CN102945345B - 一种基于非文件特征维度的新计算机病毒监控系统及方法 - Google Patents
一种基于非文件特征维度的新计算机病毒监控系统及方法 Download PDFInfo
- Publication number
- CN102945345B CN102945345B CN201210409151.3A CN201210409151A CN102945345B CN 102945345 B CN102945345 B CN 102945345B CN 201210409151 A CN201210409151 A CN 201210409151A CN 102945345 B CN102945345 B CN 102945345B
- Authority
- CN
- China
- Prior art keywords
- service end
- data
- information
- data storehouse
- new
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于非文件特征维度的新计算机病毒监控系统及方法,该新计算机病毒监控系统包括客户端探针、服务端累积数据库和服务端分析模块这三个部分,而该新计算机病毒监控方法包括以下步骤:S1.客户端探针收集计算机的变化信息;S2.服务端累积数据库对收集的信息进行累积和数据处理;S3.对服务端累积数据库处理后的数据进行分析和过滤,得到疑似新病毒爆发的数据。本发明收集的是计算机的变化信息,不需要收集到文件,也不依赖于文件内容,而是从新的非文件特征维度来监控新生计算机病毒,可以及时对新生病毒进行监控,具有快速和可靠性高的优点。本发明广泛应用于安全检测技术领域。
Description
技术领域
本发明涉及安全检测技术领域,尤其是一种基于非文件特征维度的新计算机病毒监控系统及方法。
背景技术
众所周知,计算机病毒已经成为当今互联网安全的重要威胁。在互联网高速发展的同时计算机病毒也在高速发展:从早期的逃避杀毒软件到现在的直接底层对抗杀毒软件;从病毒文件内容不断免杀到现在直接堂而皇之地使用正规厂商的安全文件做加载器;从单一特征到现在自身变形;从轻巧的体积到现在的自膨胀对抗云安全的应用。病毒与安全的对抗,已经达到白热化的地步,所以如何能够第一时间监控到并且处理掉新生计算机病毒已经成为了当今互联网安全热衷的研究课题。
传统的新生计算机病毒监控,仍然是以文件内容维度作为单一特征监控,如果收集不到文件,就无法监控到计算机病毒;即便监控到新生病毒,但是收集文件不成功,也无法对此病毒进行查杀防御。随着安全和病毒的不断对抗,越来越多的基于文件内容特征维度的免杀技术不断成熟,基于文件内容特征维度的监控系统的局限性也日益凸显。
发明内容
本发明要解决的技术问题是:提供一种基于非文件特征维度的新计算机病毒监控系统及方法,克服基于文件内容维度的监控体系的不足。
为了解决上述技术问题,本发明所采用的技术方案是:
一种基于非文件特征维度的新计算机病毒监控系统,该系统包括:
客户端探针,用于收集计算机的变化信息;
服务端累积数据库,用于对收集的信息进行累积和数据处理;
服务端分析模块,用于对服务端累积数据库处理后的信息进行分析和过滤,得出疑似新病毒爆发的数据。
进一步,所述服务端分析模块的输出端连接有一用于确定所述疑似新病毒爆发的数据是否为新生病毒的病毒检测模块。
进一步,所述客户端探针包括:
归类单元,用于对探针分布的位置进行归类;
统计单元,用于对归类后同一位置的变化信息进行处理;
上报单元,用于将统计单元处理后的信息发送到所述服务端累积数据库。
进一步,所述服务端分析模块包括:
相似度筛选器,用于计算所述服务端累积数据库中不同数据之间的相似度;
聚类分析筛选器,用于将所述服务端累积数据库中具有相同信息的数据聚类,并利用相似度算法对聚类后的数据进行病毒类型划分;
高危行为鉴定器,用于将所述服务端累积数据库的未知数据与已知病毒库的非文件内容维度特征做比较,从而划分出该未知数据的相似等级。
一种基于非文件特征维度的新计算机病毒监控的方法,该方法包括以下步骤:
S1.客户端探针收集计算机的变化信息;
S2.服务端累积数据库对收集的信息进行累积和数据处理;
S3.对服务端累积数据库处理后的数据进行分析和过滤,得到疑似新病毒爆发的数据。
进一步,在所述步骤S3之后还设有步骤S4,所述步骤S4,其具体为:确定所述疑似新病毒爆发的数据是否为新生病毒。
进一步,所述步骤S1包括:
S10.对探针分布的位置进行归类;
S11.通过预先设置的规则对归类后同一类下的变化信息进行处理,并对处理后的信息进行格式化处理和加密保存;
S12.判断加密保存后的信息是否需要上报,若需要,则将该信息发送到服务器。
进一步,所述步骤S3,其具体为,对服务端累积数据库处理后的数据进行相似度筛选,或者对服务端累积数据库处理后的数据进行聚类分析,或者对服务端累积数据库处理后的数据进行高危行为鉴定。
本发明的有益效果是:本发明基于非文件特征维度的新计算机病毒监控系统及方法收集的是计算机的变化信息,不需要收集到文件,也不依赖于文件内容,而是从新的非文件特征维度来监控新生计算机病毒,可以及时对新生病毒进行监控,具有快速和可靠性高的优点。
附图说明
图1是本发明的功能模块方框图;
图2是本发明的主步骤流程示意图;
图3是本发明的步骤S1的流程示意图。
具体实施方式
下面结合附图对本发明的具体实施方式作进一步说明。
如图1所示,一种基于非文件特征维度的新计算机病毒监控系统,该系统包括:
客户端探针,用于收集计算机的变化信息;
服务端累积数据库,用于对收集的信息进行累积和数据处理;
服务端分析模块,用于对服务端累积数据库处理后的信息进行分析和过滤,得出疑似新病毒爆发的数据。
进一步作为优选的实施方式,所述服务端分析模块的输出端连接有一用于确定所述疑似新病毒爆发的数据是否为新生病毒的病毒检测模块。
进一步作为优选的实施方式,所述客户端探针包括:
归类单元,用于对探针分布的位置进行归类;
统计单元,用于对归类后同一位置的变化信息进行处理;
上报单元,用于将统计单元处理后的信息发送到所述服务端累积数据库。
本发明的客户端探针集成于网络客户端的探针,分布于操作系统的各个部分。在开启客户端、防御病毒和查杀病毒时都会用到客户端探针,所述客户端探针负责对计算机中的变化信息进行归类、统计和上报。
其中,归类单元负责对照探针分布的位置进行归类,统计单元通过预先设置的规则(如按照位置相同的规则)对该类下的全部变化信息进行处理,并对处理后的信息进行格式化处理和加密保存。上报单元用于将加密保存后的信息发送到服务器,为后续数据的收集做准备。上报的信息包括但不限于监控位置、注册表位置(如果是通过监控注册表得到)、文件路径、文件大小、文件版本信息、文件创建时间、文件修改时间、数字签名信息、文件微特征和文件源文件名等,这些上报的信息就是客户端需要收集的变化信息。
而服务端累积数据库则主要用于累积客户端探针上报的信息,并将上报的信息进行解密,按归类录入数据库。服务端累积数据库是一个庞大的信息库,可以存储海量数据。
如图1所示,进一步作为优选的实施方式,所述服务端分析模块包括:
相似度筛选器,用于计算所述服务端累积数据库中不同数据之间的相似度;
聚类分析筛选器,用于将所述服务端累积数据库中具有相同信息的数据聚类,并利用相似度算法对聚类后的数据进行病毒类型划分;
高危行为鉴定器,用于将所述服务端累积数据库的未知数据与已知病毒库的非文件内容维度特征做比较,从而划分出该未知数据的相似等级。
服务端分析模块是本发明的核心与灵魂。它通过客户端探针收集各个信息,接着对收集每种的信息,在服务端累积数据库中进行海量数据处理,进而通过相似筛选器、聚类分析器和高危行为鉴定器分析出所述服务端累积数据库中数据的关联,从而过滤出疑似新病毒爆发的数据。所述服务端分析模块的三个子模块的具体介绍如下:
相似度筛选器:通过数据相似度比较算法,计算出收集的不同数据之间的相似度,例如数字签名相同但是文件名有一定相似度等,当相似度大于等于设定的相似阈值时,即认为相似。
聚类分析筛选器:将所述服务端累积数据库中具有相同信息的数据聚类,并利用相似度算法对聚类后的数据进行病毒类型划分。
高危行为鉴定器:根据后台数据库中的海量已知病毒非文件内容维度特征,与数据库中未知数据做比较,当相似度达到设定阈值后,按相似等级划分为极度相似、比较相似和可疑这三个级别。
经过服务端分析模块过滤后的数据(即疑似新病毒爆发的数据),均为互联网新生并且数量在一定时间阈值内达到一定规模的数据。得到的疑似新病毒爆发的数据由病毒监测模块确认是病毒或者是正常软件的程序,从而判定其为新病毒或者新生、新版本正常软件,进而达到快速响应和监控互联网新生病毒的目的。
如图2所示,本发明还揭示了一种基于非文件特征维度的新计算机病毒监控的方法,该方法包括以下步骤:
S1.客户端探针收集计算机的变化信息;
S2.服务端累积数据库对收集的信息进行累积和数据处理;
S3.对服务端累积数据库处理后的数据进行分析和过滤,得到疑似新病毒爆发的数据。
进一步作为优选的实施方式,在所述步骤S3之后还设有步骤S4,所述步骤S4,其具体为:确定所述疑似新病毒爆发的数据是否为新生病毒。
如图3所示,进一步作为优选的实施方式,所述步骤S1包括:
S10.对探针分布的位置进行归类;
S11.通过预先设置的规则对归类后同一类下的变化信息进行处理,并对处理后的信息进行格式化处理和加密保存;
S12.判断加密保存后的信息是否需要上报,若需要,则将该信息发送到服务器。上报的信息包括但不限于监控位置、注册表位置(如果是通过监控注册表得到)、文件路径、文件大小、文件版本信息、文件创建时间、文件修改时间、数字签名信息、文件微特征和文件源文件名等,这些上报的信息就是客户端需要收集的变化信息。
进一步作为优选的实施方式,所述步骤S3,其具体为,对服务端累积数据库处理后的数据进行相似度筛选,或者对服务端累积数据库处理后的数据进行聚类分析,或者对服务端累积数据库处理后的数据进行高危行为鉴定。
其中,相似度筛选用于计算出所述服务端累积数据库中不同数据之间的相似度;
聚类分析筛选,将所述服务端累积数据库中具有相同信息的数据聚类,并使用相似度算法对聚类后的数据进行病毒类型的划分;
高危行为鉴定,将所述服务端累积数据库的未知数据与已知病毒库的非文件内容维度特征做比较,从而划分出该未知数据的相似等级。
本发明收集的是计算机的变化信息,不需要收集到文件,也不依赖于文件内容,而是从新的非文件特征维度来监控新生计算机病毒,可以及时对新生病毒进行监控,与传统的病毒监控方法与系统相比具有快速和可靠性高的优点。
以上是对本发明的较佳实施例进行了具体说明,但本发明创造并不限于所述实施例,熟悉本领域的技术人员在不违背本发明精神的前提下还可以作出种种的等同变形或替换,这些等同的变形或替换均包含在本申请权利要求所限定的范围内。
Claims (4)
1.一种基于非文件特征维度的新计算机病毒监控系统,其特征在于,该系统包括:
客户端探针,用于从探针分布位置收集计算机的变化信息;
服务端累积数据库,用于对收集的信息进行累积和数据处理;
服务端分析模块,用于对服务端累积数据库处理后的信息进行分析和过滤,得出疑似新病毒爆发的数据;
其中,所述客户端探针包括:
归类单元,用于对探针分布的位置进行归类;
统计单元,用于对归类后同一位置的变化信息进行处理;
上报单元,用于将统计单元处理后的信息发送到所述服务端累积数据库;
所述服务端分析模块包括:
相似度筛选器,用于计算所述服务端累积数据库中不同数据之间的相似度;
聚类分析筛选器,用于将所述服务端累积数据库中具有相同信息的数据聚类,并利用相似度算法对聚类后的数据进行病毒类型划分;
高危行为鉴定器,用于将所述服务端累积数据库的未知数据与已知病毒库的非文件内容维度特征做比较,从而划分出该未知数据的相似等级。
2.根据权利要求1所述的一种基于非文件特征维度的新计算机病毒监控系统,其特征在于,所述服务端分析模块的输出端连接有一用于确定所述疑似新病毒爆发的数据是否为新生病毒的病毒检测模块。
3.一种基于非文件特征维度的新计算机病毒监控方法,其特征在于,该方法包括以下步骤:
S1.客户端探针从探针分布位置收集计算机的变化信息;
S2.服务端累积数据库对收集的信息进行累积和数据处理;
S3.对服务端累积数据库处理后的数据进行分析和过滤,得到疑似新病毒爆发的数据;
其中,所述步骤S1包括:
S10.对探针分布的位置进行归类;
S11.通过预先设置的规则对归类后同一类下的变化信息进行处理,并对处理后的信息进行格式化处理和加密保存;
S12.判断加密保存后的信息是否需要上报,若需要,则将该信息发送到服务器;
所述步骤S3,其具体为:对服务端累积数据库处理后的数据进行相似度筛选,或者对服务端累积数据库处理后的数据进行聚类分析,或者对服务端累积数据库处理后的数据进行高危行为鉴定。
4.根据权利要求3所述的一种基于非文件特征维度的新计算机病毒监控方法,其特征在于,在所述步骤S3之后还设有步骤S4,所述步骤S4,其具体为:确定所述疑似新病毒爆发的数据是否为新生病毒。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210409151.3A CN102945345B (zh) | 2012-10-24 | 2012-10-24 | 一种基于非文件特征维度的新计算机病毒监控系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210409151.3A CN102945345B (zh) | 2012-10-24 | 2012-10-24 | 一种基于非文件特征维度的新计算机病毒监控系统及方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102945345A CN102945345A (zh) | 2013-02-27 |
CN102945345B true CN102945345B (zh) | 2015-11-18 |
Family
ID=47728286
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210409151.3A Active CN102945345B (zh) | 2012-10-24 | 2012-10-24 | 一种基于非文件特征维度的新计算机病毒监控系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102945345B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103729593B (zh) * | 2013-12-31 | 2017-04-12 | 安一恒通(北京)科技有限公司 | 一种文件安全性的识别方法和系统 |
CN111143829B (zh) * | 2019-12-25 | 2022-04-26 | 北京天融信网络安全技术有限公司 | 一种任务危险程度的确定方法、装置、电子设备及存储介质 |
CN111949982B (zh) * | 2020-07-30 | 2023-08-08 | 珠海市鸿瑞信息技术股份有限公司 | 一种基于电力协议的控制阻断隔离系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1739922A (zh) * | 2004-08-11 | 2006-03-01 | 安惠工具有限公司 | 双头钳及其制造方法 |
CN101924762A (zh) * | 2010-08-18 | 2010-12-22 | 奇智软件(北京)有限公司 | 一种基于云安全的主动防御方法 |
CN102663284A (zh) * | 2012-03-21 | 2012-09-12 | 南京邮电大学 | 一种基于云计算的恶意代码识别方法 |
-
2012
- 2012-10-24 CN CN201210409151.3A patent/CN102945345B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1739922A (zh) * | 2004-08-11 | 2006-03-01 | 安惠工具有限公司 | 双头钳及其制造方法 |
CN101924762A (zh) * | 2010-08-18 | 2010-12-22 | 奇智软件(北京)有限公司 | 一种基于云安全的主动防御方法 |
CN102663284A (zh) * | 2012-03-21 | 2012-09-12 | 南京邮电大学 | 一种基于云计算的恶意代码识别方法 |
Also Published As
Publication number | Publication date |
---|---|
CN102945345A (zh) | 2013-02-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104348667B (zh) | 基于告警信息的故障定位方法 | |
CN104246786A (zh) | 模式发现中的字段选择 | |
US9584533B2 (en) | Performance enhancements for finding top traffic patterns | |
US11042525B2 (en) | Extracting and labeling custom information from log messages | |
CN103312887B (zh) | 一种手机应用篡改识别系统、方法及装置 | |
CN107733693B (zh) | 基于安全事件统计的网络安全运维能力评估方法及系统 | |
CN101923617A (zh) | 一种基于云的样本数据库动态维护方法 | |
CN112416872A (zh) | 一种基于大数据的云平台日志管理系统 | |
CN103475535A (zh) | 云计算服务器日志管理系统 | |
CN102945345B (zh) | 一种基于非文件特征维度的新计算机病毒监控系统及方法 | |
CN103532760A (zh) | 用于分析在各主机上执行的命令的分析设备、系统和方法 | |
CN111722991A (zh) | 告警信息处理方法、装置、设备及存储介质 | |
CN112612680A (zh) | 一种消息告警方法、系统、计算机设备及存储介质 | |
CN112019523A (zh) | 一种工控系统的网络审计方法和装置 | |
CN114297661A (zh) | 一种漏洞的去重处理方法、装置、设备及存储介质 | |
CN106951360B (zh) | 数据统计完整度计算方法和系统 | |
CN110677271B (zh) | 基于elk的大数据告警方法、装置、设备及存储介质 | |
CN113409555A (zh) | 一种基于物联网的实时报警联动方法及系统 | |
CN103400220A (zh) | 一种网络设备信息的采集、分类以及固定标识的方法 | |
CN110149303B (zh) | 一种党校的网络安全预警方法及预警系统 | |
CN111800292A (zh) | 基于历史流量的预警方法、装置、计算机设备及存储介质 | |
CN107729206A (zh) | 告警日志的实时分析方法、系统和计算机处理设备 | |
CN113986656B (zh) | 一种基于数据中台的电网数据安全监测系统 | |
CN114595135A (zh) | 日志数据处理方法、装置、设备、存储介质及程序产品 | |
CN110569172B (zh) | 一种业务层级的性能监控系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right |
Effective date of registration: 20191128 Address after: Room 105-53811, No. 6 Baohua Road, Hengqin New District, Zhuhai City, Guangdong Province Patentee after: Zhuhai Seal Interest Technology Co., Ltd. Address before: 519000, No. 10, main building, No. 6, science Road, Harbour Road, Tang Wan Town, Guangdong, Zhuhai, 601F Patentee before: Zhuhai Juntian Electronic Technology Co.,Ltd. |
|
TR01 | Transfer of patent right |