CN103514044B - 一种动态行为分析系统的资源优化方法、装置和系统 - Google Patents
一种动态行为分析系统的资源优化方法、装置和系统 Download PDFInfo
- Publication number
- CN103514044B CN103514044B CN201210226423.6A CN201210226423A CN103514044B CN 103514044 B CN103514044 B CN 103514044B CN 201210226423 A CN201210226423 A CN 201210226423A CN 103514044 B CN103514044 B CN 103514044B
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- machine monitoring
- monitoring subsystem
- subsystem
- sample
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Abstract
本发明提供一种动态行为分析系统的资源优化方法、装置和系统,其中方法包括:检测到有新的虚拟机监控子系统加入到虚拟机监控子系统集群中;为所述新的虚拟机监控子系统分配一标识信息,并将所述标识信息添加至用于记录虚拟机监控子系统的状态的数据库中;若所述虚拟机监控子系统集群中有第一虚拟机监控子系统监控到有样本任务需要处理,则根据所述第一虚拟机监控子系统的标识信息,将所述样本任务分配给所述第一虚拟机监控子系统进行处理。本发明的方案可以实现虚拟机监控子系统的实时扩容和资源优化。
Description
技术领域
本发明涉及计算机安全领域,特别是指一种动态行为分析系统的资源优化方法、装置和系统。
背景技术
在反病毒领域,样本是海量增长的,随着各种变型加密技术的出现,静态分析的方法日益捉襟见肘,因此动态分析的应用越来越受到重视。云安全目前广泛应用的仍然是基于静态特征的方法,在未知病毒特别是加密变型病毒的识别上往往效果不佳,因此,基于动态行为分析的云安全技术成为下一个技术热点。目前的动态分析技术,与静态分析相比较,其主要特点是:
采用虚拟机模拟用户环境(即虚拟机监控子系统),让病毒运行起来;
针对单个样本的处理周期较静态分析提高一个数量级(静态特征的匹配往往只需要数秒到几十秒,但动态分析需要充分让样本运行起来,因此时间通常是数分钟),因此在效率上不如静态分析系统;
静态分析系统通通常没有固定的时间开销瓶颈,而对于动态分析系统,样本在虚拟机监控子系统中的运行时间通常是开销最大的一个部分,受限于虚拟机监控子系统中运行样本的时间,如何能够在保持系统稳定可用性的前提下让系统扩容(即增加虚拟机监控子系统)更简单,可靠,且可随时根据负载情况进行资源调整,对虚拟机监控子系统进行实时扩容和资源优化是亟待解决的问题。
发明内容
本发明要解决的技术问题是提供一种动态行为分析系统的资源优化方法、装置和系统,实现虚拟机监控子系统的实时扩容和资源优化。
为解决上述技术问题,本发明的实施例提供一种动态行为分析系统的资源优化方法,包括:
检测到有新的虚拟机监控子系统加入到虚拟机监控子系统集群中;
为所述新的虚拟机监控子系统分配一标识信息,并将所述标识信息添加至用于记录虚拟机监控子系统的状态的数据库中;
若所述虚拟机监控子系统集群中有第一虚拟机监控子系统监控到有样本任务需要处理,则根据所述第一虚拟机监控子系统的标识信息,将所述样本任务分配给所述第一虚拟机监控子系统进行处理。
其中,为所述新的虚拟机监控子系统分配一标识信息,并将所述标识信息添加至用于记录虚拟机监控子系统的状态的数据库中的步骤包括:
获得所述新的虚拟机监控子系统的注册信息;
根据所述注册信息为所述新的虚拟机监控子系统分配一标识信息;
为所述新的虚拟机监控子系统建立一数据库表;
将为所述新的虚拟机监控子系统分配的所述标识信息作为一条记录插入至所述数据库表中;
将所述数据库表加入所述数据库中。
其中,将为所述新的虚拟机监控子系统分配的所述标识信息作为一条记录插入至所述数据库表中后还包括:
将所述新的虚拟机监控子系统所在的服务器IP作为一条记录插入至所述数据库表中;
将所述新的虚拟机监控子系统所在服务器的子ID作为一条记录插入至所述数据库表中;
将用于标记所述新的虚拟机监控子系统是否可用的标记信息作为一条记录插入至所述数据库表中;
将用于指示所述新的虚拟机监控子系统的最后一次处理样本任务的开始时间的字段信息作为一条记录插入至所述数据库表中;
将用于指示所述新的虚拟机监控子系统的最后一次处理样本任务的结束时间的字段信息作为一条记录插入至所述数据库表中;
将用于指示所述新的虚拟机监管子系统的工作状态的字段信息作为一条记录插入至所述数据库表中。
其中,若所述虚拟机监控子系统集群中有第一虚拟机监控子系统监控到有样本任务需要处理,则根据所述第一虚拟机监控子系统的标识信息,将所述样本任务分配给所述第一虚拟机监控子系统进行处理的步骤包括:
遍历所述虚拟机监控子系统集群中的每一个虚拟机监控子系统对应的数据库表;
根据所述数据库表中的用于标记虚拟机监控子系统是否可用的标记信息,验证当前遍历到的第一虚拟机监控子系统是否可用;
若可用,则获得该当前遍历到的所述第一虚拟机监控子系统是否检索到有样本任务处理的检索结果;
若所述检索结果表示当前遍历到的所述第一虚拟机监控子系统监控到有样本任务需要处理,则根据所述第一虚拟机监控子系统的标识信息,将所述样本任务分配给所述第一虚拟机监控子系统进行处理;
获得所述第一虚拟机监控子系统输出的样本处理结果。
其中,获得所述第一虚拟机监控子系统输出的样本处理结果的步骤包括:
调度一日志处理子系统,获得所述第一虚拟机监控子系统输出的样本处理结果;
获得所述日志处理子系统对所述样本处理结果进行处理后,得到的原始日志数据并存储;
获得所述日志处理子系统对所述样本处理结果进行处理后,得到的解析后用于显示的数据。
本发明的实施例还提供一种动态行为分析系统的资源优化装置,包括:
检测模块,用于检测到有新的虚拟机监控子系统加入到虚拟机监控子系统集群中;
第一处理模块,用于为所述新的虚拟机监控子系统分配一标识信息,并将所述标识信息添加至用于记录虚拟机监控子系统的状态的数据库中;
第二处理模块,用于若所述虚拟机监控子系统集群中有第一虚拟机监控子系统监控到有样本任务需要处理,则根据所述第一虚拟机监控子系统的标识信息,将所述样本任务分配给所述第一虚拟机监控子系统进行处理。
其中,所述第一处理模块包括:
第一获得子模块,用于获得所述新的虚拟机监控子系统的注册信息;
第一分配子模块,用于根据所述注册信息为所述新的虚拟机监控子系统分配一标识信息;
第一建立子模块,用于为所述新的虚拟机监控子系统建立一数据库表;
第一插入子模块,用于将为所述新的虚拟机监控子系统分配的所述标识信息作为一条记录插入至所述数据库表中;
第一添加子模块,用于将所述数据库表加入所述数据库中。
其中,所述第一处理模块还包括:
第二插入子模块,用于将所述新的虚拟机监控子系统所在的服务器IP作为一条记录插入至所述数据库表中;
第三插入子模块,用于将所述新的虚拟机监控子系统所在服务器的子ID作为一条记录插入至所述数据库表中;
第四插入子模块,用于将标记所述新的虚拟机监控子系统是否可用的标记信息作为一条记录插入至所述数据库表中;
第五插入子模块,用于将指示所述新的虚拟机监控子系统的最后一次处理样本任务的开始时间的字段信息作为一条记录插入至所述数据库表中;
第六插入子模块,用于将指示所述新的虚拟机监控子系统的最后一次处理样本任务的结束时间的字段信息作为一条记录插入至所述数据库表中;
第七插入子模块,用于将指示所述新的虚拟机监管子系统的工作状态的字段信息作为一条记录插入至所述数据库表中。
其中,第二处理模块包括:
遍历子模块,用于遍历所述虚拟机监控子系统集群中的每一个虚拟机监控子系统对应的数据库表;
验证子模块,用于根据所述数据库表中的用于标记虚拟机监控子系统是否可用的标记信息,验证当前遍历到的第一虚拟机监控子系统是否可用;
第一判断子模块,用于判断所述第一虚拟机监控子系统若可用,则获得该当前遍历到的所述第一虚拟机监控子系统是否检索到有样本任务处理的检索结果;
第二判断子模块,用于判断若所述检索结果表示当前遍历到的所述第一虚拟机监控子系统监控到有样本任务需要处理,则根据所述第一虚拟机监控子系统的标识信息,将所述样本任务分配给所述第一虚拟机监控子系统进行处理;
获得子模块,用于获得所述第一虚拟机监控子系统输出的样本处理结果。
其中,所述获得子模块包括:
调度子模块,用于调度一日志处理子系统,获得所述第一虚拟机监控子系统输出的样本处理结果;
文件存储子模块,用于获得所述日志处理子系统对所述样本处理结果进行处理后,得到的原始日志数据并存储;
数据存储子模块,用于获得所述日志处理子系统对所述样本处理结果进行处理后,得到的解析后用于显示的数据。
本发明的实施例还提供一种动态行为分析系统的资源优化系统,包括:
样本管理子系统,用于获得输入的样本任务;
包括多个虚拟机监控子系统的虚拟机监控子系统集群,其中的每个虚拟机监控子系统用于处理所述样本任务,并输出样本处理结果;
日志处理子系统,用于对所述样本处理结果进行处理,获得原始日志数据;以及数据中心,其中所述数据中心包括如上所述的动态行为分析系统的资源优化装置。
本发明的上述技术方案的有益效果如下:
上述方案中,通过将新加入到虚拟机监控子系统集群中的虚拟机监控子系统分配一标识信息,用于唯一表示该虚拟机监控子系统,在在虚拟机监控子系统主动检索到有新的样本任务要处理,则根据该虚拟机监控子系统的标识信息,将该样本任务分配给该可用的虚拟机监控子系统运行,这样集群中的每个虚拟机监控子系统均是相对独立的,不再是所有虚拟机监控子系统均去处理该样本任务,从而实现了集群中虚拟机监控子系统的横向扩容(即增加或者复制虚拟机监控子系统,从而使系统中有更多的虚拟机监控子系统),并可根据每一个虚拟机监控子系统的标识信息调度该虚拟机监控子系统(如为该虚拟机监控子系统分配样本任务,或者使该虚拟机监控子系统启动或者关闭),从而使整个系统达到资源优化。
附图说明
图1为本发明的实施例动态行为分析系统的资源优化方法的流程图;
图2为本发明的实施例动态行为分析系统的资源优化系统的静态架构图;
图3为本发明的实施例动态行为分析系统的资源优化系统的一具体架构图。
具体实施方式
为使本发明要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。
如图1所示,本发明的实施例提供一种动态行为分析系统的资源优化方法,包括:
步骤11,检测到有新的虚拟机监控子系统加入到虚拟机监控子系统集群中;
步骤12,为所述新的虚拟机监控子系统分配一标识信息,并将所述标识信息添加至用于记录虚拟机监控子系统的状态的数据库中;
步骤13,若所述虚拟机监控子系统集群中有第一虚拟机监控子系统监控到有样本任务需要处理,则根据所述第一虚拟机监控子系统的标识信息,将所述样本任务分配给所述第一虚拟机监控子系统进行处理。
本发明的实施例将新加入到虚拟机监控子系统集群中的虚拟机监控子系统分配一标识信息,用于唯一表示该虚拟机监控子系统,在在虚拟机监控子系统主动检索到有新的样本任务要处理,则根据该虚拟机监控子系统的标识信息,将该样本任务分配给该可用的虚拟机监控子系统运行,这样集群中的每个虚拟机监控子系统均是相对独立的,不再是所有虚拟机监控子系统均去处理该样本任务,从而实现了集群中虚拟机监控子系统的横向扩容(即增加或者复制虚拟机监控子系统,从而使系统中有更多的虚拟机监控子系统),并可根据每一个虚拟机监控子系统的标识信息调度该虚拟机监控子系统(如为该虚拟机监控子系统分配样本任务,或者使该虚拟机监控子系统启动或者关闭),从而使整个系统达到资源优化。
在本发明的另一实施例中,包括上述步骤11-13的基础上,上述步骤12可以具体包括:
步骤121,获得所述新的虚拟机监控子系统的注册信息;
步骤122,根据所述注册信息为所述新的虚拟机监控子系统分配一标识信息;
步骤123,为所述新的虚拟机监控子系统建立一数据库表;
步骤124,将为所述新的虚拟机监控子系统分配的所述标识信息作为一条记录插入至所述数据库表中;
步骤125,将所述数据库表加入所述数据库中。
具体实现过程如下:
新的虚拟机监控子系统在数据中心的数据存储服务器上注册;
该数据存储服务器为该新的虚拟机监控子系统分配唯一表示该虚拟机监控子系统的标识信息(ID);
然后为该新的虚拟机监控子系统建立一数据库表,并将该标识信息作为一条记录插入到该数据库中,并将该标识信息作为该数据库表中该条记录的主键。
这样在开启虚拟机监控子系统的时候就能根据分配的ID来调用数据中心的该数据存储服务器的存储过程,以验证虚拟机监控子系统的可用性并检索处理任务。
进一步地,在上述步骤124后还可以包括:
步骤126,将所述新的虚拟机监控子系统所在的服务器IP作为一条记录插入至所述数据库表中;
步骤127,将所述新的虚拟机监控子系统所在服务器的子ID作为一条记录插入至所述数据库表中;
步骤128,将用于标记所述新的虚拟机监控子系统是否可用的标记信息作为一条记录插入至所述数据库表中;
步骤129,将用于指示所述新的虚拟机监控子系统的最后一次处理样本任务的开始时间的字段信息作为一条记录插入至所述数据库表中;
步骤130,将用于指示所述新的虚拟机监控子系统的最后一次处理样本任务的结束时间的字段信息作为一条记录插入至所述数据库表中;
步骤131,将用于指示所述新的虚拟机监管子系统的工作状态的字段信息作为一条记录插入至所述数据库表中。
具体的,得到的数据库表如下表所示:
在本发明的另一实施例中,包括上述所有步骤的基础上,上述步骤13可以具体包括:
步骤132,遍历所述虚拟机监控子系统集群中的每一个虚拟机监控子系统对应的数据库表;
步骤133,根据所述数据库表中的用于标记虚拟机监控子系统是否可用的标记信息,验证当前遍历到的第一虚拟机监控子系统是否可用;
步骤134,若可用,则获得该当前遍历到的所述第一虚拟机监控子系统是否检索到有样本任务处理的检索结果;
步骤135,若所述检索结果表示当前遍历到的所述第一虚拟机监控子系统监控到有样本任务需要处理,则根据所述第一虚拟机监控子系统的标识信息,将所述样本任务分配给所述第一虚拟机监控子系统进行处理;
步骤136,获得所述第一虚拟机监控子系统输出的样本处理结果。
其中,步骤136具体可以包括:
步骤1361,调度一日志处理子系统,获得所述第一虚拟机监控子系统输出的样本处理结果;
步骤1362,获得所述日志处理子系统对所述样本处理结果进行处理后,得到的原始日志数据并存储;
步骤1363,获得所述日志处理子系统对所述样本处理结果进行处理后,得到的解析后用于显示的数据。
具体的实现过程如下:
启动虚拟机监控子系统的监控脚本,开始处理过程。
监控脚本的主要功能是:
调用数据中心的数据存储服务器存储过程,获取需要处理的样本任务;
根据虚拟机监控子系统的标识,调度虚拟机监控子系统,处理获取到的样本任务;
处理完毕,得到样本处理结果,并输入至日志处理子系统;
日志处理子系统处理后,得到原始日志数据(需要存储的数据)以及解析后的具有一定格式的数据(需要显示的数据);
虚拟机监控子系统复位(恢复快照),开始新一轮处理流程。
本发明的上述方法实施例通过为新的虚拟机监控子系统添加标识信息,并调用数据中心的数据存储服务器判断是否有样本任务需要处理时,由该数据中心根据标识信息,调用该标识信息对应的虚拟机监控子系统来处理该任务,因此,无论虚拟监控子系统怎么扩容(增加虚拟机子系统),调用该存储过程来获取任务的方法属于被动方式(即将该样本任务分配至该虚拟机监控子系统处理),且虚拟机监控子系统是主动检索任务而不是被动的被通知,在通信机制上更为简单和稳定可靠。也就是说,虚拟机监控子系统主动检索是否有新的处理任务,若有,就需要数据中心,即数据存储服务器来指示该新的处理任务分配给该虚拟机监控子系统处理。通过存储过程来进行虚拟机子系统的任务调度的好处在于,数据中心能够灵活的控制虚拟机子系统的启停,因此,对于横向扩展虚拟机子系统,好处是非常明显的:松耦合,能够由数据中心来调控虚拟机子系统,与其他子系统之间相对独立;灵活快速,实时横向扩容,或者撤销某些虚拟机子系统,完全由数据中心来控制,及时生效,从而使系统的资源达到优化。
与上述方法相应的,本发明的实施例还提供一种动态行为分析系统的资源优化装置,包括:
检测模块,用于检测到有新的虚拟机监控子系统加入到虚拟机监控子系统集群中;
第一处理模块,用于为所述新的虚拟机监控子系统分配一标识信息,并将所述标识信息添加至用于记录虚拟机监控子系统的状态的数据库中;
第二处理模块,用于若所述虚拟机监控子系统集群中有第一虚拟机监控子系统监控到有样本任务需要处理,则根据所述第一虚拟机监控子系统的标识信息,将所述样本任务分配给所述第一虚拟机监控子系统进行处理。
该装置实施例同样将新加入到虚拟机监控子系统集群中的虚拟机监控子系统分配一标识信息,用于唯一表示该虚拟机监控子系统,在在虚拟机监控子系统主动检索到有新的样本任务要处理,则根据该虚拟机监控子系统的标识信息,将该样本任务分配给该可用的虚拟机监控子系统运行,这样集群中的每个虚拟机监控子系统均是相对独立的,不再是所有虚拟机监控子系统均去处理该样本任务,从而实现了集群中虚拟机监控子系统的横向扩容(即增加或者复制虚拟机监控子系统,从而使系统中有更多的虚拟机监控子系统),并可根据每一个虚拟机监控子系统的标识信息调度该虚拟机监控子系统(如为该虚拟机监控子系统分配样本任务,或者使该虚拟机监控子系统启动或者关闭),从而使整个系统达到资源优化。
其中,所述第一处理模块包括:
第一获得子模块,用于获得所述新的虚拟机监控子系统的注册信息;
第一分配子模块,用于根据所述注册信息为所述新的虚拟机监控子系统分配一标识信息;
第一建立子模块,用于为所述新的虚拟机监控子系统建立一数据库表;
第一插入子模块,用于将为所述新的虚拟机监控子系统分配的所述标识信息作为一条记录插入至所述数据库表中;
第一添加子模块,用于将所述数据库表加入所述数据库中。
进一步地,所述第一处理模块还包括:
第二插入子模块,用于将所述新的虚拟机监控子系统所在的服务器IP作为一条记录插入至所述数据库表中;
第三插入子模块,用于将所述新的虚拟机监控子系统所在服务器的子ID作为一条记录插入至所述数据库表中;
第四插入子模块,用于将标记所述新的虚拟机监控子系统是否可用的标记信息作为一条记录插入至所述数据库表中;
第五插入子模块,用于将指示所述新的虚拟机监控子系统的最后一次处理样本任务的开始时间的字段信息作为一条记录插入至所述数据库表中;
第六插入子模块,用于将指示所述新的虚拟机监控子系统的最后一次处理样本任务的结束时间的字段信息作为一条记录插入至所述数据库表中;
第七插入子模块,用于将指示所述新的虚拟机监管子系统的工作状态的字段信息作为一条记录插入至所述数据库表中。
其中,第二处理模块包括:
遍历子模块,用于遍历所述虚拟机监控子系统集群中的每一个虚拟机监控子系统对应的数据库表;
验证子模块,用于根据所述数据库表中的用于标记虚拟机监控子系统是否可用的标记信息,验证当前遍历到的第一虚拟机监控子系统是否可用;
第一判断子模块,用于判断所述第一虚拟机监控子系统若可用,则获得该当前遍历到的所述第一虚拟机监控子系统是否检索到有样本任务处理的检索结果;
第二判断子模块,用于判断若所述检索结果表示当前遍历到的所述第一虚拟机监控子系统监控到有样本任务需要处理,则根据所述第一虚拟机监控子系统的标识信息,将所述样本任务分配给所述第一虚拟机监控子系统进行处理;
获得子模块,用于获得所述第一虚拟机监控子系统输出的样本处理结果。
其中,所述获得子模块包括:
调度子模块,用于调度一日志处理子系统,获得所述第一虚拟机监控子系统输出的样本处理结果;
文件存储子模块,用于获得所述日志处理子系统对所述样本处理结果进行处理后,得到的原始日志数据并存储;
数据存储子模块,用于获得所述日志处理子系统对所述样本处理结果进行处理后,得到的解析后用于显示的数据。
需要说明的是:该装置实施例是与上述方法对应的装置实施例,上述方法中的所有实现手段均适用于该装置的实施例中,也能达到相同的技术效果,在此不再赘述。
如图2和图3所示,本发明的实施例还提供一种动态行为分析系统的资源优化系统,包括:
样本管理子系统,用于获得输入的样本任务;具体地,用于处理需要分析的样本,进行相应的队列、优先级控制,该子系统作为内部与外部的样本源接口,所有录入到系统的样本都需要经过该子系统来进行任务控制(如新建任务、调节优先级等);
包括多个虚拟机监控子系统的虚拟机监控子系统集群,其中的每个虚拟机监控子系统用于处理所述样本任务,并输出样本处理结果;具体地,用于将样本放入虚拟机,通过监控系统给出样本运行期间的详细报告(称之为原始日志);
日志处理子系统,用于对所述样本处理结果进行处理,获得原始日志数据;具体地,用于分析处理虚拟机监控子系统给出来的原始日志;
数据中心,其中所述数据中心包括如上述实施例中所述的动态行为分析系统的资源优化装置;
且文件存储子模块即为图3中所述的文件存储服务器;
数据存储子模块即为图3中所述的数据存储服务器。
具体地,在图3中,这里的数据中心包含了数据存储服务器和文件存储服务器,是系统的核心,用于数据存储,以及保存对各个其他子系统的调度控制信息。同时,也将文件存储作为数据中心的一部分,提供统一的文件管理服务。
如背景技术中所述,整个系统优化的瓶颈在于虚拟机监控子系统,而其他的子系统相对来说在效率上高很多,而且较为轻量级,因此扩容的重点其实在于虚拟机监控子系统。为了达到松耦合的横向扩容,首先在数据中心的数据存储服务器(即数据库)中存储对应的虚拟机监控子系统的标识,添加一条记录,该记录所使用的表结构如下所示:
根据上述数据库表,每个虚拟机监控子系统在表中都会有唯一标识,因此通过该表能够实时反映当前虚拟机监控子系统的工作状况。对于虚拟机监控子系统来说,通过以下的存储过程来获取需要处理的样本任务:
验证该虚拟机监控子系统对应的ID是否可用(判断依据为根据上面的表中的Valid字段,如果为0,则该虚拟机监控子系统不可用,例如需要维护时,可以直接修改该字段来将虚拟机监控子系统停机);
检索是否有新的处理任务;
如果有新的处理任务,则将该任务表示为该虚拟机处理(修改任务状态并记录虚拟机监控子系统ID)。
通过上述的存储过程不难发现,无论怎么扩容(增加虚拟机监控子系统),调用该存储过程来获取任务的方法属于被动方式(即将该任务表示为该虚拟机处理),这里的虚拟机监控子系统主动检索任务而不是被动的被通知,在通信机制上更为简单和稳定可靠。也就是说,虚拟机监控子系统主动检索是否有新的处理任务,若有,就需要数据中心,即数据存储服务器来指示该新的处理任务分配给该虚拟机子系统处理。
通过存储过程来进行虚拟机监控子系统的任务调度的好处在于,数据中心能够灵活的控制虚拟机子系统的启停,因此,对于横向扩展虚拟机子系统,好处是非常明显的:松耦合,能够由数据中心来调控虚拟机子系统,与其他子系统之间相对独立;灵活快速,实时横向扩容,或者撤销某些虚拟机子系统,完全由数据中心来控制,及时生效。
具体的,图3所示的系统的具体实现过程如下:
虚拟机监控子系统的复制(或新建),具体的,虚拟机监控子系统可以在同一台物理主机上进行复制(新建),也可以在不同的物理主机上进行复制(新建),两者的唯一区别在于,如果是同一台物理主机上的虚拟机,虚拟硬件标示需要修改(如虚拟网卡的MAC地址等)以防止出现冲突,否则就不需要修改任何配置,此处可以进行虚拟机监控子系统的定制,比如,可以按照需求来配置某些软件或者触发条件(比如,有些恶意软件样本需要检测某些环境,如果环境满足才会运行),这样,虚拟机监控子系统可以按需定制。
数据中心的数据存储服务器的数据库添加该虚拟机监控子系统的唯一标识;添加标识的目的类似于模拟认证,即在数据存储服务器上注册(此处的服务器,即数据库),以取得一个唯一标识(ID),然后这样在开启虚拟机监控子系统的时候就能根据分配的ID来调用数据中心的数据存储服务器的存储过程,以验证可用性并检索处理任务。
开启虚拟机监控子系统。启动虚拟机子系统的监控脚本,开始处理过程。脚本的主要功能是:调用数据存储服务器的存储过程,获取需要处理的任务;调度虚拟机监控子系统,处理获取到的任务(样本);处理完毕,上传处理结果到日志处理服务器;虚拟机复位(恢复快照),开始新一轮处理流程。
日志处理服务器对上述处理结果进行处理后,将需要存储的文件发送至文件存储服务器进行存储,将解析后的数据发送至数据存储服务器进行存储和/或显示;数据中心包含两个部分:文件存储服务器的存储和数据存储服务器的存储,文件存储服务器的存储用来存储原始的日志文本和DUMP(转存)文件等信息,原始日志等只作为备份和后续处理用,不具备对外提供数据服务的功能;数据存储服务器的存储则用来作为控制源和解析后的日志数据;解析后的数据,即通过日志处理子系统之后,数据是带格式的且具备一定的可视化,以符合数据库结构的形式来进行存储,这样可以作为数据源来对外提供数据服务,如满足统计、查询等需求。
本发明的上述方法实施例通过为新的虚拟机监控子系统添加标识信息,并调用数据中心的数据存储服务器判断是否有样本任务需要处理时,由该数据中心根据标识信息,调用该标识信息对应的虚拟机监控子系统来处理该任务,因此,无论虚拟监控子系统怎么扩容(增加虚拟机子系统),调用该存储过程来获取任务的方法属于被动方式(即将该样本任务分配至该虚拟机监控子系统处理),且虚拟机监控子系统是主动检索任务而不是被动的被通知,在通信机制上更为简单和稳定可靠。也就是说,虚拟机监控子系统主动检索是否有新的处理任务,若有,就需要数据中心,即数据存储服务器来指示该新的处理任务分配给该虚拟机监控子系统处理。通过存储过程来进行虚拟机子系统的任务调度的好处在于,数据中心能够灵活的控制虚拟机子系统的启停,因此,对于横向扩展虚拟机子系统,好处是非常明显的:松耦合,能够由数据中心来调控虚拟机子系统,与其他子系统之间相对独立;灵活快速,实时横向扩容,或者撤销某些虚拟机子系统,完全由数据中心来控制,及时生效,从而使系统的资源达到优化。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (11)
1.一种动态行为分析系统的资源优化方法,其特征在于,包括:
检测到有新的虚拟机监控子系统加入到虚拟机监控子系统集群中;
为所述新的虚拟机监控子系统分配一标识信息,并将所述标识信息添加至用于记录虚拟机监控子系统的状态的数据库中;
若所述虚拟机监控子系统集群中有可用的第一虚拟机监控子系统监控到有样本任务需要处理,则根据所述第一虚拟机监控子系统的标识信息,将所述样本任务分配给该可用的所述第一虚拟机监控子系统进行处理。
2.根据权利要求1所述的动态行为分析系统的资源优化方法,其特征在于,为所述新的虚拟机监控子系统分配一标识信息,并将所述标识信息添加至用于记录虚拟机监控子系统的状态的数据库中的步骤包括:
获得所述新的虚拟机监控子系统的注册信息;
根据所述注册信息为所述新的虚拟机监控子系统分配一标识信息;
为所述新的虚拟机监控子系统建立一数据库表;
将为所述新的虚拟机监控子系统分配的所述标识信息作为一条记录插入至所述数据库表中;
将所述数据库表加入所述数据库中。
3.根据权利要求2所述的动态行为分析系统的资源优化方法,其特征在于,将为所述新的虚拟机监控子系统分配的所述标识信息作为一条记录插入至所述数据库表中后还包括:
将所述新的虚拟机监控子系统所在的服务器IP作为一条记录插入至所述数据库表中;
将所述新的虚拟机监控子系统所在服务器的子ID作为一条记录插入至所述数据库表中;
将用于标记所述新的虚拟机监控子系统是否可用的标记信息作为一条记录插入至所述数据库表中;
将用于指示所述新的虚拟机监控子系统的最后一次处理样本任务的开始时间的字段信息作为一条记录插入至所述数据库表中;
将用于指示所述新的虚拟机监控子系统的最后一次处理样本任务的结束时间的字段信息作为一条记录插入至所述数据库表中;
将用于指示所述新的虚拟机监管子系统的工作状态的字段信息作为一条记录插入至所述数据库表中。
4.根据权利要求3所述的动态行为分析系统的资源优化方法,其特征在于,若所述虚拟机监控子系统集群中有可用的第一虚拟机监控子系统监控到有样本任务需要处理,则根据所述第一虚拟机监控子系统的标识信息,将所述样本任务分配给该可用的所述第一虚拟机监控子系统进行处理的步骤包括:
遍历所述虚拟机监控子系统集群中的每一个虚拟机监控子系统对应的数据库表;
根据所述数据库表中的用于标记虚拟机监控子系统是否可用的标记信息,验证当前遍历到的第一虚拟机监控子系统是否可用;
若可用,则获得该当前遍历到的所述第一虚拟机监控子系统是否检索到有样本任务处理的检索结果;
若所述检索结果表示当前遍历到的所述第一虚拟机监控子系统监控到有样本任务需要处理,则根据所述第一虚拟机监控子系统的标识信息,将所述样本任务分配给所述第一虚拟机监控子系统进行处理;
获得所述第一虚拟机监控子系统输出的样本处理结果。
5.根据权利要求4所述的动态行为分析系统的资源优化方法,其特征在于,获得所述第一虚拟机监控子系统输出的样本处理结果的步骤包括:
调度一日志处理子系统,获得所述第一虚拟机监控子系统输出的样本处理结果;
获得所述日志处理子系统对所述样本处理结果进行处理后,得到的原始日志数据并存储;
获得所述日志处理子系统对所述样本处理结果进行处理后,得到的解析后用于显示的数据。
6.一种动态行为分析系统的资源优化装置,其特征在于,包括:
检测模块,用于检测到有新的虚拟机监控子系统加入到虚拟机监控子系统集群中;
第一处理模块,用于为所述新的虚拟机监控子系统分配一标识信息,并将所述标识信息添加至用于记录虚拟机监控子系统的状态的数据库中;
第二处理模块,用于若所述虚拟机监控子系统集群中有可用的第一虚拟机监控子系统监控到有样本任务需要处理,则根据所述第一虚拟机监控子系统的标识信息,将所述样本任务分配给该可用的所述第一虚拟机监控子系统进行处理。
7.根据权利要求6所述的动态行为分析系统的资源优化装置,其特征在于,所述第一处理模块包括:
第一获得子模块,用于获得所述新的虚拟机监控子系统的注册信息;
第一分配子模块,用于根据所述注册信息为所述新的虚拟机监控子系统分配一标识信息;
第一建立子模块,用于为所述新的虚拟机监控子系统建立一数据库表;
第一插入子模块,用于将为所述新的虚拟机监控子系统分配的所述标识信息作为一条记录插入至所述数据库表中;
第一添加子模块,用于将所述数据库表加入所述数据库中。
8.根据权利要求7所述的动态行为分析系统的资源优化装置,其特征在于,所述第一处理模块还包括:
第二插入子模块,用于将所述新的虚拟机监控子系统所在的服务器IP作为一条记录插入至所述数据库表中;
第三插入子模块,用于将所述新的虚拟机监控子系统所在服务器的子ID作为一条记录插入至所述数据库表中;
第四插入子模块,用于将标记所述新的虚拟机监控子系统是否可用的标记信息作为一条记录插入至所述数据库表中;
第五插入子模块,用于将指示所述新的虚拟机监控子系统的最后一次处理样本任务的开始时间的字段信息作为一条记录插入至所述数据库表中;
第六插入子模块,用于将指示所述新的虚拟机监控子系统的最后一次处理样本任务的结束时间的字段信息作为一条记录插入至所述数据库表中;
第七插入子模块,用于将指示所述新的虚拟机监管子系统的工作状态的字段信息作为一条记录插入至所述数据库表中。
9.根据权利要求8所述的动态行为分析系统的资源优化装置,其特征在于,第二处理模块包括:
遍历子模块,用于遍历所述虚拟机监控子系统集群中的每一个虚拟机监控子系统对应的数据库表;
验证子模块,用于根据所述数据库表中的用于标记虚拟机监控子系统是否可用的标记信息,验证当前遍历到的第一虚拟机监控子系统是否可用;
第一判断子模块,用于判断所述第一虚拟机监控子系统若可用,则获得该当前遍历到的所述第一虚拟机监控子系统是否检索到有样本任务处理的检索结果;
第二判断子模块,用于判断若所述检索结果表示当前遍历到的所述第一虚拟机监控子系统监控到有样本任务需要处理,则根据所述第一虚拟机监控子系统的标识信息,将所述样本任务分配给所述第一虚拟机监控子系统进行处理;
获得子模块,用于获得所述第一虚拟机监控子系统输出的样本处理结果。
10.根据权利要求9所述的动态行为分析系统的资源优化装置,其特征在于,所述获得子模块包括:
调度子模块,用于调度一日志处理子系统,获得所述第一虚拟机监控子系统输出的样本处理结果;
文件存储子模块,用于获得所述日志处理子系统对所述样本处理结果进行处理后,得到的原始日志数据并存储;
数据存储子模块,用于获得所述日志处理子系统对所述样本处理结果进行处理后,得到的解析后用于显示的数据。
11.一种动态行为分析系统的资源优化系统,包括:
样本管理子系统,用于获得输入的样本任务;
包括多个虚拟机监控子系统的虚拟机监控子系统集群,其中的每个虚拟机监控子系统用于处理所述样本任务,并输出样本处理结果;
日志处理子系统,用于对所述样本处理结果进行处理,获得原始日志数据;其特征在于,还包括:数据中心,其中所述数据中心包括如权利要求6-10任一项所述的动态行为分析系统的资源优化装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210226423.6A CN103514044B (zh) | 2012-06-29 | 2012-06-29 | 一种动态行为分析系统的资源优化方法、装置和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210226423.6A CN103514044B (zh) | 2012-06-29 | 2012-06-29 | 一种动态行为分析系统的资源优化方法、装置和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103514044A CN103514044A (zh) | 2014-01-15 |
| CN103514044B true CN103514044B (zh) | 2017-02-08 |
Family
ID=49896814
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210226423.6A Active CN103514044B (zh) | 2012-06-29 | 2012-06-29 | 一种动态行为分析系统的资源优化方法、装置和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103514044B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103793646A (zh) * | 2014-02-14 | 2014-05-14 | 浪潮通信信息系统有限公司 | 一种基于行为识别的虚拟机安全监控方法 |
| CN105677481B (zh) * | 2015-12-31 | 2019-10-29 | 联想(北京)有限公司 | 一种数据处理方法、系统及电子设备 |
| CN109271235B (zh) * | 2018-09-06 | 2023-12-19 | 广州力挚网络科技有限公司 | 一种数据库集群建立方法与装置 |
| CN109714192B (zh) * | 2018-11-29 | 2022-03-04 | 深圳供电局有限公司 | 一种监控云平台的监控方法及系统 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1849585A (zh) * | 2003-09-15 | 2006-10-18 | 英特尔公司 | 处理特许事件的多个虚拟机监控器的使用 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8838743B2 (en) * | 2004-02-13 | 2014-09-16 | Intel Corporation | Apparatus and method for a dynamically extensible virtual switch |
| CN100521628C (zh) * | 2007-05-22 | 2009-07-29 | 网御神州科技(北京)有限公司 | 一种可扩展动态网络监控系统及其监控方法 |
| CN102487380B (zh) * | 2010-12-01 | 2016-09-07 | 中兴通讯股份有限公司 | 桌面虚拟化终端托管方法及系统 |
-
2012
- 2012-06-29 CN CN201210226423.6A patent/CN103514044B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1849585A (zh) * | 2003-09-15 | 2006-10-18 | 英特尔公司 | 处理特许事件的多个虚拟机监控器的使用 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103514044A (zh) | 2014-01-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20200259889A1 (en) | Distributed network services | |
| CN106844198B (zh) | 一种分布式调度自动化测试平台及方法 | |
| CN107689953A (zh) | 一种面向多租户云计算的容器安全监控方法及系统 | |
| CN109714192A (zh) | 一种监控云平台的监控方法及系统 | |
| CN106708700B (zh) | 一种应用于服务端的运维监控方法和装置 | |
| CN106161145A (zh) | 一种服务器系统运行状态信息的监控方法和系统 | |
| CN110569298B (zh) | 一种数据对接、可视化方法和系统 | |
| CN107508722A (zh) | 一种业务监控方法和装置 | |
| CN104168326B (zh) | 一种服务器均衡负载的方法及系统 | |
| CN110740053A (zh) | 业务编排方法及装置 | |
| CN103514044B (zh) | 一种动态行为分析系统的资源优化方法、装置和系统 | |
| CN107451147A (zh) | 一种kafka集群动态切换的方法和装置 | |
| CN102457578B (zh) | 一种基于事件机制的分布式网络监控方法 | |
| CN106199696A (zh) | 地震数据处理系统和方法 | |
| KR20110083084A (ko) | 가상화를 이용한 서버 운영 장치 및 방법 | |
| CN102929769A (zh) | 一种基于代理服务的虚拟机内部数据采集方法 | |
| CN111368165A (zh) | 时空流数据集成平台 | |
| CN110555019A (zh) | 一种基于业务端的数据清洗方法 | |
| CN113391901A (zh) | Rpa机器人的管理方法、装置、设备及存储介质 | |
| CN111048164A (zh) | 一种医学大数据长期保存系统 | |
| CN105893160B (zh) | 一种多接口数据的调度方法 | |
| CN102799526A (zh) | 一种分布式智能调度方法 | |
| CN108073426A (zh) | 一种基于云计算的软件管理方法、装置及系统 | |
| CN110198246B (zh) | 一种流量监控的方法及系统 | |
| CN107666401A (zh) | 一种配置信息获取方法及终端 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100085 Beijing City, Haidian District Road 33, Jinshan building Xiaoying Co-patentee after: CONEW NETWORK TECHNOLOGY (BEIJING) Co.,Ltd. Patentee after: BEIJING KINGSOFT INTERNET SECURITY SOFTWARE Co.,Ltd. Co-patentee after: Beijing Cheetah Mobile Technology Co.,Ltd. Address before: 100085 Beijing City, Haidian District Road 33, Jinshan building Xiaoying Co-patentee before: CONEW NETWORK TECHNOLOGY (BEIJING) Co.,Ltd. Patentee before: BEIJING KINGSOFT INTERNET SECURITY SOFTWARE Co.,Ltd. Co-patentee before: SHELL INTERNET (BEIJING) SECURITY TECHNOLOGY Co.,Ltd. |
|
| CP01 | Change in the name or title of a patent holder |