CN103679026B - 一种云计算环境下的恶意程序智能防御系统及防御方法 - Google Patents

一种云计算环境下的恶意程序智能防御系统及防御方法 Download PDF

Info

Publication number
CN103679026B
CN103679026B CN201310647523.0A CN201310647523A CN103679026B CN 103679026 B CN103679026 B CN 103679026B CN 201310647523 A CN201310647523 A CN 201310647523A CN 103679026 B CN103679026 B CN 103679026B
Authority
CN
China
Prior art keywords
subsystem
isolation
sample collection
cloud computing
analyzing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201310647523.0A
Other languages
English (en)
Other versions
CN103679026A (zh
Inventor
陈晓峰
张振宇
马建峰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xidian University
Original Assignee
Xidian University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xidian University filed Critical Xidian University
Priority to CN201310647523.0A priority Critical patent/CN103679026B/zh
Publication of CN103679026A publication Critical patent/CN103679026A/zh
Application granted granted Critical
Publication of CN103679026B publication Critical patent/CN103679026B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Debugging And Monitoring (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

一种云计算环境下的恶意程序智能防御系统,其包括,云计算平台,所述云计算平台并行设置多个不同的反病毒引擎,所述不同反病毒引擎针对不同类型病毒进行扫描;样本收集子系统,所述样子收集子系统收集安全漏洞攻击相关数据;隔离分析子系统,所述隔离分析子系统为多恶意程序行为分析引擎集合,且所述离分析子系统分析得出侧重点不同的行为监控结果;计算服务器,所述计算服务器收集所述样本收集子系统与隔离分析子系统数据,且计算服务器对行为数据进行分析产生行为特征知识库。

Description

一种云计算环境下的恶意程序智能防御系统及防御方法
技术领域
本发明是一种云计算环境下的恶意程序智能防御方法。是一种用于在云计算环境中,采用蜜罐技术与智能的程序行为分析技术结合的方法,设计实现对恶意代码(包括未知病毒)进行检测的病毒防御机制。
背景技术
随着计算机病毒朝着与黑客技术结合、破坏性更大、传播渠道更多、传播速度更快、更多变种、对原程序加密等趋势发展,传统病毒查杀技术在应用上已经比较困难实现对病毒的防御。随着新的计算模式比如分布式计算、网格计算、云计算等的出现,新的恶意程序检测应用也开始出现,比如人们渐渐熟知的“云查杀”。但目前来看,多数反病毒方案面临滞后性、局限性的问题,具体如下:(1)在日益指数级增长的病毒趋势下,传统杀毒软件更新升级存在明显滞后性;
(2)用户单机应用环境下往往只安装一套杀毒软件,存在单点防御局限性;
(3)不升级杀毒软件无法查杀新编写的病毒,无法查杀经过免杀处理的旧病毒;
(4)收集数据时采用蜜罐技术、用户上报、自己成立实验室研发等方式,成本高且收集到的样本数量有限;
(5)现有的一些云查杀引擎只是单纯的将服务器放在云端,依然采用的特征码比对的传统模式,无法实现对未知病毒的检测;
(6)云服务端多引擎并行工作只是将不同厂商的引擎的组合,受不同厂商技术水平、产品针对性限制。
发明内容
为解决上述技术问题,本发明一种充分保障了反病毒引擎知识库的更新,且提高了对未知病毒的检测能力的云计算环境下的恶意程序智能防御系统,其包括,
云计算平台,所述云计算平台并行设置多个不同的反病毒引擎,所述不同反病毒引擎针对不同类型病毒进行扫描;
样本收集子系统,所述样本收集子系统收集安全漏洞攻击相关数据;
隔离分析子系统,所述隔离分析子系统为多恶意程序行为分析引擎集合,且所述离分析子系统分析得出侧重点不同的行为监控结果;
计算服务器,所述计算服务器收集所述样本收集子系统与隔离分析子系统数据,且计算服务器对行为数据进行分析产生行为特征知识库。
在上述技术方案的基础上,所述样本收集子系统包括蜜罐系统,所述蜜罐系统自动收集各种攻击行为。
在上述技术方案的基础上,所述样本收集子系统还包括样本收集子系统管理服务器,所述样本收集子系统管理服务器管理蜜罐系统的运作、系统失败回滚、节点失败隔离等操作。
在上述技术方案的基础上,隔离分析子系统负责虚拟机的工作调度、任务分配、数据收集等操作。
在上述技术方案的基础上,所述隔离分析子系统;
让疑似恶意代码得以在该虚拟操作系统环境下运行,通过监控其行为来总结得出行为分析报告。
在上述技术方案的基础上,隔离分析子系统负责虚拟机的工作调度、任务分配、数据收集等操作。
在上述技术方案的基础上,所述计算服务器实现对安全威胁的等级划分,与相应的反馈信息之间保持映射关系,用以提示用户所扫描文件的安全威胁等级,在后续步骤中由用户选择对文件的操作结果,并根据用户对操作的要求来对病毒代码清除、文件修复等。
本发明还提供一种云计算环境下的恶意程序智能防御系统的防御方法,其包括以下步骤,
S1样本收集子系统自动收集各种攻击行为;
S2隔离分析子系统不同的行为分析引擎得出侧重点不同的行为监控结果,并将所述结果综合;
S3所述样本收集子系统与隔离分析子系统结果数据交给计算服务器,计算服务器利用智能检测算法对行为数据进行分析产生行为特征知识库;
S4用户请求扫描文件,触发综合调度管理服务器,启动多引擎扫描确认后,安全文件则返回“安全”型信息,未知可疑文件,传递给隔离分析子系统;
S5隔离分析子系统判断是否病毒文件,若是,将样本保存到数据库中,经计算服务器产生特征知识库,返回“危险”型信息;若不是,返回“安全”型信息。
本发明与现有技术相比,其有益效果是:
(1)本发明充分利用了云计算技术本身的海量数据存储、高性能计算能力、低运算资源消耗的优势,解决了传统杀毒模式的滞后性、局限性的问题。大大降低了用户计算机的资源消耗。
(2)本发明相比现有云查杀技术体现出更加智能化的操作,结合优化的程序行为智能检测算法实现对恶意代码全面的监控,降低了受未知病毒的威胁可能性。
(3)基于云计算技术高可扩展性的特点选取开放式的综合调度管理服务器有助于将来对多个反病毒引擎的优化配置。
附图说明
图1是本发明一种云计算环境下的恶意程序智能防御系统示意图。
具体实施方式
为详细说明本发明之技术内容以下兹例举实施例并配合附图详予说明。
请参阅图1。一种充分保障了反病毒引擎知识库的更新,且提高了对未知病毒的检测能力的云计算环境下的恶意程序智能防御系统,其包括,
云计算平台,所述云计算平台并行设置多个不同的反病毒引擎,所述不同反病毒引擎针对不同类型病毒进行扫描;
样本收集子系统,所述样子收集子系统收集安全漏洞攻击相关数据;
隔离分析子系统,所述隔离分析子系统为多恶意程序行为分析引擎集合,且所述离分析子系统分析得出侧重点不同的行为监控结果;
计算服务器,所述计算服务器收集所述样本收集子系统与隔离分析子系统数据,且计算服务器对行为数据进行分析产生行为特征知识库。
样本收集子系统包括蜜罐系统,所述蜜罐系统自动收集各种攻击行为。
样本收集子系统中,蜜罐系统自动收集各种攻击行为;同时,隔离分析子系统将分析结果综合。样本收集子系统管理服务器负责管理蜜罐子系统的运作、系统失败回滚、节点失败隔离等操作;隔离分析子系统负责虚拟机的工作调度、任务分配、数据收集等操作。
两个子系统分析的结果数据交给计算服务器,计算服务器利用智能检测算法对行为数据进行分析产生行为特征知识库。其中,智能检测算法能够实现对安全威胁的等级划分,与相应的反馈信息之间保持映射关系,用以提示用户所扫描文件的安全威胁等级,在后续步骤中由用户选择对文件的操作结果,并根据用户对操作的要求来对病毒代码清除、文件修复等。
隔离分析子系统让疑似恶意代码得以在该虚拟操作系统环境下运行,通过监控其行为来总结得出行为分析报告。由于行为分析软件难以全面的分析某可疑程序在虚拟机运行过程中所作出的全部行为,同时一些行为分析引擎内嵌的虚拟化隔离环境的不同,有可能出现不同的监控盲点或缺陷,因此虚拟化隔离环境集成了不同厂家的虚拟监控器,利用云计算服务通用性和可扩展性,统一部署,发挥各监控器的优势全面监控可疑程序的所有行为。如某一监控器可能注重底层系统调用,全面收集该方面的信息,却忽略了某些系统关键文件的替换和修改动作,因此,此时可以使用另一款监控器,该监控器会更加注重系统关键文件的替换和修改等操作。两款监控器结合,协调工作。
如果某疑似恶意代码本质上是安全的,便无所谓是否需要系统还原。如果该疑似恶意代码本质上确实是恶意代码,具有一定的破坏性,那么在虚拟操作系统中运行之后,该虚拟操作系统很大程度上已经被感染病毒或已被损坏,这时,虚拟监控器利用自身具备的快照还原功能能够在运行完该恶意代码之后还原到最初的纯净的操作系统。由于无法保证恶意代码的攻击威胁无法攻破虚拟机的还原机制,防止恶意代码突破还原机制感染其他虚拟机环境进而感染整个虚拟化隔离子系统,从而威胁到整个云计算防护体系,所以隔离分析子系统中的虚拟化分析环境与本文提出的云计算安全防护体系的其他部分是隔离的。
但是本隔离子系统会提供两个安全的接口,一个接口用来接收综合管理服务器提交上来的用户请求分析的疑似恶意代码文件,在接收到疑似恶意代码文件后,隔离分析子系统会将该文件提交到虚拟化分析环境中运行。另一个安全的接口需要将监控器的行为分析报告发送给计算服务器,因为得到的行为分析报告中总结的行为数据需要通过计算服务器上运行的智能检测算法来进行分析,判断得出上述隔离分析的疑似恶意代码是否真正的病毒。
客户端安全扫描引擎可由用户通过综合调度管理服务器自主选择装一个或多个。
用户请求扫描文件,触发综合调度管理服务器,启动多引擎扫描确认后,安全文件则返回“安全”型信息,未知可疑文件,传递给隔离分析子系统。
隔离分析子系统判断是否病毒文件。对于已经在病毒特征知识库中的特征代码,隔离分析子系统可以做出判断,对于不在病毒特征知识库中的代码,需要将监控得到的行为特征分析总结,交由计算服务器利用智能分析算法做出判断其是否为病毒代码。若是,将样本保存到数据库中,经计算服务器产生特征知识库,返回“危险”型信息;若不是,返回“安全”型信息。
将产生的反馈结果综合,由综合调度管理服务器反馈给用户。由用户决定如何处理扫描的文件。若用户选择清除病毒代码并继续访问文件,将触发计算服务器产生相关的文件操作。
基于云计算平台的网络智能防御策略实现了对恶意程序代码的智能化分析,打破传统杀毒模式中被动根据已发现病毒产生特征码来匹配的工作模式,利用云计算技术的海量数据存储能力、高计算性能、并行计算和可伸缩性的技术优势,全面提高网络对恶意攻击和威胁的主动防御能力。
综上所述,仅为本发明之较佳实施例,不以此限定本发明的保护范围,凡依本发明专利范围及说明书内容所作的等效变化与修饰,皆为本发明专利涵盖的范围之内。

Claims (2)

1.一种云计算环境下的恶意程序智能防御系统,其特征在于:其包括,
云计算平台,所述云计算平台并行设置多个不同的反病毒引擎,所述多个不同的反病毒引擎针对不同类型病毒进行扫描;
样本收集子系统,所述样本收集子系统收集安全漏洞攻击的相关数据;
隔离分析子系统,所述隔离分析子系统为多恶意程序行为分析引擎集合,且所述隔离分析子系统分析得出侧重点不同的行为监控结果;
计算服务器,所述计算服务器收集所述样本收集子系统与隔离分析子系统的数据,且计算服务器对行为数据进行分析并产生行为特征知识库;
所述样本收集子系统包括蜜罐系统,所述蜜罐系统自动收集各种攻击行为;
所述样本收集子系统还包括样本收集子系统管理服务器,所述样本收集子系统管理服务器管理蜜罐系统的运作、系统失败回滚和节点失败隔离操作;
隔离分析子系统负责虚拟机的工作调度、任务分配、数据收集操作;
所述隔离分析子系统让疑似恶意代码得以在虚拟操作系统环境下运行,通过监控其行为来总结得出行为分析报告;
所述计算服务器实现对安全威胁的等级划分,与相应的反馈信息之间保持映射关系,用以提示用户所扫描文件的安全威胁等级,在后续步骤中由用户选择对文件的操作结果,并根据用户对操作的要求来对病毒代码进行清除、对文件进行修复。
2.一种使用权利要求1所述的云计算环境下的恶意程序智能防御系统的防御方法,其特征在于:其包括以下步骤,
S1样本收集子系统自动收集各种攻击行为;
S2隔离分析子系统利用不同的行为分析引擎得出侧重点不同的行为监控结果,并将所述结果综合;
S3所述样本收集子系统与隔离分析子系统的结果数据交给计算服务器,计算服务器利用智能检测算法对行为数据进行分析并产生行为特征知识库;
S4用户请求扫描文件,触发综合调度管理服务器,启动多引擎扫描确认后,安全文件则返回“安全”型信息,未知可疑文件,传递给隔离分析子系统;
S5隔离分析子系统判断是否为病毒文件,若是,将样本保存到数据库中,经计算服务器产生行为特征知识库,返回“危险”型信息;若不是,返回“安全”型信息。
CN201310647523.0A 2013-12-03 2013-12-03 一种云计算环境下的恶意程序智能防御系统及防御方法 Active CN103679026B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201310647523.0A CN103679026B (zh) 2013-12-03 2013-12-03 一种云计算环境下的恶意程序智能防御系统及防御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201310647523.0A CN103679026B (zh) 2013-12-03 2013-12-03 一种云计算环境下的恶意程序智能防御系统及防御方法

Publications (2)

Publication Number Publication Date
CN103679026A CN103679026A (zh) 2014-03-26
CN103679026B true CN103679026B (zh) 2016-11-16

Family

ID=50316536

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201310647523.0A Active CN103679026B (zh) 2013-12-03 2013-12-03 一种云计算环境下的恶意程序智能防御系统及防御方法

Country Status (1)

Country Link
CN (1) CN103679026B (zh)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104506522B (zh) 2014-12-19 2017-12-26 北京神州绿盟信息安全科技股份有限公司 漏洞扫描方法及装置
CN104935580B (zh) * 2015-05-11 2018-09-11 国家电网公司 基于云平台的信息安全控制方法和系统
CN106326741A (zh) * 2015-06-17 2017-01-11 阿里巴巴集团控股有限公司 基于多引擎系统的恶意程序检测方法和装置
CN107222515B (zh) * 2016-03-22 2021-05-04 阿里巴巴集团控股有限公司 蜜罐部署方法、装置及云端服务器
CN106161455B (zh) * 2016-07-25 2019-06-04 恒安嘉新(北京)科技股份公司 一种多模块和引擎分布式云管理系统及检测方法
EP3282665B1 (en) * 2016-08-10 2021-01-27 Nokia Solutions and Networks Oy Anomaly detection in software defined networking
CN107070878B (zh) * 2017-02-13 2020-09-18 北京安云世纪科技有限公司 一种用于对受监控应用进行病毒隔离的系统及方法
CN108171058A (zh) * 2017-12-26 2018-06-15 中国联合网络通信集团有限公司 基于Serverless框架的多引擎病毒扫描系统和多引擎病毒扫描方法
CN108418831A (zh) * 2018-03-26 2018-08-17 河南大学 一种面向云计算的网络安全预警方法
CN109409089B (zh) * 2018-09-28 2021-11-23 西安电子科技大学 一种基于虚拟机自省的Windows加密型勒索软件检测方法
CN112580036B (zh) * 2019-09-30 2024-01-30 奇安信安全技术(珠海)有限公司 病毒防御的优化方法及装置、存储介质、计算机设备
CN112528285B (zh) * 2020-12-18 2022-01-25 南方电网电力科技股份有限公司 云计算平台的安全防护方法、装置、电子设备及存储介质
CN112839053B (zh) * 2021-01-27 2022-11-11 华能国际电力股份有限公司 一种基于自培养的电力工控网络恶意代码防护系统
CN116910757B (zh) * 2023-09-13 2023-11-17 北京安天网络安全技术有限公司 一种多进程检测系统、电子设备及存储介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101154258A (zh) * 2007-08-14 2008-04-02 电子科技大学 恶意程序动态行为自动化分析系统与方法
CN101827104A (zh) * 2010-04-27 2010-09-08 南京邮电大学 一种基于多反病毒引擎的网络病毒联合防御方法
CN102088379A (zh) * 2011-01-24 2011-06-08 国家计算机网络与信息安全管理中心 基于沙箱技术的客户端蜜罐网页恶意代码检测方法与装置
CN102346828A (zh) * 2011-09-20 2012-02-08 海南意源高科技有限公司 一种基于云安全的恶意程序判断方法
CN102663284A (zh) * 2012-03-21 2012-09-12 南京邮电大学 一种基于云计算的恶意代码识别方法
CN103366117A (zh) * 2012-03-31 2013-10-23 深圳市腾讯计算机系统有限公司 一种感染型病毒修复方法及系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103078864B (zh) * 2010-08-18 2015-11-25 北京奇虎科技有限公司 一种基于云安全的主动防御文件修复方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101154258A (zh) * 2007-08-14 2008-04-02 电子科技大学 恶意程序动态行为自动化分析系统与方法
CN101827104A (zh) * 2010-04-27 2010-09-08 南京邮电大学 一种基于多反病毒引擎的网络病毒联合防御方法
CN102088379A (zh) * 2011-01-24 2011-06-08 国家计算机网络与信息安全管理中心 基于沙箱技术的客户端蜜罐网页恶意代码检测方法与装置
CN102346828A (zh) * 2011-09-20 2012-02-08 海南意源高科技有限公司 一种基于云安全的恶意程序判断方法
CN102663284A (zh) * 2012-03-21 2012-09-12 南京邮电大学 一种基于云计算的恶意代码识别方法
CN103366117A (zh) * 2012-03-31 2013-10-23 深圳市腾讯计算机系统有限公司 一种感染型病毒修复方法及系统

Also Published As

Publication number Publication date
CN103679026A (zh) 2014-03-26

Similar Documents

Publication Publication Date Title
CN103679026B (zh) 一种云计算环境下的恶意程序智能防御系统及防御方法
CN110620759B (zh) 基于多维关联的网络安全事件危害指数评估方法及其系统
CN108494810B (zh) 面向攻击的网络安全态势预测方法、装置及系统
US9916447B2 (en) Active defense method on the basis of cloud security
TWI547823B (zh) 惡意程式碼分析方法與系統、資料處理裝置及電子裝置
AU2012217181B2 (en) Methods and apparatus for dealing with malware
US10437996B1 (en) Classifying software modules utilizing similarity-based queries
US11487880B2 (en) Inferring security incidents from observational data
US8056136B1 (en) System and method for detection of malware and management of malware-related information
Kholidy Detecting impersonation attacks in cloud computing environments using a centric user profiling approach
Singh et al. Dynamic behavior analysis of android applications for malware detection
Gupta et al. An immediate system call sequence based approach for detecting malicious program executions in cloud environment
CN112073389B (zh) 云主机安全态势感知系统、方法、设备及存储介质
CN109586282B (zh) 一种电网未知威胁检测系统及方法
CN104509034A (zh) 模式合并以识别恶意行为
Kholidy Correlation‐based sequence alignment models for detecting masquerades in cloud computing
EP3949316A1 (en) Detecting a missing security alert using a machine learning model
KR101716564B1 (ko) 하둡 기반의 악성코드 탐지 방법과 시스템
WO2020005250A1 (en) Detecting zero-day attacks with unknown signatures via mining correlation in behavioral change of entities over time
Razaq et al. A big data analytics based approach to anomaly detection
JP2023550974A (ja) イメージ基盤悪性コード検知方法および装置とこれを利用する人工知能基盤エンドポイント脅威検知および対応システム
Casolare et al. On the resilience of shallow machine learning classification in image-based malware detection
CN112287345A (zh) 基于智能风险检测的可信边缘计算系统
Mira A review paper of malware detection using api call sequences
Araújo et al. Virtualization in intrusion detection systems: a study on different approaches for cloud computing environments

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant