本發(fā)明涉及惡意行為檢測領(lǐng)域，尤其涉及一種云平臺惡意行為檢測系統(tǒng)及其方法，具有高效和可擴展性的優(yōu)勢。

背景技術(shù)：

惡意行為是指計算機系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到惡意代碼攻擊而遭到破壞、更改和泄露的行為。隨著互聯(lián)網(wǎng)的飛速發(fā)展，在方便社會的同時，各種計算機惡意程序也不斷出現(xiàn)。木馬、蠕蟲、服務(wù)器漏洞攻擊、遠程溢出和Web漏洞攻擊等各種惡意網(wǎng)絡(luò)攻擊行為不斷涌現(xiàn)，給用戶造成了極大的威脅。如何對這些惡意行為進行檢測是信息安全中的重大課題，有著很重要的意義。

傳統(tǒng)的惡意行為檢測技術(shù)基于惡意代碼特征，即從惡意程序中提取惡意代碼特征，形成惡意代碼特征庫的方式來識別惡意行為。這種方式實現(xiàn)較為簡單，但有一定的局限性。首先，客戶端系統(tǒng)的計算能力、存儲能力都是有限的，這在一定程度上限制了惡意行為識別的能力；而且，由于惡意行為的復(fù)雜性和多樣性，單一的檢測系統(tǒng)或方法容易出現(xiàn)誤報和漏報的情況；另外，惡意代碼特征庫的更新頻率不能得到保障。

技術(shù)實現(xiàn)要素：

本發(fā)明的目的就在于克服現(xiàn)有技術(shù)存在的缺點和不足，針對程序惡意行為和網(wǎng)絡(luò)惡意行為，提供一種云平臺惡意行為檢測系統(tǒng)及其方法，實現(xiàn)對惡意行為的識別。

實現(xiàn)本發(fā)明目的技術(shù)方案是：

本發(fā)明通過對程序惡意行為和網(wǎng)絡(luò)惡意行為進行詳細的研究，通過以下方式實現(xiàn)對惡意行為的檢測：

1、在云端通過多種掃描引擎構(gòu)成的掃描器，對可疑程序進行精確掃描，判斷是否具有惡意行為；并根據(jù)掃描結(jié)果，將程序信息摘要實時快速更新到第1惡意程序庫和第1可信程序庫；同時根據(jù)客戶端的環(huán)境信息實時下發(fā)第2惡意程序庫和第2可信程序庫的更新到目標客戶端，供目標客戶端檢測程序惡意行為時使用。

2、目標客戶端通過行為探針提取程序信息摘要，通過客戶端的第2行為檢測器，結(jié)合客戶端的第2惡意程序庫和第2可信程序庫，判斷是否具有惡意行為；對于無法判斷的可疑程序，則提交給云端的檢測器進行進一步深入地處理。

3、對于網(wǎng)絡(luò)惡意行為，目標客戶端有第2網(wǎng)絡(luò)攻擊模式庫和第2網(wǎng)絡(luò)檢測器，云端有第1網(wǎng)絡(luò)攻擊模式庫和第1網(wǎng)絡(luò)檢測器；利用云端的計算能力可以在客戶端對可疑流量無法識別的情況下提供可靠的識別。同時根據(jù)客戶端的環(huán)境信息實時下發(fā)第2網(wǎng)絡(luò)攻擊模式庫的更新到目標客戶端，供目標客戶端檢測網(wǎng)絡(luò)惡意行為時使用。

一、一種云平臺惡意行為檢測系統(tǒng)（簡稱系統(tǒng)）

本系統(tǒng)包括云端和目標客戶端；其中云端包括第1行為檢測器、第1網(wǎng)絡(luò)檢測器、掃描器、模式篩選器、第1惡意程序庫、第1可信程序庫和第1網(wǎng)絡(luò)攻擊模式庫；其中目標客戶端包括第2行為檢測器、第2網(wǎng)絡(luò)檢測器、行為探針、網(wǎng)絡(luò)探針、第2惡意程序庫、第2可信程序庫和第2網(wǎng)絡(luò)攻擊模式庫；

其交互關(guān)系是：

第2行為檢測器分別與行為探針、第2惡意程序庫、第2可信程序庫和第1行為檢測器進行交互，實現(xiàn)在目標客戶端上對程序惡意行為的提取、識別和響應(yīng)；

第2網(wǎng)絡(luò)檢測器分別與網(wǎng)絡(luò)探針、第2網(wǎng)絡(luò)攻擊模式庫和第1網(wǎng)絡(luò)檢測器進行交互，實現(xiàn)在目標客戶端上對網(wǎng)絡(luò)惡意行為的提取、識別和響應(yīng)；

第1行為檢測器分別與第1惡意程序庫、第1可信程序庫、掃描器和第2行為檢測器進行交互，實現(xiàn)在云端對惡意程序行為的提取、識別和響應(yīng)；

第1網(wǎng)絡(luò)檢測器分別與第1網(wǎng)絡(luò)攻擊模式庫和第2網(wǎng)絡(luò)檢測器進行交互，實現(xiàn)在云端上對惡意網(wǎng)絡(luò)攻擊行為的提取、識別和響應(yīng)；

模式篩選器分別與第1惡意程序庫、第1可信程序庫、第1網(wǎng)絡(luò)攻擊模式庫、第2惡意程序庫、第2可信程序庫和第2網(wǎng)絡(luò)攻擊模式庫進行交互，實現(xiàn)對目標客戶端的信息收集和對檢測規(guī)則的下發(fā)。

二、一種云平臺惡意行為檢測方法（簡稱方法）

本方法的研究思路是在云端通過多種掃描引擎構(gòu)成的掃描器，對可疑程序進行精確掃描，判斷是否具有惡意行為；并根據(jù)掃描結(jié)果，將程序信息摘要實時快速更新到第1惡意程序庫和第1可信程序庫。同時根據(jù)客戶端的環(huán)境信息實時下發(fā)第2惡意程序庫和第2可信程序庫的更新到目標客戶端，供目標客戶端檢測程序惡意行為時使用。

對于網(wǎng)絡(luò)惡意行為，對于網(wǎng)絡(luò)惡意行為，目標客戶端有第2網(wǎng)絡(luò)攻擊模式庫和第2網(wǎng)絡(luò)檢測器，云端有第1網(wǎng)絡(luò)攻擊模式庫和第1網(wǎng)絡(luò)檢測器；利用云端的計算能力可以在客戶端對可疑流量無法識別的情況下提供可靠的識別；同時根據(jù)客戶端的環(huán)境信息實時下發(fā)第2網(wǎng)絡(luò)攻擊模式庫的更新到目標客戶端，供目標客戶端檢測網(wǎng)絡(luò)惡意行為時使用。

具體地說，本方法包括如下步驟：

①行為探針針對程序惡意行為，提取目標客戶端上的程序信息摘要，發(fā)送給第2行為檢測器，進行惡意行為檢測；

②第2行為檢測器通過行為探針提交的程序信息摘要，結(jié)合第2惡意程序庫、第2可信程序庫識別程序惡意行為；對于無法識別的可疑程序，則提交給云端的第1行為檢測器進行檢測；

③第2網(wǎng)絡(luò)檢測器通過網(wǎng)絡(luò)探針提交的網(wǎng)絡(luò)流量摘要，結(jié)合第2網(wǎng)絡(luò)攻擊模式庫識別網(wǎng)絡(luò)惡意行為；對于無法識別的可疑流量，則提交給云端的第1網(wǎng)絡(luò)檢測器進行檢測；在云端的第1網(wǎng)絡(luò)檢測器通過第2網(wǎng)絡(luò)檢測器提交的網(wǎng)絡(luò)流量摘要，結(jié)合第1網(wǎng)絡(luò)攻擊模式庫識別網(wǎng)絡(luò)惡意行為；

④第1行為檢測器通過第2行為檢測器提交的程序信息摘要，結(jié)合第1惡意程序庫、第1可信程序庫識別程序惡意行為；對于無法識別的可疑程序，則提交掃描器進行檢測；對于識別的可疑程序和正常程序，則分別更新第1惡意程序庫和第1可信程序庫；

⑤掃描器接收第1行為檢測器提交的程序信息摘要，通過第1、2……N掃描引擎、對可疑程序進行掃描，識別程序惡意行為；

⑥模式篩選器結(jié)合客戶端的環(huán)境信息，對第1惡意程序庫、可第1信程序庫、第1網(wǎng)絡(luò)攻擊模式庫的更新部分進行篩選，實時下發(fā)給目標客戶端，以更新目標客戶端的第1惡意程序庫、第1可信程序庫和第1網(wǎng)絡(luò)攻擊模式庫。

本發(fā)明具有下列優(yōu)點和積極效果：

①高效：相對于傳統(tǒng)的惡意行為特征庫的匹配，對程序信息摘要的匹配所需的計算量和系統(tǒng)開銷要小得多；同時，依托云端的計算能力，可以在客戶端無法識別的情況下，對可疑惡意程序行為和可疑惡意網(wǎng)絡(luò)行為提供高效的識別。

②準確性：在云端通過多種掃描引擎構(gòu)成的掃描器，對可疑程序進行精確掃描，判斷是否具有惡意行為；其結(jié)果比單一的檢測系統(tǒng)或方法更準確，可避免誤報和漏報的發(fā)生。

③快速性：云端的模式篩選器，可以結(jié)合客戶端的環(huán)境信息，對第1惡意程序庫、第1可信程序庫、第1網(wǎng)絡(luò)攻擊模式庫的更新部分進行篩選，實時下發(fā)給目標客戶端。

④可擴展性：在不對系統(tǒng)的結(jié)構(gòu)進行修改的前提下，可以很方便地增加準確性更高或者使用最新技術(shù)的掃描引擎，以增加檢測的準確性。

⑤適應(yīng)性廣：行為探針和網(wǎng)絡(luò)探針可以部署在多種目標客戶端上，包括但不限于PC機、智能終端、交換機（網(wǎng)絡(luò)探針）、云平臺的虛擬機、云平臺的虛擬交換機（網(wǎng)絡(luò)探針）等。

附圖說明

圖1是本系統(tǒng)的結(jié)構(gòu)方框圖；

其中：

10—云端；

11—第1行為檢測器；

12—第1網(wǎng)絡(luò)檢測器；

13—掃描器，

131—第1掃描引擎，132—第2掃描引擎，……13N—第N掃描引擎；

14—模式篩選器；

15—第1惡意程序庫；

16—第1可信程序庫；

17—第1網(wǎng)絡(luò)攻擊模式庫。

20—目標客戶端；

21—第2行為檢測器；

22—第2網(wǎng)絡(luò)檢測器；

23—行為探針；

24—網(wǎng)絡(luò)探針；

25—第2惡意程序庫；

26—第2可信程序庫；

27—第2網(wǎng)絡(luò)攻擊模式庫。

英譯漢

1、MD5：Message Digest Algorithm，消息摘要算法，為計算機安全領(lǐng)域廣泛使用的一種散列函數(shù)，用以提供消息的完整性保護。

2、SHA1：Secure Hash Algorithm，主要適用于數(shù)字簽名標準（Digital Signature Standard DSS）里面定義的數(shù)字簽名算法（Digital Signature Algorithm DSA）。

3、HASH算法：一般翻譯做“散列”，也有直接音譯為“哈希”的，就是把任意長度的輸入，通過散列算法，變換成固定長度的輸出。

具體實施方式

下面結(jié)合附圖和實施例詳細說明：

一、系統(tǒng)

1、總體

如圖1，本系統(tǒng)包括云端10和目標客戶端20；其中云端10包括第1行為檢測器11、第1網(wǎng)絡(luò)檢測器12、掃描器13、模式篩選器14、第1惡意程序庫15、第1可信程序庫16和第1網(wǎng)絡(luò)攻擊模式庫17；其中目標客戶端20包括第2行為檢測器21、第2網(wǎng)絡(luò)檢測器22、行為探針23、網(wǎng)絡(luò)探針24、第2惡意程序庫25、第2可信程序庫26和第2網(wǎng)絡(luò)攻擊模式庫27；

其交互關(guān)系是：

第2行為檢測器21分別與行為探針23、第2惡意程序庫25、第2可信程序庫26和第1行為檢測器11進行交互，實現(xiàn)在目標客戶端20上對程序惡意行為的提取、識別和響應(yīng)；

第2網(wǎng)絡(luò)檢測器22分別與網(wǎng)絡(luò)探針24、第2網(wǎng)絡(luò)攻擊模式庫27和第1網(wǎng)絡(luò)檢測器12進行交互，實現(xiàn)在目標客戶端20上對網(wǎng)絡(luò)惡意行為的提取、識別和響應(yīng)；

第1行為檢測器11分別與第1惡意程序庫15、第1可信程序庫16、掃描器13和第2行為檢測器21進行交互，實現(xiàn)在云端10對惡意程序行為的提取、識別和響應(yīng)；

第1網(wǎng)絡(luò)檢測器12分別與第1網(wǎng)絡(luò)攻擊模式庫17和第2網(wǎng)絡(luò)檢測器22進行交互，實現(xiàn)在云端10上對惡意網(wǎng)絡(luò)攻擊行為的提取、識別和響應(yīng)；

模式篩選器14分別與第1惡意程序庫15、第1可信程序庫16、第1網(wǎng)絡(luò)攻擊模式庫17、第2惡意程序庫25、第2可信程序庫26和第2網(wǎng)絡(luò)攻擊模式庫27進行交互，實現(xiàn)對目標客戶端20的信息收集和對檢測規(guī)則的下發(fā)。

2、功能模塊

1）云端10

（1）第1行為檢測器11

第1行為檢測器11是一種惡意行為檢測方法。

在云端10接收第2行為檢測器21提交的程序信息摘要，通過第1惡意程序庫15和第1可信程序庫16進行模式匹配，判斷惡意行為，并將無法識別的可疑程序提交給掃描器13進行深入地檢測。

（2）第1網(wǎng)絡(luò)檢測器12

第1網(wǎng)絡(luò)檢測器12是一種針對網(wǎng)絡(luò)惡意行為的檢測方法。

在云端10接收第2網(wǎng)絡(luò)檢測器22提交的網(wǎng)絡(luò)信息摘要，通過第1網(wǎng)絡(luò)攻擊模式庫17進行模式匹配，判斷網(wǎng)絡(luò)惡意行為。

（3）掃描器13

掃描器13是一種惡意行為檢測方法，包括第1、2……N掃描引擎131、132……13N，N是自然數(shù)，1≤N≤100；

接收第1行為檢測器11提交的程序信息摘要，通過N種掃描引擎,對可疑程序進行掃描，識別程序惡意行為。

（4）模式篩選器14

模式篩選器14是一種過濾方法。

模式篩選器14結(jié)合客戶端的環(huán)境信息，對第1惡意程序庫15、第1可信程序庫16、第1網(wǎng)絡(luò)攻擊模式庫17的更新部分進行篩選，實時下發(fā)給目標客戶端20。

（5）第1惡意程序庫15

第1惡意程序庫15是一種程序信息摘要的集合。

掃描器13判斷可疑程序具有惡意行為時，將程序信息摘要更新到第1惡意程序庫15。

（6）第1可信程序庫16

第1可信程序庫16是一種程序信息摘要的集合。

掃描器13判斷可疑程序沒有惡意行為時，將程序信息摘要更新到第1可信程序庫16。

（7）第1網(wǎng)絡(luò)攻擊模式庫17

第1網(wǎng)絡(luò)攻擊模式庫17是一種網(wǎng)絡(luò)攻擊模式的集合。

第1網(wǎng)絡(luò)檢測器12通過第1網(wǎng)絡(luò)攻擊模式庫17來判斷網(wǎng)絡(luò)惡意行為，第1網(wǎng)絡(luò)攻擊模式庫17通過對新的網(wǎng)絡(luò)攻擊，包括漏洞利用的網(wǎng)絡(luò)流量進行特征提取來更新。

2、目標客戶端20

1）第2行為檢測器21

第2行為檢測器21是一種惡意行為檢測方法。

在目標客戶端20接收行為探針23提交的程序信息摘要，通過第2惡意程序庫25和第2可信程序庫26進行模式匹配，判斷惡意行為，并將無法識別的可疑程序信息摘要提交云端10的第1行為檢測器11進行深入的檢測。

2）第2網(wǎng)絡(luò)檢測器22

第2網(wǎng)絡(luò)檢測器22是一種針對網(wǎng)絡(luò)惡意行為的檢測方法。

在目標客戶端20接收網(wǎng)絡(luò)探針24提交的網(wǎng)絡(luò)流量摘要，通過第2網(wǎng)絡(luò)攻擊模式庫27進行模式匹配，判斷網(wǎng)絡(luò)惡意行為，并將無法識別的可疑網(wǎng)絡(luò)流量摘要提交云端10的第1網(wǎng)絡(luò)檢測器12進行深入的檢測。

3）行為探針23

行為探針23是一種數(shù)據(jù)采集方法。

采集程序信息摘要，發(fā)給第2行為檢測器21，進行程序惡意行為檢測。

4）網(wǎng)絡(luò)探針24

網(wǎng)絡(luò)探針24是一種數(shù)據(jù)采集方法。

采集網(wǎng)絡(luò)流量摘要，發(fā)給第2網(wǎng)絡(luò)檢測器22，進行網(wǎng)絡(luò)惡意行為檢測。

5）第2惡意程序庫25

第2惡意程序庫25是一種程序信息摘要的集合。

云端10的模式篩選器14根據(jù)客戶端環(huán)境信息，對第2惡意程序庫25進行實時更新，第2行為檢測器21通過第2惡意程序庫25來判斷程序惡意行為。

6）第2可信程序庫26

第2可信程序庫26是一種程序信息摘要的集合。

云端10的模式篩選器14根據(jù)客戶端環(huán)境信息，對第2可信程序庫26進行實時更新。第2行為檢測器21通過第2可信程序庫26來判斷程序惡意行為。

7）第2網(wǎng)絡(luò)攻擊模式庫27

第2網(wǎng)絡(luò)攻擊模式庫27是一種網(wǎng)絡(luò)攻擊模式的集合。

云端10的模式篩選器14根據(jù)客戶端環(huán)境信息，對第2網(wǎng)絡(luò)攻擊模式庫27進行實時更新，第2網(wǎng)絡(luò)檢測器22通過第2網(wǎng)絡(luò)攻擊模式庫27來判斷網(wǎng)絡(luò)惡意行為。

3、本系統(tǒng)的工作機理：

在云端10通過多種掃描引擎構(gòu)成的掃描器13，對可疑程序進行精確掃描，判斷是否具有惡意行為；并根據(jù)掃描結(jié)果，將程序信息摘要實時快速更新到第1惡意程序庫15和第1可信程序庫16；同時根據(jù)目標客戶端20的環(huán)境信息實時下發(fā)第2惡意程序庫25和第2可信程序庫26的更新到目標客戶端20，供目標客戶端20檢測程序惡意行為時使用。

對于網(wǎng)絡(luò)惡意行為，同樣在云端10和目標客戶端20都有網(wǎng)絡(luò)攻擊模式庫和網(wǎng)絡(luò)檢測器。利用云端10的計算能力可以在目標客戶端20對可疑流量無法識別的情況下提供可靠的識別；同時根據(jù)目標20客戶端的環(huán)境信息實時下發(fā)第2網(wǎng)絡(luò)攻擊模式庫的更新到目標客戶端20，供目標客戶端20檢測網(wǎng)絡(luò)惡意行為時使用。

二、方法

1、步驟①：

a、行為探針23通過系統(tǒng)統(tǒng)計工具、Hook等方式（對獲取方式不做限制）獲取程序啟動路徑、程序啟動鏡像、下載的程序文件，進而提取程序信息摘要，發(fā)送給第2行為檢測器21，進行惡意行為檢測；

b、所述的程序信息摘要是對程序的標識，包括程序名稱、程序文件大小、程序鏡像大小、程序文件哈希值、程序鏡像哈希值、程序文件圖案、程序鏡像圖案等信息；哈希算法包括但不限于MD5、SHA1等。

c、所述的程序文件圖案和程序鏡像圖案是對程序數(shù)據(jù)的一種采樣，可以用一個三元組的集合來描述，三元組為：<偏移、數(shù)據(jù)塊大小、數(shù)據(jù)塊>。當偏移為，數(shù)據(jù)塊大小等于程序文件大小或程序鏡像大小時，數(shù)據(jù)塊就是程序文件或程序鏡像。由于當前存在對哈希值進行碰撞構(gòu)造的方法，惡意程序可以構(gòu)造和正常程序相同的哈希值來繞過檢測。使用程序文件圖案和程序鏡像圖案可以最大程度的防止這種情況。

d、所述目標客戶端20是指所述一種云平臺惡意行為檢測方法應(yīng)用的對象，包括但不限于PC機、云平臺、智能終端。

2、步驟②：

a、第2行為檢測器21接收行為探針23提交的程序信息摘要，通過第2惡意程序庫25進行模式匹配。如果程序文件大小、程序文件哈希值、程序文件圖案或者程序鏡像大小、程序鏡像哈希值、程序鏡像圖案匹配成功，則判斷為該程序具有惡意行為；否則繼續(xù)下面的檢查。

b、第2行為檢測器21接收行為探針23提交的程序信息摘要，通過第2可信程序庫26進行模式匹配。如果程序文件大小、程序文件哈希值、程序文件圖案或者程序鏡像大小、程序鏡像哈希值、程序鏡像圖案匹配成功，則判斷為該程序為可信程序，沒有惡意行為；否則該程序為無法識別的可疑程序，繼續(xù)下面的檢查。

c、對于無法識別的可疑程序，第2行為檢測器21將程序信息摘要提交給云端10的第1行為檢測器11，在云端10繼續(xù)進行深入的檢測。

3、步驟③：

a、第2網(wǎng)絡(luò)檢測器22接收網(wǎng)絡(luò)探針24提交的網(wǎng)絡(luò)流量摘要，通過第2網(wǎng)絡(luò)攻擊模式庫（27），進行模式匹配，如果網(wǎng)絡(luò)流量的特征和第2網(wǎng)絡(luò)攻擊模式庫（27）中網(wǎng)絡(luò)攻擊的流量特征一致，則識別為網(wǎng)絡(luò)惡意行為；否則繼續(xù)下面的檢查；

b、如果網(wǎng)絡(luò)流量的特征和第2網(wǎng)絡(luò)攻擊模式庫27中正常行為的流量特征一致，則識別為正常流量，否則該網(wǎng)絡(luò)流量為無法識別的可疑流量；

c、對于無法識別的可疑流量，則提交給云端10的第1網(wǎng)絡(luò)檢測器12，在云端10繼續(xù)進行深入的檢測；

d、在云端10的第1網(wǎng)絡(luò)檢測器12接收第2網(wǎng)絡(luò)檢測器22提交的網(wǎng)絡(luò)流量摘要，結(jié)合第1網(wǎng)絡(luò)攻擊模式庫17，進行模式匹配。如果網(wǎng)絡(luò)流量的特征和第1網(wǎng)絡(luò)攻擊模式庫17中網(wǎng)絡(luò)攻擊的流量特征一致，則識別為網(wǎng)絡(luò)惡意行為；

e、云端10的第1網(wǎng)絡(luò)檢測器12比目標客戶端20的第2網(wǎng)絡(luò)檢測器22處理能力要強；同時，云端10的第1網(wǎng)絡(luò)攻擊模式庫17比目標客戶端20的第2網(wǎng)絡(luò)攻擊模式庫27要更全面；

f、所述網(wǎng)絡(luò)探針24的位置沒有限制，對于不同的目標客戶端20，可以位于不同的位置，包括但不限于PC機、交換機、云平臺的虛擬機、云平臺的虛擬交換機等。

4、步驟④：

a、第1行為檢測器11接收第2行為檢測器21提交的程序信息摘要，通過第1惡意程序庫15進行模式匹配，如果程序文件大小、程序文件哈希值、程序文件圖案或者程序鏡像大小、程序鏡像哈希值、程序鏡像圖案匹配成功，則判斷為該程序具有惡意行為；否則繼續(xù)下面的檢查；

b、第1行為檢測器11接收第2行為檢測器21提交的程序信息摘要，通過第1可信程序庫16進行模式匹配；如果程序文件大小、程序文件哈希值、程序文件圖案或者程序鏡像大小、程序鏡像哈希值、程序鏡像圖案匹配成功，則判斷為該程序為可信程序，沒有惡意行為；否則該程序為無法識別的可疑程序，繼續(xù)下面的檢查；

c、對于無法識別的可疑程序，第1行為檢測器11程序信息摘要提交給掃描器13，繼續(xù)進行深入的檢測。

d、對于掃描器13識別的可疑程序和正常程序，分別更新第1惡意程序庫15和第1可信程序庫16。

5、步驟⑤：

a、掃描器13接收第1行為檢測器11提交的程序信息摘要，通過N種掃描引擎：第1、2……N掃描引擎（131、132……13N）,對可疑程序進行掃描，識別程序惡意行為；

b、N種掃描引擎中，每個掃描引擎的原理可以相同或不同，使用N種掃描引擎可以綜合各種掃描引擎的優(yōu)點，提高惡意行為檢測的準確率，降低誤報；對每個掃描引擎的方式不做限制，可以根據(jù)惡意行為的代碼特征、行為特征、沙盒運行、虛擬機運行等多種方式進行檢測；

c、每個可疑程序都有一個對應(yīng)的惡意值，可疑程序的惡意值為每個掃描引擎檢測出的惡意值的加權(quán)平均值；每個掃描引擎都有一個權(quán)值，掃描引擎判斷可疑程序為惡意程序時，該掃描引擎檢測出的惡意值為該掃描引擎的權(quán)值；掃描引擎判斷可疑程序為正常程序時，該掃描引擎檢測出的惡意值為。可疑程序的惡意值高于惡意閾值時，掃描器13判斷該可疑程序有惡意行為；可疑程序的惡意值低于正常閾值時，掃描器13判斷該可疑程序沒有惡意行為。

6、步驟⑥：

a、模式篩選器14結(jié)合目標客戶端20的環(huán)境信息，對第1惡意程序庫15、第1可信程序庫16、第1網(wǎng)絡(luò)攻擊模式庫17的更新部分進行篩選，實時下發(fā)給目標客戶端20，以更新目標客戶端20的第1惡意程序庫15、第1可信程序庫16和第1網(wǎng)絡(luò)攻擊模式庫17；

b、所述目標客戶端20的環(huán)境信息包括但不限于目標客戶端20的操作系統(tǒng)類型、操作系統(tǒng)版本、軟件安裝信息等。