CN103544438A

CN103544438A - 一种用于云安全系统的用户感知病毒报告分析方法

Info

Publication number: CN103544438A
Application number: CN201310452351.1A
Authority: CN
Inventors: 徐小龙; 徐佳; 李千目; 孙雁飞; 王新珩; 李玲娟; 毕朝国; 陈丹伟; 邱国霞; 杨宝杰
Original assignee: Nanjing Post and Telecommunication University
Current assignee: Nanjing Post and Telecommunication University
Priority date: 2013-09-27
Filing date: 2013-09-27
Publication date: 2014-01-29
Anticipated expiration: 2033-09-27
Also published as: CN103544438B

Abstract

本发明公开了一种用于云安全系统的用户感知病毒报告分析方法，属于分布式计算、信息安全、计算机网络和计算机软件的交叉技术应用领域。云服务器根据各用户终端发送的用户感知病毒报告判断用户终端是否感染恶意代码，并确定恶意代码的危害等级；各用户终端所发送的用户感知病毒报告包括各用户终端自身所感知到的节点症状集合；云服务器为节点症状集合中的各节点症状赋予不同的权值，权值越大表示感染恶意代码的可能性越大，并根据加权后的节点症状集合判断用户终端是否感染恶意代码。鉴于主机配置不同对症状的影响，本发明进一步根据节点的综合个体特征值对以上权值作出相应调整。相比现有技术，本发明具有用户直观、全面可行、灵活性高的优点。

Description

一种用于云安全系统的用户感知病毒报告分析方法

技术领域

本发明涉及一种用于云安全系统的用户感知病毒报告分析方法，属于分布式计算、信息安全、计算机网络和计算机软件的交叉技术应用领域。

背景技术

网络病毒包括计算机病毒、网络蠕虫、后门木马、间谍件等，网络优秀的资源共享和通信功能为网络病毒的传播、感染和破坏提供了天然温床。通过网络特别是互联网及其应用系统传播的网络病毒、波及范围大、覆盖面广，在短时间内就可以造成网络拥塞甚至瘫痪、共享资源丢失、机密信息失窃，从而造成巨大的损失。

新型的云安全（Cloud Security）反病毒系统通过网状的大规模终端对网络中软、硬件异常行为进行监测，实时获取互联网中蠕虫与木马等恶意代码的最新信息，自动传送到服务器端进行分析和处理，再将恶意代码解决方案迅速分发到每一个网络终端。这意味着反病毒系统不再仅仅依靠本地硬盘中的病毒库来识别和查杀各种恶意代码（特别是未知恶意代码），而是依靠庞大的网络服务，将整个互联网联合成为一个巨大的协同“杀毒软件”，实时采集、分析以及处理恶意代码，实现“参与者越多，每个参与者就越安全，整个互联网就会更安全”的目标。瑞星、趋势科技、卡巴斯基、McAFee、SYMANTEC、江民科技、PANDA、金山、360等都推出了各自的云安全系统。

显然，对海量用户提供的海量病毒报告分类、分析与汇总是云安全系统的主要任务。趋势云安全系统每天收集到2.5亿个病毒报告；卡巴斯基全功能云安全系统在用户“知情并同意(Awareness & Approval)”的情况下在线收集、分析（Online Real time Collecting& Analysing）数以万计的网络终端提交的可疑病毒报告；瑞星云安全的核心“瑞星卡卡6.0”每天收集8～10万个木马病毒报告，并对病毒进行分类和特征提取。

海量病毒报告的分类、分析与汇总为云安全系统带来了巨大的负载。为了解决这种问题，趋势云安全系统通过在全球建立了5大云计算（Cloud computing）数据中心，使用几万台服务器来完成对病毒报告的收集与分析。

在目前云安全系统中，云服务器会收到来自各个用户终端节点的病毒报告。当云服务器收到大批来自不同用户感知后汇报的病毒报告时，按照何种方法来对这些病毒报告进行分析成为影响整个系统提高抵御网络病毒能力的一个关键点。

发明内容

本发明所要解决的技术问题在于克服现有技术不足，针对互联网或内联网的网络计算环境，提供一种用于云安全系统的用户感知病毒报告分析方法，根据用户所感知的病毒感染症状判别用户终端是否感染恶意代码。

一种用于云安全系统的用户感知病毒报告分析方法，云服务器根据各用户终端发送的用户感知病毒报告判断用户终端是否感染恶意代码，并确定恶意代码的危害等级；所述各用户终端所发送的用户感知病毒报告包括各用户终端自身所感知到的节点症状集合；云服务器为节点症状集合中的各节点症状赋予不同的权值，权值越大表示感染恶意代码的可能性越大，并根据加权后的节点症状集合判断用户终端是否感染恶意代码。

考虑到主机配置不同对症状的影响，为了更准确地判定用户终端是否感染恶意代码，本发明进一步地采用以下技术方案：

所述用户感知病毒报告还包括各用户终端自身的节点个体特征值，所述节点个体特征值通过对节点的多个性能参数进行归一化计算得到；云服务器为节点症状集合中的各节点症状赋予不同的权值后，还根据节点的综合个体特征值对所述权值进行调整，所述节点的综合个体特征值通过对节点个体特征值进行加权求和得到；具体调整方法如下：如节点的综合个体特征值在预设的节点综合个体特征标准值范围内，则不对权值进行调整；如高于所述节点综合个体特征标准值范围的上限，则调高所述权值；如低于所述所述节点综合个体特征标准值范围的下限，则调低所述权值。

优选地，云服务器为节点症状集合中的各节点症状赋予四个不同的权值，采用字母A-D由高到低表示，具体如下：

权值为A的节点症状：反病毒软件被禁用或无法正常安装、反复弹出不明对话框、自行发送大量数据包、系统无端播放歌曲和无名声音、图标或程序无法删除、反复打开各种网页、用户无法进入安全模式、无法正常运行注册表、自行发送大量未知邮件；

权值为B的节点症状：帐号被盗、大量文件被破坏、软驱和/或光驱无故读个不停、硬盘空间被大量占用、无操作时硬盘指示灯频闪、系统出现蓝屏、软件报错或无法使用；权值为C的节点症状：系统响应缓慢或无故重启、系统中出现有可疑文件、系统中有可疑服务或进程、默认主页被修改且无法还原、收藏夹出现非用户添加的网站；

权值为D的节点症状：中央处理器使用率较高、内存使用率较高、网络速度过慢、打开或隐藏窗口速度明显下降、开机或关机时提示错误信息。

进一步地，所述根据加权后的节点症状集合判断用户终端是否感染恶意代码，具体按照以下方法：加权后的节点症状集合符合以下条件之一，则判断相应的用户终端感染恶意代码：①含有两个权值为A的节点症状；②含有一个权值为A的节点症状和一个权值为B的节点症状；③含一个权值为A的节点症状和2个权值为C的节点症状；④含一个权值为A的节点症状，1个权值为C的节点症状和3个权值为D的节点症状；⑤含一个权值为A的节点症状和4个权值为D的节点症状；⑥含3个权值为B的节点症状；⑦含有2个权值为B的节点症状和2个权值为C的节点症状；⑧含1个权值为B的节点症状和4个权值为D的节点症状；⑨含1个权值为B的节点症状，1个权值为C的节点症状和3个权值为D的节点症状；⑩含2个权值为的C节点症状和4个权值为D的节点症状。

进一步地，本发明的用户感知病毒报告分析方法还包括：云服务器根据感染恶意代码的用户终端在系统总的用户终端中所占比例发出相应的系统警报。

相比现有技术，本发明方法具有以下有益效果：

（1）用户直观：本发明基于用户可以感知得到的终端节点不同类型的症状列表来判断病毒爆发情况，对用户来说简单、直观。

（2）全面可行：本发明总结了共计26种节点症状，基本涵盖了目前病毒对节点造成的所有用户可感知的症状，以此作为分析病毒的依据是比较全面可行的。

（3）灵活性高：本发明鉴于主机配置不同对症状的影响，对以上基本权值标准还应作了灵活处理，具有较高的灵活性。

具体实施方式

本发明将用户感知的不同病毒感染症状分为不同的权值，设计疑似感染恶意代码判别标准，同时鉴于主机配置不同对症状的影响，对以上权值标准作出相应调整，最后按照监控的病毒报告，设置三个等级的系统警报，从而提高系统的处理效率。

为了便于公众理解本发明技术方案，下面以一个具体实施例来对本发明进行详细说明。

云安全系统要求用户终端节点向服务器主动发送病毒报告，以快速的获取病毒传播和感染情况。本具体实施方式中，用户终端节点所发送的用户感知病毒报告（Maliciouscode report，MCR）被定义为以下的3元组：

MCR=(Identity,Attributes,Signs) （1）

式（1）中的Identity为节点标识，Attributes为节点的个体特征集，Signs为用户观察到的节点症状集。

提交病毒报告的用户终端个体特征集Attributes为：

Attributes={a₁,a₂,a₃,...,a_i,...,a_m} （2）

式（2）中的a_i（i=1,2,......,m）为节点个体特征值，通过将包括中央处理器性能、内存容量、操作系统类型等在内的节点性能参数经归一化计算得到。m为所选取的节点个体特征（性能参数）总数。

由节点个体特征集Attributes进一步加权计算得到节点综合个体特征值a_z。由于终端性能中最重要的部分是中央处理器性能和内存容量，因此设定表征中央处理器性能的个体特征值（设为a₁）的权为ω₁，表征内存容量的个体特征值（设为a₂）的权为ω₂，除此之外的其他性能参数的个体特征值（设为a₃,a₄,...,a_i,...,a_m）的权总和为ω₃，ω₁+ω₂+ω₃=1。用户终端的节点综合个体特征值a_z计算式为：

a_{z} = ω_{1} \cdot a_{1} + ω_{2} \cdot a_{2} + ω_{3} \cdot (\frac{a_{3} + a_{4} + a_{5} + . . . + a_{m}}{m - 2}) - - - (3)

根据当前的主流客户端机型配置情况，设定节点个体特征标准集为：

Ability={b₁,b₂,b₃,...,b_i,...,b_m} （4）

式（4）中的b_i（i=1,2,......,m）为由主流客户端机型的各个个体特征标准值，通过将当前市面上主流客户端机型的中央处理器性能、内存容量、操作系统类型等配置参数经归一化计算得到，与a_i（i=1,2,......,m）相对应。

由个体特征标准集Ability经进一步加权计算得到节点综合个体特征标准值b_z。同样设定中央处理器个体特征标准值（设为b₁）的权为ω₁，内存容量个体特征标准值（设为b₂）的权为ω₂，除此之外的其他性能参数的个体特征值（设为b₃,b₄,...,b_i,...,b_m）的权总和为ω₃。用户节点综合个体特征值b_z计算式为：

b_{z} = ω_{1} \cdot b_{1} + ω_{2} \cdot b_{2} + ω_{3} \cdot (\frac{b_{3} + b_{4} + b_{5} + . . . + b_{m}}{m - 2}) - - - (5)

以b_z作为衡量某个特定用户节点的主机配置的高低情况的参照物，可根据b_z设置合适的综合个体特征标准值范围。

优选ω₁的值为0.5，ω₂的值为0.3，ω₃的值为0.2。

提交病毒报告的用户终端症状集Signs可被定义为：

Signs={s₁,s₂,s₃,......,s_n} （6）

式（6）中的s_j（j=1,2,......,n）为节点所有者所感知的节点症状。

本具体实施方式中将不同的病毒感染症状分为四种不同的权值（采用字母A-D由高到低表示）：

①权值为A的用户感知症状属于典型的病毒感染症状，只有极其少数的非病毒程序会对系统进行权值为A的操作。同时，权值为A的症状较为客观，对同一症状，不存在因为用户的差异而产生感知的差异。因此系统赋予其最高的权值，并对权值为A的感知症状给予最高的关注。

②权值为B的用户感知症状属于次典型的病毒感染症状，出现权值B的用户感知症状有一部分是用户操作失当或者个别优化程序导致的结果，并不足以用以直接的判断是否为病毒代码所为。该感知症状仍为“客观症状”，不存在感知差异。

③权值为C的用户感知症状也属于次典型的病毒感染症状，与权值为B的用户感知症状类似，出现C权值的症状并不全由恶意代码导致，人为操作失当、硬件故障和部分软件都会导致用户感知到权值为C的症状。同时，权值为C的用户感知症状又因为不同用户的差异会对同一症状产生不同的判断。

④权值为D的用户感知症状不属于典型的病毒感染症状，但机器感染恶意代码时往往都伴随有权值为D的用户感知症状。导致产生D级症状的原因较多，无论是病毒、硬件，甚至是温度（尤其对笔记本电脑）都可能直接导致该症状的产生。另外，不同用户的个人感知以及主机性能对D级症状产生了很大的影响，并不能独立根据D级症状判定是否是有效的病毒报告，仅能作为参考。

本发明搜集了目前病毒感染可能出现的26种节点症状，基本涵盖了目前病毒对节点造成的所有用户可感知的症状，并赋予不同的权值。这26种用户可感知的常见症状所对应的权值如表1所示。

表1

云服务器按照表1为节点症状集合中的各节点症状赋予相应的权值，并根据加权后的节点症状集合判断用户终端是否感染恶意代码。具体判断标准可根据实际情况确定，本具体实施方式中采用以下判别标准：

加权后的节点症状集合符合以下条件之一，则判断相应的用户终端感染恶意代码：①含有两个权值为A的节点症状；②含有一个权值为A的节点症状和一个权值为B的节点症状；③含一个权值为A的节点症状和2个权值为C的节点症状；④含一个权值为A的节点症状，1个权值为C的节点症状和3个权值为D的节点症状；⑤含一个权值为A的节点症状和4个权值为D的节点症状；⑥含3个权值为B的节点症状；⑦含有2个权值为B的节点症状和2个权值为C的节点症状；⑧含1个权值为B的节点症状和4个权值为D的节点症状；⑨含1个权值为B的节点症状，1个权值为C的节点症状和3个权值为D的节点症状；⑩含2个权值为的C节点症状和4个权值为D的节点症状。

考虑到主机配置不同对症状的影响，为了更准确地判定用户终端是否感染恶意代码，本具体实施中，云服务器还根据用户感知病毒报告中的节点个体特征对所述权值进行调整，具体调整方法如下：如用户终端的节点综合个体特征值a_z在预设的节点综合个体特征标准值范围内，本实施例中以b_z的上下20%的范围作为综合个体特征标准值范围，即0.8×b_z≤a_z≤1.2×b_z，则不对权值进行调整；如高于所述节点综合个体特征标准值范围的上限，即a_z>1.2×b_z，则调高所述权值；如低于所述所述节点综合个体特征标准值范围的下限，即a_z<0.8×b_z，则调低所述权值。如果某个用户终端的a_z与节点综合个体特征标准值范围比较为低，说明机器配置较差，则将其可感症状的权值做降级处理，如将C降为D，D则忽略不计。如果某个用户终端的a_z与节点综合个体特征标准值范围比较为高，说明机器性能优越，将其D类权值做升级处理。

云服务器根据感染恶意代码的用户终端在系统总的用户终端中所占比例发出相应的系统警报，并根据恶意代码感染规模变化情况实时进行检测调整；本实施例中系统警报根据安全级别由低到高设置为黄、橙、红三个等级，当然，也可根据实际需要采取其它的警报等级设置方式。设系统中的节点规模为X，感染恶意代码的节点规模为Y，设定两个阈值Z₁和Z₂，0<Z₁<Z₂<1，Z₁一般可取值0.1，Z₂一般可取值0.7。当

系统警报等级设定为黄，说明病毒活动并不活跃或者危害并不显著；当

系统警报等级设定为橙，说明病毒活动比较活跃或者危害正变得严重，需要密切关注，尽可能多地收集与病毒相关的数据，从而更快地解决问题；当

说明病毒活动猖獗，且破坏力强，需要立即处理，防止整个系统遭到更大的破坏。

Claims

1.一种用于云安全系统的用户感知病毒报告分析方法，云服务器根据各用户终端发送的用户感知病毒报告判断用户终端是否感染恶意代码，并确定恶意代码的危害等级；其特征在于，所述各用户终端所发送的用户感知病毒报告包括各用户终端自身所感知到的节点症状集合；云服务器为节点症状集合中的各节点症状赋予不同的权值，权值越大表示感染恶意代码的可能性越大，并根据加权后的节点症状集合判断用户终端是否感染恶意代码。

2.如权利要求1所述用于云安全系统的用户感知病毒报告分析方法，其特征在于，所述用户感知病毒报告还包括各用户终端自身的节点个体特征值，所述节点个体特征值通过对节点的多个性能参数进行归一化计算得到；云服务器为节点症状集合中的各节点症状赋予不同的权值后，还根据节点的综合个体特征值对所述权值进行调整，所述节点的综合个体特征值通过对节点个体特征值进行加权求和得到；具体调整方法如下：如节点的综合个体特征值在预设的节点综合个体特征标准值范围内，则不对权值进行调整；如高于所述节点综合个体特征标准值范围的上限，则调高所述权值；如低于所述所述节点综合个体特征标准值范围的下限，则调低所述权值。

3.如权利要求2所述用于云安全系统的用户感知病毒报告分析方法，其特征在于，云服务器为节点症状集合中的各节点症状赋予四个不同的权值，采用字母A-D由高到低表示，具体如下：

4.如权利要求3所述用于云安全系统的用户感知病毒报告分析方法，其特征在于，所述根据加权后的节点症状集合判断用户终端是否感染恶意代码，具体按照以下方法：加权后的节点症状集合符合以下条件之一，则判断相应的用户终端感染恶意代码：①含有两个权值为A的节点症状；②含有一个权值为A的节点症状和一个权值为B的节点症状；③含一个权值为A的节点症状和2个权值为C的节点症状；④含一个权值为A的节点症状，1个权值为C的节点症状和3个权值为D的节点症状；⑤含一个权值为A的节点症状和4个权值为D的节点症状；⑥含3个权值为B的节点症状；⑦含有2个权值为B的节点症状和2个权值为C的节点症状；⑧含1个权值为B的节点症状和4个权值为D的节点症状；⑨含1个权值为B的节点症状，1个权值为C的节点症状和3个权值为D的节点症状；⑩含2个权值为的C节点症状和4个权值为D的节点症状。

5.如权利要求4所述用于云安全系统的用户感知病毒报告分析方法，其特征在于，该方法还包括：云服务器根据感染恶意代码的用户终端在系统总的用户终端中所占比例发出相应的系统警报。

6.如权利要求5所述用于云安全系统的用户感知病毒报告分析方法，其特征在于，所述系统警报根据安全级别由低到高设置为黄、橙、红三个等级。

7.如权利要求6所述用于云安全系统的用户感知病毒报告分析方法，其特征在于，感染恶意代码的用户终端在系统总的用户终端中所占比例大于0且小于等于0.1，系统警报等级为黄；感染恶意代码的用户终端在系统总的用户终端中所占比例大于0.1且小于等于0.7，系统警报等级为橙；感染恶意代码的用户终端在系统总的用户终端中所占比例大于0.7且小于1，系统警报等级为红。

8.如权利要求2所述用于云安全系统的用户感知病毒报告分析方法，其特征在于，所述多个节点性能参数包括节点的中央处理器性能和内存容量。