(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210975145.8 (22)申请日 2022.08.12 (71)申请人 胡知远 地址 266000 山东省青岛市高新 技术产业 开发区松园路17号 (72)发明人 胡知远　任鹏飞　王金涛　 (74)专利代理 机构 合肥正则元起专利代理事务 所(普通合伙) 3416 0 专利代理师 刘念 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/10(2022.01) G06N 3/04(2006.01) G06N 3/08(2006.01) (54)发明名称 云安全服务实现系统和云安全服务实现方 法 (57)摘要 本发明公开了云安全服务实现系统和云安 全服务实现方法， 涉及网络病毒防护技术领域， 包括云安全客户端、 云安全平台、 病毒扩散监控 模块、 病毒检测模块以及病毒防控模块； 其中， 病 毒检测模块包括模型训练单元以及文件判断单 元； 通过在用户计算机设备中安装云安全探针， 实时监控用户接收的文件， 并对高速传播的文件 使用深度学习技术进行进一步分析； 对于疑似病 毒的文件， 在各个计算机设备中使用提前拦截的 方式阻止病毒的进一步扩散； 解决了病毒识别准 确率的问题以及病毒的大 范围扩散问题。 权利要求书2页 说明书5页 附图2页 CN 115473687 A 2022.12.13 CN 115473687 A 1.云安全服务实现系统， 其特征在于， 包括： 云安全客户端、 云安全平台、 病 毒扩散监控 模块、 病毒检测模块以及病毒防控模块； 其中， 病毒检测模块包括模 型训练单元以及 文件判 断单元； 其中， 各个模块之间电性连接； 所述云安全客户端用于在用户计算机设备中安装云安全探针； 病毒扩散监控 模块用于对具有传播 性质的病毒 进行监控； 所述病毒检测模块用于对文件进行进一 步检测； 其中， 模型训练单 元用于训练病毒 文件识别模型； 其中， 所述文件判断单元用于判断由云安全平台发送的文件是否为带有传播性质的病 毒文件； 所述病毒防控 模块用于全网防控病毒 文件的传播。 2.根据权利要求1所述的云安全服务实现系统， 其特征在于， 所述云安全探针实时监 听 用户计算机设备上 的安全信息， 所述安全信息包括计算机高风险端口、 系统注册表关键位 置、 文件的下 载以及对安装的重要软件的修改情况。 3.根据权利要求1所述的云安全服务实现系统， 其特征在于， 所述病 毒扩散监控模块对 具有传播 性质的病毒 进行监控 包括以下步骤： 步骤S1： 云安全客户端通过云安全探针实时监控用户计算机设备中新下载的文件， 并 将新下载文件信息发送至病毒扩散监控 模块； 步骤S2： 病毒扩散监控模块收集所有具有相同文件信息的文件， 并分析所有文件的文 件来源； 当文件来源形成链式传播效应， 并且文件传播速度超出传播速度阈值γ时， 病毒扩散 监控模块向用户计算机设备请求一份文件副本， 并转至步骤S3； 所述传播速度阈值γ根据 实际经验设置； 所述文件传播速度为文件在单位时间内出现在新的用户计算机设备的数量； 步骤S3： 用户计算机设备将文件发送至病毒扩散监控模块， 病毒扩散监控模块将文件 发送至云安全平台进行进一 步判断。 4.根据权利要求3所述的云安全服务实现系统， 其特征在于， 所述文件信息包括文件 名、 文件大小、 文件格式以及文件来源。 5.根据权利要求3所述的云安全服务实现系统， 其特征在于， 所述链式传播效应为文件 由一个或多个源头发出至用户计算机设备后， 用户计算机设备作为新的源头， 继续发送至 新的用户计算机设备。 6.根据权利要求1所述的云安全服务实现系统， 其特征在于， 所述训练病 毒文件识别模 型包括以下步骤： 步骤P1： 收集网络中现有的带有传播性质的木马病毒文件数据集， 以及不具备传播性 质的文件 数据集； 将带有传播性质的木马病毒文件 数据集标记为集合S， 将不具备传播性质 的文件数据集标记为 集合W； 步骤P2： 将文件数据集S以及文件数据集W中的文件使用反编译工具进行反编译， 得到 文件的静态特征； 将所述静态特征构筑成文件代码特征向量， 将文件代码特征向量标记为 X； 步骤P3： 构筑文件数据集S以及文件数据集W中文件的基础特征向量， 所述基础特征向权　利　要　求　书 1/2 页 2 CN 115473687 A 2量中的特征包括文件传播速度、 文件占用计算机设备端口情况、 文件修改计算机设备注册 表情况以及文件申请计算机设备权限特 征； 将文件基础特 征向量标记为Y； 步骤P4： 将文件代码特征向量X与文件基础特征向量Y合并； 将合并后的特征向量标记 为Z； 将特征向量Z作为神经网络的输入， 文件数据集S中的文件标签记为1,文件数据集W中 的文件标签记为0； 步骤P5： 完成神经网络的训练； 获得训练好的病毒 文件判断模型。 7.根据权利要求1所述的云安全服务实现系统， 其特征在于， 所述病 毒防控模块接收到 确认病毒信息后， 将对应病毒文件信息发送至未接 收到病毒文件的云安全客户端； 接 收到 病毒文件信息的云安全客户端实时监控用户计算机 设备接收到的文件， 并阻止具有相同文 件信息的文件的下 载。 8.根据权利要求1所述的云安全服务实现系统， 其特征在于， 所述文件判断单元接收到 由云安全平台发送的文件后， 使用反编译工具将文件进 行反编译， 获得文件的静态特征； 将 所述静态特征构筑成文件代码特征向量； 构筑文件的基础特征向量， 将文件代码特征向量 与基础特征向量合并， 将合并后的向量作为输入， 输入训练好的病毒文件判断模 型， 获得文 件为病毒 文件的概 率， 将概率标记为p； 若p>P， 则判断文件为病毒文件， 发送确认病毒信息至云安全平台； 云安全平台将确认 病毒信息发送至病毒防控 模块； 其中P为预设的文件为病毒的概 率阈值。 9.云安全服务实现方法， 其基于权利要求1 ‑8任一所述的云安全服务实现系统运行， 其 特征在于， 包括以下步骤： 步骤一： 各个用户计算机设备安装云安全客户端， 所述云安全客户端包括云安全探针， 所述云安全探针实时监测文件的下 载； 步骤二： 病毒扩散监控模块对具有传播性质的病毒进行监控， 当网络中出现高速扩散 的文件时， 将文件及文件信息发送至病毒检测模块； 步骤三： 病毒检测模块根据文件静态特征和文件基本特征， 使用深度学习 网络模型判 断文件是否为病毒文件； 对于病毒文件， 发送确认病毒信息至 云安全平台， 云安全平台将确 认病毒信息发送至病毒防控 模块， 转至步骤四； 步骤四： 病毒 防控模块接收到确认病毒信息后， 对于未接收到病毒文件的用户计算机 设备进行防护。权　利　要　求　书 2/2 页 3 CN 115473687 A 3