CN106713293A - 一种云平台恶意行为检测系统及其方法 - Google Patents

一种云平台恶意行为检测系统及其方法 Download PDF

Info

Publication number
CN106713293A
CN106713293A CN201611149850.3A CN201611149850A CN106713293A CN 106713293 A CN106713293 A CN 106713293A CN 201611149850 A CN201611149850 A CN 201611149850A CN 106713293 A CN106713293 A CN 106713293A
Authority
CN
China
Prior art keywords
program
storehouse
network
malicious act
attack mode
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201611149850.3A
Other languages
English (en)
Inventor
罗蛟
保永武
叶猛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
HONGXU INFORMATION TECHNOLOGY Co Ltd WUHAN
Original Assignee
HONGXU INFORMATION TECHNOLOGY Co Ltd WUHAN
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by HONGXU INFORMATION TECHNOLOGY Co Ltd WUHAN filed Critical HONGXU INFORMATION TECHNOLOGY Co Ltd WUHAN
Priority to CN201611149850.3A priority Critical patent/CN106713293A/zh
Publication of CN106713293A publication Critical patent/CN106713293A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种云平台恶意行为检测系统及其方法,涉及恶意行为检测领域。本系统包括云端(10)和目标客户端(20);其中云端(10)包括第1行为检测器(11)、第1网络检测器(12)、扫描器(13)、模式筛选器(14)、第1恶意程序库(15)、第1可信程序库(16)和第1网络攻击模式库(17);其中目标客户端(20)包括第2行为检测器(21)、第2网络检测器(22)、行为探针(23)、网络探针(24)、第2恶意程序库(25)、第2可信程序库(26)和第2网络攻击模式库(27)。本发明具有:①高效;②准确性;③快速性;④可扩展性;⑤适应性广。

Description

一种云平台恶意行为检测系统及其方法
技术领域
本发明涉及恶意行为检测领域,尤其涉及一种云平台恶意行为检测系统及其方法,具有高效和可扩展性的优势。
背景技术
恶意行为是指计算机系统的硬件、软件及其系统中的数据受到恶意代码攻击而遭到破坏、更改和泄露的行为。随着互联网的飞速发展,在方便社会的同时,各种计算机恶意程序也不断出现。木马、蠕虫、服务器漏洞攻击、远程溢出和Web漏洞攻击等各种恶意网络攻击行为不断涌现,给用户造成了极大的威胁。如何对这些恶意行为进行检测是信息安全中的重大课题,有着很重要的意义。
传统的恶意行为检测技术基于恶意代码特征,即从恶意程序中提取恶意代码特征,形成恶意代码特征库的方式来识别恶意行为。这种方式实现较为简单,但有一定的局限性。首先,客户端系统的计算能力、存储能力都是有限的,这在一定程度上限制了恶意行为识别的能力;而且,由于恶意行为的复杂性和多样性,单一的检测系统或方法容易出现误报和漏报的情况;另外,恶意代码特征库的更新频率不能得到保障。
发明内容
本发明的目的就在于克服现有技术存在的缺点和不足,针对程序恶意行为和网络恶意行为,提供一种云平台恶意行为检测系统及其方法,实现对恶意行为的识别。
实现本发明目的技术方案是:
本发明通过对程序恶意行为和网络恶意行为进行详细的研究,通过以下方式实现对恶意行为的检测:
1、在云端通过多种扫描引擎构成的扫描器,对可疑程序进行精确扫描,判断是否具有恶意行为;并根据扫描结果,将程序信息摘要实时快速更新到第1恶意程序库和第1可信程序库;同时根据客户端的环境信息实时下发第2恶意程序库和第2可信程序库的更新到目标客户端,供目标客户端检测程序恶意行为时使用。
2、目标客户端通过行为探针提取程序信息摘要,通过客户端的第2行为检测器,结合客户端的第2恶意程序库和第2可信程序库,判断是否具有恶意行为;对于无法判断的可疑程序,则提交给云端的检测器进行进一步深入地处理。
3、对于网络恶意行为,目标客户端有第2网络攻击模式库和第2网络检测器,云端有第1网络攻击模式库和第1网络检测器;利用云端的计算能力可以在客户端对可疑流量无法识别的情况下提供可靠的识别。同时根据客户端的环境信息实时下发第2网络攻击模式库的更新到目标客户端,供目标客户端检测网络恶意行为时使用。
一、一种云平台恶意行为检测系统(简称系统)
本系统包括云端和目标客户端;其中云端包括第1行为检测器、第1网络检测器、扫描器、模式筛选器、第1恶意程序库、第1可信程序库和第1网络攻击模式库;其中目标客户端包括第2行为检测器、第2网络检测器、行为探针、网络探针、第2恶意程序库、第2可信程序库和第2网络攻击模式库;
其交互关系是:
第2行为检测器分别与行为探针、第2恶意程序库、第2可信程序库和第1行为检测器进行交互,实现在目标客户端上对程序恶意行为的提取、识别和响应;
第2网络检测器分别与网络探针、第2网络攻击模式库和第1网络检测器进行交互,实现在目标客户端上对网络恶意行为的提取、识别和响应;
第1行为检测器分别与第1恶意程序库、第1可信程序库、扫描器和第2行为检测器进行交互,实现在云端对恶意程序行为的提取、识别和响应;
第1网络检测器分别与第1网络攻击模式库和第2网络检测器进行交互,实现在云端上对恶意网络攻击行为的提取、识别和响应;
模式筛选器分别与第1恶意程序库、第1可信程序库、第1网络攻击模式库、第2恶意程序库、第2可信程序库和第2网络攻击模式库进行交互,实现对目标客户端的信息收集和对检测规则的下发。
二、一种云平台恶意行为检测方法(简称方法)
本方法的研究思路是在云端通过多种扫描引擎构成的扫描器,对可疑程序进行精确扫描,判断是否具有恶意行为;并根据扫描结果,将程序信息摘要实时快速更新到第1恶意程序库和第1可信程序库。同时根据客户端的环境信息实时下发第2恶意程序库和第2可信程序库的更新到目标客户端,供目标客户端检测程序恶意行为时使用。
对于网络恶意行为,对于网络恶意行为,目标客户端有第2网络攻击模式库和第2网络检测器,云端有第1网络攻击模式库和第1网络检测器;利用云端的计算能力可以在客户端对可疑流量无法识别的情况下提供可靠的识别;同时根据客户端的环境信息实时下发第2网络攻击模式库的更新到目标客户端,供目标客户端检测网络恶意行为时使用。
具体地说,本方法包括如下步骤:
①行为探针针对程序恶意行为,提取目标客户端上的程序信息摘要,发送给第2行为检测器,进行恶意行为检测;
②第2行为检测器通过行为探针提交的程序信息摘要,结合第2恶意程序库、第2可信程序库识别程序恶意行为;对于无法识别的可疑程序,则提交给云端的第1行为检测器进行检测;
③第2网络检测器通过网络探针提交的网络流量摘要,结合第2网络攻击模式库识别网络恶意行为;对于无法识别的可疑流量,则提交给云端的第1网络检测器进行检测;在云端的第1网络检测器通过第2网络检测器提交的网络流量摘要,结合第1网络攻击模式库识别网络恶意行为;
④第1行为检测器通过第2行为检测器提交的程序信息摘要,结合第1恶意程序库、第1可信程序库识别程序恶意行为;对于无法识别的可疑程序,则提交扫描器进行检测;对于识别的可疑程序和正常程序,则分别更新第1恶意程序库和第1可信程序库;
⑤扫描器接收第1行为检测器提交的程序信息摘要,通过第1、2……N扫描引擎、对可疑程序进行扫描,识别程序恶意行为;
⑥模式筛选器结合客户端的环境信息,对第1恶意程序库、可第1信程序库、第1网络攻击模式库的更新部分进行筛选,实时下发给目标客户端,以更新目标客户端的第1恶意程序库、第1可信程序库和第1网络攻击模式库。
本发明具有下列优点和积极效果:
①高效:相对于传统的恶意行为特征库的匹配,对程序信息摘要的匹配所需的计算量和系统开销要小得多;同时,依托云端的计算能力,可以在客户端无法识别的情况下,对可疑恶意程序行为和可疑恶意网络行为提供高效的识别。
②准确性:在云端通过多种扫描引擎构成的扫描器,对可疑程序进行精确扫描,判断是否具有恶意行为;其结果比单一的检测系统或方法更准确,可避免误报和漏报的发生。
③快速性:云端的模式筛选器,可以结合客户端的环境信息,对第1恶意程序库、第1可信程序库、第1网络攻击模式库的更新部分进行筛选,实时下发给目标客户端。
④可扩展性:在不对系统的结构进行修改的前提下,可以很方便地增加准确性更高或者使用最新技术的扫描引擎,以增加检测的准确性。
⑤适应性广:行为探针和网络探针可以部署在多种目标客户端上,包括但不限于PC机、智能终端、交换机(网络探针)、云平台的虚拟机、云平台的虚拟交换机(网络探针)等。
附图说明
图1是本系统的结构方框图;
其中:
10—云端;
11—第1行为检测器;
12—第1网络检测器;
13—扫描器,
131—第1扫描引擎,132—第2扫描引擎,……13N—第N扫描引擎;
14—模式筛选器;
15—第1恶意程序库;
16—第1可信程序库;
17—第1网络攻击模式库。
20—目标客户端;
21—第2行为检测器;
22—第2网络检测器;
23—行为探针;
24—网络探针;
25—第2恶意程序库;
26—第2可信程序库;
27—第2网络攻击模式库。
英译汉
1、MD5:Message Digest Algorithm,消息摘要算法,为计算机安全领域广泛使用的一种散列函数,用以提供消息的完整性保护。
2、SHA1:Secure Hash Algorithm,主要适用于数字签名标准(Digital SignatureStandard DSS)里面定义的数字签名算法(Digital Signature Algorithm DSA)。
3、HASH算法:一般翻译做“散列”,也有直接音译为“哈希”的,就是把任意长度的输入,通过散列算法,变换成固定长度的输出。
具体实施方式
下面结合附图和实施例详细说明:
一、系统
1、总体
如图1,本系统包括云端10和目标客户端20;其中云端10包括第1行为检测器11、第1网络检测器12、扫描器13、模式筛选器14、第1恶意程序库15、第1可信程序库16和第1网络攻击模式库17;其中目标客户端20包括第2行为检测器21、第2网络检测器22、行为探针23、网络探针24、第2恶意程序库25、第2可信程序库26和第2网络攻击模式库27;
其交互关系是:
第2行为检测器21分别与行为探针23、第2恶意程序库25、第2可信程序库26和第1行为检测器11进行交互,实现在目标客户端20上对程序恶意行为的提取、识别和响应;
第2网络检测器22分别与网络探针24、第2网络攻击模式库27和第1网络检测器12进行交互,实现在目标客户端20上对网络恶意行为的提取、识别和响应;
第1行为检测器11分别与第1恶意程序库15、第1可信程序库16、扫描器13和第2行为检测器21进行交互,实现在云端10对恶意程序行为的提取、识别和响应;
第1网络检测器12分别与第1网络攻击模式库17和第2网络检测器22进行交互,实现在云端10上对恶意网络攻击行为的提取、识别和响应;
模式筛选器14分别与第1恶意程序库15、第1可信程序库16、第1网络攻击模式库17、第2恶意程序库25、第2可信程序库26和第2网络攻击模式库27进行交互,实现对目标客户端20的信息收集和对检测规则的下发。
2、功能模块
1)云端10
(1)第1行为检测器11
第1行为检测器11是一种恶意行为检测方法。
在云端10接收第2行为检测器21提交的程序信息摘要,通过第1恶意程序库15和第1可信程序库16进行模式匹配,判断恶意行为,并将无法识别的可疑程序提交给扫描器13进行深入地检测。
(2)第1网络检测器12
第1网络检测器12是一种针对网络恶意行为的检测方法。
在云端10接收第2网络检测器22提交的网络信息摘要,通过第1网络攻击模式库17进行模式匹配,判断网络恶意行为。
(3)扫描器13
扫描器13是一种恶意行为检测方法,包括第1、2……N扫描引擎131、132……13N,N是自然数,1≤N≤100;
接收第1行为检测器11提交的程序信息摘要,通过N种扫描引擎,对可疑程序进行扫描,识别程序恶意行为。
(4)模式筛选器14
模式筛选器14是一种过滤方法。
模式筛选器14结合客户端的环境信息,对第1恶意程序库15、第1可信程序库16、第1网络攻击模式库17的更新部分进行筛选,实时下发给目标客户端20。
(5)第1恶意程序库15
第1恶意程序库15是一种程序信息摘要的集合。
扫描器13判断可疑程序具有恶意行为时,将程序信息摘要更新到第1恶意程序库15。
(6)第1可信程序库16
第1可信程序库16是一种程序信息摘要的集合。
扫描器13判断可疑程序没有恶意行为时,将程序信息摘要更新到第1可信程序库16。
(7)第1网络攻击模式库17
第1网络攻击模式库17是一种网络攻击模式的集合。
第1网络检测器12通过第1网络攻击模式库17来判断网络恶意行为,第1网络攻击模式库17通过对新的网络攻击,包括漏洞利用的网络流量进行特征提取来更新。
2、目标客户端20
1)第2行为检测器21
第2行为检测器21是一种恶意行为检测方法。
在目标客户端20接收行为探针23提交的程序信息摘要,通过第2恶意程序库25和第2可信程序库26进行模式匹配,判断恶意行为,并将无法识别的可疑程序信息摘要提交云端10的第1行为检测器11进行深入的检测。
2)第2网络检测器22
第2网络检测器22是一种针对网络恶意行为的检测方法。
在目标客户端20接收网络探针24提交的网络流量摘要,通过第2网络攻击模式库27进行模式匹配,判断网络恶意行为,并将无法识别的可疑网络流量摘要提交云端10的第1网络检测器12进行深入的检测。
3)行为探针23
行为探针23是一种数据采集方法。
采集程序信息摘要,发给第2行为检测器21,进行程序恶意行为检测。
4)网络探针24
网络探针24是一种数据采集方法。
采集网络流量摘要,发给第2网络检测器22,进行网络恶意行为检测。
5)第2恶意程序库25
第2恶意程序库25是一种程序信息摘要的集合。
云端10的模式筛选器14根据客户端环境信息,对第2恶意程序库25进行实时更新,第2行为检测器21通过第2恶意程序库25来判断程序恶意行为。
6)第2可信程序库26
第2可信程序库26是一种程序信息摘要的集合。
云端10的模式筛选器14根据客户端环境信息,对第2可信程序库26进行实时更新。第2行为检测器21通过第2可信程序库26来判断程序恶意行为。
7)第2网络攻击模式库27
第2网络攻击模式库27是一种网络攻击模式的集合。
云端10的模式筛选器14根据客户端环境信息,对第2网络攻击模式库27进行实时更新,第2网络检测器22通过第2网络攻击模式库27来判断网络恶意行为。
3、本系统的工作机理:
在云端10通过多种扫描引擎构成的扫描器13,对可疑程序进行精确扫描,判断是否具有恶意行为;并根据扫描结果,将程序信息摘要实时快速更新到第1恶意程序库15和第1可信程序库16;同时根据目标客户端20的环境信息实时下发第2恶意程序库25和第2可信程序库26的更新到目标客户端20,供目标客户端20检测程序恶意行为时使用。
对于网络恶意行为,同样在云端10和目标客户端20都有网络攻击模式库和网络检测器。利用云端10的计算能力可以在目标客户端20对可疑流量无法识别的情况下提供可靠的识别;同时根据目标20客户端的环境信息实时下发第2网络攻击模式库的更新到目标客户端20,供目标客户端20检测网络恶意行为时使用。
二、方法
1、步骤①:
a、行为探针23通过系统统计工具、Hook等方式(对获取方式不做限制)获取程序启动路径、程序启动镜像、下载的程序文件,进而提取程序信息摘要,发送给第2行为检测器21,进行恶意行为检测;
b、所述的程序信息摘要是对程序的标识,包括程序名称、程序文件大小、程序镜像大小、程序文件哈希值、程序镜像哈希值、程序文件图案、程序镜像图案等信息;哈希算法包括但不限于MD5、SHA1等。
c、所述的程序文件图案和程序镜像图案是对程序数据的一种采样,可以用一个三元组的集合来描述,三元组为:<偏移、数据块大小、数据块>。当偏移为,数据块大小等于程序文件大小或程序镜像大小时,数据块就是程序文件或程序镜像。由于当前存在对哈希值进行碰撞构造的方法,恶意程序可以构造和正常程序相同的哈希值来绕过检测。使用程序文件图案和程序镜像图案可以最大程度的防止这种情况。
d、所述目标客户端20是指所述一种云平台恶意行为检测方法应用的对象,包括但不限于PC机、云平台、智能终端。
2、步骤②:
a、第2行为检测器21接收行为探针23提交的程序信息摘要,通过第2恶意程序库25进行模式匹配。如果程序文件大小、程序文件哈希值、程序文件图案或者程序镜像大小、程序镜像哈希值、程序镜像图案匹配成功,则判断为该程序具有恶意行为;否则继续下面的检查。
b、第2行为检测器21接收行为探针23提交的程序信息摘要,通过第2可信程序库26进行模式匹配。如果程序文件大小、程序文件哈希值、程序文件图案或者程序镜像大小、程序镜像哈希值、程序镜像图案匹配成功,则判断为该程序为可信程序,没有恶意行为;否则该程序为无法识别的可疑程序,继续下面的检查。
c、对于无法识别的可疑程序,第2行为检测器21将程序信息摘要提交给云端10的第1行为检测器11,在云端10继续进行深入的检测。
3、步骤③:
a、第2网络检测器22接收网络探针24提交的网络流量摘要,通过第2网络攻击模式库(27),进行模式匹配,如果网络流量的特征和第2网络攻击模式库(27)中网络攻击的流量特征一致,则识别为网络恶意行为;否则继续下面的检查;
b、如果网络流量的特征和第2网络攻击模式库27中正常行为的流量特征一致,则识别为正常流量,否则该网络流量为无法识别的可疑流量;
c、对于无法识别的可疑流量,则提交给云端10的第1网络检测器12,在云端10继续进行深入的检测;
d、在云端10的第1网络检测器12接收第2网络检测器22提交的网络流量摘要,结合第1网络攻击模式库17,进行模式匹配。如果网络流量的特征和第1网络攻击模式库17中网络攻击的流量特征一致,则识别为网络恶意行为;
e、云端10的第1网络检测器12比目标客户端20的第2网络检测器22处理能力要强;同时,云端10的第1网络攻击模式库17比目标客户端20的第2网络攻击模式库27要更全面;
f、所述网络探针24的位置没有限制,对于不同的目标客户端20,可以位于不同的位置,包括但不限于PC机、交换机、云平台的虚拟机、云平台的虚拟交换机等。
4、步骤④:
a、第1行为检测器11接收第2行为检测器21提交的程序信息摘要,通过第1恶意程序库15进行模式匹配,如果程序文件大小、程序文件哈希值、程序文件图案或者程序镜像大小、程序镜像哈希值、程序镜像图案匹配成功,则判断为该程序具有恶意行为;否则继续下面的检查;
b、第1行为检测器11接收第2行为检测器21提交的程序信息摘要,通过第1可信程序库16进行模式匹配;如果程序文件大小、程序文件哈希值、程序文件图案或者程序镜像大小、程序镜像哈希值、程序镜像图案匹配成功,则判断为该程序为可信程序,没有恶意行为;否则该程序为无法识别的可疑程序,继续下面的检查;
c、对于无法识别的可疑程序,第1行为检测器11程序信息摘要提交给扫描器13,继续进行深入的检测。
d、对于扫描器13识别的可疑程序和正常程序,分别更新第1恶意程序库15和第1可信程序库16。
5、步骤⑤:
a、扫描器13接收第1行为检测器11提交的程序信息摘要,通过N种扫描引擎:第1、2……N扫描引擎(131、132……13N),对可疑程序进行扫描,识别程序恶意行为;
b、N种扫描引擎中,每个扫描引擎的原理可以相同或不同,使用N种扫描引擎可以综合各种扫描引擎的优点,提高恶意行为检测的准确率,降低误报;对每个扫描引擎的方式不做限制,可以根据恶意行为的代码特征、行为特征、沙盒运行、虚拟机运行等多种方式进行检测;
c、每个可疑程序都有一个对应的恶意值,可疑程序的恶意值为每个扫描引擎检测出的恶意值的加权平均值;每个扫描引擎都有一个权值,扫描引擎判断可疑程序为恶意程序时,该扫描引擎检测出的恶意值为该扫描引擎的权值;扫描引擎判断可疑程序为正常程序时,该扫描引擎检测出的恶意值为。可疑程序的恶意值高于恶意阈值时,扫描器13判断该可疑程序有恶意行为;可疑程序的恶意值低于正常阈值时,扫描器13判断该可疑程序没有恶意行为。
6、步骤⑥:
a、模式筛选器14结合目标客户端20的环境信息,对第1恶意程序库15、第1可信程序库16、第1网络攻击模式库17的更新部分进行筛选,实时下发给目标客户端20,以更新目标客户端20的第1恶意程序库15、第1可信程序库16和第1网络攻击模式库17;
b、所述目标客户端20的环境信息包括但不限于目标客户端20的操作系统类型、操作系统版本、软件安装信息等。

Claims (8)

1.一种云平台恶意行为检测系统,其特征在于:
包括云端(10)和目标客户端(20);其中云端(10)包括第1行为检测器(11)、第1网络检测器(12)、扫描器(13)、模式筛选器(14)、第1恶意程序库(15)、第1可信程序库(16)和第1网络攻击模式库(17);其中目标客户端(20)包括第2行为检测器(21)、第2网络检测器(22)、行为探针(23)、网络探针(24)、第2恶意程序库(25)、第2可信程序库(26)和第2网络攻击模式库(27);
其交互关系是:
第2行为检测器(21)分别与行为探针(23)、第2恶意程序库(25)、第2可信程序库(26)和第1行为检测器(11)进行交互,实现在目标客户端(20)上对程序恶意行为的提取、识别和响应;
第2网络检测器(22)分别与网络探针(24)、第2网络攻击模式库(27)和第1网络检测器(12)进行交互,实现在目标客户端(20)上对网络恶意行为的提取、识别和响应;
第1行为检测器(11)分别与第1恶意程序库(15)、第1可信程序库(16)、扫描器(13)和第2行为检测器(21)进行交互,实现在云端(10)对恶意程序行为的提取、识别和响应;
第1网络检测器(12)分别与第1网络攻击模式库(17)和第2网络检测器(22)进行交互,实现在云端(10)上对恶意网络攻击行为的提取、识别和响应;
模式筛选器(14)分别与第1恶意程序库(15)、第1可信程序库(16)、第1网络攻击模式库(17)、第2恶意程序库(25)、第2可信程序库(26)和第2网络攻击模式库(27)进行交互,实现对目标客户端(20)的信息收集和对检测规则的下发。
2.基于权利要求1所述系统的一种云平台恶意行为检测方法,其特征在于:
①行为探针(23)针对程序恶意行为,提取目标客户端(20)上的程序信息摘要,发送给第2行为检测器(21),进行恶意行为检测;
②第2行为检测器(21)通过行为探针(23)提交的程序信息摘要,结合第2恶意程序库(25)、第2可信程序库(26)识别程序恶意行为;对于无法识别的可疑程序,则提交给云端(10)的第1行为检测器(11)进行检测;
③第2网络检测器(22)通过网络探针(24)提交的网络流量摘要,结合第2网络攻击模式库(27)识别网络恶意行为;对于无法识别的可疑流量,则提交给云端(10)的第1网络检测器(12)进行检测;在云端(10)的第1网络检测器(12)通过第2网络检测器(22)提交的网络流量摘要,结合第1网络攻击模式库(17)识别网络恶意行为;
④第1行为检测器(11)通过第2行为检测器(21)提交的程序信息摘要,结合第1恶意程序库(15)、第1可信程序库(16)识别程序恶意行为;对于无法识别的可疑程序,则提交扫描器(13)进行检测;对于识别的可疑程序和正常程序,则分别更新第1恶意程序库(15)和第1可信程序库(16);
⑤扫描器(13)接收第1行为检测器(11)提交的程序信息摘要,通过第1、2……N扫描引擎(131、132……13N)对可疑程序进行扫描,识别程序恶意行为;
⑥模式筛选器(14)结合客户端的环境信息,对第1恶意程序库(15)、可第1信程序库(16)、第1网络攻击模式库(17)的更新部分进行筛选,实时下发给目标客户端(20),以更新目标客户端(20)的第1恶意程序库(15)、第1可信程序库(16)和第1网络攻击模式库(17)。
3.按权利要求2所述的云平台恶意行为检测方法,其特征在于所述的步骤①:
a、行为探针(23)通过系统统计工具、Hook方式获取程序启动路径、程序启动镜像、下载的程序文件,进而提取程序信息摘要,发送给第2行为检测器(21),进行恶意行为检测;
b、所述的程序信息摘要是对程序的标识,包括程序名称、程序文件大小、程序镜像大小、程序文件哈希值、程序镜像哈希值、程序文件图案和程序镜像图案的信息;哈希算法包括但不限于MD5和SHA1;
c、所述的程序文件图案和程序镜像图案是对程序数据的一种采样,可以用一个三元组的集合来描述,三元组为:偏移、数据块大小、数据块;当偏移为,数据块大小等于程序文件大小或程序镜像大小时,数据块就是程序文件或程序镜像;由于当前存在对哈希值进行碰撞构造的方法,恶意程序可以构造和正常程序相同的哈希值来绕过检测;使用程序文件图案和程序镜像图案可以最大程度的防止这种情况;
d、所述目标客户端(20)是指所述一种云平台恶意行为检测方法应用的对象,包括但不限于PC机、云平台和智能终端。
4.按权利要求2所述的云平台恶意行为检测方法,其特征在于所述的步骤②:
a、第2行为检测器(21)接收行为探针(23)提交的程序信息摘要,通过第2恶意程序库(25)进行模式匹配;如果程序文件大小、程序文件哈希值、程序文件图案或者程序镜像大小、程序镜像哈希值、程序镜像图案匹配成功,则判断为该程序具有恶意行为;否则继续下面的检查;
b、第2行为检测器(21)接收行为探针(23)提交的程序信息摘要,通过第2可信程序库(26)进行模式匹配;如果程序文件大小、程序文件哈希值、程序文件图案或者程序镜像大小、程序镜像哈希值、程序镜像图案匹配成功,则判断为该程序为可信程序,没有恶意行为;否则该程序为无法识别的可疑程序,继续下面的检查;
c、对于无法识别的可疑程序,第2行为检测器(21)将程序信息摘要提交给云端(10)的第1行为检测器(11),在云端(10)继续进行深入的检测。
5.按权利要求2所述的云平台恶意行为检测方法,其特征在于所述的步骤步骤③:
a、第2网络检测器(22)接收网络探针(24)提交的网络流量摘要,通过第2网络攻击模式库(27),进行模式匹配,如果网络流量的特征和第2网络攻击模式库(27)中网络攻击的流量特征一致,则识别为网络恶意行为;否则继续下面的检查;
b、如果网络流量的特征和第2网络攻击模式库(27)中正常行为的流量特征一致,则识别为正常流量,否则该网络流量为无法识别的可疑流量;
c、对于无法识别的可疑流量,则提交给云端(10)的第1网络检测器(12),在云端(10)继续进行深入的检测;
d、在云端(10)的第1网络检测器(12)接收第2网络检测器(22)提交的网络流量摘要,结合第1网络攻击模式库(17),进行模式匹配;如果网络流量的特征和第1网络攻击模式库(17)中网络攻击的流量特征一致,则识别为网络恶意行为;
e、云端(10)的第1网络检测器(12)比目标客户端(20)的第2网络检测器(22)处理能力要强;同时,云端(10)的第1网络攻击模式库(17)比目标客户端(20)的第2网络攻击模式库(27)要更全面;
f、所述网络探针(24)的位置没有限制,对于不同的目标客户端(20),可以位于不同的位置,包括但不限于PC机、交换机、云平台的虚拟机和云平台的虚拟交换机。
6.按权利要求2所述的云平台恶意行为检测方法,其特征在于所述的步骤④:
a、第1行为检测器(11)接收第2行为检测器(21)提交的程序信息摘要,通过第1恶意程序库(15)进行模式匹配,如果程序文件大小、程序文件哈希值、程序文件图案或者程序镜像大小、程序镜像哈希值、程序镜像图案匹配成功,则判断为该程序具有恶意行为;否则继续下面的检查;
b、第1行为检测器(11)接收第2行为检测器(21)提交的程序信息摘要,通过第1可信程序库(16)进行模式匹配;如果程序文件大小、程序文件哈希值、程序文件图案或者程序镜像大小、程序镜像哈希值、程序镜像图案匹配成功,则判断为该程序为可信程序,没有恶意行为;否则该程序为无法识别的可疑程序,继续下面的检查;
c、对于无法识别的可疑程序,第1行为检测器(11)将程序信息摘要提交给扫描器(13),继续进行深入的检测;
d、对于扫描器(13)识别的可疑程序和正常程序,分别更新第1恶意程序库(15)和第1可信程序库(16)。
7.按权利要求2所述的云平台恶意行为检测方法,其特征在于所述的步骤⑤:
a、扫描器(13)接收第1行为检测器(11)提交的程序信息摘要,通过N种扫描引擎:第1、2……N扫描引擎(131、132……13N),对可疑程序进行扫描,识别程序恶意行为;
b、N种扫描引擎中,每个扫描引擎的原理可以相同或不同,使用N种扫描引擎可以综合各种扫描引擎的优点,提高恶意行为检测的准确率,降低误报;对每个扫描引擎的方式不做限制,可以根据恶意行为的代码特征、行为特征、沙盒运行、虚拟机运行等多种方式进行检测;
c、每个可疑程序都有一个对应的恶意值,可疑程序的恶意值为每个扫描引擎检测出的恶意值的加权平均值;每个扫描引擎都有一个权值,扫描引擎判断可疑程序为恶意程序时,该扫描引擎检测出的恶意值为该扫描引擎的权值;扫描引擎判断可疑程序为正常程序时,该扫描引擎检测出的恶意值为;可疑程序的恶意值高于恶意阈值时,扫描器(13)判断该可疑程序有恶意行为;可疑程序的恶意值低于正常阈值时,扫描器(13)判断该可疑程序没有恶意行为。
8.按权利要求2所述的云平台恶意行为检测方法,其特征在于所述的步骤⑥:
a、模式筛选器(14)结合目标客户端(20)的环境信息,对第1恶意程序库(15)、第1可信程序库(16)、第1网络攻击模式库(17)的更新部分进行筛选,实时下发给目标客户端(20),以更新目标客户端(20)的第1恶意程序库(15)、第1可信程序库(16)和第1网络攻击模式库(17);
b、所述目标客户端(20)的环境信息包括但不限于目标客户端(20)的操作系统类型、操作系统版本和软件安装信息。
CN201611149850.3A 2016-12-14 2016-12-14 一种云平台恶意行为检测系统及其方法 Pending CN106713293A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201611149850.3A CN106713293A (zh) 2016-12-14 2016-12-14 一种云平台恶意行为检测系统及其方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201611149850.3A CN106713293A (zh) 2016-12-14 2016-12-14 一种云平台恶意行为检测系统及其方法

Publications (1)

Publication Number Publication Date
CN106713293A true CN106713293A (zh) 2017-05-24

Family

ID=58937474

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201611149850.3A Pending CN106713293A (zh) 2016-12-14 2016-12-14 一种云平台恶意行为检测系统及其方法

Country Status (1)

Country Link
CN (1) CN106713293A (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107196969A (zh) * 2017-07-13 2017-09-22 携程旅游信息技术(上海)有限公司 攻击流量的自动识别及验证方法及系统
CN110474931A (zh) * 2019-09-29 2019-11-19 国家计算机网络与信息安全管理中心 一种攻击源的联网告警方法和系统
CN110611637A (zh) * 2018-06-14 2019-12-24 北京安天网络安全技术有限公司 基于vpn流量牵引的在线网络威胁检测方法及系统
CN114422309A (zh) * 2021-12-03 2022-04-29 中国电子科技集团公司第二十八研究所 基于摘要回传比对方式的业务消息传输效果分析方法
WO2024065446A1 (zh) * 2022-09-29 2024-04-04 西门子股份公司 一种ot设备中文件的识别方法、装置、系统及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102811213A (zh) * 2011-11-23 2012-12-05 北京安天电子设备有限公司 基于模糊哈希算法的恶意代码检测系统及方法
CN103281301A (zh) * 2013-04-28 2013-09-04 上海海事大学 云安全恶意程序判断系统及方法
CN105022959A (zh) * 2015-07-22 2015-11-04 上海斐讯数据通信技术有限公司 一种移动终端恶意代码分析设备及分析方法
CN105376222A (zh) * 2015-10-30 2016-03-02 四川九洲电器集团有限责任公司 基于云计算平台的智能防御系统
US9398028B1 (en) * 2014-06-26 2016-07-19 Fireeye, Inc. System, device and method for detecting a malicious attack based on communcations between remotely hosted virtual machines and malicious web servers

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102811213A (zh) * 2011-11-23 2012-12-05 北京安天电子设备有限公司 基于模糊哈希算法的恶意代码检测系统及方法
CN103281301A (zh) * 2013-04-28 2013-09-04 上海海事大学 云安全恶意程序判断系统及方法
US9398028B1 (en) * 2014-06-26 2016-07-19 Fireeye, Inc. System, device and method for detecting a malicious attack based on communcations between remotely hosted virtual machines and malicious web servers
CN105022959A (zh) * 2015-07-22 2015-11-04 上海斐讯数据通信技术有限公司 一种移动终端恶意代码分析设备及分析方法
CN105376222A (zh) * 2015-10-30 2016-03-02 四川九洲电器集团有限责任公司 基于云计算平台的智能防御系统

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107196969A (zh) * 2017-07-13 2017-09-22 携程旅游信息技术(上海)有限公司 攻击流量的自动识别及验证方法及系统
CN107196969B (zh) * 2017-07-13 2019-11-29 携程旅游信息技术(上海)有限公司 攻击流量的自动识别及验证方法及系统
CN110611637A (zh) * 2018-06-14 2019-12-24 北京安天网络安全技术有限公司 基于vpn流量牵引的在线网络威胁检测方法及系统
CN110474931A (zh) * 2019-09-29 2019-11-19 国家计算机网络与信息安全管理中心 一种攻击源的联网告警方法和系统
CN114422309A (zh) * 2021-12-03 2022-04-29 中国电子科技集团公司第二十八研究所 基于摘要回传比对方式的业务消息传输效果分析方法
CN114422309B (zh) * 2021-12-03 2023-08-11 中国电子科技集团公司第二十八研究所 基于摘要回传比对方式的业务消息传输效果分析方法
WO2024065446A1 (zh) * 2022-09-29 2024-04-04 西门子股份公司 一种ot设备中文件的识别方法、装置、系统及存储介质

Similar Documents

Publication Publication Date Title
Azeez et al. Identifying phishing attacks in communication networks using URL consistency features
CN112738015B (zh) 一种基于可解释卷积神经网络cnn与图检测的多步攻击检测方法
CN106713293A (zh) 一种云平台恶意行为检测系统及其方法
Niakanlahiji et al. Phishmon: A machine learning framework for detecting phishing webpages
CN107786564B (zh) 基于威胁情报的攻击检测方法、系统及电子设备
CN100463461C (zh) 主动式网络安全漏洞检测器
CN108737439B (zh) 一种基于自反馈学习的大规模恶意域名检测系统及方法
US8769692B1 (en) System and method for detecting malware by transforming objects and analyzing different views of objects
Düssel et al. Cyber-critical infrastructure protection using real-time payload-based anomaly detection
CN107392016A (zh) 一种基于代理的Web数据库攻击行为检测系统
Yan et al. Rolling colors: Adversarial laser exploits against traffic light recognition
CN111368297B (zh) 隐私保护移动恶意软件检测方法、系统、存储介质及应用
CN111756702B (zh) 数据安全防护方法、装置、设备和存储介质
CN109922065B (zh) 恶意网站快速识别方法
CN104850783B (zh) 一种基于哈希特征矩阵的恶意软件云检测方法及系统
Shan et al. A real-time defense against website fingerprinting attacks
CN104850784B (zh) 一种基于哈希特征向量的恶意软件云检测方法及系统
CN103577323B (zh) 基于动态关键指令序列胎记的软件抄袭检测方法
CN104113544B (zh) 基于模糊隐条件随机场模型的网络入侵检测方法及系统
KR102022058B1 (ko) 웹 페이지 위변조 탐지 방법 및 시스템
Fu et al. Encrypted malware traffic detection via graph-based network analysis
US20140344931A1 (en) Systems and methods for extracting cryptographic keys from malware
CN105959328A (zh) 证据图与漏洞推理相结合的网络取证方法及系统
CN113342892A (zh) 基于区块链节点集群的云安全数据处理方法及区块链系统
CN106529291A (zh) 恶意软件检测方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20170524

WD01 Invention patent application deemed withdrawn after publication