CN105429956A - 基于p2p动态云的恶意软件检测系统及方法 - Google Patents

基于p2p动态云的恶意软件检测系统及方法 Download PDF

Info

Publication number
CN105429956A
CN105429956A CN201510730476.5A CN201510730476A CN105429956A CN 105429956 A CN105429956 A CN 105429956A CN 201510730476 A CN201510730476 A CN 201510730476A CN 105429956 A CN105429956 A CN 105429956A
Authority
CN
China
Prior art keywords
cloud server
dynamic cloud
dynamic
solid
uploaded
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201510730476.5A
Other languages
English (en)
Other versions
CN105429956B (zh
Inventor
黄智勇
李�杰
刘越
钟成明
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chongqing Balu Technology Co Ltd
Original Assignee
Chongqing University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chongqing University filed Critical Chongqing University
Priority to CN201510730476.5A priority Critical patent/CN105429956B/zh
Publication of CN105429956A publication Critical patent/CN105429956A/zh
Application granted granted Critical
Publication of CN105429956B publication Critical patent/CN105429956B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/951Indexing; Web crawling techniques
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • H04L67/1004Server selection for load balancing
    • H04L67/1025Dynamic adaptation of the criteria on which the server selection is based
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/104Peer-to-peer [P2P] networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Data Mining & Analysis (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Debugging And Monitoring (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明涉及一种基于P2P动态云的恶意软件检测系统及方法,包括单台固态云服务器、多台动态云服务器和多台分布式终端,动态云服务器之间构成P2P网络,固态云服务器和动态云服务器之间构成C/S网络,动态云服务器和分布式终端构成C/S网络,分布式终端用于网络中软件行为的异常监测,获取异常行为特征,并上传给动态云服务器;动态云服务器用于对异常行为特征进行分析,并将分析结果反馈给分布式终端或上传给固态云服务器;固态云服务器用于对动态云服务器上传的异常行为特征进行进一步分析,并将分析结果通过动态云服务器反馈给分布式终端。它旨在减轻云服务器负荷、提高客户端请求的响应速度和提高未知恶意软件的检测精度。

Description

基于P2P动态云的恶意软件检测系统及方法
技术领域
本发明涉及恶意软件检测领域,特别涉及一种基于P2P动态云的恶意软件检测系统及方法。
背景技术
随着信息化的飞速发展,网络逐渐成为人们交流的主要途径。然而网络在传播一些先进工具与技术的同时,恶意软件也开始出现,几乎所有的网民计算机都在不知情的情况下被恶意软件侵入过,恶意软件已经逐渐成为网络的主要威胁。
2014年12月25日,美国迈克菲公司发布《2014年第三季度迈克菲威胁报告》报告显示在第三季度,迈克菲实验室每分钟检测到的新威胁数量超过307个,换而言之,每秒超过5个。本季度,移动恶意软件样本数量增长16%,总体恶意软件年同比激增76%;2014年勒索软件样本数量已高于往年各期总和,带数字签名的传统恶意软件增加了50%,样本数量超过150万个,垃圾邮件数目增长了125%;金山毒霸安全实验室发布报告指出,2014年针对恶意软件的漏检数目超过了新增恶意软件数目的23%,“漏检”的问题对中国网民造成的年经济损失超过了30个亿;国外知名信息安全厂商BitDefender公布的恶意软件排行榜中,P2P类型软件的投诉率高居榜首,不完全统计,96%以上的P2P用户遭受过恶意软件攻击,互联网世界已经处于一种极度高危的状态。控制恶意软件在P2P网络中的传播已经成为网络安全研究的一个重要课题,特别是针对P2P网络中未知恶意软件快速准确的检测,一直是研究的难题。目前基于恶意软件的行为特征分析的方法在恶意软件检测方面取得了比较好的效果,但由于恶意软件行为特征和P2P网络数据具有极高的相似性,将该方法应用到P2P网络中恶意软件的检测中,存在较高的检测误差。
云安全(CloudSecurity)是网络时代信息安全的最新体现,它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,传送到Server端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。“云安全”利用互联网的传输及计算功能,将原来放在客户端的分析计算能力转移到了服务器端,虽然,很大程度上弥补了传统病毒查杀机制的不足,但也大大增加了云服务器的工作负荷,导致客户端请求的响应速度慢。
发明内容
本发明的目的是针对现有技术存在的不足,在现有云安全和分布式检测技术的研究基础上,结合恶意软件的行为特性,提出一种基于P2P动态云的恶意软件检测系统及方法,通过固态云服务器完成传统云服务器功能,P2P动态云服务器作为固态云服务器和客户端的纽带,负责对客户端的请求进行筛选,需求快速解决方案,达到缓解固态云工作负荷,提高客户端响应速度的目的,同时采用固态云和动态云二次分析的方法提高了检测精度。
本发明的目的是采用下述方案实现的:一种基于P2P动态云的恶意软件检测系统,包括单台固态云服务器、若干动态云服务器和若干分布式终端,若干动态云服务器之间构成P2P网络,单台固态云服务器和若干动态云服务器之间构成C/S网络,其中,固态云服务器作为服务器端,动态云服务器作为客户端,若干动态云服务器和分布式终端构成C/S网络,其中,动态云服务器作为服务器端,分布式终端作为客户端;所述分布式终端用于网络中软件行为的异常监测,获取异常行为特征,并上传给动态云服务器;所述动态云服务器用于对分布式终端上传的异常行为特征进行分析,并将分析结果反馈给分布式终端或上传给固态云服务器;所述固态云服务器用于对动态云服务器上传的异常行为特征进行进一步分析,并将分析结果通过动态云服务器反馈给分布式终端。
所述固态云服务器为传统的云服务器,具有快速分析引擎和庞大的病毒特征库。
所述动态云服务器配置在网关或ISP服务器,是固态云服务器和分布式终端的纽带。
所述动态云服务器内设有动态云信息处理模块,所述动态云信息处理模块包括聚类模块、统计模块和决策模块,所述聚类模块用于接收分布式终端上传的异常行为特征,通过P2P网络查找出之前有上传类似异常行为特征的记录,然后对相关信息进行收集,并将收集到的相关信息发送给统计模块;所述统计模块用于对收集到的相关信息进行分类统计,并将统计信息发送给决策模块;所述决策模块用于利用决策树对统计信息实现模式分类,将分析结果反馈给分布式终端或上传给固态云服务器。
传统的云服务器端拥有多个快速分析引擎、庞大的病毒特征库以及行为分析等多个分析技术,为减小服务器负荷,同时提高响应客户端请求速度与快速分析可疑文件的能力,本发明将行为特性分析配置在P2P动态云端,形成动态云信息处理模型,其采用聚类算法搜索具有相似性的客户端请求,采用分类统计的方式对搜索出的数据信息进行统计,最后利用决策树实现对于异常行为特性的快速模式分类。
一种基于P2P动态云的恶意软件检测方法,其特征在于,包括如下步骤:
1)在可控网络环境下,建立多个节点数为|S|的小型局域网,S表示该局域网的节点集;
2)构建固态云服务器,并在网关或者ISP服务器配置动态云服务器,固态云服务器和动态云服务器之间为C/S架构,动态云服务器之间采用P2P架构;
3)通过大量节点对网络中软件行为进行异常监测,获取网络中恶意软件的异常行为特征,上传给动态云服务器;
4)动态云服务器对上传的异常行为特征进行行为分析,如果P2P动态云服务器能够判定此异常行为为恶意软件所致,则直接将分析结果反馈给分布式终端;如果P2P动态云服务器不能够判断此异常行为是否为恶意软件所致,则将此异常行为特征上传给固态云服务器做二次分析;
5)固态云服务器通过运行快速分析引擎和病毒特征库比对机制,实现对上传的异常行为特征的二次分析,并将分析结果通过动态云服务器反馈给分布式终端。
动态云服务器采用一种聚类-统计-决策的方法对上传的异常行为特征进行行为分析,其步骤为:
1)当动态云收到客户端请求的时候,聚类模块利用P2P网络搜索具有相似性的客户端请求,然后对搜索出的数据信息进行收集,并将收集到的数据信息送到统计模块;
2)统计模块采用分类统计的方式对搜索出的数据信息进行统计,得到各个统计值,并将各个统计值送到决策模块。
3)决策模块接收统计模块的各个统计值,将统计信息作为专家决策的信息元素,进行概率计算,得到感染概率值,将感染概率值与设定阈值进行比较。当感染概率值高于设定阈值的时候,则直接将处理信息反馈给客户端;当感染概率值低于设定阈值的时候,则将信息发送给固态云服务器进行进一步判断。同时每次处理的信息都会记录在当前动态云服务器数据库中,供下次聚类搜索使用。感染概率值为各个统计值与其权值乘积的总和,各权值的总和为1。各个统计值的权值存储在动态云服务器中,它可以根据统计模块数据自动调整,如最近恶意软件爆发方式以邮件附件传播方式居多,则代表文件类型统计的权值c和代表恶意软件传播时间的权值d会提高;如最近恶意软件传播方式以扫描IP地址方式居多,则代表IP地址统计的权值b会提高。
本发明具有的优点是:
(1)本发明提出了一种基于P2P动态云的未知恶意软件检测系统及方法,在保留云安全技术的优势的基础上,在固态云服务器和客户端之间增加P2P动态云服务器,作为纽带,负责对客户端的请求进行筛选,需求快速解决方案,达到缓解固态云工作负荷,提高客户端响应速度的目的。同时采用固态云和动态云二次分析的方法提高了检测精度。
(2)提出了基于聚类-统计-决策结构的动态云信息处理模型,采用聚类算法搜索具有相似性的客户端请求,采用分类统计的方式对搜索出的数据信息进行统计,最后利用决策树对统计信息实现模式分类,能够通过对以往类似的数据请求进行综合性分析,有利于对于此次数据请求的判定精度的提高。
附图说明
图1为本发明的基于P2P动态云的恶意软件检测系统的架构图;
图2为本发明的基于动态云的恶意软件检测方法的流程图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,给出了详细的实施方式和具体的操作过程,下面将结合附图对本发明作进一步的详细描述:
参见图1和图2,一种基于P2P动态云的恶意软件检测系统,包括单台固态云服务器、若干动态云服务器和若干分布式终端。分布式终端可以是计算机、手机或平板等。若干动态云服务器之间构成P2P网络,单台固态云服务器和若干动态云服务器之间构成C/S网络,其中,固态云服务器作为服务器端,动态云服务器作为客户端,若干动态云服务器和分布式终端构成C/S网络,其中,动态云服务器作为服务器端,分布式终端作为客户端;所述分布式终端用于网络中软件行为的异常监测,获取异常行为特征,并上传给动态云服务器;所述动态云服务器用于对分布式终端上传的异常行为特征进行分析,并将分析结果反馈给分布式终端或上传给固态云服务器;所述固态云服务器用于对动态云服务器上传的异常行为特征进行进一步分析,并将分析结果通过动态云服务器反馈给分布式终端。
本系统将传统云分为两类:固态云和P2P动态云。所述固态云服务器为传统的云服务器,具有快速分析引擎和庞大的病毒特征库。固态云完成传统云服务器功能。P2P动态云采用分布式结构,可以配置在诸如网关、ISP服务器等地方,是固态云和分布式终端的纽带,负责对客户端的请求进行筛选,需求快速解决方案,起到缓解固态云服务器工作负荷,提高检测精度和响应速度的目的。
所述动态云服务器内设有动态云信息处理模块,所述动态云信息处理模块包括聚类模块、统计模块和决策模块,所述聚类模块用于接收分布式终端上传的异常行为特征,通过P2P网络查找出之前有上传类似异常行为特征的记录,然后对相关信息进行收集,并将收集到的相关信息发送给统计模块;所述统计模块用于对收集到的相关信息进行分类统计,并将统计信息发送给决策模块;所述决策模块用于利用决策树对统计信息实现模式分类,将分析结果反馈给分布式终端或上传给固态云服务器。
传统的云服务器端拥有多个快速分析引擎、庞大的病毒特征库以及行为分析等多个分析技术,为减小服务器负荷,同时提高响应客户端请求速度与快速分析可疑文件的能力,本发明将行为特性分析配置在P2P动态云端,形成动态云信息处理模型,其采用聚类算法搜索具有相似性的客户端请求,采用分类统计的方式对搜索出的数据信息进行统计,最后利用决策树实现对于异常行为特性的快速模式分类。
分布式终端可以采用现有的恶意软件异常行为检测软件进行检测,将检测的结果发送给动态云服务器。分布式终端也可以采用基于接触跟踪的恶意软件的传播检测方法检测恶意软件的传播行为,该基于接触跟踪的恶意软件的传播检测方法可以是一种Email蠕虫检测方法。
一种基于P2P动态云的恶意软件检测方法,包括如下步骤:
1)在可控网络环境下,建立多个节点数为|S|的小型局域网,S表示该局域网的节点集,设立网关。网络中所有计算机通过集线器连接到防火墙,同时每台计算机安装Wireshark软件,选择其中部分计算机运行恶意代码,利用Wireshark截取数据包以了解恶意代码的行为特征。申请人已利用此方法对StormWorm进行了分析。将一些共通的特性进行总结有利于检测模块实现多态行为特征提取,同时可以对未知的恶意软件传播进行预测。
2)构建由一台固态云和若干动态云构成的云服务器,固态云服务器和动态云服务器之间为C/S架构,动态云服务器之间采用P2P架构;每台动态云服务器配置为一个节点数为|S|的小型局域网的网关,条件允许下云服务器数目越多越好。
3)通过大量节点对网络中软件行为进行异常监测,获取网络中恶意软件的异常行为特征,上传给动态云服务器。
在分布式节点上建立分布式检测模型,分布式检测模型实现对于单个节点的异常行为特征的检测,检测结果作为P2P动态云模型的输入参数,P2P动态云模型作为分布式检测模型和固态云模型的连接纽带。异常行为特征包含很多,如短时间内向多个IP地址发送同样的数据包、自动在网页上下载文件、修改文件类型等,这些异常行为特征和正常行为特征有相似之处,通过分布式检测模型的预判断后,将可疑的行为特征上报动态云,进行二次诊断。
4)将初步判断为感染节点的异常行为特征上传网关(即动态云服务器),运行聚类-统计-决策机制实现对异常行为特征的行为分析,将分析结果反馈分布式终端或上传固态云服务器;
动态云服务器采用一种聚类-统计-决策的方法对上传的异常行为特征进行行为分析,其步骤为:
1)当动态云收到客户端请求的时候,聚类模块利用P2P网络搜索具有相似性的客户端请求,然后对搜索出的相关信息(如上传类似请求的客户IP,上传的可疑文件类型,上传的时间等信息)进行收集,并将收集到的相关信息送到统计模块;
2)统计模块采用分类统计的方式对搜索出的数据信息进行统计,如客户端IP地址统计,客户端请求上传时间统计,上传可疑文件类型统计,恶意软件感染概率统计等,得到各个统计值,如Rvi代表发送的此类请求最终被确认为恶意软件异常行为特征的比率,Rip代表发送此类请求的客户端IP地址的安全等级平均值(如该IP地址发送请求频率高,则相应安全等级低),Rtime为与此次请求的上传时间段相同的客户端请求所占比率,Rtype为与此次上传可疑文件类型相同的文件占收集到的类似可疑文件类型的比率等;并将各个统计值送到决策模块。
3)决策模块将统计信息作为专家决策的信息元素,进行概率计算,得到感染概率值,将感染概率值与设定阈值进行比较。当感染概率值高于设定阈值的时候,则直接将处理信息反馈给客户端;当感染概率值低于设定阈值的时候,则将信息发送给固态云服务器进行进一步判断;对一些很明确的误判信息直接丢弃;同时每次处理的信息都会记录在当前动态云服务器数据库中,供下次聚类搜索使用。感染概率值为各个统计值与其权值乘积的总和,各权值的总和为1。各个统计值的权值存储在动态云服务器中,它可以根据统计模块数据自动调整,提高检测精度,如最近恶意软件爆发方式以邮件附件传播方式居多,则代表文件类型统计的权值c和代表恶意软件传播时间的权值d会提高;如最近恶意软件传播方式以扫描IP地址方式居多,则代表IP地址统计的权值b会提高。阈值为动态云管理人员独立设置,例如该动态云所管理的区域为恶意软件感染高发区域,则可以降低设定阈值,以提高系统的安全系数,反之则可以提高设定阈值。
本实施例的感染概率值的计算公式可以表示为:
F t = a * R vi + b * R ip + c * R time . . . + d R type a + b + c . . . + d = 1 , Ft为计算出的感染概率值,a,b,c…d分别为各个统计值的权值;Rvi、Rip、Rtime、…、Rtype为步骤2)得到的各个统计值。
5)固态云服务器通过运行快速分析引擎和病毒库比对机制,实现对上传异常行为特征的二次分析,并将分析结果通过动态云服务器反馈给终端。固态云模型负责对于动态云上传的信息进行处理,固态云服务器通常包含了强大的数据库,同时包含了快速分析引擎,能够上传到数据进行快速比对,同时迅速发布系统解决方案。
本发明基于动态云和固态云对于客户端上传信息的二次处理,能够有效提高检测的精度。同时减小固态云服务器的工作负荷,使固态云服务器能更有效地对有效信息数据进行处理,提高工作效率。
以上所述仅为本发明的优选实施例,并不用于限制本发明,显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (6)

1.一种基于P2P动态云的恶意软件检测系统,其特征在于:包括一固态云服务器、若干动态云服务器和若干分布式终端,若干动态云服务器之间构成P2P网络,单台固态云服务器和若干动态云服务器之间构成C/S网络,其中,固态云服务器作为服务器端,动态云服务器作为客户端,若干动态云服务器和分布式终端构成C/S网络,其中,动态云服务器作为服务器端,分布式终端作为客户端;所述分布式终端用于网络中软件行为的异常监测,获取异常行为特征,并上传给动态云服务器;所述动态云服务器用于对分布式终端上传的异常行为特征进行分析,并将分析结果反馈给分布式终端或上传给固态云服务器;所述固态云服务器用于对动态云服务器上传的异常行为特征进行进一步分析,并将分析结果通过动态云服务器反馈给分布式终端。
2.根据权利要求1所述的基于P2P动态云的恶意软件检测系统,其特征在于:所述固态云服务器为传统的云服务器,具有快速分析引擎和庞大的病毒特征库。
3.根据权利要求1所述的基于P2P动态云的恶意软件检测系统,其特征在于:所述动态云服务器配置在网关或ISP服务器,是固态云服务器和分布式终端的纽带。
4.根据权利要求1或3所述的基于P2P动态云的恶意软件检测系统,其特征在于:所述动态云服务器内设有动态云信息处理模块,所述动态云信息处理模块包括聚类模块、统计模块和决策模块,所述聚类模块用于接收分布式终端上传的异常行为特征,通过P2P网络查找出之前有上传类似异常行为特征的记录,然后对相关信息进行收集,并将收集到的相关信息发送给统计模块;所述统计模块用于对收集到的相关信息进行分类统计,并将统计信息发送给决策模块;所述决策模块用于利用决策树对统计信息实现模式分类,将分析结果反馈给分布式终端或上传给固态云服务器。
5.一种基于P2P动态云的恶意软件检测方法,其特征在于,包括如下步骤:
1)在可控网络环境下,建立多个节点数为|S|的小型局域网,S表示该局域网的节点集;
2)构建固态云服务器,并在网关或者ISP服务器配置动态云服务器,固态云服务器和动态云服务器之间为C/S架构,动态云服务器之间采用P2P架构;
3)通过大量节点对网络中软件行为进行异常监测,获取网络中恶意软件的异常行为特征,上传给动态云服务器;
4)动态云服务器对上传的异常行为特征进行行为分析,如果P2P动态云服务器能够判定此异常行为为恶意软件所致,则直接将分析结果反馈给分布式终端;如果P2P动态云服务器不能够判断此异常行为是否为恶意软件所致,则将此异常行为特征上传给固态云服务器做二次分析;
5)固态云服务器通过运行快速分析引擎和病毒特征库比对机制,实现对上传的异常行为特征的二次分析,并将分析结果通过动态云服务器反馈给分布式终端。
6.根据权利要求5所述的基于P2P动态云的恶意软件检测方法,其特征在于:动态云服务器采用一种聚类-统计-决策的方法对上传的异常行为特征进行行为分析,其步骤为:
1)当动态云收到客户端请求的时候,聚类模块利用P2P网络搜索具有相似性的客户端请求,然后对搜索出的数据信息进行收集,并将收集到的数据信息送到统计模块;
2)统计模块采用分类统计的方式对搜索出的数据信息进行统计,并将统计信息送到决策模块;
3)决策模块将统计信息作为专家决策的信息元素,进行概率计算,得到感染概率值,将感染概率值与设定阈值进行比较,当感染概率值高于设定阈值的时候,则直接将处理信息反馈给客户端;当感染概率值低于设定阈值的时候,则将信息发送给固态云服务器进行进一步判断。
CN201510730476.5A 2015-11-02 2015-11-02 基于p2p动态云的恶意软件检测系统及方法 Active CN105429956B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510730476.5A CN105429956B (zh) 2015-11-02 2015-11-02 基于p2p动态云的恶意软件检测系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510730476.5A CN105429956B (zh) 2015-11-02 2015-11-02 基于p2p动态云的恶意软件检测系统及方法

Publications (2)

Publication Number Publication Date
CN105429956A true CN105429956A (zh) 2016-03-23
CN105429956B CN105429956B (zh) 2018-09-25

Family

ID=55507898

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510730476.5A Active CN105429956B (zh) 2015-11-02 2015-11-02 基于p2p动态云的恶意软件检测系统及方法

Country Status (1)

Country Link
CN (1) CN105429956B (zh)

Cited By (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106648927A (zh) * 2016-11-26 2017-05-10 上海亿账通互联网科技有限公司 异常信息收集方法及服务器
CN106911675A (zh) * 2017-02-09 2017-06-30 中国移动通信集团设计院有限公司 一种手机恶意软件预警方法和装置
CN108038378A (zh) * 2017-12-28 2018-05-15 厦门服云信息科技有限公司 云端检测函数被恶意修改的方法、终端设备及存储介质
CN108234469A (zh) * 2017-12-28 2018-06-29 江苏通付盾信息安全技术有限公司 移动终端应用安全防护方法、装置及系统
CN109478220A (zh) * 2016-07-26 2019-03-15 微软技术许可有限责任公司 对云驱动器文件夹上勒索软件攻击的补救
CN109815702A (zh) * 2018-12-29 2019-05-28 360企业安全技术(珠海)有限公司 软件行为的安全检测方法、装置及设备
CN110011918A (zh) * 2018-01-04 2019-07-12 中国科学院声学研究所 一种路由器协作的网址安全性检测方法及系统
US10581880B2 (en) 2016-09-19 2020-03-03 Group-Ib Tds Ltd. System and method for generating rules for attack detection feedback system
CN110995848A (zh) * 2019-12-10 2020-04-10 北京海益同展信息科技有限公司 一种服务治理方法、装置、系统、电子设备及存储介质
US10721271B2 (en) 2016-12-29 2020-07-21 Trust Ltd. System and method for detecting phishing web pages
US10721251B2 (en) 2016-08-03 2020-07-21 Group Ib, Ltd Method and system for detecting remote access during activity on the pages of a web resource
US10762352B2 (en) 2018-01-17 2020-09-01 Group Ib, Ltd Method and system for the automatic identification of fuzzy copies of video content
US10778719B2 (en) 2016-12-29 2020-09-15 Trust Ltd. System and method for gathering information to detect phishing activity
US10958684B2 (en) 2018-01-17 2021-03-23 Group Ib, Ltd Method and computer device for identifying malicious web resources
US11005779B2 (en) 2018-02-13 2021-05-11 Trust Ltd. Method of and server for detecting associated web resources
US11122061B2 (en) 2018-01-17 2021-09-14 Group IB TDS, Ltd Method and server for determining malicious files in network traffic
US11153351B2 (en) 2018-12-17 2021-10-19 Trust Ltd. Method and computing device for identifying suspicious users in message exchange systems
US11151581B2 (en) 2020-03-04 2021-10-19 Group-Ib Global Private Limited System and method for brand protection based on search results
US11250129B2 (en) 2019-12-05 2022-02-15 Group IB TDS, Ltd Method and system for determining affiliation of software to software families
US11356470B2 (en) 2019-12-19 2022-06-07 Group IB TDS, Ltd Method and system for determining network vulnerabilities
US11431749B2 (en) 2018-12-28 2022-08-30 Trust Ltd. Method and computing device for generating indication of malicious web resources
US11451580B2 (en) 2018-01-17 2022-09-20 Trust Ltd. Method and system of decentralized malware identification
US11503044B2 (en) 2018-01-17 2022-11-15 Group IB TDS, Ltd Method computing device for detecting malicious domain names in network traffic
US11526608B2 (en) 2019-12-05 2022-12-13 Group IB TDS, Ltd Method and system for determining affiliation of software to software families
US11755700B2 (en) 2017-11-21 2023-09-12 Group Ib, Ltd Method for classifying user action sequence
US11847223B2 (en) 2020-08-06 2023-12-19 Group IB TDS, Ltd Method and system for generating a list of indicators of compromise
CN117278290A (zh) * 2023-10-07 2023-12-22 广东励通信息技术有限公司 一种互联网下的分布式数据检测系统及方法
US11934498B2 (en) 2019-02-27 2024-03-19 Group Ib, Ltd Method and system of user identification
US11947572B2 (en) 2021-03-29 2024-04-02 Group IB TDS, Ltd Method and system for clustering executable files
US11985147B2 (en) 2021-06-01 2024-05-14 Trust Ltd. System and method for detecting a cyberattack
US12088606B2 (en) 2021-06-10 2024-09-10 F.A.C.C.T. Network Security Llc System and method for detection of malicious network resources

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102982284A (zh) * 2012-11-30 2013-03-20 北京奇虎科技有限公司 用于恶意程序查杀的扫描设备、云端管理设备及方法和系统
CN103368904A (zh) * 2012-03-27 2013-10-23 百度在线网络技术(北京)有限公司 移动终端、可疑行为检测及判定系统和方法
CN103428026A (zh) * 2012-05-14 2013-12-04 国际商业机器公司 用于共享动态云中的问题确定和诊断的方法和系统
US9152789B2 (en) * 2008-05-28 2015-10-06 Zscaler, Inc. Systems and methods for dynamic cloud-based malware behavior analysis

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9152789B2 (en) * 2008-05-28 2015-10-06 Zscaler, Inc. Systems and methods for dynamic cloud-based malware behavior analysis
CN103368904A (zh) * 2012-03-27 2013-10-23 百度在线网络技术(北京)有限公司 移动终端、可疑行为检测及判定系统和方法
CN103428026A (zh) * 2012-05-14 2013-12-04 国际商业机器公司 用于共享动态云中的问题确定和诊断的方法和系统
CN102982284A (zh) * 2012-11-30 2013-03-20 北京奇虎科技有限公司 用于恶意程序查杀的扫描设备、云端管理设备及方法和系统

Cited By (38)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109478220A (zh) * 2016-07-26 2019-03-15 微软技术许可有限责任公司 对云驱动器文件夹上勒索软件攻击的补救
CN109478220B (zh) * 2016-07-26 2022-03-29 微软技术许可有限责任公司 对云驱动器文件夹上勒索软件攻击的补救
US10721251B2 (en) 2016-08-03 2020-07-21 Group Ib, Ltd Method and system for detecting remote access during activity on the pages of a web resource
US10581880B2 (en) 2016-09-19 2020-03-03 Group-Ib Tds Ltd. System and method for generating rules for attack detection feedback system
CN106648927A (zh) * 2016-11-26 2017-05-10 上海亿账通互联网科技有限公司 异常信息收集方法及服务器
CN106648927B (zh) * 2016-11-26 2018-02-27 上海壹账通金融科技有限公司 异常信息收集方法及服务器
US10778719B2 (en) 2016-12-29 2020-09-15 Trust Ltd. System and method for gathering information to detect phishing activity
US10721271B2 (en) 2016-12-29 2020-07-21 Trust Ltd. System and method for detecting phishing web pages
CN106911675B (zh) * 2017-02-09 2019-02-26 中国移动通信集团设计院有限公司 一种手机恶意软件预警方法和装置
CN106911675A (zh) * 2017-02-09 2017-06-30 中国移动通信集团设计院有限公司 一种手机恶意软件预警方法和装置
US11755700B2 (en) 2017-11-21 2023-09-12 Group Ib, Ltd Method for classifying user action sequence
CN108234469A (zh) * 2017-12-28 2018-06-29 江苏通付盾信息安全技术有限公司 移动终端应用安全防护方法、装置及系统
CN108038378A (zh) * 2017-12-28 2018-05-15 厦门服云信息科技有限公司 云端检测函数被恶意修改的方法、终端设备及存储介质
CN110011918A (zh) * 2018-01-04 2019-07-12 中国科学院声学研究所 一种路由器协作的网址安全性检测方法及系统
US11475670B2 (en) 2018-01-17 2022-10-18 Group Ib, Ltd Method of creating a template of original video content
US11451580B2 (en) 2018-01-17 2022-09-20 Trust Ltd. Method and system of decentralized malware identification
US11122061B2 (en) 2018-01-17 2021-09-14 Group IB TDS, Ltd Method and server for determining malicious files in network traffic
US10958684B2 (en) 2018-01-17 2021-03-23 Group Ib, Ltd Method and computer device for identifying malicious web resources
US10762352B2 (en) 2018-01-17 2020-09-01 Group Ib, Ltd Method and system for the automatic identification of fuzzy copies of video content
US11503044B2 (en) 2018-01-17 2022-11-15 Group IB TDS, Ltd Method computing device for detecting malicious domain names in network traffic
US11005779B2 (en) 2018-02-13 2021-05-11 Trust Ltd. Method of and server for detecting associated web resources
US11153351B2 (en) 2018-12-17 2021-10-19 Trust Ltd. Method and computing device for identifying suspicious users in message exchange systems
US11431749B2 (en) 2018-12-28 2022-08-30 Trust Ltd. Method and computing device for generating indication of malicious web resources
CN109815702A (zh) * 2018-12-29 2019-05-28 360企业安全技术(珠海)有限公司 软件行为的安全检测方法、装置及设备
CN109815702B (zh) * 2018-12-29 2022-07-05 奇安信安全技术(珠海)有限公司 软件行为的安全检测方法、装置及设备
US11934498B2 (en) 2019-02-27 2024-03-19 Group Ib, Ltd Method and system of user identification
US11250129B2 (en) 2019-12-05 2022-02-15 Group IB TDS, Ltd Method and system for determining affiliation of software to software families
US11526608B2 (en) 2019-12-05 2022-12-13 Group IB TDS, Ltd Method and system for determining affiliation of software to software families
CN110995848A (zh) * 2019-12-10 2020-04-10 北京海益同展信息科技有限公司 一种服务治理方法、装置、系统、电子设备及存储介质
CN110995848B (zh) * 2019-12-10 2022-09-06 京东科技信息技术有限公司 一种服务治理方法、装置、系统、电子设备及存储介质
US11356470B2 (en) 2019-12-19 2022-06-07 Group IB TDS, Ltd Method and system for determining network vulnerabilities
US11151581B2 (en) 2020-03-04 2021-10-19 Group-Ib Global Private Limited System and method for brand protection based on search results
US11847223B2 (en) 2020-08-06 2023-12-19 Group IB TDS, Ltd Method and system for generating a list of indicators of compromise
US11947572B2 (en) 2021-03-29 2024-04-02 Group IB TDS, Ltd Method and system for clustering executable files
US11985147B2 (en) 2021-06-01 2024-05-14 Trust Ltd. System and method for detecting a cyberattack
US12088606B2 (en) 2021-06-10 2024-09-10 F.A.C.C.T. Network Security Llc System and method for detection of malicious network resources
CN117278290A (zh) * 2023-10-07 2023-12-22 广东励通信息技术有限公司 一种互联网下的分布式数据检测系统及方法
CN117278290B (zh) * 2023-10-07 2024-03-08 广东励通信息技术有限公司 一种互联网下的分布式数据检测系统及方法

Also Published As

Publication number Publication date
CN105429956B (zh) 2018-09-25

Similar Documents

Publication Publication Date Title
CN105429956A (zh) 基于p2p动态云的恶意软件检测系统及方法
US10965703B2 (en) Threat mitigation system and method
Bilge et al. Disclosure: detecting botnet command and control servers through large-scale netflow analysis
US8762298B1 (en) Machine learning based botnet detection using real-time connectivity graph based traffic features
Andreoni Lopez et al. Toward a monitoring and threat detection system based on stream processing as a virtual network function for big data
Zhang et al. BotDigger: Detecting DGA Bots in a Single Network.
US11297092B2 (en) Threat mitigation system and method
CN117395076B (zh) 基于大数据的网络感知异常检测系统与方法
Kozik et al. Cost‐Sensitive Distributed Machine Learning for NetFlow‐Based Botnet Activity Detection
Ahmed et al. An intelligent and time-efficient DDoS identification framework for real-time enterprise networks: SAD-F: Spark based anomaly detection framework
CN111159702B (zh) 一种进程名单生成方法和装置
Catalin et al. An efficient method in pre-processing phase of mining suspicious web crawlers
CN116760636A (zh) 一种未知威胁的主动防御系统和方法
Lei et al. Optimizing traffic classification using hybrid feature selection
Chen et al. A wireless multi-step attack pattern recognition method for WLAN
Zhengbing et al. An intelligent lightweight intrusion detection system with forensics technique
Roy et al. Forensics-as-a-service for mobile cloud environment
Alosaimi et al. Computer Vision‐Based Intrusion Detection System for Internet of Things
US20220179969A1 (en) Threat mitigation system and method
Elmisery et al. Modular Platform for Detecting and Classifying Phishing Websites Using Cyber Threat Intelligence
Sangkatsanee et al. Real-time intrusion detection and classification
Ahmed A Method for Packet Correlation to Improve Snort Rules
Maguerra et al. A Survey on the Spam Issue in Twitter.

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20200122

Address after: 401120 mercury technology development center, gaoxinyuan, Beibu New District, Chongqing (No.7, floor 6, North Wing office building, Mercury Technology Building)

Patentee after: Chongqing Balu Technology Co., Ltd

Address before: 400044 Shapingba street, Shapingba District, Chongqing, No. 174

Patentee before: Chongqing University

TR01 Transfer of patent right