一种计算机防护系统及方法

摘要

本发明提供一种计算机防护系统及方法，其摒弃了传统的病毒特征码识别的防护方法，而根据系统中运行的文件的HASH值来判断和识别其是否正常；进一步地，还根据大量用户之间相同或者相类似文件运行情况的比对进行判断和识别；更进一步地，根据对文件的云追踪情况，确定这个文件是否正常。其相当于在数百万计算机之间共同建立一个防范非正常文件的体系，使用用户越多防范越安全，对于新病毒、未知病毒同样有效。

主权项

一种计算机防护系统，包括至少一台服务云端和多个客户端，其中服务云端通过网络与客户端连接，其特征在于，所述服务云端包括检测模块和检测数据库；所述检测模块，用于利用客户端文件的第一文件信息和相应的第一哈希值，与检测数据库中的第二文件信息和相应的第二哈希值进行比对，并判断得到该客户端文件是否为非正常文件的反馈信息，并将反馈信息反馈给客户端；所述比对是指如果该文件的第一文件信息存在服务云端的检测数据库中，并且第一哈希值等于第二哈希值，则根据标注信息判断客户端的该文件是否为正常文件，将判断结果返回客户端，结束；否则，如果该文件的第一文件信息存在服务云端的检测数据库中，但第一哈希值不等于第二哈希值，则判断客户端的该文件有问题，是非正常文件，将判断结果返回客户端；所述检测数据库，用于存储各种文件的第二文件信息和相应的第二哈希值，并标注其是否为正常文件的标注信息；所述客户端包括防护模块，用于在客户端需要确认一文件是否为正常文件时，收集客户端里该文件的第一文件信息，计算出该文件的第一哈希值，并将第一文件信息及第一哈希值发送至服务云端，并根据服务云端的反馈信息确定是否发出警告；所述服务云端，还包括搜集模块和计算模块，其中：所述搜集模块，用于搜集已经确定其是否为非正常文件的各种文件，并提供给计算模块；所述计算模块，用于根据搜集模块提供的文件，获取该文件的第二文件信息，并计算出相应的第二哈希值，以及标注其是否为正常文件的标注信息，然后将该文件的第二文件信息和相应的第二哈希值，以及标注信息存储到检测数据库；所述检测模块，还用于在服务云端不存在与第一文件信息相同的第二文件信息时，在服务云端查找是否存在与第一文件信息相同的多个第三文件信息；如果存在，则将多个第三文件信息及相应的多个第三哈希值与第一文件信息和相应的第一哈希值对应进行比对，计算得到文件信息相同的与第一哈希值相同的第三哈希值的识别比例，并根据识别比例判断该文件是否为非正常文件和安全百分比系数，反馈给客户端；所述客户端，还包括第二收集模块、第二运算模块、第二传输模块；其中：所述第二收集模块，用于主动收集客户端用户文件的第三文件信息；或者经过客户端用户同意，被动收集客户端用户文件的第三文件信息；或者根据服务云端的请求，在客户端查找相应于第一文件信息的文件，并收集该文件的第三文件信息；所述第二运算模块，用于据与第三文件信息相应的文件的进程信息，计算出该文件相应 的第三哈希值；所述第二传输模块，用于将相应文件的第三文件信息和第三哈希值传送给服务云端；所述服务云端还包括汇总模块，用于在服务云端不存在第二文件信息和第三文件信息时，以云追踪方法，根据第一文件信息向相应的多个客户端发出请求，并对客户端反馈的汇总信息进行汇总统计，根据统计结果判断该文件是否为非正常文件，将判断结果返回客户端；所述客户端，还包括记录模块，用于在接收到服务云端根据第一文件信息向客户端发出记录请求后，以云追踪方法，在客户端运行相应的文件的时候，对该文件运行过程中的数据读写、网络连接、以及注册表操作各种文件操作情况记录，并反馈回服务云端。