云安全恶意程序判断系统及方法

摘要

云安全恶意程序判断系统，包括：云端，客户端，虚拟防御组，站点。客户端部署了轻量级恶意代码防御软件，其本地特征库维护的是当前流行恶意代码信息并保持相对稳定的规模，改善了客户端的性能。客户端以虚拟防御组形式进行组织，云端以虚拟防御组为单位分发恶意风险解决方案，同属一个虚拟防御组的成员间可相互交流恶意代码信息，降低了云端的开销。基于该系统的云安全恶意程序判断方法，其工作模式分为在线模式和离线模式。在线模式包括一系列子步骤，客户端通过外网或内网完成本地特征库的更新；离线模式下客户端通过内网完成本地特征库的同步，保障了客户端的离线安全。

主权项

一种云安全恶意程序判断系统，其特征在于，包括：云端，客户端，虚拟防御组，站点；所述云端包括多种异构检测引擎和云端检测结果数据库，用于接收和处理来自所述客户端的恶意风险实时请求；所述多种异构检测引擎，部署在物理机或虚拟机中，用于综合分析客户端上传的可疑文件的安全性；所述综合分析方法包括Dempster‑Shafer或决策树等算法；所述云端检测结果数据库，用于存储所有客户端提交的恶意风险处理结果，包括文件名、文件大小、Hash值、检测结果、查询次数等信息；所述客户端包括一个轻量级恶意代码防御软件；所述轻量级恶意代码软件包括一个轻量级恶意检测引擎和本地特征库；所述轻量级恶意检测引擎，用于上传日常遭遇的恶意风险和接收来自云端以及其它客户端的恶意解决方案；所述本地特征库，用于存储当前流行的恶意代码信息；所述虚拟防御组包括局域网内一定数量规模的客户端用户群；所述虚拟防御组内某个在线所述客户端被所述云端更新了所述本地特征库，该客户端便在组内发出广播信息，组内其它成员可直接与该客户端完成最新特征码的同步；所述虚拟防御组内任何所述客户端一旦完成了特征库更新任务即转换为“服务端”角色，方便其他未更新所述客户端访问；所述站点包括所述客户端所需的各种信息，是所述客户端进行信息浏览和下载的资源库。