(xié)同進(jìn)行惡意軟件檢測和防御的方式��,通過云中心節(jié)點(diǎn)接收云邊緣節(jié)點(diǎn)發(fā)送的目標(biāo)請求�,其中,目標(biāo)請求中至少包括目標(biāo)處理策略和目標(biāo)數(shù)值�,目標(biāo)處理策略為以下之一:檢測策略、防御策略���,檢測策略與防御策略對應(yīng)的軟件狀態(tài)不同����,目標(biāo)數(shù)值用于標(biāo)識軟件的軟件文件���;依據(jù)目標(biāo)處理策略和目標(biāo)數(shù)值檢測軟件是否為惡意軟件��,得到目標(biāo)檢測結(jié)果�����。通過云邊緣節(jié)點(diǎn)接收終端節(jié)點(diǎn)發(fā)送的第一請求��,其中��,第一請求中至少包括目標(biāo)處理策略和目標(biāo)數(shù)值���;依據(jù)目標(biāo)處理策略和目標(biāo)數(shù)值檢測軟件是否為惡意軟件,得到第一檢測結(jié)果�;在第一檢測結(jié)果表示無法確定軟件是否為惡意軟件的情況下,向云中心節(jié)點(diǎn)發(fā)送目標(biāo)請求�,以接收云中心節(jié)點(diǎn)返回的目標(biāo)檢測結(jié)果。
21���、綜上���,基于云邊端(云中心-云邊緣-終端)的多層協(xié)同進(jìn)行惡意軟件檢測和防御,利用終端的近端優(yōu)勢執(zhí)行不消耗性能的檢測和采集工作���,完成低延時(shí)�、低成本的第一層防護(hù),通過下發(fā)到終端的規(guī)則可以識別基本的惡意軟件行為�,并直接產(chǎn)生告警以及軟件啟動(dòng)攔截動(dòng)作,從而避免大量的數(shù)據(jù)傳輸���,然后對不同層級的云邊緣節(jié)點(diǎn)緩存軟件檢測結(jié)果���,并部署只有部分檢測規(guī)則的單引擎,在云邊緣節(jié)點(diǎn)中進(jìn)行文件比對�,然后在云中心采用多引擎架構(gòu),提供較完整的檢測能力�,對上報(bào)到云中心的文件進(jìn)行檢測,并將結(jié)果同步到云邊緣節(jié)點(diǎn)�,增強(qiáng)云邊緣節(jié)點(diǎn)的過濾能力,達(dá)到了通過云邊端的多層協(xié)同來降低請求的延時(shí)��、增強(qiáng)整體可用性的目的���,從而實(shí)現(xiàn)了降低延遲����,提高惡意軟件的檢測效率的技術(shù)效果���,進(jìn)而解決了相關(guān)技術(shù)中通過云端系統(tǒng)檢測終端的惡意軟件���,存在延遲較高導(dǎo)致惡意軟件的檢測效率較低的技術(shù)問題���。