CN106603522A - 一种基于旁路监听的云数据病毒探测方法及系统 - Google Patents
一种基于旁路监听的云数据病毒探测方法及系统 Download PDFInfo
- Publication number
- CN106603522A CN106603522A CN201611129357.5A CN201611129357A CN106603522A CN 106603522 A CN106603522 A CN 106603522A CN 201611129357 A CN201611129357 A CN 201611129357A CN 106603522 A CN106603522 A CN 106603522A
- Authority
- CN
- China
- Prior art keywords
- data
- message
- picture
- disk
- migrating data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明公开了一种基于旁路监听的云数据病毒探测方法及系统,包括:从物理网络设备获取迁移数据,判别迁移数据并取得整体镜像,依据整体镜像分别提取其中的进程镜像、磁盘文件;基于病毒库解析、扫描并比对所述进程镜像、磁盘文件,分析检测出病毒文件。解决现有技术中采用直接植入方式进行检测,不通过网络进行连接,潜在的破坏了云数据中心的安全性及稳定性的问题。
Description
技术领域
本发明涉及计算机软件检测技术领域,更具体地涉及一种基于旁路监听的云数据病毒探测方法及系统。
背景技术
云数据中心在数据爆炸的今天得到了广泛的应用。作为虚拟化系统,其病毒探测方法仍然局限于传统的无代理及轻代理模式。但对作为互联网基石的云数据中心而言,其业务稳定性是非常重要的。现有技术中,无代理及轻代理模式的应用,对云数据中心的数据安全均需要在现有系统中接入模块,采用直接植入方式进行检测,并不需要通过网络进行连接,这潜在的破坏了现有系统的稳定性。
发明内容
为了解决上述技术问题,提供了根据本发明的一种基于旁路监听的云数据病毒探测方法及系统。
根据本发明的第一方面,一种基于旁路监听的云数据病毒探测方法。该系统包括:从物理网络设备获取迁移数据,判别迁移数据并取得整体镜像,依据整体镜像分别提取其中的进程镜像、磁盘文件;基于病毒库解析、扫描并比对所述进程镜像、磁盘文件,分析检测出病毒文件。
优选的,所述方法包括:从所述迁移数据中获取原始报文,基于原始数据报文进行TCP报文重组成为原始TCP数据流,判定是否需要进行解密,若需要解密,则使用用户配置的解密用信息进行解密。
优选的,所述判别迁移数据类型并取得整体镜像,包括:解析所述迁移数据消息类型,根据消息类型解析相应字段,并提取数据字段。
优选的,所述依据整体镜像分别提取其中的进程镜像、磁盘文件,包括:基于所述迁移数据提取内存整体镜像,找到目标镜像中系统内核的进程列表入口,解析出进程镜像页表,导出内存进程镜像。
优选的,所述依据整体镜像分别提取其中的进程镜像、磁盘文件,包括:基于所述迁移数据提取磁盘整体镜像,解析磁盘分区表,依据探测到的分区格式查找文件分配表,并基于文件分配表导出磁盘文件。
优选的,所述方法还包括:接收用户配置信息,并对所述病毒文件进行告警提示,所述用户配置信息包括解密用信息、告警用信息。
根据本发明的第二方面,提供一种基于旁路监听的云数据病毒探测系统,包括:数据解析模块,用于从物理网络设备获取迁移数据,判别迁移数据类型并取得整体镜像,依据整体镜像分别提取其中的进程镜像、磁盘文件;分析模块,用于基于病毒库样本解析、扫描并比对所述进程镜像、磁盘文件,分析检测出病毒文件。
优选的,所述系统还包括:解密模块,用于从所述迁移数据中获取原始报文,基于原始数据报文进行TCP报文重组成为原始TCP数据流,判定是否需要进行解密,若需要解密,则使用用户配置的解密用信息进行解密。
优选的,所述数据解析模块包括:解析子模块,用于解析所述迁移数据消息类型,根据消息类型解析相应字段,并提取数据字段。
优选的,所述数据解析模块包括:第一提取子模块,用于基于所述迁移数据提取内存整体镜像,找到目标镜像中系统内核的进程列表入口,解析出进程镜像页表,导出内存进程镜像。
优选的,所述数据解析模块包括:第二提取子模块,用于基于所述迁移数据提取磁盘整体镜像,解析磁盘分区表,依据探测到的分区格式查找文件分配表,并基于文件分配表导出磁盘文件。
优选的,所述系统还包括:提示模块,用于接收用户配置信息,并对所述病毒文件进行告警提示,所述用户配置信息包括解密用信息、告警用信息。
通过使用本发明的方法及系统,利用虚拟化云数据中心中的虚拟机迁移数据流,在没有影响现有数据中心业务的情况下,通过分光等操作,获取数据流量,探测分析云数据中心中的文件,通过旁路在数据中心环境下进行病毒检测并发送告警,解决了平衡云数据中心的安全性及稳定性的问题。
附图说明
为了更清楚地说明本发明的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为根据本发明实施例的基于旁路监听的云数据病毒探测方法的流程图;
图2为根据本发明实施例的基于旁路监听的云数据病毒探测系统的框图。
具体实施方式
下面参照附图对本发明的优选实施例进行详细说明,在描述过程中省略了对于本发明来说是不必要的细节和功能,以防止对本发明的理解造成混淆。虽然附图中显示了示例性实施例,然而应当理解,可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本发明的范围完整的传达给本领域的技术人员。
云数据中心为了平衡资源占用,会不定期的触发虚拟机迁移,将虚拟机从一台实体设备迁移到另一台实体设备。在迁移过程中,一定会迁移的内容包括:当前虚拟机的内存镜像;可能会迁移的内容包括:当前虚拟机的磁盘。本发明实施例通过旁路监听其迁移数据,探测分析出迁移数据中的病毒文件。
图1为根据本发明实施例的基于旁路监听的云数据病毒探测方法的流程图。如图1所示,方法包括如下步骤:
S110,从物理网络设备获取迁移数据中原始的数据报文。
根据数据报文的协议类型进行分类,目前所见的全部迁移均基于TCP,因此舍弃全部非TCP的协议。
S120,基于原始的数据报文进行TCP报文重组为原始TCP数据流。
基于原始的数据报文,对TCP数据报文进行重组,使之变成原始发送方发送的顺序,重组为原始TCP数据流。
S130,判定迁移数据是否需要解密,若需要解密,使用用户配置信息进行解密,若不需要解密,则执行步骤S140。
从迁移数据中获取原始数据报文,基于原始数据报文进行TCP报文重组成为原始TCP数据流,首先判定是否需要解密,若协议为加密协议,则通过用户配置的解密用信息解开协议,若不需要解密,则直接对迁移数据进行判别。
S140,判别迁移数据类型取得消息内容。
对迁移数据类型进行判定,解析迁移数据消息类型,根据消息类型解析相应字段,并提取数据字段的消息内容,包括虚拟机的名称、迁移过程信息等,如正在迁移的虚拟机名称。消息类型包括是否为迁移请求,及是否包括内存镜像、硬盘镜像。
S150,依据迁移数据解析出迁移虚拟机的磁盘、内存镜像,并对其磁盘镜像、内存镜像进行分析,提取进程镜像、磁盘文件。
如果迁移数据是内存镜像,则基于迁移数据的内存数据流中提取内存整体镜像,内存镜像是指内存的完整dump,同一个内容可能存在不同区域,将各个区域完整提取,如同计算机中内存存储的信息一样。
然后,判别提取后的内存镜像的操作系统类型,找到目标镜像中系统内核的进程列表入口,解析出进程镜像(相同进程整理)页表,导出内存进程镜像。该导出方法现有技术可以实现,具有大量开源实现如Volatility。
从迁移数据中提取内存镜像,其输入为经过整理的报文,输出是正在运行的进程的分别的镜像。
如果迁移数据是磁盘镜像,则基于迁移数据的磁盘镜像数据流中提取磁盘整体镜像,磁盘镜像是指磁盘的完整dump,如同计算机中磁盘存储的信息一样。从迁移数据协议中获取传输的虚拟机磁盘镜像的类型,如vmware的磁盘镜像vmdk;再解析该磁盘镜像格式,从中提取出磁盘的原始二进制数据。
然后,依据磁盘的原始二进制数据,解析磁盘分区表,依据探测到的分区格式查找文件分配表,并基于文件分配表导出磁盘文件,其中包括磁盘文件路径及磁盘文件。该导出方法现有大量开源实现,如linux系统内核即可完成该项工作。
从迁移数据中提取磁盘镜像,其输入为经过整理的报文,输出是磁盘文件路径及磁盘文件。
S160,基于病毒库样本解析、扫描并比对进程镜像、磁盘文件,分析检测出病毒文件。
解析进程镜像、磁盘文件,若为磁盘镜像,则对磁盘镜像内的全部文件进行反病毒分析,和病毒库样本进行比对,若特征匹配则为病毒文件;若为内存镜像,则对镜像中被冻结的进程进行反病毒分析,和病毒库样本进行比对,若进程中包含有病毒特征,则该进程对应的文件为病毒文件。
在一些实施例中,进一步包括以下步骤:
S170,对病毒文件进行告警提示。
告警提示可以在用户配置信息中进行设置,用户配置可以是用户侧自行定义,其中可以包括解密用信息,如:libvirtd的数据迁移使用HTTPS,证书在获取HTTPS服务器证书密钥后可以被解密;也可以包括告警用信息,如发送告警的设备类型设置等。
图2为根据本发明实施例的基于旁路监听的云数据病毒探测系统的框图,如图2所示,系统包括:数据解析模块210、分析模块220、解密模块230、提示模块240。
数据解析模块210,用于从物理网络设备获取迁移数据,判别迁移数据类型并取得整体镜像,依据整体镜像分别提取其中的进程镜像、磁盘文件。
进一步的,数据解析模块210包括:
解析子模块212,用于解析迁移数据消息类型,根据消息类型解析相应字段,并提取数据字段。
进一步的,数据解析模块210包括:
第一提取子模块214,用于基于迁移数据提取内存整体镜像,找到目标镜像中系统内核的进程列表入口,解析出进程镜像页表,导出内存进程镜像。
进一步的,数据解析模块210包括:
第二提取子模块216,用于基于迁移数据提取磁盘整体镜像,解析磁盘分区表,依据探测到的分区格式查找文件分配表,并基于文件分配表导出磁盘文件。
分析模块220,用于基于病毒库样本解析、扫描并比对进程镜像、磁盘文件,分析检测出病毒文件。
在一些实施例中,进一步包括:
解密模块230,用于从迁移数据中获取原始数据报文,基于原始数据报文进行TCP报文重组成为原始TCP数据流,判定是否需要解密,若需要解密,使用用户配置信息的解密用信息进行解密。
提示模块240,用于接收用户配置信息,并对病毒文件进行告警提示,用户配置信息包括解密用信息、告警用信息。
本发明描述的方法及系统,利用虚拟化云数据中心中的虚拟机迁移数据流,通过旁路在数据中心环境下进行病毒检测并发送告警,解决了平衡云数据中心的安全性及稳定性的问题。在没有影响现有数据中心业务的情况下,通过分光等操作,获取数据流量,探测分析云数据中心中的病毒文件。
至此已经结合优选实施例对本发明进行了描述。应该理解,本领域技术人员在不脱离本发明的精神和范围的情况下,可以进行各种其它的改变、替换和添加。因此,本发明的范围不局限于上述特定实施例,而应由所附权利要求所限定。
Claims (12)
1.一种基于旁路监听的云数据病毒探测方法,其特征在于,包括:
从物理网络设备获取迁移数据,判别迁移数据并取得整体镜像,依据整体镜像分别提取其中的进程镜像、磁盘文件;
基于病毒库解析、扫描并比对所述进程镜像、磁盘文件,分析检测出病毒文件。
2.根据权利要求1所述的方法,其特征在于,包括:
从所述迁移数据中获取原始报文,基于原始数据报文进行TCP报文重组成为原始TCP数据流,判定是否需要进行解密,若需要解密,则使用用户配置的解密用信息进行解密。
3.根据权利要求1所述的方法,其特征在于,所述判别迁移数据类型并取得整体镜像,包括:
解析所述迁移数据消息类型,根据消息类型解析相应字段,并提取数据字段。
4.根据权利要求1所述的方法,其特征在于,所述依据整体镜像分别提取其中的进程镜像、磁盘文件,包括:
基于所述迁移数据提取内存整体镜像,找到目标镜像中系统内核的进程列表入口,解析出进程镜像页表,导出内存进程镜像。
5.根据权利要求1所述的方法,其特征在于,所述依据整体镜像分别提取其中的进程镜像、磁盘文件,包括:
基于所述迁移数据提取磁盘整体镜像,解析磁盘分区表,依据探测到的分区格式查找文件分配表,并基于文件分配表导出磁盘文件。
6.根据权利要求1或2所述的方法,其特征在于,还包括:
接收用户配置信息,并对所述病毒文件进行告警提示,所述用户配置信息包括解密用信息、告警用信息。
7.一种基于旁路监听的云数据病毒探测系统,其特征在于,包括:
数据解析模块,用于从物理网络设备获取迁移数据,判别迁移数据类型并取得整体镜像,依据整体镜像分别提取其中的进程镜像、磁盘文件;
分析模块,用于基于病毒库样本解析、扫描并比对所述进程镜像、磁盘文件,分析检测出病毒文件。
8.根据权利要求7所述的系统,其特征在于,还包括:
解密模块,用于从所述迁移数据中获取原始报文,基于原始数据报文进行TCP报文重组成为原始TCP数据流,判定是否需要进行解密,若需要解密,则使用用户配置的解密用信息进行解密。
9.根据权利要求7所述的系统,其特征在于,所述数据解析模块包括:
解析子模块,用于解析所述迁移数据消息类型,根据消息类型解析相应字段,并提取数据字段。
10.根据权利要求7所述的系统,其特征在于,所述数据解析模块包括:
第一提取子模块,用于基于所述迁移数据提取内存整体镜像,找到目标镜像中系统内核的进程列表入口,解析出进程镜像页表,导出内存进程镜像。
11.根据权利要求7所述的系统,其特征在于,所述数据解析模块包括:
第二提取子模块,用于基于所述迁移数据提取磁盘整体镜像,解析磁盘分区表,依据探测到的分区格式查找文件分配表,并基于文件分配表导出磁盘文件。
12.根据权利要求7或8所述的系统,其特征在于,还包括:
提示模块,用于接收用户配置信息,并对所述病毒文件进行告警提示,所述用户配置信息包括解密用信息、告警用信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611129357.5A CN106603522A (zh) | 2016-12-09 | 2016-12-09 | 一种基于旁路监听的云数据病毒探测方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611129357.5A CN106603522A (zh) | 2016-12-09 | 2016-12-09 | 一种基于旁路监听的云数据病毒探测方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106603522A true CN106603522A (zh) | 2017-04-26 |
Family
ID=58597963
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611129357.5A Pending CN106603522A (zh) | 2016-12-09 | 2016-12-09 | 一种基于旁路监听的云数据病毒探测方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106603522A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107045610A (zh) * | 2017-05-08 | 2017-08-15 | 广东欧珀移动通信有限公司 | 数据迁移方法、终端设备及计算机可读存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101609419A (zh) * | 2009-06-29 | 2009-12-23 | 北京航空航天大学 | 虚拟机持续在线迁移的数据备份方法及装置 |
| US7802302B1 (en) * | 2006-03-10 | 2010-09-21 | Symantec Corporation | Single scan for a base machine and all associated virtual machines |
| CN103019804A (zh) * | 2012-12-28 | 2013-04-03 | 中国人民解放军国防科学技术大学 | OpenVZ虚拟化的VPS快速迁移方法 |
| CN105159760A (zh) * | 2014-05-27 | 2015-12-16 | 中国电信股份有限公司 | 云资源迁移方法和统一的跨平台云资源迁移能力开放接口 |
| CN105939340A (zh) * | 2016-01-22 | 2016-09-14 | 北京匡恩网络科技有限责任公司 | 一种发现隐藏的蠕虫病毒的方法及系统 |
-
2016
- 2016-12-09 CN CN201611129357.5A patent/CN106603522A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7802302B1 (en) * | 2006-03-10 | 2010-09-21 | Symantec Corporation | Single scan for a base machine and all associated virtual machines |
| CN101609419A (zh) * | 2009-06-29 | 2009-12-23 | 北京航空航天大学 | 虚拟机持续在线迁移的数据备份方法及装置 |
| CN103019804A (zh) * | 2012-12-28 | 2013-04-03 | 中国人民解放军国防科学技术大学 | OpenVZ虚拟化的VPS快速迁移方法 |
| CN105159760A (zh) * | 2014-05-27 | 2015-12-16 | 中国电信股份有限公司 | 云资源迁移方法和统一的跨平台云资源迁移能力开放接口 |
| CN105939340A (zh) * | 2016-01-22 | 2016-09-14 | 北京匡恩网络科技有限责任公司 | 一种发现隐藏的蠕虫病毒的方法及系统 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107045610A (zh) * | 2017-05-08 | 2017-08-15 | 广东欧珀移动通信有限公司 | 数据迁移方法、终端设备及计算机可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9537897B2 (en) | Method and apparatus for providing analysis service based on behavior in mobile network environment | |
| US9043917B2 (en) | Automatic signature generation for malicious PDF files | |
| Bayer et al. | Scalable, behavior-based malware clustering. | |
| US9294486B1 (en) | Malware detection and analysis | |
| TW201642135A (zh) | 文件檢測方法、裝置及系統 | |
| EP3407236B1 (en) | Identifying a file using metadata and determining a security classification of the file before completing receipt of the file | |
| US20170054745A1 (en) | Method and device for processing network threat | |
| US10757135B2 (en) | Bot characteristic detection method and apparatus | |
| US20080229419A1 (en) | Automated identification of firewall malware scanner deficiencies | |
| CN107547490B (zh) | 一种扫描器识别方法、装置及系统 | |
| US9497217B2 (en) | Endpoint traffic profiling for early detection of malware spread | |
| KR20160144995A (ko) | 취약 패스워드 검출 방법 및 장치 | |
| CN107294919A (zh) | 一种水平权限漏洞的检测方法及装置 | |
| RU2676247C1 (ru) | Способ и компьютерное устройство для кластеризации веб-ресурсов | |
| CN111447232A (zh) | 一种网络流量检测方法及装置 | |
| Liu et al. | An integrated architecture for IoT malware analysis and detection | |
| WO2016121348A1 (ja) | マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラムが格納された記録媒体 | |
| US20230306114A1 (en) | Method and system for automatically generating malware signature | |
| CN108351941B (zh) | 分析装置、分析方法、以及计算机可读存储介质 | |
| CN104137115A (zh) | 网络服务接口分析 | |
| CN113010268A (zh) | 恶意程序识别方法及装置、存储介质、电子设备 | |
| He et al. | On‐Device Detection of Repackaged Android Malware via Traffic Clustering | |
| Yang et al. | Detecting android malware with intensive feature engineering | |
| Gomez et al. | Unsupervised detection and clustering of malicious tls flows | |
| CN106603522A (zh) | 一种基于旁路监听的云数据病毒探测方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 100080 Beijing city Haidian District minzhuang Road No. 3, Tsinghua Science Park Building 1 Yuquan Huigu a Applicant after: Beijing ahtech network Safe Technology Ltd Address before: 100080 Zhongguancun Haidian District street, No. 14, layer, 1 1415-16 Applicant before: Beijing Antiy Electronic Installation Co., Ltd. |
|
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170426 |