基于自适应分类器的云查杀方法及系统的制作方法

基于自适应分类器的云查杀方法及系统的制作方法
【专利摘要】本发明提供一种基于自适应分类器的云查杀方法及系统，其中的方法包括：客户端基于汉明距离分类器对文件进行分类检测；当文件的特征与轻量级黑白名单特征库中的特征匹配不成功时，客户端将文件发送给云端；云端基于至少两级汉明距离的hash值分类器对文件进行分类检测；当文件的特征与云端的黑白名单特征库中的特征匹配成功时，云端根据所统计的文件的特征的命中率，将预定时间间隔内的命中率排名在预定范围的文件发送给客户端进行轻量级黑白名单特征库的更新，同时汉明距离分类器完成自适应更新。通过本发明能够提高文件特征的过滤效率和命中几率，减少客户端送往云端的数据，同时缩短文件的特征在云端的查询距离，提高搜索特征的效率。
【专利说明】基于自适应分类器的云查杀方法及系统

【技术领域】
[0001]本发明涉及云安全【技术领域】，更为具体地，涉及一种基于自适应分类器的云查杀方法及系统。

【背景技术】
[0002]云安全是网络时代信息安全的最新体现，而云安全技术则是P2P技术、网络技术以及云计算技术等分布式计算技术混合发展、自然演化的结果。由于云端存储的特征库可以比原有硬件设备大很多，因此利用云安全技术将特征库转移到云端能够降低设备内存的开销，同时利用云端高性能的处理能力，将安全扫描也转移到云端能够降低安全扫描对硬件设备性能的影响。正是由于云安全技术具有以上优势，因此其已经成为越来越多安全厂家的选择，然而这也给云安全带来了新的问题。
[0003]从安全性角度考虑，无论国际上各大信息安全厂商还是国内主要信息安全厂商，其云安全产品都已经呈现出越来越明显的集中化，这是由以下两方面所造成的:其一，终端不再保存数据，攻击终端的效果越来越不明显；其二，终端的轻量级化与多样化等原因导致攻击终端的难度逐渐增加。基于上述两方面的原因，现如今恶意攻击者更多地将攻击的矛头指向了服务器端，即云端。近两年所出现的APT (Advanced Persistent Threat,高级持续性威胁)就可以运用多种渗透手段对云端平台进行恶意攻击。针对上述情况，如果尽量减少客户端发往云端的数据量，则可以在一定程度上减小这种云端攻击的概率。
[0004]从性能角度考虑，随着云计算时代安全集中化趋势的来临，对云安全的高性能要求也达到了前所未有的高度。云安全面对层出不穷的网络攻击，其如何降低客户端对云端的依赖性，如何提高响应速度已经成为提高其自身安全性的关键途径。当今许多主流厂商(例如Palo Alto、Checkpoint、Fortinet、360、趋势科技等)大多采用黑白名单的方式来尽量减少特征库的匹配过程，以便提高整个云查杀的性能并同时降低相应的损耗，但其黑白名单技术仍然存在如下问题:
[0005]1、数量级为几千万的黑白名单在查找过程中仍然会占用很大的资源并带来一定的性能损耗；
[0006]2、黑白名单中很多使用频率低的样本占用了相当高比例的查询时间。
[0007]针对上述问题，很多厂商都采用基于硬件的二级黑白名单机制，即将数量级较大的黑白名单部署在处理能力较强的云端，将轻量级的黑白名单部署在本地客户端以起到一个预过滤的作用。但采用基于硬件的二级黑白名单机制同样存在如下问题:
[0008]1、黑白名单都设置在硬件上，不利于黑白名单的调节，随着时间的推移，送往云端检验的数据量会越来越多，最终导致云端资源的占用及性能的损耗；
[0009]2、客户端的过滤效率及特征库的匹配命中率低。


【发明内容】

[0010]鉴于上述问题，本发明的目的是提供一种基于自适应分类器的云查杀方法及系统，以解决现有的基于硬件的二级黑白名单机制在云端的资源占用量和损耗大，以及在客户端的过滤效率和特征库的匹配命中率低的问题。
[0011]根据本发明的一个方面，提供一种基于自适应分类器的云查杀方法，包括:
[0012]客户端基于汉明距离分类器对文件进行分类检测；其中，当文件的特征与客户端的轻量级黑白名单特征库中的特征匹配不成功时，客户端将文件发送给云端；
[0013]云端基于至少两级汉明距离的hash值分类器对文件进行分类检测；其中，当文件的特征与云端的黑白名单特征库中的特征匹配成功时，统计文件的特征命中云端的黑白名单特征库中的特征的概率；
[0014]根据所统计的概率，云端将预定时间间隔内的概率排名在预定范围的文件发送给客户端；
[0015]客户端根据云端所发送的文件进行客户端的轻量级黑白名单特征库的更新；其中，客户端在更新轻量级黑白名单特征库的同时，汉明距离分类器完成自适应更新。
[0016]其中，根据预定的时间间隔，云端将客户端的文件的特征命中云端的黑白名单特征库中的特征的概率排名在预定范围内的文件反馈给客户端作为客户端的轻量级黑白名单特征库。
[0017]其中，当文件的特征与云端的黑白名单特征库中的特征匹配成功时，统计云端的黑白名单特征库中的特征所在的级数被命中的概率，根据级数被命中的概率自适应调节汉明距离的hash值分类器在云端的排列顺序。
[0018]另一方面，本发明提供一种基于自适应分类器的云查杀系统，包括:
[0019]第一分类检测单元，用于基于汉明距离分类器对客户端的文件进行分类检测；
[0020]文件发送单元，用于当第一分类检测单元检测出文件的特征与客户端的轻量级黑白名单特征库中的特征匹配不成功时，将客户端的文件发送给云端；
[0021]第二分类检测单元，用于基于至少两级汉明距离的hash值分类器对文件发送单元所发送的文件进行分类检测；
[0022]第一概率统计单元，用于当第二分类检测单元检测出文件发送单元所发送的文件的特征与云端的黑白名单特征库中的特征匹配成功时，统计文件发送单元所发送的文件的特征命中云端的黑白名单特征库中的特征的概率；
[0023]更新单元，用于更新客户端的轻量级黑白名单特征库；其中，该更新是云端根据第一概率统计单元所统计出的概率，将在预定时间间隔内的概率排名在预定范围的文件发送给客户端而实现的；其中，在更新客户端的轻量级黑白名单特征库的同时，汉明距离分类器完成自适应更新。
[0024]利用上述根据本发明的基于自适应分类器的云查杀方法及系统，通过基于自适应分类器对文件进行分类检测，一方面，能够提高客户端轻量级黑白名单特征库中的特征的过滤效率和命中几率，减少送往云端的数据量；另一方面能够缩短云端黑白名单特征库中的特征的查询距离，提高搜索特征的效率。
[0025]为了实现上述以及相关目的，本发明的一个或多个方面包括后面将详细说明并在权利要求中特别指出的特征。下面的说明以及附图详细说明了本发明的某些示例性方面。然而，这些方面指示的仅仅是可使用本发明的原理的各种方式中的一些方式。此外，本发明旨在包括所有这些方面以及它们的等同物。

【专利附图】

【附图说明】
[0026]通过参考以下结合附图的说明及权利要求书的内容，并且随着对本发明的更全面理解，本发明的其它目的及结果将更加明白及易于理解。在附图中:
[0027]图1为根据本发明实施例的基于自适应分类器的云查杀的第一流程示意图；
[0028]图2为根据本发明实施例的基于自适应分类器的云查杀的第二流程示意图；
[0029]图3为根据本发明实施例的基于自适应分类器的云查杀系统的逻辑结构框图。
[0030]在所有附图中相同的标号指示相似或相应的特征或功能。

【具体实施方式】
[0031]以下将结合附图对本发明的具体实施例进行详细描述。
[0032]针对前述现有的基于硬件的二级黑白名单机制对黑白名单的调节不灵活，过滤效率及特征库的匹配命中率低的问题。本发明基于自适应分类器对文件进行分类检测。其中，在客户端，本发明基于自适应的汉明距离分类器对送去客户端的文件进行分类检测，其中，当送去分类检测的文件的特征没有命中客户端的轻量级黑白名单特征库而命中了云端的黑白名单特征库时，云端将预定时间间隔内的命中率排名在预定范围的文件反馈给客户端进行客户端的轻量级黑白名单特征库的更新，并且更新轻量级黑白名单特征库的同时，该汉明距离分类器完成自适应更新。通过上述方法能够提高客户端轻量级黑白名单特征库中的特征的过滤效率和命中几率，减少送往云端的数据量。
[0033]另外，在云端，本发明基于多级汉明距离的hash值分类器对送去云端的文件作分类检测，在送去云端作分类检测的文件的特征与云端的黑白名单特征库中的特征匹配成功时，根据云端的黑白名单特征库中的特征所在的级数被命中的概率自适应调节该汉明距离的hash值分类器在云端的排列顺序。通过此种方法能够缩短云端黑白名单特征库中的特征的查询距离，提高搜索特征的性能及效率。
[0034]为了说明本发明提供的基于自适应分类器的云查杀方法，图1示出了根据本发明实施例的基于自适应分类器的云查杀方法的流程。
[0035]如图1所示，本发明提供的基于自适应分类器的云查杀方法包括:
[0036]SllO:客户端基于汉明距离分类器对文件进行分类检测。
[0037]具体地，客户端在基于汉明距离分类器对文件进行分类检测之前，客户端已经存在有轻量级的黑白名单特征库。由于受流量及外部数据环境的影响，每个客户端所要进行检测的文件都各不相同，因此，该轻量级的黑白名单特征库是云端针对特定的客户端，将预定时间间隔内的客户端的文件的特征命中云端的黑白名单特征库中的特征的概率排名在预定范围内的文件反馈给客户端所获得的。
[0038]也就是说，根据预定的时间间隔，云端将客户端的文件的特征命中云端的黑白名单特征库中的特征的概率排名在预定范围内的文件反馈给客户端作为客户端的轻量级黑白名单特征库。需要说明的是，预定的时间间隔可以以小时或者以天为单位，而预定范围可以是概率排名前100或者是1000。
[0039]例如，针对特定的客户端，云端可以将8小时内客户端的文件的特征命中云端的黑白名单特征库中的特征的概率排名前100的文件反馈给客户端作为该客户端的轻量级黑白名单特征库。
[0040]需要说明的是，客户端对文件进行分类检测的过程即文件的特征与客户端的轻量级黑白名单特征库中的特征进行匹配的过程。其中，在客户端基于汉明距离分类器对文件进行分类检测的过程中，该汉明距离分类器基于文件的MD5值或者SHAl值对文件进行分类检测。也就是说，文件的特征是基于对文件的MD5值或者SHAl值的计算而得来的。其中，对文件的MD5值和SHAl值的计算为公知常识，在此不再赘述。
[0041]S120:当文件的特征与客户端的轻量级黑白名单特征库中的特征匹配不成功时，客户端将文件发送给云端。
[0042]具体地，首先将文件的特征与客户端的轻量级黑白名单特征库中的黑名单特征库中的特征进行匹配，如果匹配成功，则直接返回结果；如果匹配不成功，则与客户端的轻量级黑白名单特征库中的白名单特征库中的特征进行匹配，如果匹配成功，则直接返回结果；如果匹配不成功，说明此文件不属于客户端的轻量级黑白名单特征库中的任何一种，对于此种情况，客户端则会将该文件直接送往云端进行处理。
[0043]S130:云端基于至少两级汉明距离的hash值分类器对文件进行分类检测。
[0044]具体地，由于云端的黑白名单特征库中的特征属于海量级，因此对于海量级的特征，本发明在云端基于八级汉明距离的hash值分类器对文件进行分类检测。也就是说，本发明设计了八级基于汉明距离的hash值分类器，其中，每16位设计一个以hash值为基础的汉明距离分类器，当距离小于“4”的时候即视为一类，如此每一级分类器都会分为四类，八级分类器共分为16384类，以3000万的黑白名单特征库来说，最终每类中包含的特征数约为1832条。通过此种方法能够最大化分类间隔，使分类器学习到的距离即为位向量之间的差别权重。其中，距离越小说明位向量之间相似性越高，当距离小于一定范围时，即可认为属于同一类。
[0045]其中，云端对文件进行分类检测的过程即送给云端的文件的特征与云端的黑白名单特征库中的特征进行匹配的过程。
[0046]其中，当发送给云端的文件的特征与云端的黑白名单特征库中的特征匹配不成功时，则说明该文件的特征既不属于云端的黑白名单特征库中的黑名单特征库中的特征，其也不属于云端的黑白名单特征库中的白名单特征库中的特征，此时则利用多引擎对该文件进行查杀。云端的多引擎查杀可以采用启发式扫描引擎与人工智能引擎相结合的方式，如采用BitDefender与QVM(Qihoo Support Vector Machine,奇虎支持向量机)人工智能引擎等相结合的方式对该文件进行查杀。
[0047]另外，当发送给云端的文件的特征与云端的黑白名单特征库中的特征匹配成功时，还需要统计云端的黑白名单特征库中的特征所在的级数被命中的概率，然后根据所在级数被命中的概率自适应调节汉明距离的hash值分类器在云端的排列顺序。
[0048]也就是说，在云端的基于汉明距离的hash值分类器也同样采用命中率排名机制，即其可以将命中率高的分类器自动调节到前面。由于整个基于汉明距离的hash值分类器总共分为八级，理论上从哪一级分类器开始其分类效果都是同样的，但本发明动态地根据这八级分类器的命中率来调节其自身所处的先后顺序能够尽量减少分类器处理流程的数量，从而提高查找特征的性能及效率。
[0049]S140:当文件的特征与云端的黑白名单特征库中的特征匹配成功时，统计文件的特征命中云端的黑白名单特征库中的特征的概率。
[0050]需要说明的是，对发送给云端的文件的特征命中云端的黑白名单特征库中的特征的概率进行统计能够便于更新客户端的轻量级黑白名单特征库，从而进一步提高文件的特征命中客户端的轻量级黑白名单特征库中的特征的几率，进而减少客户端送往云端检测的文件的数据量。
[0051]S150:根据所统计的概率，云端将预定时间间隔内的概率排名在预定范围的文件发送给客户端。
[0052]S160:客户端根据云端所发送的文件进行客户端的轻量级黑白名单特征库的更新；其中，客户端在更新轻量级黑白名单特征库的同时，汉明距离分类器完成自适应更新。
[0053]经过实验可知，在客户端基于汉明距离分类器对文件进行分类检测的过程中，该分类器的准确率可以达到95%以上，从概率的角度可以节省大约50%的性能损耗。对于每次云端发送来的新的轻量级的黑白名单特征，该分类器都会进行自学习自训练，等新的分类器训练好后才会对原有的轻量级黑白名单特征库与分类器进行加锁、替换。
[0054]为了进一步说明本发明提供的基于自适应分类器的云查杀方法，图2示出了根据本发明实施例的基于自适应分类器的云查杀的第二流程。如图2所示:
[0055]首先对送去客户端检测的文件进行MD5值计算，然后基于计算出的MD5值，汉明距离分类器判断该文件是否命中客户端的轻量级黑白名单特征库中的黑名单特征库，如果命中，则直接返回结果；如果没有命中，则判断其是否命中轻量级黑白名单特征库中的白名单特征库；如果命中，同样直接返回结果，如果还是没有命中，则直接将此文件发送给云端。
[0056]云端同样基于文件的MD5值对客户端发送过来的文件进行分类，当该文件命中云端的黑白名单特征库时，统计该文件的特征命中云端的黑白名单特征库中的特征的概率，然后云端根据所统计的概率将在T时间内命中率最高的前η个黑白名单特征库中的特征发送给客户端。其中，T即上述图1所示流程中的预定时间间隔，而η即预定范围。
[0057]最后客户端根据云端所发送的特征，客户端的汉明距离分类器进行自学习自训练，待新的分类器训练好后对原有的轻量级黑白名单特征库中的特征与分类器进行加锁、替换，完成黑白名单特征库与分类器的同时更新。
[0058]与上述方法相对应，本发明提供一种基于自适应分类器的云查杀系统。图3示出了根据本发明实施例的基于自适应分类器的云查杀系统的逻辑结构。
[0059]如图3所示，本发明提供的基于自适应分类器的云查杀系统300包括第一分类检测单元310、文件发送单元320、第二分类检测单元330、第一概率统计单元340和更新单元350。
[0060]其中，第一分类检测单元310用于基于汉明距离分类器对客户端的文件进行分类检测。
[0061]具体地，客户端在基于汉明距离分类器对文件进行分类检测之前，客户端已经存在有轻量级的黑白名单特征库。由于受流量及外部数据环境的影响，每个客户端所要进行检测的文件都各不相同，因此，该轻量级的黑白名单特征库是云端针对特定的客户端，将预定时间间隔内的客户端的文件的特征命中云端的黑白名单特征库中的特征的概率排名在预定范围内的文件反馈给客户端所获得的。也就是说，本发明提供的基于自适应分类器的云查杀系统进一步包括特征库发送单元(图中未示出)，用于根据预定的时间间隔，将客户端的文件的特征命中云端的黑白名单特征库中的特征的概率排名在预定范围的文件反馈给客户端作为客户端的轻量级黑白名单特征库。
[0062]需要说明的是，第一分类检测单元310对文件进行分类检测的过程即文件的特征与客户端的轻量级黑白名单特征库中的特征进行匹配的过程。其中，在客户端基于汉明距离分类器对文件进行分类检测的过程中，该汉明距离分类器基于文件的MD5值或者SHAl值对文件进行分类检测。也就是说，文件的特征是基于对文件的MD5值或者SHAl值的计算而得来的。其中，对文件的MD5值和SHAl值的计算为公知常识，在此不再赘述。
[0063]文件发送单元320用于当第一分类检测单元310检测出文件的特征与客户端的轻量级黑白名单特征库中的特征匹配不成功时，将客户端的文件发送给云端。
[0064]具体地，首先将文件的特征与客户端的轻量级黑白名单特征库中的黑名单特征库中的特征进行匹配，如果匹配成功，则直接返回结果；如果匹配不成功，则与客户端的轻量级黑白名单特征库中的白名单特征库中的特征进行匹配，如果匹配成功，则直接返回结果；如果匹配不成功，说明此文件不属于客户端的轻量级黑白名单特征库中的任何一种，对于此种情况，客户端则会将该文件直接送往云端进行处理。
[0065]第二分类检测单元330用于基于至少两级汉明距离的hash值分类器对文件发送单元320所发送的文件进行分类检测。
[0066]其中，本发明提供的基于自适应分类器的云查杀系统进一步包括多引擎查杀单元(图中未示出)，用于当第二分类检测单元检测出文件发送单元所发送的文件的特征与云端的黑白名单特征库中的特征匹配不成功时，利用多引擎对该文件进行查杀。
[0067]另外，由于云端的黑白名单特征库中的特征属于海量级，因此对于海量级的特征，本发明在云端基于八级汉明距离的hash值分类器对文件进行分类检测。也就是说，本发明设计了八级基于汉明距离的hash值分类器，其中，每16位设计一个以hash值为基础的汉明距离分类器，当距离小于“4”的时候即视为一类，如此每一级分类器都会分为四类，八级分类器共分为16384类，以3000万的黑白名单特征库来说，最终每类中包含的特征数约为1832条。通过此种方法能够最大化分类间隔，使分类器学习到的距离即为位向量之间的差别权重。其中，距离越小说明位向量之间相似性越高，当距离小于一定范围时，即可认为属于同一类。其中，云端对文件进行分类检测的过程即送给云端的文件的特征与云端的黑白名单特征库中的特征进行匹配的过程。
[0068]其中，本发明提供的基于自适应分类器的云查杀系统进一步包括第二概率统计单元和顺序调节单元(图中均未示出)，其中，第二概率统计单元用于当第二分类检测单元330检测出文件发送单元所发送的文件的特征与云端的黑白名单特征库中的特征匹配成功时，统计云端的黑白名单特征库中的特征所在的级数被命中的概率；顺序调节单元用于根据第二概率统计单元所统计的概率自适应调节汉明距离的hash值分类器在云端的排列顺序。
[0069]也就是说，在云端的基于汉明距离的hash值分类器也同样采用命中率排名机制，即其可以将命中率高的分类器自动调节到前面。由于整个基于汉明距离的hash值分类器总共分为八级，理论上从哪一级分类器开始其分类效果都是同样的，但本发明动态地根据这八级分类器的命中率来调节其自身所处的先后顺序能够尽量减少分类器处理流程的数量，从而提高查找特征的性能及效率。
[0070]第一概率统计单元340用于当第二分类检测单元330检测出文件发送单元320所发送的文件的特征与云端的黑白名单特征库中的特征匹配成功时，统计文件发送单元所发送的文件的特征命中云端的黑白名单特征库中的特征的概率。
[0071]需要说明的是，对发送给云端的文件的特征命中云端的黑白名单特征库中的特征的概率进行统计能够便于更新客户端的轻量级黑白名单特征库，从而进一步提高文件的特征命中客户端的轻量级黑白名单特征库中的特征的几率，进而减少客户端送往云端检测的文件的数据量。
[0072]更新单元350用于更新客户端的轻量级黑白名单特征库；其中，该更新是云端根据第一概率统计单元340所统计出的概率，将在预定时间间隔内的概率排名在预定范围的文件发送给客户端而实现的；其中，在更新客户端的轻量级黑白名单特征库的同时，汉明距离分类器完成自适应更新。
[0073]通过上述，根据本发明提供的基于自适应分类器的云查杀方法及系统，一方面，能够提高客户端轻量级黑白名单特征库中的特征的过滤效率和命中几率，减少送往云端的数据量；另一方面能够缩短云端黑白名单特征库中的特征的查询距离，提高搜索特征的效率。
[0074]如上参照附图以示例的方式描述了根据本发明的基于自适应分类器的云查杀方法及系统。但是，本领域技术人员应当理解，对于上述本发明所提出的基于自适应分类器的云查杀方法及系统，还可以在不脱离本
【发明内容】
的基础上做出各种改进。因此，本发明的保护范围应当由所附的权利要求书的内容确定。
【权利要求】
1.一种基于自适应分类器的云查杀方法，包括: 客户端基于汉明距离分类器对文件进行分类检测；其中，当所述文件的特征与客户端的轻量级黑白名单特征库中的特征匹配不成功时， 所述客户端将所述文件发送给云端； 所述云端基于至少两级汉明距离的hash值分类器对所述文件进行分类检测；其中，当所述文件的特征与云端的黑白名单特征库中的特征匹配成功时， 统计所述文件的特征命中所述云端的黑白名单特征库中的特征的概率； 根据所统计的概率，所述云端将预定时间间隔内的概率排名在预定范围的文件发送给所述客户端； 所述客户端根据云端所发送的文件进行所述客户端的轻量级黑白名单特征库的更新；其中，所述客户端在更新所述轻量级黑白名单特征库的同时，所述汉明距离分类器完成自适应更新。
2.如权利要求1所述的基于自适应分类器的云查杀方法，其中，当所述文件的特征与所述云端的黑白名单特征库中的特征匹配不成功时，利用多引擎对所述文件进行查杀。
3.如权利要求1所述的基于自适应分类器的云查杀方法，还包括:根据预定的时间间隔，云端将所述客户端的文件的特征命中所述云端的黑白名单特征库中的特征的概率排名在预定范围内的文件反馈给所述客户端，作为所述客户端的轻量级黑白名单特征库。
4.如权利要求1所述的基于自适应分类器的云查杀方法，其中，所述汉明距离分类器和所述汉明距离的hash值分类器基于文件的MD5值或SHAl值对所述文件进行分类检测。
5.如权利要求1所述的基于自适应分类器的云查杀方法，其中，当所述文件的特征与云端的黑白名单特征库中的特征匹配成功时，统计所述云端的黑白名单特征库中的特征所在的级数被命中的概率，根据所述级数被命中的概率自适应调节所述汉明距离的hash值分类器在所述云端的排列顺序。
6.一种基于自适应分类器的云查杀系统，包括: 第一分类检测单元，用于基于汉明距离分类器对客户端的文件进行分类检测； 文件发送单元，用于当所述第一分类检测单元检测出所述文件的特征与客户端的轻量级黑白名单特征库中的特征匹配不成功时，将所述客户端的文件发送给云端； 第二分类检测单元，用于基于至少两级汉明距离的hash值分类器对所述文件发送单元所发送的文件进行分类检测； 第一概率统计单元，用于当所述第二分类检测单元检测出所述文件发送单元所发送的文件的特征与云端的黑白名单特征库中的特征匹配成功时，统计所述文件发送单元所发送的文件的特征命中所述云端的黑白名单特征库中的特征的概率； 更新单元，用于更新所述客户端的轻量级黑白名单特征库；其中，所述更新是所述云端根据所述第一概率统计单元所统计出的概率，将在预定时间间隔内的概率排名在预定范围的文件发送给所述客户端而实现的；其中，在更新所述客户端的轻量级黑白名单特征库的同时，所述汉明距离分类器完成自适应更新。
7.如权利要求6所述的基于自适应分类器的云查杀系统，进一步包括:多引擎查杀单元，用于当所述第二分类检测单元检测出所述文件发送单元所发送的文件的特征与云端的黑白名单特征库中的特征匹配不成功时，利用多引擎对所述文件进行查杀。
8.如权利要求6所述的基于自适应分类器的云查杀系统，进一步包括:特征库发送单元，用于根据预定的时间间隔，将所述客户端的文件的特征命中所述云端的黑白名单特征库中的特征的概率排名在预定范围的文件反馈给所述客户端作为所述客户端的轻量级黑白名单特征库。
9.如权利要求6所述的基于自适应分类器的云查杀系统，其中，所述汉明距离分类器和所述汉明距离的hash值分类器基于文件的MD5值或SHAl值对所述文件进行分类检测。
10.如权利要求6所述的基于自适应分类器的云查杀系统，进一步包括: 第二概率统计单元，用于当所述第二分类检测单元检测出所述文件发送单元所发送的文件的特征与云端的黑白名单特征库中的特征匹配成功时，统计所述云端的黑白名单特征库中的特征所在的级数被命中的概率； 顺序调节单元，用于根据所述第二概率统计单元所统计的概率自适应调节所述汉明距离的hash值分类器在所述云端的排列顺序。
【文档编号】H04L29/08GK104243470SQ201410459367
【公开日】2014年12月24日 申请日期:2014年9月10日 优先权日:2014年9月10日
【发明者】吴子章, 刘申, 赵志宏, 柴丽颖 申请人:东软集团股份有限公司