CN107454053B - 在分布式网络中检测虚拟机上的恶意文件的系统和方法 - Google Patents
在分布式网络中检测虚拟机上的恶意文件的系统和方法 Download PDFInfo
- Publication number
- CN107454053B CN107454053B CN201610860983.5A CN201610860983A CN107454053B CN 107454053 B CN107454053 B CN 107454053B CN 201610860983 A CN201610860983 A CN 201610860983A CN 107454053 B CN107454053 B CN 107454053B
- Authority
- CN
- China
- Prior art keywords
- file
- malware
- server
- scanned
- servers
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/564—Static detection by virus signature recognition
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Debugging And Monitoring (AREA)
Abstract
提供用于在分布式网络中检测虚拟机上的恶意文件的系统和方法。示例性方法包括:通过虚拟机上运作的瘦客户端接收关于分布式网络中的多个服务器的计算资源的特性的数据,其中每个服务器能够扫描文件以检测恶意文件。该方法还包括获得虚拟机上的文件、使用关于计算资源的特性的数据来识别且选择多个服务器中的一个服务器以执行对虚拟机上的文件的扫描、以及将该文件发送到所选服务器以用于扫描。
Description
技术领域
本文中的公开内容总体涉及防病毒技术,且更特别地涉及在分布式网络中检测虚拟机上的恶意文件的系统和方法。
背景技术
计算机技术(包括云技术)近十年的快速发展和不同种类的计算设备(个人计算机、笔记本、平板电脑、智能手机等等)的广泛使用已经用作对于这些设备在人类活动的每个可能范围中的使用以及对于巨大量任务(从因特网冲浪和因特网通信到银行转帐和电子文件分发)的强大刺激。与计算设备的数量增长并行,工作在这些设备上的软件的量也已以快节奏增长,包括非法软件和恶意程序。
目前,存在巨大量的恶意程序品种。一些恶意程序从用户设备窃取个人机密数据(诸如登录名和密码、银行信息、电子文件)。其它恶意程序形成所谓的僵尸网络,其通过暴力破解的方法从用户设备检索密码、或对其它计算机或计算机网络发起攻击,诸如拒绝服务(DDOS)。另外的恶意程序通过侵略性广告、付费订阅、向付费手机号发送SMS等使用户签署付费内容。
防毒程序用于处理恶意程序。有效地处理恶意程序首先需要及时检测恶意程序的包含代码的文件,防毒程序针对上述文件采用各种技术,诸如签名、启发式搜索、和前瞻性分析、黑白列表等等。上述技术中的每一者具有其用于检测恶意文件的有效性,包括检测某些种类的恶意文件的潜在能力,以及对于计算机系统的计算资源(所述技术在其上运作)的需求。
目前,由计算机系统处理的数据(包括文件)的量如此之大使得防毒程序针对恶意性的扫描可能花费大量的时间并需要显著的计算资源,这对于个人计算机的用户而言是尤其重要的。因此,为了提高检测恶意文件的有效性,特别地使用增加计算机系统的计算资源的方法,对恶意文件的搜索在该计算资源上完成。出于该目的,使用分布式系统搜索恶意文件,包括几个服务器,在每个服务器上完成针对需要扫描的文件中的仅一些文件的扫描。
尽管已知的工作方法很好地处理针对恶意性分布式扫描文件的任务,但是当在计算机系统上具有针对恶意性执行文件扫描的繁重工作量时或当在某些计算机系统参与针对恶意性扫描文件的工作中存在故障时,这些方法经常不起作用。
发明内容
本文中公开的方法和系统使得能够解决在“受保护的虚拟机”的分布式系统上检测恶意文件的问题。根据另一示例性方面,该方法和系统被设计用于文件的分布,用以在“保护虚拟机”上针对恶意性进行扫描。
具体地,公开了用于在分布式网络中检测虚拟机上的恶意文件的方法。根据该方面,该方法包括:通过所述虚拟机上运作的瘦客户端接收关于所述分布式网络中的多个服务器的计算资源的特性的数据,其中,所述多个服务器中的每个服务器配置成检测恶意文件;通过所述瘦客户端获得所述虚拟机上的待针对恶意软件扫描的至少一个文件;通过所述瘦客户端使用关于所述多个服务器的所述计算资源的特性的所述数据来识别且选择所述多个服务器中的一个服务器以执行对所述虚拟机上的所述至少一个文件的扫描;以及通过所述瘦客户端将所述虚拟机上的所述至少一个文件发送到选择的所述服务器,所述至少一个文件将被选择的所述服务器扫描以检测恶意软件。
根据另一方面,该方法包括:通过选择的所述服务器将所述至少一个文件放在待针对恶意软件扫描的多个文件的队列中;以及如果待扫描的所述多个文件中的一个文件满足待针对恶意软件扫描的准备标准,则通过选择的所述服务器选择所述一个文件。
根据另一方面,待扫描的所述准备标准包括如下条件:待扫描的所述文件先前未被扫描以及选择的所述服务器具有足以扫描所述一个文件以检测恶意软件的计算资源。
根据另一方面,识别所述一个服务器还包括通过如下中的至少一者确定所述多个服务器中的每个服务器的执行速度:测量所述多个服务器中的每个服务器的队列中的多个文件在针对恶意软件被扫描之前所消耗的时间的集中趋势;测量在从所述虚拟机获得文件和所述多个服务器中的每个服务器针对恶意软件扫描所述文件之间消逝的总时间的集中趋势;测量填充所述多个服务器中的每个服务器的所述队列的速度的集中趋势;以及测量所述多个服务器中的每个服务器的保护所述虚拟机的使用速度的集中趋势。
根据另一方面,该方法包括所述一个服务器的选择基于所述多个服务器中的每个服务器的所确定的执行速度以及包括如下中的至少一者:通过所述瘦客户端选择具有针对恶意软件扫描所述文件的最高执行速度的所述一个服务器;如果针对恶意软件扫描所述文件的执行速度高于给定阈值,则通过所述瘦客户端选择具有所述速度的所述一个服务器;通过所述瘦客户端选择具有用于待针对恶意软件扫描的文件的所述队列的最小规模的所述一个服务器;以及通过所述瘦客户端选择待针对恶意软件扫描的文件的所述队列低于给定阈值的所述一个服务器。
根据另一方面,该方法包括通过所述多个服务器中的每个服务器分别将关于所述多个服务器的计算资源的特性的所述数据分布在所述分布式网络上,使得多个瘦客户端能够访问所述数据。
根据另一方面,该方法包括:分布所述数据包括如下中的至少一者:通过广播信道路由所述数据和将所述数据多点传送到所述多个瘦客户端。
根据另一方面,提供了用于在分布式网络中检测多个虚拟机上的恶意文件的系统。根据示例性方面,所述系统包括:多个服务器,所述多个服务器配置成针对恶意软件扫描文件以及将关于各个所述服务器的计算资源的特性的数据分布在所述分布式网络上;以及至少一个瘦客户端,所述至少一个瘦客户端在所述多个虚拟机中的一个虚拟机上运作,所述至少一个瘦客户端配置成:从所述分布式网络中的所述多个服务器中的每个服务器接收关于计算资源的特性的所述数据,获得所述虚拟机上的待针对恶意软件扫描的至少一个文件,使用关于所述多个服务器的所述计算资源的特性的所述数据来识别且选择所述多个服务器中的一个服务器以执行对所述虚拟机上的所述至少一个文件的扫描,以及将所述虚拟机上的所述至少一个文件发送到选择的所述服务器,其中,选择的所述服务器扫描从所述至少一个瘦客户端接收的所述至少一个文件以检测恶意软件。
以上对本发明的示例方面的简要概述用来提供对本发明的基本理解。该概述并不是对所有预期方面的广泛综述,并且既不旨在识别所有方面的关键要素或重要要素,也不旨在描绘本发明的任何方面或所有方面的范围。它的唯一目的是以简化形式呈现一个或多个方面,作为随后的对本发明的更详细的描述的前奏。为了实现前述目的,本发明的一个或多个方面包括权利要求中所描述和示例性指出的特征。
附图说明
图1示出根据示例性方面的用于检测“受保护的虚拟机”上的恶意文件的系统的框图。
图2示出根据示例性方面的用于检测“受保护的虚拟机”上的恶意文件的方法的示例性流程图。
图3示出其上可实施所公开的系统和方法的通用计算机系统的示例。
并入本说明书中并构成本说明书的一部分的附图示出了本发明的一个或多个示例性方面,以及连同详细的描述一起用来阐述这些示例性方面的原理和实现方式。
具体实施方式
本文中在用于控制计算机上执行的应用程序的系统、方法和计算机程序产品的上下文中描述了示例性方面。本领域的普通技术人员将认识到,以下描述仅仅是说明性的,而不旨在以任何方式进行限制。其它方面将容易地将其自身暗示给了解本发明的优点的本领域的技术人员。现在将详细地参考如附图中所示的示例性方面的实现方式。贯穿附图和以下描述将尽可能地使用相同的附图标记来指代相同或类似的项目。
本文中的公开内容提供了多个定义和概念,其用于促进对不同方面的阐述。应当理解,以下定义被提供用于示例性方面的目的。
“受保护的虚拟机”为在安装有客户操作系统的管理程序的控制下工作在其瘦客户端部件运作的计算环境中的虚拟机。
“保护虚拟机”为在安装有操作系统的管理程序的控制下工作在其保护服务器部件运作的计算环境中的虚拟机。
“瘦客户端”为用于保护“受保护的虚拟机”免受恶意程序和计算机威胁以及通过“保护虚拟机”的网络传送用于扫描恶意性的文件的软件。通常,术语“瘦客户端”在本文中用于描述依赖服务器执行数据处理和计算任务的客户机,如本领域的技术人员所理解。根据示例性方面,具有瘦客户端软件(例如在客户端的虚拟机内运作)的专用瘦客户端或正规PC用于将键盘和鼠标输入发送到服务器且接收返回的屏幕输出。根据一个方面,瘦客户端可以不处理任何数据,而仅处理用户界面(UI)。益处为由于数据中心中的硬件和软件的中央管理而改善的维护和安全性。如本文中的公开内容参考“瘦客户端”,应当理解,示例性瘦客户端通常可以包括硬件,诸如计算机终端,其提供用于键盘、鼠标、监控器的I/O,用于声音外围设备的插口,以及用于USB设备的开放端口,该USB设备例如打印机、闪盘驱动器、网络摄像机、读卡器、智能手机等。此外,示例性瘦客户端还可以包括支持旧的设备(诸如收据打印机、天平、时钟等)的传统串行端口和/或并行端口。瘦客户端软件通常包括GUI(图形用户界面)、云访问代理(例如RDP、ICA、PCoIP)、本地网络浏览器、终端仿真(在一些情况下)、和一组基本的本地实用工具。
“保护服务器”为用于执行对于从“受保护的虚拟机”接收的文件的恶意性的扫描。
图1示出根据示例性方面的用于检测“受保护的虚拟机”上的恶意文件的系统的框图。
用于检测“受保护的虚拟机”上的恶意文件的系统的结构图包括“瘦客户端”110、收集模块111、选择模块112、任务形成模块113、“保护服务器”120、传输模块121、任务控制模块122和扫描模块123。应当领会,收集模块111、选择模块112和任务形成模块113全部可以被提供作为用于瘦客户端110的单个或多个模块,每个模块可以执行本文中所描述的算法。类似地,传输模块121、任务控制模块122和扫描模块123全部可以被提供作为用于保护服务器120的单个或多个模块,每个模块可以执行本文中所描述的算法。此外,注意,如本文所使用的术语“模块”指的是例如现实世界的设备、部件、或使用硬件(例如通过专用集成电路(Application Specific Integrated Circuit,ASIC)或现场可编程门阵列(Field-Programmable Gate Array,FPGA))实现的部件的布置,或者指的是硬件和软件的组合,例如通过微处理器系统和实现模块功能的指令组(该指令组在被执行时将微处理器系统转换成专用设备)来实现这样的组合。
根据示例性方面,“瘦客户端”110被设计成保护“受保护的虚拟机”免受恶意程序和计算机威胁且包含收集模块111、选择模块112和任务形成模块113。
根据示例性方面,收集模块111(其为“瘦客户端”110的一部分)配置成执行如下功能:
·通过计算机网络的驱动器拦截包含“保护服务器”120的计算资源的特性的信息,该信息被传输模块121分布在整个计算机网络上,
·以及将拦截的信息发送到选择模块112;
根据示例性方面,“保护服务器”120的计算资源的特性可以例如为:
·文件在“保护服务器”120的任务等待队列中消耗的时间;
·在从任务形成模块113接收文件和由扫描模块123宣告判决之间所消逝的时间;
·“保护服务器”120的任务等待队列的规模;
·“保护服务器”120在其上工作的“保护虚拟机”的计算能力。
收集模块111(其为工作在“受保护的虚拟机”上的“瘦客户端”110的一部分)可以拦截包含“保护服务器”120的计算资源的特性的信息,该信息被传输模块121(其为“保护服务器”的一部分)发送到收集模块111(其为工作在另一“受保护的虚拟机”上的“瘦客户端”110的一部分)。
根据示例性方面,选择模块112(其为“瘦客户端”110的一部分)配置成执行如下功能:
·计算每个“保护服务器”120的防病毒扫描的执行速度,该“保护服务器”120的计算资源特性被包含在从收集模块111接收的信息中,
·基于对于所计算的针对恶意性的扫描的执行速度的分析选择“保护服务器”120,
·以及将关于每个所选的“保护服务器”120的信息发送到任务形成模块113,其中所发送的信息至少包含“保护服务器”120的唯一标识符。
根据示例性方面,“保护服务器”120的扫描恶意性的执行速度可以基于以下项中的一者或多者:
·文件在“保护服务器”的任务等待队列中消耗的时间的集中趋势的测量;
·在从任务形成模块113接收文件和由扫描模块123宣告判决之间所消逝的时间的集中趋势的测量;
·填充“保护服务器”120的任务等待队列的速度的集中趋势的测量;
·“保护服务器”120在其上工作的“保护虚拟机”的计算能力的使用速度的集中趋势的测量。
“保护服务器”120的扫描恶意性的执行速度可以使用概率论技术通过所有的上述方法来计算,从而在所选时间段中通过每个“保护虚拟机”对“保护服务器”120执行恶意性扫描的速度进行预测。
对于传输到任务形成模块113,可以基于如下标准中的一者或多者选择“保护服务器”120:
·执行恶意性扫描的最高计算速度;
·所计算的执行恶意性扫描的速度,其高于给定阈值;
·“保护服务器”的任务等待队列的最小规模;
·“保护服务器”的任务等待队列的规模,其低于给定阈值。
根据示例性方面,任务形成模块113(其为“瘦客户端”110的一部分)配置成执行如下功能:
·接收虚拟机的文件,所述“瘦客户端”110在该虚拟机上工作以执行恶意性扫描;
·以及将接收的文件发送到“保护服务器”120的任务控制模块122,该“保护服务器”120的信息是从选择模块112接收的。
“保护服务器”120被设计成执行对从“受保护的虚拟机”的“瘦客户端”110接收的文件的恶意性扫描,且包含传输模块121、任务控制模块122和扫描模块123。
根据示例性方面,传输模块121(其为“保护服务器”120的一部分)配置成执行如下功能:
·确定“保护服务器”120的计算资源的特性;
·以及将包含所确定的特性的信息分布在整个计算机网络上;
根据示例性方面,通过传输模块121将包含如由传输模块121确定的“保护服务器”120的计算资源的特性的信息分布在整个计算机网络上可以基于如下技术中的一者或多者来完成:
·通过广播信道的路由;
·多址广播(多点广播);
·直接传输到至少一个“瘦客户端”110的收集模块111。
根据示例性方面,任务控制模块122(其为“保护服务器”120的一部分)配置成执行如下功能:
·组织任务等待队列的工作负荷,该任务等待队列为包含从至少一个“瘦客户端”110的任务形成模块113接收的文件的列表,该任务等待队列被设计成:(1)将从“瘦客户端”110的任务形成模块113接收的文件放在任务等待队列中,和/或(2)从任务等待队列选择用于传送到扫描模块123的文件,以执行恶意性扫描,
·从任务等待队列选择满足用于由扫描模块123进行恶意性扫描的准备标准的文件,其中准备标准可以为如下条件:(1)扫描模块123在选择时不执行对先前发送到扫描模块123的文件的恶意性扫描,和/或(2)扫描模块123具有足以处理所选文件的计算资源,
·以及将从任务等待队列选择的文件发送到扫描模块123以执行恶意性扫描。
根据示例性方面,扫描模块123(其为“保护服务器”120的一部分)配置成执行如下功能:
·执行对从任务控制模块122接收的文件的恶意性扫描;和/或
·作为执行的恶意性扫描的结果,在检测恶意文件的情况下,宣告关于恶意文件的检测的判决。
应当通过利用2个“保护虚拟机”的资源对存储在10个“受保护的虚拟机”上的1000个文件(每个“受保护的虚拟机”上100个文件)的恶意性扫描的示例,来考虑用于检测“受保护的虚拟机”上的恶意文件的系统的操作。
在10个“受保护的虚拟机”中的每一者上,“瘦客户端”110每次从需要扫描恶意性的100个文件的组获得一个文件。收集模块111(其为每个“受保护的虚拟机”的瘦客户端110的一部分)在专用驱动器的帮助下拦截先前由两个可用的“保护虚拟机”中的每一者的“保护服务器”的传输模块121发送的“保护虚拟机”的“保护服务器”120的计算资源的特性,此后收集模块111将这些特性发送到选择模块112。“保护服务器”#1 120和“保护服务器”#2120的计算资源的特性可以分别被改变(根据“保护虚拟机”自身和“保护服务器”的设置):文件在“保护服务器”#1 120的恶意性扫描的任务等待队列中消耗的时间,“保护服务器”#1120在其上工作的“保护虚拟机”#1的计算能力(即可用RAM、中央处理器的速度等等),以及“保护服务器”#2 120的恶意性扫描的任务等待队列的规模。
基于拦截的“保护服务器”#1 120和“保护服务器”#2 120的计算资源的特性,选择模块112(其为每个“受保护的虚拟机”的“瘦客户端”的一部分,独立于另一选择模块112)计算在从任务形成模块113接收文件和由扫描模块123宣告判决之间所消逝的时间的算术平均值,其为“保护服务器”#1 120和“保护服务器”#2 120的恶意性扫描的执行速度。在两个“保护服务器”中,选择具有执行恶意性扫描的最高计算速度的“保护服务器”(#2),此后将结果发送到任务形成模块113,这是因为执行恶意性扫描的最小计算速度(#1)意味着“保护服务器”#1 120目前担负有其它扫描任务或“保护虚拟机”不具有执行文件的恶意性扫描所需的计算资源。
任务形成模块113(其为“瘦客户端”110的一部分)向“瘦客户端”110请求用于恶意性扫描的下一个文件。将所获得的文件发送到所选的“保护服务器”(#2)120的任务控制模块122。
任务控制模块122(其为“保护服务器”#2 120的一部分)将从每个“受保护的虚拟机”的“瘦客户端”的任务形成模块113接收的文件放在恶意性扫描的任务等待队列中。等待队列可以已包含从其它“受保护的虚拟机”的“瘦客户端”的任务形成模块113接收的文件。只要扫描模块123(其为“保护服务器”#2 120的一部分)忙于扫描文件恶意性的任务,则恶意性扫描的任务等待队列简单地建立,即来自“受保护的虚拟机”的“瘦客户端”的任务形成模块113的文件被放在恶意性扫描的任务等待队列中,但是不从该任务等待队列中取出以及不被发送到扫描模块123用于后续处理。任务控制模块122定期地确定扫描模块123执行文件恶意性扫描的可能性。在扫描模块123完成先前任务的执行之后,任务控制模块122从恶意性扫描的任务等待队列取出下一批文件(包含一个或多个文件)并将文件发送到扫描模块123。
扫描模块123执行对从任务控制模块122接收的文件的恶意性扫描,并宣告关于所接收的文件是否为恶意的判决。在完成扫描之后,扫描模块123将关于所接收的文件的处理的完成的信息以及扫描的结果发送到任务控制模块122。
在“保护服务器”#2 120工作期间,“受保护的虚拟机”的“瘦客户端”110不处于闲置状态。在“保护服务器”#2 120工作期间,“保护服务器”#1 120可以被释放。在该情况下,下次计算恶意性扫描的执行时,相比于用于“保护服务器”#2 120,用于“保护服务器”#1120将变得更大,且剩余用于扫描的下一批990个文件(在每个“受保护的虚拟机”上有99个文件)将被发送到“保护服务器”#2 120的任务控制模块122。
图2示出根据示例性方面的用于检测“受保护的虚拟机”上的恶意文件的方法的示例性流程图。
根据示例性方面,用于检测“受保护的虚拟机”上的恶意文件的方法的流程图包括:步骤201,请求用于执行恶意性扫描的文件;步骤202,拦截“保护服务器”120的计算资源的特性;步骤203,计算“保护服务器”120执行恶意性扫描的速度;步骤204,选择“保护服务器”120;步骤211,确定计算资源的特性;步骤221,组织恶意性扫描的任务等待队列;步骤223,从恶意性扫描的任务等待队列选择文件;步骤224,执行恶意性扫描;以及步骤225,宣告关于恶意文件的检测的判决。
具体地,如所示,在步骤201中从虚拟机接收文件,前述“瘦客户端”110正在该虚拟机上工作以执行恶意性扫描。
在步骤211中,确定“保护服务器”120的计算资源的特性以及将包含所确定的特性的信息分布在整个计算机网络上。
通过传输模块121将包含如由传输模块121确定的“保护服务器”120的计算资源的特性的信息分布在整个计算机网络上可以使用如下中的一者或多者来完成:
·通过广播信道的路由;
·多址广播(多点广播);和/或
·直接传输到至少一个“瘦客户端”110的收集模块111。
“保护服务器”120的计算资源的特性可以为如下中的一者或多者:
·文件在“保护服务器”120的任务等待队列中消耗的时间;
·在步骤201中从任务形成模块113接收文件和在步骤225中由扫描模块123宣告判决之间所消逝的时间;
·“保护服务器”120的任务等待队列的规模;和/或
·“保护服务器”120在其上工作的“保护虚拟机”的计算能力。
在步骤202中,计算机网络的驱动器拦截包含如在步骤211中所确定的“保护服务器”120的计算资源的特性的信息。
收集模块111(其为工作在“受保护的虚拟机”上的“瘦客户端”110的一部分)可以拦截包含“保护服务器”120的计算资源的特性的信息,该信息在步骤211中被传输模块121(其为“保护服务器”的一部分)发送到收集模块111(其为工作在另一“受保护的虚拟机”上的“瘦客户端”110的一部分)。
在步骤203中针对每个“保护服务器”120计算恶意性扫描的执行速度,该“保护服务器”120的计算资源的特性被包含在步骤202中拦截的信息中。
“保护服务器”120的扫描恶意性的执行速度可以基于以下项中的一者或多者:
·文件在“保护服务器”的任务等待队列中消耗的时间的集中趋势的测量;
·在步骤201中从任务形成模块113接收文件和在步骤225中由扫描模块123宣告判决之间所消逝的时间的集中趋势的测量;
·填充“保护服务器”120的任务等待队列的速度的集中趋势的测量;和/或
·“保护服务器”120在其上工作的“保护虚拟机”的计算能力的使用速度的集中趋势的测量。
“保护服务器”120的扫描恶意性的执行速度可以使用概率论方法、通过所有的上述方法来计算,从而在所选时间段中通过每个“保护虚拟机”对“保护服务器”120执行恶意性扫描的速度进行预测。
在步骤204中,基于对如在步骤203中计算的扫描恶意性的执行速度的分析来选择“保护服务器”120。
对于传输到任务形成模块113,该方法可以利用如下标准中的一者或多者选择“保护服务器”120:
·如在步骤203中计算的执行恶意性扫描的最高速度;
·如在步骤203中计算的执行恶意性扫描的速度,其高于给定阈值;
·“保护服务器”的任务等待队列的最小规模;和/或
·“保护服务器”的任务等待队列的规模,其低于给定阈值。
在步骤221中,组织恶意性扫描的任务等待队列,其为包含在步骤201中接收的文件的列表且配置成执行如下功能:
·将从任务形成模块113获得的文件放在恶意性扫描的任务等待队列中,以及
·从恶意性扫描的任务等待队列选择用于传送到扫描模块123的文件,以执行恶意性扫描。
在步骤223中,从任务等待队列选择满足用于由扫描模块123进行恶意性扫描的准备标准的文件,其中准备标准可以为如下条件中的一者或多者:
·扫描模块123在选择时不执行对先前发送到扫描模块的文件的恶意性扫描;
·扫描模块123具有足以处理所选文件的计算资源。
在步骤224中,根据现有的文件扫描技术执行对在步骤223中所选的文件的恶意性扫描,例如,现有的文件扫描技术诸如基于签名的检测、启发法、隐匿程式检测等。
最后,在步骤225中,作为在步骤224中执行的恶意性扫描的结果,在检测恶意文件的情况下,宣告关于恶意文件的检测的判决。根据一个方面,然后可以将该判决发送回瘦客户端110,该瘦客户端110转而可以处理该文件(如果该判决揭示无恶意软件)或移除/隔离该文件(如果该判决揭示恶意软件)。
图3示出了通用计算机系统(其可以是个人计算机或服务器)的示例,根据示例性方面,所公开的系统和方法可以在该通用计算机系统上实现。例如,计算机系统20可以对应于保护服务器120或瘦客户端110中的一者或多者。如图所示,该计算机系统20可以包括中央处理单元21(虽然不用于瘦客户端110)、系统存储器22和连接各种系统部件的系统总线23,各种系统部件包括与中央处理单元21相关联的存储器。系统总线23像现有技术已知的任何总线结构一样来实现,该任何总线结构依次包括总线存储器或总线存储器控制器、外围总线和本地总线,能够与任何其它的总线架构交互。系统存储器包括只读存储器(ROM)24和随机存取存储器(RAM)25。基本输入/输出系统(basic input/output system,BIOS)26包括确保在个人计算机20的元件之间的信息传输的基本程序,例如在使用ROM 24加载操作系统时的那些基本程序。
然后,个人计算机20包括用于数据的读取和写入的硬盘27、用于在可移动磁盘29上读取和写入的磁盘驱动器28和用于在可移动光盘31(例如CD-ROM、DVD-ROM和其它的光学信息介质)上读取和写入的光盘驱动器30。硬盘27、磁盘驱动器28、和光盘驱动器30分别经过硬盘接口32、磁盘接口33和光盘驱动器接口34而连接到系统总线23。驱动器和对应的计算机信息介质为用于存储个人计算机20的计算机指令、数据结构、程序模块和其它数据的电源独立的模块。
本发明提供了使用硬盘27、可移动磁盘29和可移动光盘31的系统的实现方式,但是应当理解的是,可以采用能够存储以计算机可读的形式的数据的其它类型的计算机信息介质56(固态驱动器、闪存卡、数字盘、随机存取存储器(RAM)等),该其它类型的计算机信息介质56经由控制器55连接到系统总线23。
计算机20具有保留记录的操作系统35的文件系统36、以及另外的程序应用37、其它的程序模块38和程序数据39。用户能够通过使用输入设备(键盘40、鼠标42)将命令和信息输入到个人计算机20中。可以使用其它的输入设备(未示出):麦克风、操纵杆、游戏控制器、扫描器等等。这样的输入设备通常通过串行端口46而插接到计算机系统20中,该串行端口46转而连接至系统总线,但这样的输入设备可以以其它方式(例如借助并行端口、游戏端口或通用串行总线(USB))被连接。监控器47或其它类型的显示设备也经过接口(诸如视频适配器48)连接至系统总线23。除了监控器47外,个人计算机还可以配备有其它的外围输出设备(未示出),诸如扬声器、打印机等。
个人计算机20能够使用与一个或多个远程计算机49的网络连接,在网络环境中操作。一个或多个远程计算机49也是个人计算机或服务器,其具有在描述个人计算机20的性质时使用的上述元件中的大多数元件或全部元件,如图3所示。其它的设备也可以存在于计算机网络中,例如路由器、网站、对等设备或其它的网络节点。
网络连接可以形成局域计算机网络(Local-Area computer Network,LAN)50和广域计算机网络(Wide-Area computer Network,WAN),该局域计算机网络诸如有线和/或无线网络。这种网络用在企业计算机网络和公司内部网络中,并且它们通常有权访问因特网。在LAN或WAN网络中,个人计算机20通过网络适配器或网络接口51连接到局域网50。当使用网络时,个人计算机20可以采用调制解调器54或其它的用于提供与广域计算机网络(例如因特网)的通信的模块。作为内部设备或外部设备的调制解调器54通过串行端口46连接至系统总线23。应当注意的是,网络连接仅仅是示例并且不需要描述网络的准确配置,即实际上具有通过技术通信模块(诸如蓝牙)建立一个计算机到另一个计算机的连接的其它方式。
在各个方面中,本文所描述的系统和方法可以在硬件、软件、固件或它们的任何组合中实施。如果在软件中实施,则该方法可以被存储为在永久性计算机可读介质上的一个或多个指令或代码。计算机可读介质包括数据存储器。以示例性而非限制性的方式,这种计算机可读介质可以包括RAM、ROM、EEPROM、CD-ROM、闪存或其它类型的电存储介质、磁存储介质或光存储介质、或任何其它介质,该任何其它介质可用来承载或存储以指令或数据结构形式的所期望的程序代码并可以被通用计算机的处理器访问。
如上所述,在各个方面中,本发明中所描述的系统和方法可以按照模块来处理。再次申明,本文所使用的术语“模块”指的是:现实世界的设备;部件;或使用硬件(例如通过专用集成电路(ASIC)或现场可编程门阵列(field-programmable gate array,FPGA))实施的部件的布置;或硬件和软件的组合,例如通过微处理器系统和实现模块功能的指令组,该指令组(在被执行时)将微处理器系统转换成专用设备。一个模块还可以被实施为两个模块的组合,其中单独地通过硬件促进某些功能,通过硬件和软件的组合促进其它功能。在某些实现方式中,模块的至少一部分、以及在某些情况下模块的全部可以被执行在通用计算机(例如上文在图3中更详细描述的通用计算机)的处理器上。因此,每一个模块可以以各种适合的配置来实现,而不应受限于本文所示例化的任何示例性实现方式。
为了清楚起见,本文没有公开各个方面的所有例行特征。应当领会的是,在本发明的任何实际的实现方式的开发中,必须做出许多特定实现方式的决定,以便实现开发者的特定目标,并且这些特定目标将对于不同的实现方式和不同的开发者变化。应当理解的是,这种开发努力可能是复杂且费时的,但对于了解本发明的优点的本领域的普通技术人员来说仍然是工程的例行任务。
此外,应当理解的是,本文所使用的措辞或术语出于描述而非限制的目的,从而本说明书的术语或措辞应当由本领域技术人员根据本文所提出的教导和指导结合相关领域技术人员的知识来解释。此外,不旨在将本说明书或权利要求中的任何术语归于不常见的或特定的含义,除非明确如此阐述。
本文所公开的各个方面包括本文以说明性方式所提到的已知模块的现在和未来知道的等同物。此外,尽管已经示出并描述了各个方面和应用,但是对于了解本发明的优点的本领域技术人员将显而易见的是,许多比上面所提及的内容更多的修改是可行的,而不脱离本文所公开的发明构思。
Claims (11)
1.一种用于在分布式网络中检测虚拟机上的恶意文件的方法,所述方法包括:
通过所述虚拟机上运作的瘦客户端接收关于所述分布式网络中的多个服务器的计算资源的特性的数据,其中,所述多个服务器中的每个服务器配置成执行文件的恶意软件扫描;
基于接收到的所述数据,通过所述瘦客户端,基于如下项中的至少一者的集中趋势的测量确定所述多个服务器中的每个服务器的执行恶意软件扫描的速度:每个服务器的队列中的多个文件在针对恶意软件被扫描之前所消耗的时间,填充每个服务器的所述队列的速度,在从所述虚拟机获得文件与所述多个服务器中的每个服务器针对恶意软件扫描所述文件之间消逝的总时间,以及所述多个服务器中的每个服务器的计算能力的使用速度;
通过所述瘦客户端获得所述虚拟机上的待针对恶意软件扫描的至少一个文件;
通过所述瘦客户端基于确定的每个服务器的执行恶意软件扫描的速度来选择所述多个服务器中的一个服务器以执行对所述至少一个文件的恶意软件扫描;以及
通过所述瘦客户端将所述至少一个文件发送到选择的所述服务器,所述至少一个文件将被选择的所述服务器针对恶意软件进行扫描。
2.如权利要求1所述的方法,还包括:
通过选择的所述服务器将所述至少一个文件放在待针对恶意软件扫描的多个文件的队列中;以及
如果待扫描的所述多个文件中的一个文件满足待针对恶意软件扫描的准备标准,则通过选择的所述服务器选择所述一个文件。
3.如权利要求2所述的方法,其中,待扫描的所述准备标准包括如下条件:待扫描的所述文件先前未被扫描以及选择的所述服务器具有足以扫描所述一个文件以检测恶意软件的计算资源。
4.如权利要求1所述的方法,其中,所述一个服务器的选择基于所述多个服务器中的每个服务器的所确定的执行速度以及包括如下中的至少一者:
通过所述瘦客户端选择具有针对恶意软件扫描所述文件的最高执行速度的所述一个服务器;
如果针对恶意软件扫描所述文件的执行速度高于给定阈值,则通过所述瘦客户端选择具有所述速度的所述一个服务器;
通过所述瘦客户端选择具有用于待针对恶意软件扫描的文件的所述队列的最小规模的所述一个服务器;以及
通过所述瘦客户端选择待针对恶意软件扫描的文件的所述队列低于给定阈值的所述一个服务器。
5.如权利要求1所述的方法,还包括:
通过所述多个服务器中的每个服务器分别将关于所述多个服务器的计算资源的特性的所述数据分布在所述分布式网络上,使得多个瘦客户端能够访问所述数据。
6.如权利要求5所述的方法,其中,分布所述数据包括如下中的至少一者:通过广播信道路由所述数据和将所述数据多点传送到所述多个瘦客户端。
7.一种用于在分布式网络中检测多个虚拟机上的恶意文件的系统,所述系统包括:
多个服务器,所述多个服务器配置成针对恶意软件扫描文件以及将关于各个所述服务器的计算资源的特性的数据分布在所述网络上;以及
至少一个瘦客户端,所述至少一个瘦客户端在所述多个虚拟机中的一个虚拟机上运作,所述至少一个瘦客户端配置成:
从所述分布式网络中的所述多个服务器中的每个服务器接收关于计算资源的特性的所述数据,
基于接收到的所述数据,基于如下项中的至少一者的集中趋势的测量确定所述多个服务器中的每个服务器的执行恶意软件扫描的速度:每个服务器的队列中的多个文件在针对恶意软件被扫描之前所消耗的时间,填充每个服务器的所述队列的速度,在从所述虚拟机获得文件与所述多个服务器中的每个服务器针对恶意软件扫描所述文件之间消逝的总时间,以及所述多个服务器中的每个服务器的计算能力的使用速度;
获得所述虚拟机上的待针对恶意软件扫描的至少一个文件,
基于确定的每个服务器的执行恶意软件扫描的速度来选择所述多个服务器中的一个服务器以执行对所述至少一个文件的恶意软件扫描,以及
将所述至少一个文件发送到选择的所述服务器以进行恶意软件扫描。
8.如权利要求7所述的系统,其中,选择的所述服务器还配置成:
将所述至少一个文件放在待针对恶意软件扫描的多个文件的队列中;以及
如果待扫描的所述多个文件中的一个文件满足待针对恶意软件扫描的准备标准,则选择所述一个文件。
9.如权利要求8所述的系统,其中,待扫描的所述准备标准包括如下条件:待扫描的所述文件先前未被扫描以及选择的所述服务器具有足以扫描所述一个文件以检测恶意软件的计算资源。
10.如权利要求7所述的系统,其中,所述至少一个瘦客户端配置成基于所述多个服务器中的每个服务器的所确定的执行速度选择所述一个服务器以及包括如下中的至少一者:
选择具有针对恶意软件扫描所述文件的最高执行速度的所述一个服务器;
如果针对恶意软件扫描所述文件的执行速度高于给定阈值,则选择具有所述速度的所述一个服务器;
选择具有用于待针对恶意软件扫描的文件的所述队列的最小规模的所述一个服务器;以及
选择待针对恶意软件扫描的文件的所述队列低于给定阈值的所述一个服务器。
11.如权利要求7所述的系统,其中,所述多个服务器中的每个服务器配置成通过如下中的至少一者分布所述数据:通过广播信道路由所述数据和将所述数据多点传送到多个所述瘦客户端。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US15/168,305 | 2016-05-31 | ||
US15/168,305 US9665714B1 (en) | 2016-05-31 | 2016-05-31 | System and method of detecting malicious files on virtual machines in a distributed network |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107454053A CN107454053A (zh) | 2017-12-08 |
CN107454053B true CN107454053B (zh) | 2020-07-21 |
Family
ID=57211326
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610860983.5A Active CN107454053B (zh) | 2016-05-31 | 2016-09-28 | 在分布式网络中检测虚拟机上的恶意文件的系统和方法 |
Country Status (4)
Country | Link |
---|---|
US (1) | US9665714B1 (zh) |
EP (1) | EP3252647B1 (zh) |
JP (1) | JP6482510B2 (zh) |
CN (1) | CN107454053B (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10430614B2 (en) * | 2014-01-31 | 2019-10-01 | Bromium, Inc. | Automatic initiation of execution analysis |
US10747881B1 (en) * | 2017-09-15 | 2020-08-18 | Palo Alto Networks, Inc. | Using browser context in evasive web-based malware detection |
US11314863B2 (en) | 2019-03-27 | 2022-04-26 | Webroot, Inc. | Behavioral threat detection definition and compilation |
US11080394B2 (en) * | 2019-03-27 | 2021-08-03 | Webroot Inc. | Behavioral threat detection virtual machine |
US11080391B2 (en) | 2019-03-27 | 2021-08-03 | Webroot Inc. | Behavioral threat detection definition and compilation |
US11481486B2 (en) | 2019-03-27 | 2022-10-25 | Webroot Inc. | Behavioral threat detection engine |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102004674A (zh) * | 2010-05-18 | 2011-04-06 | 卡巴斯基实验室封闭式股份公司 | 用于基于策略的适应性程序配置的系统及方法 |
CN102546780A (zh) * | 2011-12-28 | 2012-07-04 | 山东大学 | 一种基于瘦客户端的文件分布式存储的运行方法 |
CN102970283A (zh) * | 2012-10-31 | 2013-03-13 | 北京奇虎科技有限公司 | 文件扫描系统 |
CN103858102A (zh) * | 2011-10-13 | 2014-06-11 | 茨特里克斯系统公司 | 用于分布式虚拟桌面基础设施的系统和方法 |
US8782174B1 (en) * | 2011-03-31 | 2014-07-15 | Emc Corporation | Uploading and downloading unsecured files via a virtual machine environment |
US8990946B1 (en) * | 2014-04-18 | 2015-03-24 | Kaspersky Lab Zao | System and methods of distributing antivirus checking tasks among virtual machines in a virtual network |
Family Cites Families (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH07134682A (ja) * | 1993-11-11 | 1995-05-23 | Canon Inc | 情報処理装置および方法 |
JP3707927B2 (ja) * | 1998-04-14 | 2005-10-19 | 富士通株式会社 | サーバスループット予約システム |
JP4322094B2 (ja) * | 2003-11-11 | 2009-08-26 | 富士通株式会社 | 情報処理方法、サービス時間導出方法、及び処理ユニット数調整方法 |
US8544096B2 (en) | 2003-12-30 | 2013-09-24 | Emc Corporation | On-access and on-demand distributed virus scanning |
JP2007241712A (ja) | 2006-03-09 | 2007-09-20 | Fujitsu Ltd | セキュリティサーバ監視装置及び負荷分散システム |
JP4916809B2 (ja) * | 2006-08-04 | 2012-04-18 | 日本電信電話株式会社 | 負荷分散制御装置および方法 |
US8997219B2 (en) * | 2008-11-03 | 2015-03-31 | Fireeye, Inc. | Systems and methods for detecting malicious PDF network content |
US8745361B2 (en) * | 2008-12-02 | 2014-06-03 | Microsoft Corporation | Sandboxed execution of plug-ins |
US8370943B1 (en) | 2009-10-28 | 2013-02-05 | Netapp, Inc. | Load balancing of scan requests to all antivirus servers in a cluster |
US20120144489A1 (en) * | 2010-12-07 | 2012-06-07 | Microsoft Corporation | Antimalware Protection of Virtual Machines |
US8595839B2 (en) | 2011-01-21 | 2013-11-26 | International Business Machines Corporation | Selecting one of a plurality of scanner nodes to perform scan operations for an interface node receiving a file request |
US8479294B1 (en) * | 2011-02-15 | 2013-07-02 | Trend Micro Incorporated | Anti-malware scan management in high-availability virtualization environments |
RU2485577C1 (ru) | 2012-05-11 | 2013-06-20 | Закрытое акционерное общество "Лаборатория Касперского" | Способ увеличения надежности определения вредоносного программного обеспечения |
WO2015083258A1 (ja) * | 2013-12-04 | 2015-06-11 | 株式会社 日立製作所 | マルウェア解析システムおよびマルウェア解析方法 |
-
2016
- 2016-05-31 US US15/168,305 patent/US9665714B1/en active Active
- 2016-08-30 JP JP2016167552A patent/JP6482510B2/ja active Active
- 2016-09-28 CN CN201610860983.5A patent/CN107454053B/zh active Active
- 2016-10-27 EP EP16195890.5A patent/EP3252647B1/en active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102004674A (zh) * | 2010-05-18 | 2011-04-06 | 卡巴斯基实验室封闭式股份公司 | 用于基于策略的适应性程序配置的系统及方法 |
US8782174B1 (en) * | 2011-03-31 | 2014-07-15 | Emc Corporation | Uploading and downloading unsecured files via a virtual machine environment |
CN103858102A (zh) * | 2011-10-13 | 2014-06-11 | 茨特里克斯系统公司 | 用于分布式虚拟桌面基础设施的系统和方法 |
CN102546780A (zh) * | 2011-12-28 | 2012-07-04 | 山东大学 | 一种基于瘦客户端的文件分布式存储的运行方法 |
CN102970283A (zh) * | 2012-10-31 | 2013-03-13 | 北京奇虎科技有限公司 | 文件扫描系统 |
US8990946B1 (en) * | 2014-04-18 | 2015-03-24 | Kaspersky Lab Zao | System and methods of distributing antivirus checking tasks among virtual machines in a virtual network |
Also Published As
Publication number | Publication date |
---|---|
US9665714B1 (en) | 2017-05-30 |
CN107454053A (zh) | 2017-12-08 |
JP2017215923A (ja) | 2017-12-07 |
EP3252647A1 (en) | 2017-12-06 |
JP6482510B2 (ja) | 2019-03-13 |
EP3252647B1 (en) | 2019-07-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107454053B (zh) | 在分布式网络中检测虚拟机上的恶意文件的系统和方法 | |
US10009381B2 (en) | System and method for threat-driven security policy controls | |
US10025927B1 (en) | Malicious content analysis with multi-version application support within single operating environment | |
EP3391274B1 (en) | Dual memory introspection for securing multiple network endpoints | |
WO2016160595A1 (en) | System and method for threat-driven security policy controls | |
CN105721461B (zh) | 利用专用计算机安全服务的系统和方法 | |
US9547765B2 (en) | Validating a type of a peripheral device | |
CN102255919B (zh) | 用于在局域网中优化安全任务的执行的系统和方法 | |
US10496819B2 (en) | System and method of distributing files between virtual machines forming a distributed system for performing antivirus scans | |
JP6400758B2 (ja) | 不正リモート管理からのコンピュータを保護するためのシステム及び方法 | |
EP2933747B1 (en) | System and methods of distributing antivirus checking tasks among virtual machines in a virtual network | |
US8805972B1 (en) | Multi-platform operational objective configurator for computing devices | |
CN104798080B (zh) | 反恶意软件签名的动态选择和加载 | |
JP6518297B2 (ja) | ウェブページのアンチウィルススキャンを実行するためのシステム及び方法 | |
US9805190B1 (en) | Monitoring execution environments for approved configurations | |
US20220046030A1 (en) | Simulating user interactions for malware analysis | |
US9270689B1 (en) | Dynamic and adaptive traffic scanning | |
EP3246842B1 (en) | System and method of distributing files between virtual machines forming a distributed system for performing antivirus scans | |
EP3059692B1 (en) | System and method for antivirus checking of objects from a plurality of virtual machines | |
CN111181914A (zh) | 一种局域网内部数据安全监控方法、装置、系统和服务器 | |
KR101998205B1 (ko) | 분산 가상환경을 이용한 악성 파일 분석 장치 및 방법 | |
RU2628919C1 (ru) | Система и способ обнаружения вредоносных файлов на распределённой системе виртуальных машин |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |