CN103077352B - 一种基于云平台的程序行为分析的主动防御方法 - Google Patents
一种基于云平台的程序行为分析的主动防御方法 Download PDFInfo
- Publication number
- CN103077352B CN103077352B CN201210563282.7A CN201210563282A CN103077352B CN 103077352 B CN103077352 B CN 103077352B CN 201210563282 A CN201210563282 A CN 201210563282A CN 103077352 B CN103077352 B CN 103077352B
- Authority
- CN
- China
- Prior art keywords
- behavior
- program
- malicious code
- clouds
- cloud client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Debugging And Monitoring (AREA)
Abstract
一种基于云平台的程序行为分析的主动防御方法,系统包括云端和云客户端,其中,云端由恶意代码行为分析模块、程序行为监测模块、恶意代码处理模块构成;云客户端包括程序行为监测模块、恶意代码行为辨识模块、恶意代码处理模块构成,本发明引入云平台并基于程序行为分析、辨识、处理的行为算法辨识程序,能够智能提高主机系统的安全风险静态防御能力,有效提升终端主机安全防御能力,降低终端主机对病毒、木马、后门程序、流氓软件等恶意代码的感染概率,保证了主机安全。
Description
技术领域
本发明涉及计算机网络安全技术领域,尤其涉及一种基于云平台的程序行为分析的主动防御方法。
背景技术
随着网络与信息技术的发展,网络正深刻地改变着人类的生活与工作方式。各种网络交叉互联,在给人们生活与工作带来极大方便的同时,信息安全问题也逐渐凸显,当前,随着计算机技术的发展,木马黑客技术、恶意攻击技术日新月异,其特点表现为趋利性、隐蔽性、针对性、抗杀性。黑色产业链的形成,恶意代码数量呈几何级数增长,而且恶意代码制造技术门槛降低、免杀技术日新月异、企事业面临的安全威胁正在飞速增长,黑客攻击工具、蠕虫病毒、木马后门、间谍软件、恶意脚本、ARP病毒等恶意代码爆发式增长、海量恶意代码带来的海量攻击持续不断的或周期性的困扰着用户,给企事业的信息系统造成严重的破坏,故病毒防御技术也在不断的发展,传统的病毒防御技术是从病毒体中提取病毒特征值并构成病毒特征库的方法来识别恶意代码,尽管这种方法的执行效率很高,但是存在相当大的局限性,这种技术对于新病毒的反应迟钝,特征代码库的更新则依赖于软件供应商搜集最新病毒信息并分析提取特征码,这样导致反病毒技术总是滞后于病毒的产生;且由于恶意代码快速发展,安全威胁已不是仅局限于病毒,而是包含各类已知和未知的病毒、蠕虫、木马、间谍软件、恶意插件、Rootkit和零日攻击等恶意代码,传统病毒防御技术难以检测此类攻击。
发明内容
针对现有技术的上述缺陷和问题,本发明提供了一种基于云平台的程序行为分析的主动防御方法,能够智能提高主机系统的安全风险静态防御能力,能有效提升终端主机安全防御能力,降低终端主机对病毒、木马、后门程序、流氓软件等恶意代码的感染概率,防御主机系统面临安全威胁。
为了达到上述目的,本发明提供如下技术方案:一种基于云平台的程序行为分析的主动防御方法,系统包括云端和云客户端,其中,云端由恶意代码行为分析模块、程序行为监测模块、恶意代码处理模块构成;云客户端包括程序行为监测模块、恶意代码行为辨识模块、恶意代码处理模块构成,云客户端对运行的程序行为或动作进行监控,并捕获行为,用实时运行在云客户端的恶意代码行为辨识模块的行为辨识算法程序对所监控程序的行为进行分析判断,如能准确判断该程序为恶意程序,则处理掉该程序;如不能准确判断时,则把监控捕获到的该程序的行为或动作传送到云端的恶意代码行为分析模块,恶意代码行为分析模块归纳、提取并定义为新的恶意程序行为,加入到云端恶意代码行为分析模块中的恶意程序行为辨识处理算法程序中,云端根据行为辨识算法程序的更新或变动情况,实时更新云客户端的恶意代码行为辨识模块的行为辨识算法程序,云客户端根据恶意代码行为辨识模块中新的行为辨识算法程序决定是否对该程序行为进行拦截、终止执行该程序或清理该程序,最终将处理的结果反馈到云端。
所述一种基于云平台的程序行为分析的主动防御方法,包括步骤如下:
步骤101:在云客户端计算机,运行或启动任一程序,如*.exe,*.dll等目标程序;
步骤102:在云客户端“程序行为监测模块”的作用下,对运行的程序行为或动作进行监控;
步骤103:捕获监测到的行为;
步骤104:根据云客户端的行为辨识算法程序判定捕获到的行为;
步骤105:判定该程序是否为恶意代码;
步骤106:如果判断结果为是恶意代码,则云客户端的恶意代码处理模块会马上处理并清除恶意代码;
步骤107:如果不能准确判断,把监控捕获到的该程序的行为或动作传送到云端的恶意代码行为分析模块;
步骤108:云端的恶意代码行为分析模块归纳、提取并定义最新的恶意程序行为;
步骤109:实时更新云端恶意代码行为分析模块中的恶意程序行为辨识处理算法程序;
步骤110:云端分发新的行为辨识算法程序到云客户端,云客户端的恶意代码行为处理模块根据云客户端的恶意代码行为辨识模块的新的行为辨识算法程序决定是否对该程序行为进行拦截、终止执行该程序或清理该程序。
优选的技术方案,在步骤108:云端的恶意代码行为分析模块归纳、提取并定义最新的恶意程序行为时,云端加载足够多的各类恶意代码、正常软件,对新定义的最新的恶意程序行为生成进行验证。
优选的技术方案,在步骤104:云客户端的行为辨识算法程序判定捕获到的行为,需要通过正向算法辨识是否是恶意代码,为了增加判断的准确性,减少误判率,同时对程序进行反向算法辨识,确定其是否是正常程序。
优选的技术方案,云端同云客户端通过数据加密的方式通信。
本发明引入云平台并基于程序行为分析、辨识、处理的行为算法辨识程序,能够智能提高主机系统的安全风险静态防御能力,有效提升终端主机安全防御能力,降低终端主机对病毒、木马、后门程序、流氓软件等恶意代码的感染概率,保证了主机安全。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明的流程图。
图2是恶意代码行为分析模块流程图。
具体实施方式
为使本发明的目的、技术方案、及优点更加清楚明白,以下参照附图并举实施例,对本发明进一步详细说明。
本发明实施例提供了一种基于云平台的程序行为分析的方法,以解决现有网络安全技术根据病毒特征码对比技术,而滞后于各种各样的攻击技术。
结合图1的流程图来说明:
步骤101:在云客户端计算机,运行或启动任一程序,如*.exe,*.dll等目标程序;运行的目标程序还包括操作系统可执行文件如:*.exe、*.com等;各类脚本程序如:*.vbs、*.vsh、*.js、*.bat;系统内核程序以及驱动加载。
步骤102:在云客户端“程序行为监测模块”的作用下,对运行的程序行为或动作进行监控;
步骤103:捕获监测到的行为,本步骤主要捕获目标程序在云客户端计算机的内核、服务、应用、账号、通信、文件资源系统上的行为;
步骤104:根据云客户端的行为辨识算法程序判定捕获到的行为,通过正向算法辨识是否是恶意代码,为了增加判断的准确性,减少误判率,同时对程序进行反向算法辨识,确定其是否是正常程序;
步骤105:判定该程序是否为恶意代码;
步骤106:如果判断结果为是恶意代码,则云客户端的恶意代码处理模块会马上处理并清除恶意代码;
步骤107:如果不能准确判断,把监控捕获到的该程序的行为或动作传送到云端的恶意代码行为分析模块;
步骤108:云端的恶意代码行为分析模块归纳、提取并定义最新的恶意程序行为,在本步骤中,云端加载足够多的各类恶意代码、正常软件,对新定义的最新的恶意程序行为生成进行验证。
步骤109:实时更新云端恶意代码行为分析模块中的恶意程序行为辨识处理算法程序;
步骤110:云端分发新的行为辨识算法程序到云客户端,云客户端的恶意代码行为处理模块根据云客户端的恶意代码行为辨识模块的新的行为辨识算法程序决定是否对该程序行为进行拦截、终止执行该程序或清理该程序;
本发明采用了在云端建立海量恶意代码行为分析模块,提取最新的恶意代码行为,生成恶意代码行为辨识算法程序,加载各种恶意代码和正常程序进行判断,通过强大的分发系统,把最新的“行为辨识处理算法程序”分发到云客户端,使客户端具有最新的主动防御能力。
本发明中,为提高数据的安全性,云端同云客户端通过数据加密的方式通信。
根据图2所示,恶意代码行为分析模块,包括步骤为:
步骤201:提取最新的恶意代码行为,生成恶意代码行为辨识算法程序;
步骤202:加载各种恶意代码和正常程序进行判断;
通过采用自适应多维函数Y=k*f(X1,X2…Xn)和行为算法模型,Xn为程序某个行为风险权值,由程序行为算法确定,k为程序类别风险权重,Y为整个程序的风险值,该模型分析程序行为之间的逻辑关系,判定程序行为的合法性,实现恶意代码的自动辨识和主动防御。
加载各种恶意代码和正常程序进行判断采用的行为算法模型,包括:
格式1:行为::行为描述::威胁等级<函数1,参数1,参数取值特征,…参数m,参数取值特征>;
格式2:行为序列::行为描述::威胁等级<行为1><行为2>…<行为n>。
格式1适用于单个行为的规则建模;行为2适合多个行为的规则建模。其中,m表示函数的参数个数,n表示行为序列包含的个数;4个威胁等级:低、中、较高、极高;参数取值特征:表示对于的函数调用行为表现出恶意性是的参数的具体取值。
步骤203:把最新的“行为辨识算法程序”分发并加载在云客户端,使客户端具有最新的主动防御能力。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (1)
1.一种基于云平台的程序行为分析的主动防御方法,其特征在于:包括步骤如下:
步骤101:在云客户端计算机,运行或启动任一程序,如*.exe,*.dll等目标程序;
步骤102:在云客户端“程序行为监测模块”的作用下,对运行的程序行为或动作进行监控;
步骤103:捕获监测到的行为;
步骤104:根据云客户端的行为辨识算法程序判定捕获到的行为;云客户端的行为辨识算法程序判定捕获到的行为,需要通过正向算法辨识是否是恶意代码,为了增加判断的准确性,减少误判率,同时对程序进行反向算法辨识,确定其是否是正常程序;
步骤105:判定该程序是否为恶意代码;
步骤106:如果判断结果为是恶意代码,则云客户端的恶意代码处理模块会马上处理并清除恶意代码;
步骤107:如果不能准确判断,把监控捕获到的该程序的行为或动作传送到云端的恶意代码行为分析模块;
步骤108:云端的恶意代码行为分析模块归纳、提取并定义最新的恶意程序行为;云端的恶意代码行为分析模块归纳、提取并定义最新的恶意程序行为时,云端加载足够多的各类恶意代码、正常软件,对新定义的最新的恶意程序行为生成进行验证;
步骤109:实时更新云端恶意代码行为分析模块中的恶意程序行为辨识处理算法程序;步骤110:云端分发新的行为辨识算法程序到云客户端,云客户端的恶意代码行为处理模块根据云客户端的恶意代码行为辨识模块的新的行为辨识算法程序决定是否对该程序行为进行拦截、终止执行该程序或清理该程序;
所述云端同云客户端通过数据加密的方式通信;
所述恶意代码行为分析模块,步骤为:
步骤201:提取最新的恶意代码行为,生成恶意代码行为辨识算法程序;
步骤202:加载各种恶意代码和正常程序进行判断;通过采用自适应多维函数Y=k*f(X1,X2…Xn)和行为算法模型,Xn为程序某个行为风险权值,由程序行为算法确定,k为程序类别风险权重,Y为整个程序的风险值,该模型分析程序行为之间的逻辑关系,判定程序行为的合法性,实现恶意代码的自动辨识和主动防御;
加载各种恶意代码和正常程序进行判断采用的行为算法模型,包括:
格式1:行为::行为描述::威胁等级<函数1,参数1,参数取值特征,…参数m,参数取值特征>;
格式2:行为序列::行为描述::威胁等级<行为1><行为2>…<行为n>;
步骤203:把最新的“行为辨识算法程序”分发并加载在云客户端,使客户端具有最新的主动防御能力。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210563282.7A CN103077352B (zh) | 2012-12-24 | 2012-12-24 | 一种基于云平台的程序行为分析的主动防御方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210563282.7A CN103077352B (zh) | 2012-12-24 | 2012-12-24 | 一种基于云平台的程序行为分析的主动防御方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103077352A CN103077352A (zh) | 2013-05-01 |
| CN103077352B true CN103077352B (zh) | 2015-12-23 |
Family
ID=48153879
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210563282.7A Expired - Fee Related CN103077352B (zh) | 2012-12-24 | 2012-12-24 | 一种基于云平台的程序行为分析的主动防御方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103077352B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103544438B (zh) * | 2013-09-27 | 2016-03-02 | 南京邮电大学 | 一种用于云安全系统的用户感知病毒报告分析方法 |
| TWI493377B (zh) * | 2013-10-28 | 2015-07-21 | Chunghwa Telecom Co Ltd | A kind of cloud ARP and IP spoofing protection system |
| CN103745154A (zh) * | 2013-12-27 | 2014-04-23 | 柳州职业技术学院 | 一种具有自学习能力的入侵检测系统及检测方法 |
| CN105204973A (zh) * | 2015-09-25 | 2015-12-30 | 浪潮集团有限公司 | 云平台下基于虚拟机技术的异常行为监测分析系统及方法 |
| CN109347870B (zh) * | 2018-11-29 | 2022-01-14 | 广州大学 | 一种基于生物免疫的主动防御系统法及方法 |
| CN110245848B (zh) * | 2019-05-31 | 2021-08-06 | 口碑(上海)信息技术有限公司 | 程序代码的风险评估方法和装置 |
| CN110784473A (zh) * | 2019-10-31 | 2020-02-11 | 江苏安防科技有限公司 | 一种智慧管廊行业云安全防御系统 |
| CN111079146A (zh) * | 2019-12-10 | 2020-04-28 | 苏州浪潮智能科技有限公司 | 一种恶意软件处理方法与装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102346828A (zh) * | 2011-09-20 | 2012-02-08 | 海南意源高科技有限公司 | 一种基于云安全的恶意程序判断方法 |
| CN102402620A (zh) * | 2011-12-26 | 2012-04-04 | 余姚市供电局 | 一种恶意网页防御方法和系统 |
| CN102479298A (zh) * | 2010-11-29 | 2012-05-30 | 北京奇虎科技有限公司 | 基于机器学习的程序识别方法及装置 |
| CN102664875A (zh) * | 2012-03-31 | 2012-09-12 | 华中科技大学 | 基于云模式的恶意代码类别检测方法 |
-
2012
- 2012-12-24 CN CN201210563282.7A patent/CN103077352B/zh not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102479298A (zh) * | 2010-11-29 | 2012-05-30 | 北京奇虎科技有限公司 | 基于机器学习的程序识别方法及装置 |
| CN102346828A (zh) * | 2011-09-20 | 2012-02-08 | 海南意源高科技有限公司 | 一种基于云安全的恶意程序判断方法 |
| CN102402620A (zh) * | 2011-12-26 | 2012-04-04 | 余姚市供电局 | 一种恶意网页防御方法和系统 |
| CN102664875A (zh) * | 2012-03-31 | 2012-09-12 | 华中科技大学 | 基于云模式的恶意代码类别检测方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103077352A (zh) | 2013-05-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103077352B (zh) | 一种基于云平台的程序行为分析的主动防御方法 | |
| CN106790186B (zh) | 基于多源异常事件关联分析的多步攻击检测方法 | |
| Singhal et al. | Malware detection module using machine learning algorithms to assist in centralized security in enterprise networks | |
| CN102664875B (zh) | 基于云模式的恶意代码类别检测方法 | |
| WO2016082284A1 (zh) | 基于OCSVM双轮廓模型的Modbus TCP通信行为异常检测方法 | |
| CN103051627B (zh) | 一种反弹式木马的检测方法 | |
| US11074345B2 (en) | Rootkit detection system | |
| EP3337106B1 (en) | Identification system, identification device and identification method | |
| WO2017040957A1 (en) | Process launch, monitoring and execution control | |
| CN102831356A (zh) | 基于软件指纹的软件动态可信认证方法 | |
| CN106357637A (zh) | 一种针对智慧能源终端数据的主动防御系统 | |
| CN104899511A (zh) | 一种基于程序行为算法的主动防御方法 | |
| CN104933364A (zh) | 一种基于调用行为的恶意代码自动化同源判定方法及系统 | |
| CN111259390A (zh) | 一种恶意进程实时监控的方法、设备和计算机设备 | |
| Kim et al. | Runtime detection framework for android malware | |
| CN114584351A (zh) | 一种监控方法、装置、电子设备以及存储介质 | |
| CN114493203A (zh) | 一种安全编排及自动化响应的方法和装置 | |
| Pascariu et al. | Dynamic analysis of malware using artificial neural networks: Applying machine learning to identify malicious behavior based on parent process hirarchy | |
| CN109951484B (zh) | 针对机器学习产品进行攻击的测试方法及系统 | |
| US11263307B2 (en) | Systems and methods for detecting and mitigating code injection attacks | |
| Arifin et al. | Denial of service attacks detection on scada network iec 60870-5-104 using machine learning | |
| CN105488394A (zh) | 一种面向蜜罐系统进行入侵行为识别和分类的方法及系统 | |
| US20220138311A1 (en) | Systems and methods for detecting and mitigating code injection attacks | |
| Kumar et al. | Understanding the behaviour of android sms malware attacks with real smartphones dataset | |
| Jakhale | Design of anomaly packet detection framework by data mining algorithm for network flow |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20151223 Termination date: 20171224 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |