CN101727548B - 一种计算机安全监控系统和方法以及综合决策装置 - Google Patents
一种计算机安全监控系统和方法以及综合决策装置 Download PDFInfo
- Publication number
- CN101727548B CN101727548B CN2008102249390A CN200810224939A CN101727548B CN 101727548 B CN101727548 B CN 101727548B CN 2008102249390 A CN2008102249390 A CN 2008102249390A CN 200810224939 A CN200810224939 A CN 200810224939A CN 101727548 B CN101727548 B CN 101727548B
- Authority
- CN
- China
- Prior art keywords
- decision
- making
- operation behavior
- characteristic information
- result
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供一种计算机安全监控系统和方法以及综合决策装置,该系统用于利用至少两个不同的恶意行为知识库对监控对象进行安全监控,包括:监控模块,用于获取操作对象为所述监控对象的第一操作行为的特征信息;至少两个与所述至少两个不同的恶意行为知识库分别对应的独立决策子系统,每个所述至少两个独立决策子系统分别用于根据所述特征信息和所述至少两个不同的恶意行为知识库中对应的恶意行为知识库进行独立决策,得到至少两个独立决策结果;综合决策模块,用于根据预先设置的综合决策准则,利用所述至少两个独立决策结果得到所述第一操作行为的第一决策结果。本发明消除了由于各个独立决策模块的决策结果不同而导致的决策冲突。
Description
技术领域
本发明涉及计算机安全技术领域,特别是一种计算机安全监控系统和方法以及综合决策装置。
背景技术
随着计算机技术的不断进步,随着而来的是计算机病毒、木马等各种不安全因素也越来越多。
以当前技术水平而言,还不存在任何一款产品,能对付所有的计算机病毒和木马等不安全因素,各个不同的安全软件(如杀毒软件、在线监控软件、防IE主页修改的软件、防止注册表修改的软件等)都具有各自不同的恶意行为知识库,尽管这些恶意行为知识库存在很大的交集,但不可避免的是,这些恶意行为知识库也存在很大的差异。
根据上述的描述可以发现,用户使用任意一种安全软件来保证计算机的安全时,都不可避免的存在一些安全控制盲区,属于该安全控制盲区的计算机病毒、木马等不安全因素无法被用户当前使用的杀毒引擎所侦测到,有可能会给计算机安全带来无法估量的影响。
考虑到每种安全软件存在的恶意行为知识库的不完整性,现有技术中采用同时运行多个安全软件的方式来解决上述安全控制盲区的问题。
然而,发明人在实现本发明实施例技术方案的过程中发现,现有技术的同时运行多种安全软件的计算机安全控制方式至少存在以下的问题:
多个安全软件实时监控程序分别进行监控和决策,对于某些类型的不安全因素可能会得到不同的决策结果,而对应于不同的决策结果,会导致多个安全软件实时监控程序对其进行不同的处理,造成实时监控的决策及处理冲突。
发明内容
本发明的目的是提供一种计算机安全监控系统和方法以及综合决策装置,消除同时运行多个杀毒引擎实时监控程序所导致的决策冲突。
为了实现上述目的,本发明实施例提供了计算机安全监控系统,用于利用至少两个不同的恶意行为知识库对监控对象进行安全监控,包括:
监控模块,用于获取操作对象为所述监控对象的第一操作行为的特征信息;
至少两个与所述至少两个不同的恶意行为知识库分别对应的独立决策子系统,每个所述至少两个独立决策子系统分别用于根据所述特征信息和所述至少两个不同的恶意行为知识库中对应的恶意行为知识库进行独立决策,得到至少两个独立决策结果;
综合决策模块,用于根据预先设置的综合决策准则,利用所述至少两个独立决策结果得到所述第一操作行为的第一决策结果。
上述的计算机安全监控系统,其中,所述监控模块具体包括:
与所述至少两个不同的恶意行为知识库分别对应的第一监控模块,每个所述第一监控模块用于获取结构与对应的恶意行为知识库中保存的特征信息的结构相同的所述第一操作行为的第一特征信息,并发送给对应的独立决策子系统。
上述的计算机安全监控系统,其中,还包括:
第二监控模块,用于获取所述第一操作行为的第三特征信息;
第二保存单元,用于保存所述第一操作行为中,所述第一决策结果指示不合法的操作行为的所述第三特征信息;
第一预判单元,用于判断所述第一操作行为的第三特征信息是否与所述第二保存单元中任意一个操作行为的特征信息相同,获取一预判结果;
第一触发单元,用于在所述预判结果指示所述第一操作行为的第三特征信息与所述第二保存单元中任意一个操作行为的特征信息相同时,直接判断所述操作行为非法,否则触发所述监控模块和所述独立决策子系统。
上述的计算机安全监控系统,其中,所述监控模块具体包括:
综合监控模块,用于获取所述第一操作行为的原始特征信息;
转换模块,用于将所述原始特征信息分别转换为与所述至少两个不同的恶意行为知识库的第二特征信息的结构匹配的第一特征信息,并发送给对应的独立决策子系统。
上述的计算机安全监控系统,其中,其特征在于,还包括:
第三保存单元,用于保存所述第一操作行为中,所述第一决策结果指示不合法的操作行为的所述原始特征信息;
第二预判单元,用于判断所述第一操作行为的原始特征信息是否与所述第二保存单元中任意一个操作行为的特征信息相同,获取一预判结果;
第二触发单元,用于在所述预判结果指示所述第一操作行为的第三特征信息与所述第二保存单元中任意一个操作行为的特征信息相同时,直接判断所述第一操作行为非法,否则触发所述转换模块和所述独立决策子系统。
上述的计算机安全监控系统,其中,所述独立决策子系统具体包括:
第一保存模块,用于预先保存对应的恶意行为知识库;
独立决策模块,用于比较接收到的特征信息与所述第一保存模块中的恶意行为知识库的第二特征信息,并根据比较结果输出指示所述第一操作行为合法或非法的独立决策结果。
上述的计算机安全监控系统,其中,所述综合决策模块具体包括:
第一综合决策单元,判断所有的所述独立决策结果中,指示所述第一操作行为合法的独立决策结果的比例是否超过预设第一阈值,如果是,判断所述第一操作行为合法,否则判断所述第一操作行为不合法。
上述的计算机安全监控系统,其中,所述综合决策模块具体包括:
第二综合决策单元,判断所有的所述独立决策结果中,是否存在指示所述第一操作行为非法的独立决策结果,如果是,判断所述第一操作行为非法,否则判断所述第一操作行为合法。
上述的计算机安全监控系统,其中,所述综合决策模块具体包括:
记录单元,用于记录所述独立决策子系统的有效阻止次数;
权重计算单元,用于将第一独立决策子系统的有效阻止次数除以所有所述独立决策子系统的有效阻止次数之和得到的数值作为所述第一独立决策子系统的权重;
计算单元,利用各个独立决策子系统的权重乘以对应的独立决策结果得到 第一数值,将所有的所述第一数值相加得到最终决策数值;
综合决策单元,在所述最终决策数值大于第二阈值时,判断所述第一操作行为合法,否则判断为非法。
上述的计算机安全监控系统,其中,还包括:
执行模块,用于根据所述第一决策结果对所述第一操作行为进行处理。
为了实现上述目的,本发明实施例还提供了一种计算机安全监控方法,用于利用至少两个不同的恶意行为知识库对监控对象进行安全监控,包括:
获取操作对象为所述监控对象的第一操作行为的特征信息;
分别根据所述至少两个不同的恶意行为知识库和对应的所述特征信息进行独立决策,得到至少两个独立决策结果;
根据预先设置的综合决策准则,利用所述至少两个独立决策结果得到所述第一操作行为的第一决策结果。
上述的方法,其中,所述获取对所述监控对象执行的第一操作行为的特征信息具体为:
分别获取所述第一操作行为的与所述至少两个不同的恶意行为知识库对应的第一特征信息。
上述的方法,其中,还包括:
获取所述第一操作行为的第三特征信息;
判断所述第一操作行为的第三特征信息是否与任意一个第四特征信息相同,获取一预判结果;所述第四特征信息为所述第一操作行为中,被所述第一决策结果判定为不合法的操作行为的特征信息;
在所述预判结果指示所述第一操作行为的第三特征信息与任意一个第四特征信息相同时,直接判断所述第一操作行为非法,否则进入所述获取对所述监控对象执行的第一操作行为的特征信息的步骤。
上述的方法,其中,所述获取对所述监控对象执行的第一操作行为的特征信息具体为:
获取所述第一操作行为的原始特征信息;
将所述原始特征信息分别转换为与所述至少两个不同的恶意行为知识库匹配的所述第一特征信息。
上述的方法,其中,还包括:
判断所述第一操作行为的原始特征信息是否与任意一个第四特征信息相同,获取一预判结果;所述第四特征信息为所述第一操作行为中,被所述第一决策结果判定为不合法的操作行为的所述原始特征信息;
在所述预判结果指示所述第一操作行为的原始特征信息与任意一个第四特征信息相同时,直接判断所述第一操作行为非法,否则进入所述将所述原始特征信息分别转换为与所述至少两个不同的恶意行为知识库匹配的所述第一特征信息的步骤。
上述的方法,其中,所述根据预先设置的综合决策准则,利用所有的所述独立决策结果得到所述第一操作行为的第一决策结果的步骤具体为:
判断所有的所述独立决策结果中,指示所述第一操作行为合法的独立决策结果的比例是否超过预设第一阈值,如果是,判断所述第一操作行为合法,否则判断所述第一操作行为不合法。
上述的方法,其中,所述根据预先设置的综合决策准则,利用所有的所述独立决策结果得到所述第一操作行为的第一决策结果的步骤具体为:
判断所有的所述独立决策结果中,是否存在指示所述第一操作行为非法的独立决策结果,如果是,判断所述第一操作行为非法,否则判断所述第一操作行为合法。
上述的方法,其中,所述根据预先设置的综合决策准则,利用所有的所述独立决策结果得到所述第一操作行为的第一决策结果的步骤具体为:
记录每个恶意行为知识库的有效阻止次数;
分别将每个恶意行为知识库的有效阻止次数除以所有恶意行为知识库的有效阻止次数之和得到每个恶意行为知识库对应的权重;
利用各个恶意行为知识库的权重乘以对应的独立决策结果得到第一数值,将所有的所述第一数值相加得到最终决策数值;
在所述最终决策数值大于第二阈值时,判断所述第一操作行为合法,否则判断为非法。
为了实现上述目的,本发明实施例还提供了一种综合决策装置,包括:
接收模块,用于接收至少两个独立决策结果,所述至少两个独立决策结果 为至少两个独立决策子系统针对同一操作行为分别独立决策得到,所述至少两个独立决策子系统使用不同的恶意行为知识库;
判断模块,用于判断所述至少两个独立决策结果是否相同;
综合决策模块,用于在所述至少两个独立决策结果不同时,根据预先设置的综合决策准则,利用所述至少两个独立决策结果得到所述操作行为的第一决策结果;
指示模块,用于指示独立决策结果与所述第一决策结果相同的第一独立决策子系统对所述操作行为进行处理。
上述的装置,其中,还包括:
发送模块,用于将所述第一决策结果发送给所述至少两个独立决策子系统。
上述的装置,其中,所述第一独立决策子系统为所述独立决策结果与第一决策结果相同的独立决策子系统中的一个;或独立决策结果与第一决策结果相同的独立决策子系统中权重最大的独立决策子系统。
本发明实施例具有以下的有益效果:
本发明实施例的系统和方法中,由于所有的独立决策模块所得到的独立决策结果都被送到综合决策模块,由综合决策模块根据预先设置的判断准则进行综合判断,得到最终的决策结果,所以不会再产生由于各个独立决策模块的决策结果不同而导致的决策冲突。
同时,由于存在多个独立决策模块,而每个独立决策模块具有各自不同的恶意行为知识库(即恶意行为的第二特征信息),所以系统综合了多种恶意行为知识库,提高了计算机系统的安全性。
本发明实施例的计算机安全监控系统及方法中,不同的独立决策模块使用一个监控模块的监控结果进行分别的决策,降低了多个监控模块同时运行所导致的系统资源占用过高的缺陷,降低了对系统资源的占用率;
同时,本发明实施例的计算机安全监控系统及方法中,利用已有的决策结果预先对监控结果进行决策,一旦发现该行为已经被确诊为恶意行为了,则直接采取应对措施,无需经过综合决策过程,加快了系统综合决策的速度。
附图说明
图1为本发明第一实施例的计算机安全监控系统的结构示意图;
图2为本发明第一实施例的方法的一种流程示意图;
图3为本发明第一实施例的方法的另一种流程示意图;
图4为本发明第二实施例的计算机安全监控系统的结构示意图;
图5为本发明第二实施例的方法的流程示意图。
具体实施方式
本发明具体实施例的计算机安全监控系统、综合决策装置及方法中,设置有多个不同的决策模块,每个决策模块都具有各自的权重,分别进行决策,最后综合决策模块各自的决策结果,得到最终的决策结果,消除了多个决策模块同时决策所导致的决策冲突。
下面以不同的实现方式对本发明实施例的计算机安全监控系统进行详细说明。
<第一实施例>
在本发明的第一实施例中,该计算机安全监控系统中不同的决策模块通过各自对应的行为采集模块来获取需要进行决策的数据。
如图1所示,本发明第一实施例的计算机安全监控系统,包括:
至少两个与不同的恶意行为知识库分别对应的独立决策子系统,所述恶意行为知识库用于保存已知恶意行为的第二特征信息;
与所述不同的恶意行为知识库分别对应的第一监控模块,用于获取操作对象为监控对象的第一操作行为的第一特征信息,并发送给对应的独立决策子系统,所述第一特征信息的结构与对应的恶意行为知识库中的所述第二特征信息的结构相同;
举例说明如下,假定有3个恶意行为知识库A1、B1和C1,则设置3个第一监控模块A2、B2和C2,分别对应于A1、B1和C1,而同时A2获取的第一特征信息的结构与A1中的特征信息的结构相同,B2获取的第一特征信息的结构与B1中的特征信息的结构相同,C2获取的第一特征信息的结构与C1中的特征信息的结构相同。
每个所述独立决策子系统均包括:
第一保存模块,用于预先保存对应的恶意行为知识库;
独立决策模块,用于比较接收到的所述第一特征信息与保存的所述恶意行为知识库中的第二特征信息,并根据比较结果输出指示所述第一操作行为合法或非法的独立决策结果;当第一特征信息与所述恶意行为知识库中的任意已知恶意行为的第二特征信息相同时,则判断所述第一操作行为非法,否则判断所述第一操作行为合法;
所述计算机安全监控系统还包括:
综合决策模块,用于根据预先设置的综合决策准则,利用所有的所述独立决策结果得到所述第一操作行为的第一决策结果;
执行模块,用于根据所述第一决策结果对所述第一操作行为执行相应的操作。
在此应该说明的是,在图1中是以3个独立决策子系统为例进行的说明,当然独立决策子系统的数目也可以是其他的大于或等于2的数目,同时为了体现各自知识库和监控模块之间的不同,在图中分别用A、B、C来区分。
上述的执行模块是单独设置的,当然也可以由独立决策结果与第一决策结果相同的独立决策子系统去执行所述相应的操作,当有两个或两个以上的独立决策子系统的独立决策结果与第一决策结果相同时,可以选择任意一个,或者选择权重较大的决策子系统进行处理,对于权重的设置将在后续进行详细说明。
其中所述操作对象为监控对象的第一操作行为可以是:
与应用程序相关的行为;和/或
与注册表相关的行为;和/或
与网络操作相关的行为。
当然,还可以是其它任何用户想监控的操作行为,上面仅仅是几种比较典型的需要监控的行为的举例说明。
其中,该恶意行为知识库可以利用恶意行为知识表描述,如下表所示。
| ID | 名称 | 特征量1 | 特征量2 | 特征量3 | … |
| 1 | A1 | X1 | Y1 | Z1 | … |
| 2 | A2 | X2 | Y2 | Z2 | … |
[0107]
| 3 | A3 | X3 | Y3 | Z3 | … |
| … | … | … | … | … | … |
如上表所示,该表中记录了恶意行为的如下信息:
恶意行为ID;
恶意行为名称;和
描述恶意行为关键信息的恶意行为特征信息,如:与注册表操作和网络操作相关的信息等等。
下表为一种恶意行为知识表的具体举例。
| ID | 名称 | 修改注册表 以自动启动 | 发送数据包并 做网络监听 | 修改自身 运行层 | … |
| 1 | 蠕虫病毒攻击 | 是 | 是 | 否 | … |
| 2 | 木马病毒攻击 | 是是 | 是 | 是是 | … |
| 3 | 网络病毒攻击 | 否 | 是是 | 是是 | … |
| … | … | … | … | … | … |
当然,不同恶意行为的特征信息的数量可能各不相同,同时,不同的独立决策子系统的恶意行为的特征信息的描述和数据结构也可能不同,因此,上述的表格只是对恶意行为的表现方式和记录信息的一种记录方式的举例说明。
同时,在上述的表格中,是以3种病毒进行的举例说明,但当然还可以是其它的行为,如用户自行修改注册表等。
在本发明的第一实施例中,该综合决策模块需要根据预先设置的综合决策准则,并利用所有的所述独立决策结果得到第一决策结果,下面对该综合决策的实现方式进行详细说明如下。
综合决策实现方式一、所有的所述独立决策结果中,判断所述第一操作行为合法的决策结果的比例是否超过预设阈值,如果是,判断为合法,否则判断为不合法,举例说明如下。
假定当前有4个独立决策子系统,各自的独立决策结果分别为:第一操作行为合法、第一操作行为合法、第一操作行为不合法、第一操作行为不合法。此时,如果预设阈值为30%,则第一决策结果为合法,如果预设阈值为60%,则第一决策结果为不合法。
当然,该预设阈值可以根据系统的安全性要求而设置,安全性要求高,则将预设阈值设置较大即可。
综合决策实现方式二、所有的独立决策结果中,是否存在判断第一操作行 为不合法的决策结果,如果是,判断为不合法,否则判断为合法,举例说明如下。
在这种方式下,考虑到任意决策模块判断操作行为不合法总有其合理性,因此一旦有任意的独立决策子系统判断第一操作行为不合法,则将其判断为不合法,能够最大化的保护计算机系统的安全。
综合决策实现方式三、为每个独立决策子系统分别设置权重,判断第一数值是否大于预设阈值,如果是判断为合法,否则判断为不合法,该第一数值为独立决策子系统的用数值表示的决策结果与对应的权重的乘积之和,举例说明如下。
假定当前有4个独立决策子系统,各自的独立决策结果分别为:第一操作行为合法(用数值表示为1)、第一操作行为合法(用数值表示为1)、第一操作行为不合法(用数值表示为0)、第一操作行为不合法(用数值表示为0),而4个独立决策子系统的权重分别为0.4、0.3、0.2和0.1,则第一数值为0.7,假定此时预设阈值为50%,则第一决策结果为合法,如果预设阈值为80%,则第一决策结果为不合法。
当然,上述的方式三也可以描述为:为每个独立决策子系统分别设置权重,判断第二数值是否大于预设阈值,如果是判断为合法,否则判断为不合法,该第二数值为判断所述操作行为合法的独立决策子系统的的权重之和。
当然,上述的权重、结果的数值表示也可以采用其他的方式来限定,在此不一一列举。
在上述的第三种方式下,需要为每个独立决策子系统设置权重,在本发明的具体实施例中,独立决策子系统的权重可以通过多种方式进行设置,如下所述。
权重设置方式一、为所有的独立决策子系统设置固定且相同的权重;
权重设置方式二、为所有的独立决策子系统设置固定但不同的权重;
权重设置方式三、为所有的独立决策子系统设置相同的初始权重,并在运行过程中修正该权重,如独立决策子系统与综合决策模块的判断结果相同,则增加该独立决策子系统的权重,一种具体的增加方式将在后面进行详细说明。
在上述的实现方式下,由于所有的独立决策子系统所得到的独立决策结果 都被送到综合决策模块,由综合决策模块根据预先设置的判断准则进行综合判断,得到最终的决策结果,所以不会再产生由于各个独立决策子系统的决策结果不同而导致的决策冲突。
同时,由于存在多个独立决策子系统,而每个独立决策子系统具有各自不同的恶意行为知识库(即恶意行为的第二特征信息),所以系统综合了多种恶意行为知识库,提高了计算机系统的安全性。
从上述的描述可以发现,本发明第一实施例的系统和方法对所有的操作行为都执行综合决策,没有利用历史数据,为了加快决策的速度,本发明实施例的系统还包括:
第二监控单元,用于获取所述第一操作行为的第三特征信息;
第二保存单元,用于保存所述第一操作行为中,所述第一决策结果指示不合法的操作行为的所述第三特征信息;
预判单元,用于判断所述第一操作行为的第三特征信息是否与所述第二保存单元中任意一个操作行为的特征信息相同,获取一预判结果;
触发单元,用于在所述预判结果指示所述第一操作行为的第三特征信息与所述第二保存单元中任意一个操作行为的特征信息相同时,直接判断所述第一操作行为非法,否则触发所述至少两个独立决策子系统。
通过上述的设置,一旦某一操作行为已经在先被综合决策判断为非法,则以后再监控到该行为时,预判模块直接根据第二保存模块中的结果判断其非法,不需要再进行综合判断。
在上面已经提到,为各个独立决策子系统设置相同的初始权重,并在运行过程中修正该权重,如独立决策子系统与综合决策模块的判断结果相同,则增加该独立决策子系统的权重,其具体实现方式如下所述。
各个独立决策子系统的权重根据其有效阻止次数来计算,所谓有效阻止次数为独立决策子系统与综合决策模块得到相同的决策结果的次数,而任意一个独立决策子系统的权重为以下二者之商:
该独立决策子系统的有效阻止次数;和
所有决策模块的有效阻止次数之和。
举例说明如下:假定独立决策子系统A、B和C的有效阻止次数分别为 10、5和5,则独立决策子系统A的权重为:10/(10+5+5)=0.5,而独立决策子系统B和C的权重均为0.25。
可以看出,利用如上方式决定的权重是不断变化的,每一次决策之后都会发生变化,而通过这种方式也能够不断的提高决策准确的独立决策子系统的权重,有利于得到更加准确的第一决策结果。
本发明第一实施例的方法如图2所示,所述方法利用至少两个不同的恶意行为知识库进行安全监控,包括:
步骤21,获取操作对象为监控对象的第一操作行为的预判特征信息;
步骤22,判断所述第一操作行为的预判特征信息是否与在先记录的被判断为非法操作行为中的任意一个操作行为的特征信息相同,如果是进入步骤27,否则进入步骤23;
步骤23,获取与所述至少两个不同的恶意行为知识库一一对应的第一特征信息;
步骤24,分别利用每一个恶意行为知识库和对应的第一特征信息对第一操作行为进行独立决策,并输出独立决策结果;
步骤25,根据预先设置的综合决策准则,利用所有的所述独立决策结果进行综合决策,得到所述第一操作行为的第一决策结果;
步骤26,在所述第一决策结果指示所述第一操作行为非法时,记录所述第一操作行为的所述第一特征信息,结束对所述第一操作行为的决策;
步骤27,直接判断所述第一操作行为为非法操作行为。
在步骤25中根据变化的权重进行综合决策时,还需要更新有效阻止次数,并计算新的权重,在下一次进行综合决策时,使用新的权重进行处理。
当然,本发明第一实施例的方法中利用综合决策的结果进行预判时,也可以采用与所述至少两个不同的恶意行为知识库一一对应的第一特征信息中的一个来进行,如图3所示,所述方法利用至少两个不同的恶意行为知识库进行安全监控,包括:
步骤31,获取与所述至少两个不同的恶意行为知识库一一对应的第一特征信息;
步骤32,采用与所述至少两个不同的恶意行为知识库一一对应的第一特 征信息中的一个作为预判特征信息;
步骤33,判断所述第一操作行为的预判特征信息是否与在先记录的被判断为非法操作行为中的任意一个操作行为的特征信息相同,如果是进入步骤37,否则进入步骤34;
步骤34,分别利用每一个恶意行为知识库和对应的第一特征信息对第一操作行为进行独立决策,并输出独立决策结果;
步骤35,根据预先设置的综合决策准则,利用所有的所述独立决策结果进行综合决策,得到所述第一操作行为的第一决策结果;
步骤36,在所述第一决策结果指示所述第一操作行为非法时,记录所述第一操作行为的所述预判特征信息,结束对所述第一操作行为的决策;
步骤37,直接判断所述第一操作行为为非法操作行为。
图3所述的方法与图2所示的方法相比,减少了一个实时监控模块,降低了系统资源的占用率。
<第二实施例>
在本发明的第一实施例中,该计算机安全监控系统中不同的决策模块通过各自对应的行为采集模块来获取需要进行决策的数据,同时,每个不同的决策模块都通过各自的监控单元获取操作对象为监控对象的第一操作行为的第一特征信息,并各自独立进行决策。
在本发明的第一实施例中,计算机安全监控系统中不同的决策模块使用统一的监控模块,并通过转化模块将监控到的特征信息转化为各个决策模块的恶意行为知识库相匹配的特征信息,下面进行详细说明。
如图4所示,本发明第二实施例的计算机安全监控系统包括:
综合监控模块,用于获取操作对象为监控对象的第一操作行为的原始特征信息;
至少两个与不同的恶意行为知识库分别对应的独立决策子系统,所述恶意行为知识库用于保存已知恶意行为的第二特征信息;
转换模块,用于将所述原始特征信息转换为与所述恶意行为知识库中的第二特征信息的结构匹配的第一特征信息,并发送给对应的独立决策子系统;
所述独立决策子系统均包括:
第一保存模块,用于预先保存对应的恶意行为知识库;
独立决策模块,用于比较所述第一特征信息与所述恶意行为知识库中的第二特征信息,输出指示所述第一操作行为合法或非法的独立决策结果;当第一特征信息与所述恶意行为知识库中的任意已知恶意行为的第二特征信息相同时,则判断所述第一操作行为非法,否则判断所述第一操作行为合法;
所述计算机安全监控系统还包括:
综合决策模块,用于根据预先设置的综合决策准则,利用所有的所述独立决策结果得到所述第一操作行为的第一决策结果;
执行模块,用于根据所述第一决策结果对所述第一操作行为执行相应的操作。
在此应该说明的是,在图4中是以3个独立决策子系统为例进行的说明,当然独立决策子系统的数目也可以是其他的大于或等于2的数目,同时为了体现各自知识库和监控模块之间的不同,在图中分别用A、B、C来区分。
这里之所以需要转换模块,是因为各个恶意行为知识库中的知识的组织形式或结构可能有所不同,需要将原始特征信息转换为可以直接与其恶意行为知识库中的特征信息相比对的信息。
其中所述操作对象为监控对象的第一操作行为可以是:
与应用程序相关的行为;和/或
与注册表相关的行为;和/或
与网络操作相关的行为。
当然,还可以是其它任何用户想监控的操作行为,上面仅仅是几种比较典型的需要监控的行为的举例说明。
在本发明的第二实施例中,该综合决策模块需要根据预先设置的综合决策准则,并利用所有的所述独立决策结果得到第一决策结果,下面对该综合决策的实现方式进行详细说明如下。
综合决策实现方式一、所有的所述独立决策结果中,判断所述第一操作行为合法的决策结果的比例是否超过预设阈值,如果是,判断为合法,否则判断为不合法,举例说明如下。
综合决策实现方式二、所有的独立决策结果中,是否存在判断第一操作行 为不合法的决策结果,如果是,判断为不合法,否则判断为合法,举例说明如下。
综合决策实现方式三、为每个独立决策子系统分别设置权重,判断第一数值是否大于预设阈值,如果是判断为合法,否则判断为不合法,该第一数值为独立决策子系统的用数值表示的决策结果与对应的权重的乘积之和,举例说明如下。
在上述的第三种方式下,需要为每个独立决策子系统设置权重,在本发明的具体实施例中,独立决策子系统的权重可以通过多种方式进行设置,如下所述。
权重设置方式一、为所有的独立决策子系统设置固定且相同的权重;
权重设置方式二、为所有的独立决策子系统设置固定但不同的权重;
权重设置方式三、为所有的独立决策子系统设置相同的初始权重,并在运行过程中修正该权重,如独立决策子系统与综合决策模块的判断结果相同,则增加该独立决策子系统的权重,一种具体的增加方式将在后面进行详细说明。
在上述的实现方式下,由于所有的独立决策子系统所得到的独立决策结果都被送到综合决策模块,由综合决策模块根据预先设置的判断准则进行综合判断,得到最终的决策结果,所以不会再产生由于各个独立决策子系统的决策结果不同而导致的决策冲突。
同时,由于存在多个独立决策子系统,而每个独立决策子系统具有各自不同的恶意行为知识库(即恶意行为的第二特征信息),所以系统综合了多种恶意行为知识库,提高了计算机系统的安全性。
从上述的描述可以发现,本发明第二实施例的系统和方法对所有的操作行为都执行综合决策,没有利用历史数据,为了加快决策的速度,本发明实施例的系统还包括:
第二保存单元,用于保存所述第一操作行为中,所述第一决策结果指示不合法的操作行为的所述原始特征信息;
预判单元,用于判断所述第一操作行为的原始特征信息是否与所述第二保存单元中任意一个操作行为的特征信息相同,获取一预判结果;
触发单元,用于在所述预判结果指示所述第一操作行为的第三特征信息与 所述第二保存单元中任意一个操作行为的特征信息相同时,直接判断所述第一操作行为非法,否则触发所述转换模块和所述至少两个独立决策子系统。
通过上述的设置,一旦某一操作行为已经在先被综合决策判断为非法,则以后再监控到该行为时,预判模块直接根据第二保存模块中的结果判断其非法,不需要再进行综合判断。
在上面已经提到,为各个独立决策子系统设置相同的初始权重,并在运行过程中修正该权重,如独立决策子系统与综合决策模块的判断结果相同,则增加该独立决策子系统的权重,其具体实现方式如下所述。
各个独立决策子系统的权重根据其有效阻止次数来计算,所谓有效阻止次数为独立决策子系统与综合决策模块得到相同的决策结果的次数,而任意一个独立决策子系统的权重为以下二者之商:
该独立决策子系统的有效阻止次数;和
所有决策模块的有效阻止次数之和。
可以看出,利用如上方式决定的权重是不断变化的,每一次决策之后都会发生变化,而通过这种方式也能够不断的提高决策准确的独立决策子系统的权重,有利于得到更加准确的第一决策结果。
本发明第二实施例的方法如图5所示,所述方法利用至少两个不同的恶意行为知识库进行安全监控,包括:
步骤51,获取操作对象为监控对象的第一操作行为的原始特征信息;
步骤52,判断所述第一操作行为的原始特征信息是否与在先记录的被判断为非法操作行为中的任意一个操作行为的特征信息相同,如果是进入步骤57,否则进入步骤53;
步骤53,将所述原始特征信息分别转换为与所述至少两个不同的恶意行为知识库的第二特征信息的结构匹配的第一特征信息;
步骤54,分别利用每一个恶意行为知识库和对应的第一特征信息对第一操作行为进行独立决策,并输出独立决策结果;
步骤55,根据预先设置的综合决策准则,利用所有的所述独立决策结果进行综合决策,得到所述第一操作行为的第一决策结果;
步骤56,在所述第一决策结果指示所述第一操作行为非法时,记录所述 第一操作行为的所述原始特征信息,结束对所述第一操作行为的决策;
步骤57,直接判断所述第一操作行为为非法操作行为。
在步骤55中根据变化的权重进行综合决策时,还需要更新有效阻止次数,并计算新的权重,在下一次进行综合决策时,使用新的权重进行处理。
在上述的两个实施例中,都是以独立决策子系统的权重进行的说明,当然该权重也可以看作是恶意行为知识库或独立决策模块的权重。
本发明实施例的综合决策装置包括:
接收模块,用于接收至少两个独立决策结果,所述至少两个独立决策结果为至少两个独立决策子系统针对同一操作行为分别独立决策得到,所述至少两个独立决策子系统使用不同的恶意行为知识库;
判断模块,用于判断所述至少两个独立决策结果是否相同,得到一判断结果;
综合决策模块,用于根据预先设置的综合决策准则,利用所述至少两个独立决策结果得到所述操作行为的第一决策结果;
指示模块,用于指示独立决策结果与所述第一决策结果相同的第一独立决策子系统对所述操作行为进行处理。
当然,为了使各个决策子系统能够得到更好的升级,所述综合决策装置还包括:
发送模块,用于将所述第一决策结果发送给所述至少两个独立决策子系统。
独立决策结果与第一决策结果不同时,独立决策子系统更新其恶意行为知识库,下次碰到同一行为,所有决策子系统就会作出同样的决策结果。
指示模块指示独立决策结果与所述第一决策结果相同的第一独立决策子系统对所述操作行为进行处理,在此该第一独立决策子系统可以是:
所有独立决策结果与第一决策结果相同的独立决策子系统;或
独立决策结果与第一决策结果相同的独立决策子系统中的一个;或
独立决策结果与第一决策结果相同的独立决策子系统中权重最大的独立决策子系统。
该权重设置可以是:
为所有的独立决策子系统设置固定但不同的权重;
为所有的独立决策子系统设置相同的初始权重,并在运行过程中修正该权重,如独立决策子系统与综合决策模块的判断结果相同,则增加该独立决策子系统的权重,一种具体的增加方式已经在前面进行了说明,在此不再赘述。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (21)
1.一种计算机安全监控系统,用于利用至少两个不同的用于保存已知恶意行为的第二特征信息的恶意行为知识库对监控对象进行安全监控,其特征在于,所述系统包括:
监控模块,用于获取操作对象为所述监控对象的第一操作行为的特征信息;
至少两个与所述至少两个不同的恶意行为知识库分别对应的独立决策子系统,每个所述至少两个独立决策子系统分别用于根据所述特征信息和所述至少两个不同的恶意行为知识库中对应的恶意行为知识库进行独立决策,得到至少两个独立决策结果;
所述计算机安全监控系统还包括:
综合决策模块,用于根据预先设置的综合决策准则,利用所述至少两个独立决策结果得到所述第一操作行为的第一决策结果;
其中,每个独立决策子系统具体用于比较所述第一操作行为的特征信息与所述第二特征信息,并根据比较结果输出指示所述第一操作行为合法或非法的独立决策结果。
2.根据权利要求1所述的计算机安全监控系统,其特征在于,所述监控模块具体包括:
与所述至少两个不同的恶意行为知识库分别对应的第一监控模块,每个所述第一监控模块用于获取结构与对应的恶意行为知识库中保存的特征信息的结构相同的所述第一操作行为的第一特征信息,并发送给对应的独立决策子系统。
3.根据权利要求2所述的计算机安全监控系统,其特征在于,还包括:
第二监控模块,用于获取所述第一操作行为的第三特征信息;
第二保存单元,用于保存所述第一操作行为中,所述第一决策结果指示不合法的操作行为的所述第三特征信息;
第一预判单元,用于判断所述第一操作行为的第三特征信息是否与所述第二保存单元中任意一个操作行为的特征信息相同,获取一预判结果;
第一触发单元,用于在所述预判结果指示所述第一操作行为的第三特征信息与所述第二保存单元中任意一个操作行为的特征信息相同时,直接判断所述操作行为非法,否则触发所述监控模块和所述独立决策子系统。
4.根据权利要求1所述的计算机安全监控系统,其特征在于,所述监控模块具体包括:
综合监控模块,用于获取所述第一操作行为的原始特征信息;
转换模块,用于将所述原始特征信息分别转换为与所述至少两个不同的恶意行为知识库的第二特征信息的结构匹配的第一特征信息,并发送给对应的独立决策子系统。
5.根据权利要求4所述的计算机安全监控系统,其特征在于,还包括:
第三保存单元,用于保存所述第一操作行为中,所述第一决策结果指示不合法的操作行为的所述原始特征信息;
第二预判单元,用于判断所述第一操作行为的原始特征信息是否与所述第二保存单元中任意一个操作行为的特征信息相同,获取一预判结果;
第二触发单元,用于在所述预判结果指示所述第一操作行为的第三特征信息与所述第二保存单元中任意一个操作行为的特征信息相同时,直接判断所述第一操作行为非法,否则触发所述转换模块和所述独立决策子系统。
6.根据权利要求1到5中任意一项所述的计算机安全监控系统,其特征在于,所述独立决策子系统具体包括:
第一保存模块,用于预先保存对应的恶意行为知识库;
独立决策模块,用于比较接收到的特征信息与所述第一保存模块中的恶意行为知识库的第二特征信息,并根据比较结果输出指示所述第一操作行为合法或非法的独立决策结果。
7.根据权利要求1到5中任意一项所述的计算机安全监控系统,其特征在于,所述综合决策模块具体包括:
第一综合决策单元,判断所有的所述独立决策结果中,指示所述第一操作行为合法的独立决策结果的比例是否超过预设第一阈值,如果是,判断所述第一操作行为合法,否则判断所述第一操作行为不合法。
8.根据权利要求1到5中任意一项所述的计算机安全监控系统,其特征在于,所述综合决策模块具体包括:
第二综合决策单元,判断所有的所述独立决策结果中,是否存在指示所述第一操作行为非法的独立决策结果,如果是,判断所述第一操作行为非法,否则判断所述第一操作行为合法。
9.根据权利要求1到5中任意一项所述的计算机安全监控系统,其特征在于,所述综合决策模块具体包括:
记录单元,用于记录所述独立决策子系统的有效阻止次数;
权重计算单元,用于将第一独立决策子系统的有效阻止次数除以所有所述独立决策子系统的有效阻止次数之和得到的数值作为所述第一独立决策子系统的权重;
计算单元,利用各个独立决策子系统的权重乘以对应的独立决策结果得到第一数值,将所有的所述第一数值相加得到最终决策数值;
综合决策单元,在所述最终决策数值大于第二阈值时,判断所述第一操作行为合法,否则判断为非法。
10.根据权利要求1到5所述的计算机安全监控系统,其特征在于,还包括:
执行模块,用于根据所述第一决策结果对所述第一操作行为进行处理。
11.一种计算机安全监控方法,用于利用至少两个不同的用于保存已知恶意行为的第二特征信息的恶意行为知识库对监控对象进行安全监控,其特征在于,所述方法包括:
获取操作对象为所述监控对象的第一操作行为的特征信息;
分别根据所述至少两个不同的恶意行为知识库和所述第一操作行为的特征信息进行独立决策,得到至少两个独立决策结果;其中通过比较第一操作行为的特征信息与所述第二特征信息,并根据比较结果输出指示所述第一操作行为合法或非法的独立决策结果;
根据预先设置的综合决策准则,利用所述至少两个独立决策结果得到所述第一操作行为的第一决策结果。
12.根据权利要求11所述的方法,其特征在于,所述获取对所述监控对象执行的第一操作行为的特征信息具体为:
分别获取所述第一操作行为的与所述至少两个不同的恶意行为知识库对应的第一特征信息。
13.根据权利要求12所述的方法,其特征在于,还包括:
获取所述第一操作行为的第三特征信息;
判断所述第一操作行为的第三特征信息是否与任意一个第四特征信息相同,获取一预判结果;所述第四特征信息为所述第一操作行为中,被所述第一决策结果判定为不合法的操作行为的特征信息;
在所述预判结果指示所述第一操作行为的第三特征信息与任意一个第四特征信息相同时,直接判断所述第一操作行为非法,否则进入所述获取对所述监控对象执行的第一操作行为的特征信息的步骤。
14.根据权利要求12所述的方法,其特征在于,所述获取对所述监控对象执行的第一操作行为的特征信息具体为:
获取所述第一操作行为的原始特征信息;
将所述原始特征信息分别转换为与所述至少两个不同的恶意行为知识库匹配的所述第一特征信息。
15.根据权利要求14所述的方法,其特征在于,还包括:
判断所述第一操作行为的原始特征信息是否与任意一个第四特征信息相同,获取一预判结果;所述第四特征信息为所述第一操作行为中,被所述第一决策结果判定为不合法的操作行为的所述原始特征信息;
在所述预判结果指示所述第一操作行为的原始特征信息与任意一个第四特征信息相同时,直接判断所述第一操作行为非法,否则进入所述将所述原始特征信息分别转换为与所述至少两个不同的恶意行为知识库匹配的所述第一特征信息的步骤。
16.根据权利要求11到15中任意一项所述的方法,其特征在于,所述根据预先设置的综合决策准则,利用所有的所述独立决策结果得到所述第一操作行为的第一决策结果的步骤具体为:
判断所有的所述独立决策结果中,指示所述第一操作行为合法的独立决策结果的比例是否超过预设第一阈值,如果是,判断所述第一操作行为合法,否则判断所述第一操作行为不合法。
17.根据权利要求11到15中任意一项所述的方法,其特征在于,所述根据预先设置的综合决策准则,利用所有的所述独立决策结果得到所述第一操作行为的第一决策结果的步骤具体为:
判断所有的所述独立决策结果中,是否存在指示所述第一操作行为非法的独立决策结果,如果是,判断所述第一操作行为非法,否则判断所述第一操作行为合法。
18.根据权利要求11到15中任意一项所述的方法,其特征在于,所述根据预先设置的综合决策准则,利用所有的所述独立决策结果得到所述第一操作行为的第一决策结果的步骤具体为:
记录每个恶意行为知识库的有效阻止次数;
分别将每个恶意行为知识库的有效阻止次数除以所有恶意行为知识库的有效阻止次数之和得到每个恶意行为知识库对应的权重;
利用各个恶意行为知识库的权重乘以对应的独立决策结果得到第一数值,将所有的所述第一数值相加得到最终决策数值;
在所述最终决策数值大于第二阈值时,判断所述第一操作行为合法,否则判断为非法。
19.一种综合决策装置,其特征在于,包括:
接收模块,用于接收至少两个独立决策结果,所述至少两个独立决策结果为至少两个独立决策子系统针对同一操作行为分别独立决策得到,所述至少两个独立决策子系统使用不同的用于保存已知恶意行为的第二特征信息的恶意行为知识库;其中,每个独立决策子系统具体用于比较操作对象为监控对象的第一操作行为的特征信息与所述第二特征信息,并根据比较结果输出指示所述第一操作行为合法或非法的独立决策结果;
判断模块,用于判断所述至少两个独立决策结果是否相同;
综合决策模块,用于在所述至少两个独立决策结果不同时,根据预先设置的综合决策准则,利用所述至少两个独立决策结果得到所述操作行为的第一决策结果;
指示模块,用于指示独立决策结果与所述第一决策结果相同的第一独立决策子系统对所述操作行为进行处理。
20.根据权利要求19所述的装置,其特征在于,还包括:
发送模块,用于将所述第一决策结果发送给所述至少两个独立决策子系统。
21.根据权利要求19所述的装置,其特征在于,所述第一独立决策子系统为:
所述独立决策结果与第一决策结果相同的独立决策子系统中的一个;或
独立决策结果与第一决策结果相同的独立决策子系统中权重最大的独立决策子系统。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008102249390A CN101727548B (zh) | 2008-10-27 | 2008-10-27 | 一种计算机安全监控系统和方法以及综合决策装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008102249390A CN101727548B (zh) | 2008-10-27 | 2008-10-27 | 一种计算机安全监控系统和方法以及综合决策装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101727548A CN101727548A (zh) | 2010-06-09 |
| CN101727548B true CN101727548B (zh) | 2012-12-19 |
Family
ID=42448428
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008102249390A Active CN101727548B (zh) | 2008-10-27 | 2008-10-27 | 一种计算机安全监控系统和方法以及综合决策装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101727548B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102012992B (zh) * | 2010-11-19 | 2012-11-21 | 奇智软件(北京)有限公司 | 一种实时防护文件的监控方法及装置 |
| CN103677882A (zh) * | 2012-09-18 | 2014-03-26 | 珠海市君天电子科技有限公司 | 一种手机程序的虚拟安装装置和方法 |
| CN104348795B (zh) * | 2013-07-30 | 2019-09-20 | 深圳市腾讯计算机系统有限公司 | 通用网关接口业务入侵防护的方法及装置 |
| CN106791195A (zh) * | 2017-02-20 | 2017-05-31 | 努比亚技术有限公司 | 一种操作处理方法及装置 |
| CN107832605A (zh) * | 2017-11-22 | 2018-03-23 | 江苏神州信源系统工程有限公司 | 一种保护终端安全的方法和装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101119231A (zh) * | 2007-07-19 | 2008-02-06 | 南京联创网络科技有限公司 | 计算机安全漏洞库集中管理并自动下发补丁的方法 |
| CN101122934A (zh) * | 2006-08-11 | 2008-02-13 | 珠海金山软件股份有限公司 | 一种可对文件实时监控的防治计算机病毒的装置及其升级方法 |
-
2008
- 2008-10-27 CN CN2008102249390A patent/CN101727548B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101122934A (zh) * | 2006-08-11 | 2008-02-13 | 珠海金山软件股份有限公司 | 一种可对文件实时监控的防治计算机病毒的装置及其升级方法 |
| CN101119231A (zh) * | 2007-07-19 | 2008-02-06 | 南京联创网络科技有限公司 | 计算机安全漏洞库集中管理并自动下发补丁的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101727548A (zh) | 2010-06-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101727548B (zh) | 一种计算机安全监控系统和方法以及综合决策装置 | |
| EP2701062B1 (en) | Virtual machine administration device, virtual machine administration method, and program | |
| CN102999716B (zh) | 虚拟机器监控系统及方法 | |
| CN1291569C (zh) | 一种附网存储设备中用户访问行为的异常检测方法 | |
| CN104392175A (zh) | 一种云计算系统中云应用攻击行为处理方法、装置及系统 | |
| EP2038745A2 (en) | Tracking discrete elements of distributed transactions | |
| EP3476101B1 (en) | Method, device and system for network security | |
| CN101876921A (zh) | 一种虚拟机迁移决策方法、装置及系统 | |
| CN101645148A (zh) | 一种应用于运营支撑系统中的施工单管理方法及管理系统 | |
| EP3200076A1 (en) | System and method for load estimation of virtual machines in a cloud environment and serving node | |
| CN109409087B (zh) | 防提权检测方法及设备 | |
| CN107483414A (zh) | 一种基于云计算虚拟化环境的安全防护系统及其防护方法 | |
| KR101068931B1 (ko) | 패턴 탐지 기반의 웹쉘 관제 시스템 및 그 방법 | |
| CN101719846A (zh) | 安全监控方法、装置及系统 | |
| CN101599113A (zh) | 驱动型恶意软件防御方法和装置 | |
| CN105303102A (zh) | 一种虚拟机的安全访问方法及虚拟机系统 | |
| CN110866255A (zh) | 一种智能合约漏洞检测方法 | |
| CN107329836A (zh) | 多系统的内存管理方法、管理装置以及移动终端 | |
| CN109828945A (zh) | 一种业务报文处理方法及系统 | |
| CN101636717B (zh) | 网格处理控制装置 | |
| CN104462953B (zh) | 一种信息处理方法及电子设备 | |
| CN111915811A (zh) | 一种多主机控制存取柜的方法与设备 | |
| CN103019865B (zh) | 虚拟机监控方法和系统 | |
| CN107807608A (zh) | 数据处理方法、数据处理系统及存储介质 | |
| CN102238134B (zh) | 一种调度扩展密码模块增强密码机运算能力的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |