專利一種基于云的樣本數(shù)據(jù)庫動態(tài)維護(hù)方法01專利背景附圖說明實(shí)施方式發(fā)明內(nèi)容權(quán)利要求榮譽(yù)表彰目錄0305020406基本信息《一種基于云的樣本數(shù)據(jù)庫動態(tài)維護(hù)方法》是奇智軟件（北京）有限公司于2010年8月18日申請的發(fā)明專利，該專利的申請?zhí)枮?9，公布號為CNA，公布日為2010年12月22日，發(fā)明人是齊向東、徐貴斌、范紀(jì)锽。《一種基于云的樣本數(shù)據(jù)庫動態(tài)維護(hù)方法》首先由客戶端計(jì)算機(jī)收集程序特征及其對應(yīng)的程序行為，并傳送至服務(wù)器端；然后在服務(wù)器端數(shù)據(jù)庫中記錄不同的程序特征及其對應(yīng)的程序行為，以及黑/白名單；結(jié)合現(xiàn)有已知黑/白名單中的程序特征及其對應(yīng)的程序行為，對未知程序特征及程序行為進(jìn)行分析，以更新黑/白名單。該發(fā)明通過客戶端收集程序行為并關(guān)聯(lián)到程序特征，從而在數(shù)據(jù)庫中記錄程序特征及其對應(yīng)的程序行為，根據(jù)收集到的程序行為和程序特征的關(guān)聯(lián)關(guān)系，可以在數(shù)據(jù)庫中對樣本進(jìn)行分析歸納，從而有助于對軟件或程序進(jìn)行黑白的分類判別，還可以針對黑名單中的惡意軟件制定相應(yīng)的清除或恢復(fù)措施。2014年11月6日，《一種基于云的樣本數(shù)據(jù)庫動態(tài)維護(hù)方法》獲得第十六屆中國專利優(yōu)秀獎(jiǎng)。（概述圖為《一種基于云的樣本數(shù)據(jù)庫動態(tài)維護(hù)方法》摘要附圖）專利背景專利背景截至2010年8月，隨著計(jì)算機(jī)技術(shù)在社會生活中各個(gè)領(lǐng)域的廣泛運(yùn)用，惡意程序（Malwar，malicioussoftware，指任何故意創(chuàng)建用來執(zhí)行未經(jīng)授權(quán)并通常是有害行為的軟件程序）也如同其附屬品一樣接踵而來。由于這些惡意程序所具有的感染性、復(fù)制性及破壞性，其已成為困擾計(jì)算機(jī)使用的一個(gè)重大問題，因此，在絡(luò)威脅飆升的今天，更新病毒特征碼成為企業(yè)及民每天必備的工作，從每周一次到每天一次，直至?xí)r刻更新，而傳統(tǒng)殺毒軟件是將病毒庫放在客戶端計(jì)算機(jī)，在客戶端進(jìn)行文件的分析工作，在掃描過程中會反復(fù)在本地病毒庫中進(jìn)行比對，占用大量系統(tǒng)資源，并且隨著病毒庫的不斷升級，病毒庫的容量越來越大，分析文件時(shí)所耗費(fèi)的時(shí)間也越來越長，讓客戶端計(jì)算機(jī)越用越慢，因此，反病毒行業(yè)必須尋找新的技術(shù)突破?！霸瓢踩–loudSecurity）”計(jì)劃即是絡(luò)時(shí)代信息安全的最新體現(xiàn)，它融合了并行處理、格計(jì)算、未知病毒行為判斷等新興技術(shù)概念，將“云計(jì)算”的理念應(yīng)用到了安全領(lǐng)域?！霸瓢踩庇?jì)劃的實(shí)現(xiàn)是與其樣本數(shù)據(jù)庫的構(gòu)建息息相關(guān)的，因此，如何有效的組織并維護(hù)樣本數(shù)據(jù)庫，遂成為業(yè)界亟待解決的問題。

發(fā)明內(nèi)容專利目的改善效果技術(shù)方案發(fā)明內(nèi)容專利目的《一種基于云的樣本數(shù)據(jù)庫動態(tài)維護(hù)方法》所要解決的技術(shù)問題在于提供一種基于云的樣本數(shù)據(jù)庫動態(tài)維護(hù)方法，以提高數(shù)據(jù)庫維護(hù)以及程序分析的效率，幫助對程序進(jìn)行黑白判別以及文件的恢復(fù)。

技術(shù)方案《一種基于云的樣本數(shù)據(jù)庫動態(tài)維護(hù)方法》包括如下步驟：由客戶端計(jì)算機(jī)收集程序特征及其對應(yīng)的程序行為，并傳送至服務(wù)器端；在服務(wù)器端數(shù)據(jù)庫中記錄不同的程序特征及其對應(yīng)的程序行為，以及黑/白名單；結(jié)合現(xiàn)有已知黑/白名單中的程序特征及其對應(yīng)的程序行為，對未知程序特征及程序行為進(jìn)行分析，以更新黑/白名單。其中，所述對未知程序特征及其程序行為進(jìn)行分析的步驟，可以包括：如果未知程序特征與現(xiàn)有黑/白名單中的已知程序特征相同，則將該未知程序特征及其程序行為列入黑/白名單。其中，所述對未知程序特征及其程序行為進(jìn)行分析的步驟，可以包括：如果未知程序行為與現(xiàn)有黑/白名單中的已知程序行為相同或近似，則將該未知程序行為及其程序特征列入黑/白名單。其中，所述方法可以進(jìn)一步包括：在具有相同或近似行為的程序之間建立行為與特征的關(guān)聯(lián)關(guān)系；根據(jù)所述具有相同或近似行為的程序之間的關(guān)聯(lián)關(guān)系，對未知程序特征及程序行為進(jìn)行分析，以更新黑/白名單。其中，所述對未知程序特征及其程序行為進(jìn)行分析的步驟，可以包括：當(dāng)某程序行為被列入黑/白名單時(shí)，在數(shù)據(jù)庫中將該程序行為對應(yīng)的程序特征列入黑/白名單，并將與該程序行為有關(guān)聯(lián)關(guān)系的其他程序行為和程序特征也列入黑/白名單。改善效果該發(fā)明通過客戶端收集程序行為并關(guān)聯(lián)到程序特征，從而在數(shù)據(jù)庫中記錄程序特征及其對應(yīng)的程序行為，根據(jù)收集到的程序行為和程序特征的關(guān)聯(lián)關(guān)系，可以在數(shù)據(jù)庫中對樣本進(jìn)行分析歸納，從而有助于對軟件或程序進(jìn)行黑白的分類判別，還可以針對黑名單中的惡意軟件制定相應(yīng)的清除或恢復(fù)措施。

附圖說明附圖說明圖1為《一種基于云的樣本數(shù)據(jù)庫動態(tài)維護(hù)方法》的實(shí)施模式示意圖；圖2為根據(jù)該發(fā)明實(shí)施例所述的基于云的樣本數(shù)據(jù)庫動態(tài)維護(hù)方法流程圖；圖3為根據(jù)該發(fā)明實(shí)施例所述的關(guān)聯(lián)關(guān)系示意圖；圖4為根據(jù)該發(fā)明實(shí)施例所述的文件恢復(fù)流程圖；圖5為根據(jù)該發(fā)明實(shí)施例所述的分析流程示意圖。

權(quán)利要求權(quán)利要求1.《一種基于云的樣本數(shù)據(jù)庫動態(tài)維護(hù)方法》其特征在于，包括如下步驟：由客戶端計(jì)算機(jī)收集程序特征及其對應(yīng)的程序行為，并傳送至服務(wù)器端；在服務(wù)器端數(shù)據(jù)庫中記錄不同的程序特征及其對應(yīng)的程序行為，以及黑/白名單；結(jié)合現(xiàn)有已知黑/白名單中的程序特征及其對應(yīng)的程序行為，在具有相同或近似行為的程序之間建立行為與特征的關(guān)聯(lián)關(guān)系，根據(jù)所述具有相同或近似行為的程序之間的關(guān)聯(lián)關(guān)系，對未知程序特征及程序行為進(jìn)行分析，以更新黑/白名單。2.如權(quán)利要求1所述的方法，其特征在于，所述對未知程序特征及其程序行為進(jìn)行分析的步驟，進(jìn)一步包括：如果未知程序特征與現(xiàn)有黑/白名單中的已知程序特征相同，則將該未知程序特征及其程序行為列入黑/白名單；如果未知程序行為與現(xiàn)有黑/白名單中的已知程序行為相同或近似，則將該未知程序行為及其程序特征列入黑/白名單。3.如權(quán)利要求1所述的方法，其特征在于，所述對未知程序特征及其程序行為進(jìn)行分析的步驟，進(jìn)一步包括：當(dāng)某程序行為被列入黑/白名單時(shí)，在數(shù)據(jù)庫中將該程序行為對應(yīng)的程序特征列入黑/白名單，并將與該程序行為有關(guān)聯(lián)關(guān)系的其他程序行為和程序特征也列入黑/白名單。4.實(shí)施方式實(shí)施方式云結(jié)構(gòu)就是一個(gè)大型的客戶端/服務(wù)器（CS）架構(gòu)，如圖1所示，為該發(fā)明的實(shí)施模式示意圖。該發(fā)明的核心思想在于通過大量客戶端計(jì)算機(jī)102收集各種程序的行為（可以是單一行為，也可以是一組行為的組合），特別是可疑程序的行為，并將程序行為關(guān)聯(lián)到該程序的特征，而在服務(wù)器端的數(shù)據(jù)庫104中則可以記錄一個(gè)程序的特征及其對應(yīng)的行為記錄。這樣，在服務(wù)器端，即可依據(jù)程序行為或程序特征或一組程序行為和程序特征，在數(shù)據(jù)庫中進(jìn)行歸納和分析，從而有助于對軟件或程序進(jìn)行黑白的分類判別。進(jìn)一步的，還可以針對黑名單中的惡意軟件制定相應(yīng)的清除或恢復(fù)措施。上述程序行為，可以是例如驅(qū)動加載行為，文件生成行為，程序或代碼的加載行為，添加系統(tǒng)啟動項(xiàng)行為，或文件或程序的修改行為等，或者是一系列行為的組合。上述程序特征可以是經(jīng)由MD5（Message-DigestAlgorithm5，信息-摘要算法）運(yùn)算得出的MD5驗(yàn)證碼，或SHA1碼，或CRC（CyclicRedundancyCheck，循環(huán)冗余校驗(yàn)）碼等可唯一標(biāo)識原程序的特征碼。如圖2所示，為根據(jù)該發(fā)明實(shí)施例所述的基于云的樣本數(shù)據(jù)庫動態(tài)維護(hù)方法流程圖，首先，由客戶端計(jì)算機(jī)收集程序特征及其對應(yīng)的程序行為，并傳送至服務(wù)器端（步驟202）；然后在服務(wù)器端數(shù)據(jù)庫