CN107612933A - 一种新型计算机网络病毒防御系统 - Google Patents

Abstract

本发明属于网络病毒防御技术领域，公开了一种新型计算机网络病毒防御系统，所述新型计算机网络病毒防御系统包括：端口检测模块、病毒监测模块、分析模块、主控模块、病毒特征库模块、病毒特征匹配模块、病毒隔离模块、病毒查杀模块、防止病毒反复感染模块。端口检测模块、病毒监测模块、分析模块分别通过电路线连接主控模块；主控模块通过电路线分别连接病毒特征库模块、病毒特征匹配模块、病毒隔离模块。本发明通过防止病毒反复感染模块可杜绝病毒再生能力；通过分析模块可针对僵尸网络病毒或者是对病毒攻击对象具有针对性的目标式攻击病毒进行分析及查杀，因此较一般防毒软件更具有针对性。

Description

一种新型计算机网络病毒防御系统

技术领域

本发明属于网络病毒防御技术领域，尤其涉及一种新型计算机网络病毒防御系统。

背景技术

计算机病毒(Computer Virus)是编制者在计算机程序中插入的破坏计算机功能或者数据的代码，能影响计算机使用，能自我复制的一组计算机指令或者程序代码。然而，计算机病毒往往可以通过注入到系统进程中的恶意代码对其他恶意模块进行监控，当发现其他病毒模块被清除，会重新释放出这些模块和进程，从而实现再生的能力。而且对于企业用户而言，某些重要服务器的重启会带来严重的业务中断，因此急需一种更为有效的清除方法；同时现有的查杀病毒不具有针对性，查杀效果不明显。

综上所述，现有技术存在的问题是：现有技术不能有效的清除病毒的再生能力，查杀后的病毒，重新释放出被清除的病毒模块和进程，实现再生的能力；同时现有的查杀病毒不具有针对性，查杀效果不明显。

发明内容

针对现有技术存在的问题，本发明提供了一种新型计算机网络病毒防御系统。

本发明是这样实现的，一种新型计算机网络病毒防御系统包括：

端口检测模块，与主控模块连接，用于计算机系统开启进程端口进行实时检测；

病毒监测模块，与主控模块连接，用于用于侦测各客户端在取得因特网通讯服务的过程中该客户端流量中是否存在可疑文件；以监控各客户端的网络流量方式作为侦测是否下载可疑文件的依据，其中通讯服务为电子邮件收发、网页浏览、实时通讯、端对端软件文件分享以及FTP文件传输；

所述病毒监测模块利用相关度和冗余度的概念定义一组最小化的目标函数，用以评价雷达辐射源信号特征子集的质量；其中相关度倾向保留所有与数据结构关联紧密的特征，而冗余度则会排除与已选特征相关度高的特征；二者作为膜微粒群算法的适应度函数；

相关度目标采用熵度量指标，定义如下：

其中，N是客户端信号数据样本的个数；a是权重系数，D_ij是样本i和样本j在x所表示的特征子集下的欧式距离；D_a表示所有样本在全空间下欧式距离的平均值。S_ij的取值必须归一化到[0，1]；当选择的特征子集合理时，样本i和样本j若属于同类，则S_ij的取值很小，反之越大；从而f₁(x)选取最小值；

冗余度目标则利用相关系数，当相关系数绝对值越小，特征子集所包含的冗余越小；目标函数定义如下：

其中，n_x表示客户端信号特征子集的个数；d是总的特征个数；x_j和x_k分别表示x中第j个和第k个元素的取值；b_ij表示第i个样本在第j个特征上的取值，b_aj表示所有样本在第j个特征上的均值。因此，在特征子集规模确定时，冗余度小的特征子集对应的目标函数f₂(x)越小；

所述客户端信号特征选择方法具体包括：

步骤一，计算Pareto前沿点，根据相关度和冗余度目标函数计算雷达信号特征个体的适应度，并求出当前字符个体中的Pareto前沿点，时间复杂度为O(N²)；

步骤二，初始化外部档案，Pareto前沿点数量小于预设数值R，则直接将所有点存入外部档案中；Pareto前沿点数量大于预设数值，根据公式(5)计算所有Pareto前沿点的拥挤距离，从拥挤距离最小的点开始逐一删除，直至备选存入外部档案的Pareto前沿点数量与预设数值相等；然后将这些前沿点存放在外部档案中；

式中，n表示目标函数的个数，d_i表示第i个字符对象的在种群中的拥挤距离，表示种群中第m个目标函数取得的最大值，表示种群中第m个目标函数取得的最小值，和是第i个字符对象在第m维两侧最临近点的第m个目标函数值，其中

步骤三，调用分裂规则创建基本膜，完成准备工作后，表层膜内开始分裂生成M个基本膜；分裂基本膜数量M与外部档案的Pareto前沿点数量相等；然后将这些存档的Pareto前沿点作为该基本膜内种群的最优个体；最后，将其余各个个体放入距离自身最近的Pareto前沿点所在基本膜中，时间复杂度为O(N×R)；

步骤四，基本膜内独立执行粒子群算法，各个基本膜内，以最先存入外部档案内的Pareto前沿点为种群最优个体，运用公式(3)X_t+1＝X_t+V_t+1和和公式(2)V_t+1＝ω×V_t+c₁×rand( )×(pBest-X_t)+c₂×rand()×(gBest-X_t)，

Π＝(V,T,C,μ,ω₁,…,ω_m,(R₁,ρ₁),…(R_m,ρ_m))，计算新的个体速度和位置。并根据最新的位置重新计算适应度；其中，公式(3)中，V_t，V_t+1分别是第t和第t+1次飞行的速度；X_t，X_t+1分别是经过第t和第t+1次飞行后粒子落在的位置；公式(4)中，V为字母表，其所包含元素为字符对象。它是对细胞内新陈代谢元素、物质的抽象；为输出字母表；为催化剂，这些元素在细胞进化过程中即不发生变化，也不产生新的字符。但在某些进化规则中必需有它的参与才能执行，如果不存在规则将无法被执行；μ是包含m个膜的膜结构，各个膜及其所围的区域用标号集H表示，H＝{1,2,…,m}，其中m称为该膜系统的度；ω_i∈V^*(1≤i≤m)表示膜结构μ中的区域i里面含有对象的多重集，V^*是V中字符组成的任意字符对象的集合；R_i(1≤i≤m)是进化规则的有限集，每一个R_i是与膜结构u中的区域i相关联的，ρ_i是R_i中的偏序关系，称为优先关系，表示规则R_i执行的优先关系。R_i的进化规则是二元组(u,v)，通常写成u→v，v中字符可以属于V也可以不属于V，但当某规则执行后产生了不属于V的字符对象时，执行该规则后膜被溶解；u的长度即u所含字符对象的个数称为规则u→v的半径；

步骤五，溶解；完成各自的粒子群算法后，各个基本膜破裂，将新产生的字符(个体)重新释放到表层膜内；

步骤六，计算前沿点，放入外部档案；计算步骤五中所有被释放到表层膜字符的Pareto前沿点；并将这些点存入外部档案中；

步骤七，计算非支配排序，更新外部档案，判断外部档案字符数量是否超出限制，如果超出限制，重新档案内所有字符的拥挤距离；从拥挤距离最小的点开始逐一删除，直至外部档案内字符数量与预设数值相等，时间复杂度为O(D×2R×log(2R))；

步骤八，迭代，判断当前状态是否满足结束循环的条件；如果不满足，则继续执行步骤三；如果满足，执行输出外部存档内的所有字符步骤；

分析模块，与主控模块连接，用于当病毒监测模块监测到客户端在取得网络通讯服务过程中该客户端流量中存在有可疑文件时，在取得网络通讯服务过程中客户端发生网络流量异常的情形，捕捉客户端在取得网络通讯服务过程中的可疑文件的可疑文件样本，并暂存于数据库中以供判断该可疑文件样本中是否存在网络病毒以及该网络病毒可能执行的恶意行为，并生成该可疑文件样本对应的网络病毒行为分析报告；

主控模块，与端口检测模块、病毒监测模块、分析模块、病毒特征库模块、病毒特征匹配模块、病毒隔离模块、病毒查杀模块连接，用于将端口检测模块、病毒监测模块、分析模块数据信息进行存储与处理分析，并对病毒程序进行防御措施；

所述主控模块估计时频重叠信号的双谱方法包括：

接收的时频重叠信号的表达式如下：

y(t)＝x₁(t)+x₂(t)+…x_p(t)+n(t)；

其中x_i(t)表示第i个分量信号，p为分量信号个数，n(t)表示高斯噪声信号，y(t)表示接收的时频重叠信号，其三阶累积量的表达式如下：

C_3y(τ₁,τ₂)＝E[y(t)y(t+τ₁)y(t+τ₂)]；

其中，τ₁，τ₂为两个不同时延；由三阶累积量的性质，高斯噪声的三阶累积量恒等于零，上式表示为：

令即C_3y(τ₁,τ₂)＝C_3x(τ₁,τ₂)；

对C_3y(τ₁,τ₂)进行二次傅里叶变换可得到时频重叠信号的双谱B_3y(ω₁,ω₂)：

B_3y(ω₁,ω₂)＝B_3x(ω₁,ω₂)＝X(ω₁)X(ω₂)X^*(ω₁+ω₂)；

其中，ω₁，ω₂为两个不同频率；

所述主控模块时频重叠MASK的信号模型表示为：

其中，N为时频重叠信号的信号分量个数，n(t)是加性高斯白噪声，s_i(t)为时频重叠信号的信号分量，其表示为式中A_i表示信号分量的幅度，a_i(m)表示信号分量的码元符号，p(t)表示成型滤波函数，T_i表示信号分量的码元周期，f_ci表示信号分量的载波频率，表示信号分量的相位；MASK信号的循环双谱的对角切片谱表示为：

其中，y(t)表示MASK信号，α是y(t)的循环频率，f_c表示信号的载波频率，T是信号的码元周期，k为整数，C_a,3表示随机序列a的三阶累积量，δ()是冲激函数，P(f)是成型脉冲函数，表达式为：

对循环双谱的对角切片谱取f＝0截面得到：

对于MASK信号，其循环双谱的对角切片谱的f＝0截面，在处存在峰值，并携有信号的载频信息；由于循环双谱的对角切片谱满足线性叠加性，则时频重叠MASK信号循环双谱的对角切片谱的表达式为：

其中，是常数，与第i个信号分量的调制方式有关，T_i是第i个信号分量的码元周期；

病毒特征库模块，与主控模块连接，用于存储各类病毒特征信息数据；

病毒特征匹配模块，与主控模块连接、病毒查杀模块，用于计算被监控主机通信数据包的病毒特征指纹，与病毒特征库模块内的病毒特征比对，并将对比结果发送到病毒查杀模块进行处理；

病毒隔离模块，与主控模块连接，用于利用模拟服务进程与产生异常流量的主机通信，提取攻击指纹特征，充实病毒特征库；

病毒查杀模块，与病毒特征匹配模块、防止病毒反复感染模块连接，用于对病毒特征匹配模块匹配结果进行处理，如果匹配成功则进行查杀，如果没有匹配成功则记录存储查杀信息记录；

防止病毒反复感染模块，与病毒查杀模块连接，用于对病毒查杀模块查杀病毒后，防止病毒被清除后重新释放出病毒和进程，实现再生的能力。

进一步，所述分析模块具体分析方法如下：

步骤一，先行将所捕捉的各客户端取得通讯服务过程中所存在的可疑文件样本移至沙箱(sandbox)中，从而于该沙箱中开启该可疑文件样本，从而分析该可疑文件样本中是否会对系统进行攻击而产生可执行的攻击程序，若有，则进一步针对该可执行的攻击程序的安全性进行分析，例如分析该程序是否会尝试修改系统设定、执行漏洞攻击、窃取系统数据以及对外下载更多攻击程序等等恶意程序的行为，故可将含有危害性的可执行程序的可疑文件样本确定为恶意文件。

步骤二，令该分析模块通过开启该恶意文件来识别其相应的病毒行为模式，例如已经实施的病毒行为，正在进行的病毒行为以及将要执行的病毒行为等。

步骤三，再令分析模块分析该恶意文件是否有网络访问请求，若有则提取该恶意文件的网络访问路径、访问程序名称等信息，并针对该恶意文件的网络访问请求执行监控，以此确定出与该恶意文件相关的网络恶意站点以及病毒控制主机，

步骤四，令分析模块记录该恶意文件中所存在的网络病毒及其病毒行为模式(如受控制及感染行为)，以及与该恶意文件相关的网络恶意站点以及病毒控制主机的地址等信息，并生成前述网络病毒行为分析报告。

进一步，所述防止病毒反复感染模块方法如下：

首先，扫描并清除计算机中存在的所述计算机病毒的恶意模块，并记录被清除的恶意模块的信息；

然后，根据所述被清除的恶意模块的信息生成拦截对象列表并传输给内核驱动；

最后，通过所述内核驱动阻止其他进程再次创建所述拦截对象列表中记录的恶意模块。

本发明通过防止病毒反复感染模块可将计算机病毒的恶意模块进行扫描和清除的同时，将其记录在拦截对象列表中，最后通过内核驱动阻止其他进程再次创建所述拦截对象列表中记录的恶意模块，杜绝病毒再生能力；通过分析模块可针对网络中各种已知或未知的网络攻击及恶意文件进行实时地分析及阻断防御处理，不但可提高病毒查杀的成功效率亦能有效降低客户端遭受病毒攻击的风险，且本发明通过部署至ISP/IDC网络中，可针对僵尸网络病毒或者是对病毒攻击对象具有针对性的目标式攻击病毒进行分析及查杀，因此较一般防毒软件更具有针对性。

附图说明

图1是本发明实施例提供的新型计算机网络病毒防御系统结构示意图；

图中：1、端口检测模块；2、病毒监测模块；3、分析模块；4、主控模块；5、病毒特征库模块；6、病毒特征匹配模块；7、病毒隔离模块；8、病毒查杀模块；9、防止病毒反复感染模块。

具体实施方式

为能进一步了解本发明的发明内容、特点及功效，兹例举以下实施例，并配合附图详细说明如下。

下面结合附图对本发明的结构作详细的描述。

如图1所示，本发明实施例提供的新型计算机网络病毒防御系统包括：端口检测模块1、病毒监测模块2、分析模块3、主控模块4、病毒特征库模块5、病毒特征匹配模块6、病毒隔离模块7、病毒查杀模块8。

端口检测模块1、病毒监测模块2、分析模块3分别通过电路线连接主控模块4；主控模块4通过电路线分别连接病毒特征库模块5、病毒特征匹配模块6、病毒隔离模块7。

端口检测模块1，与主控模块4连接，用于计算机系统开启进程端口进行实时检测；

病毒监测模块2，与主控模块4连接，用于用于侦测各客户端在取得因特网通讯服务的过程中该客户端流量中是否存在可疑文件。以监控各客户端的网络流量方式作为侦测是否下载可疑文件的依据，其中通讯服务为电子邮件收发、网页浏览、实时通讯、端对端软件(P2P)文件分享以及FTP文件传输等；

分析模块3，与主控模块4连接，用于当病毒监测模块2监测到客户端在取得网络通讯服务过程中该客户端流量中存在有可疑文件时，例如在取得网络通讯服务过程中客户端发生网络流量异常的情形，捕捉客户端在取得网络通讯服务过程中的可疑文件的可疑文件样本，并暂存于数据库中以供判断该可疑文件样本中是否存在网络病毒以及该网络病毒可能执行的恶意行为，并生成该可疑文件样本对应的网络病毒行为分析报告；

主控模块4，与端口检测模块1、病毒监测模块2、分析模块3、病毒特征库模块5、病毒特征匹配模块6、病毒隔离模块7、病毒查杀模块8连接，用于将端口检测模块1、病毒监测模块2、分析模块3数据信息进行存储与处理分析，并对病毒程序进行防御措施；

病毒特征库模块5，与主控模块4连接，用于存储各类病毒特征信息数据；

病毒特征匹配模块6，与主控模块4连接、病毒查杀模块8，用于计算被监控主机通信数据包的病毒特征指纹，与病毒特征库模块5内的病毒特征比对，并将对比结果发送到病毒查杀模块8进行处理；

病毒隔离模块7，与主控模块4连接，用于利用模拟服务进程与产生异常流量的主机通信，提取攻击指纹特征，充实病毒特征库；

病毒查杀模块8，与病毒特征匹配模块6、防止病毒反复感染模块9连接，用于对病毒特征匹配模块6匹配结果进行处理，如果匹配成功则进行查杀，如果没有匹配成功则记录存储查杀信息记录。

防止病毒反复感染模块9，与病毒查杀模块8连接，用于对病毒查杀模块8查杀病毒后，防止病毒被清除后重新释放出病毒和进程，从而实现再生的能力。

所述病毒监测模块利用相关度和冗余度的概念定义一组最小化的目标函数，用以评价雷达辐射源信号特征子集的质量；其中相关度倾向保留所有与数据结构关联紧密的特征，而冗余度则会排除与已选特征相关度高的特征；二者作为膜微粒群算法的适应度函数；

相关度目标采用熵度量指标，定义如下：

其中，N是客户端信号数据样本的个数；a是权重系数，D_ij是样本i和样本j在x所表示的特征子集下的欧式距离；D_a表示所有样本在全空间下欧式距离的平均值。S_ij的取值必须归一化到[0，1]；当选择的特征子集合理时，样本i和样本j若属于同类，则S_ij的取值很小，反之越大；从而f₁(x)选取最小值；

冗余度目标则利用相关系数，当相关系数绝对值越小，特征子集所包含的冗余越小；目标函数定义如下：

其中，n_x表示客户端信号特征子集的个数；d是总的特征个数；x_j和x_k分别表示x中第j个和第k个元素的取值；b_ij表示第i个样本在第j个特征上的取值，b_aj表示所有样本在第j个特征上的均值。因此，在特征子集规模确定时，冗余度小的特征子集对应的目标函数f₂(x)越小；

所述客户端信号特征选择方法具体包括：

步骤一，计算Pareto前沿点，根据相关度和冗余度目标函数计算雷达信号特征个体的适应度，并求出当前字符个体中的Pareto前沿点，时间复杂度为O(N²)；

步骤二，初始化外部档案，Pareto前沿点数量小于预设数值R，则直接将所有点存入外部档案中；Pareto前沿点数量大于预设数值，根据公式(5)计算所有Pareto前沿点的拥挤距离，从拥挤距离最小的点开始逐一删除，直至备选存入外部档案的Pareto前沿点数量与预设数值相等；然后将这些前沿点存放在外部档案中；

式中，n表示目标函数的个数，d_i表示第i个字符对象的在种群中的拥挤距离，表示种群中第m个目标函数取得的最大值，表示种群中第m个目标函数取得的最小值，和是第i个字符对象在第m维两侧最临近点的第m个目标函数值，其中

步骤三，调用分裂规则创建基本膜，完成准备工作后，表层膜内开始分裂生成M个基本膜；分裂基本膜数量M与外部档案的Pareto前沿点数量相等；然后将这些存档的Pareto前沿点作为该基本膜内种群的最优个体；最后，将其余各个个体放入距离自身最近的Pareto前沿点所在基本膜中，时间复杂度为O(N×R)；

步骤四，基本膜内独立执行粒子群算法，各个基本膜内，以最先存入外部档案内的Pareto前沿点为种群最优个体，运用公式(3)X_t+1＝X_t+V_t+1和和公式(2)V_t+1＝ω×V_t+c₁×rand()×(pBest-X_t)+c₂×rand()×(gBest-X_t)，

Π＝(V,T,C,μ,ω₁,…,ω_m,(R₁,ρ₁),…(R_m,ρ_m))，计算新的个体速度和位置。并根据最新的位置重新计算适应度；其中，公式(3)中，V_t，V_t+1分别是第t和第t+1次飞行的速度；X_t，X_t+1分别是经过第t和第t+1次飞行后粒子落在的位置；公式(4)中，V为字母表，其所包含元素为字符对象。它是对细胞内新陈代谢元素、物质的抽象；为输出字母表；为催化剂，这些元素在细胞进化过程中即不发生变化，也不产生新的字符。但在某些进化规则中必需有它的参与才能执行，如果不存在规则将无法被执行；μ是包含m个膜的膜结构，各个膜及其所围的区域用标号集H表示，H＝{1,2,…,m}，其中m称为该膜系统的度；ω_i∈V^*(1≤i≤m)表示膜结构μ中的区域i里面含有对象的多重集，V^*是V中字符组成的任意字符对象的集合；R_i(1≤i≤m)是进化规则的有限集，每一个R_i是与膜结构u中的区域i相关联的，ρ_i是R_i中的偏序关系，称为优先关系，表示规则R_i执行的优先关系。R_i的进化规则是二元组(u,v)，通常写成u→v，v中字符可以属于V也可以不属于V，但当某规则执行后产生了不属于V的字符对象时，执行该规则后膜被溶解；u的长度即u所含字符对象的个数称为规则u→v的半径；

步骤五，溶解；完成各自的粒子群算法后，各个基本膜破裂，将新产生的字符(个体)重新释放到表层膜内；

步骤六，计算前沿点，放入外部档案；计算步骤五中所有被释放到表层膜字符的Pareto前沿点；并将这些点存入外部档案中；

步骤七，计算非支配排序，更新外部档案，判断外部档案字符数量是否超出限制，如果超出限制，重新档案内所有字符的拥挤距离；从拥挤距离最小的点开始逐一删除，直至外部档案内字符数量与预设数值相等，时间复杂度为O(D×2R×log(2R))；

步骤八，迭代，判断当前状态是否满足结束循环的条件；如果不满足，则继续执行步骤三；如果满足，执行输出外部存档内的所有字符步骤。

所述主控模块估计时频重叠信号的双谱方法包括：

接收的时频重叠信号的表达式如下：

y(t)＝x₁(t)+x₂(t)+…x_p(t)+n(t)；

其中x_i(t)表示第i个分量信号，p为分量信号个数，n(t)表示高斯噪声信号，y(t)表示接收的时频重叠信号，其三阶累积量的表达式如下：

C_3y(τ₁,τ₂)＝E[y(t)y(t+τ₁)y(t+τ₂)]；

其中，τ₁，τ₂为两个不同时延；由三阶累积量的性质，高斯噪声的三阶累积量恒等于零，上式表示为：

令即C_3y(τ₁,τ₂)＝C_3x(τ₁,τ₂)；

对C_3y(τ₁,τ₂)进行二次傅里叶变换可得到时频重叠信号的双谱B_3y(ω₁,ω₂)：

B_3y(ω₁,ω₂)＝B_3x(ω₁,ω₂)＝X(ω₁)X(ω₂)X^*(ω₁+ω₂)；

其中，ω₁，ω₂为两个不同频率；

所述主控模块时频重叠MASK的信号模型表示为：

其中，N为时频重叠信号的信号分量个数，n(t)是加性高斯白噪声，s_i(t)为时频重叠信号的信号分量，其表示为式中A_i表示信号分量的幅度，a_i(m)表示信号分量的码元符号，p(t)表示成型滤波函数，T_i表示信号分量的码元周期，f_ci表示信号分量的载波频率，表示信号分量的相位；MASK信号的循环双谱的对角切片谱表示为：

其中，y(t)表示MASK信号，α是y(t)的循环频率，f_c表示信号的载波频率，T是信号的码元周期，k为整数，C_a,3表示随机序列a的三阶累积量，δ()是冲激函数，P(f)是成型脉冲函数，表达式为：

对循环双谱的对角切片谱取f＝0截面得到：

对于MASK信号，其循环双谱的对角切片谱的f＝0截面，在处存在峰值，并携有信号的载频信息；由于循环双谱的对角切片谱满足线性叠加性，则时频重叠MASK信号循环双谱的对角切片谱的表达式为：

其中，是常数，与第i个信号分量的调制方式有关，T_i是第i个信号分量的码元周期。

本发明提供的分析模块3具体分析方法如下：

步骤一，先行将所捕捉的各客户端取得通讯服务过程中所存在的可疑文件样本移至沙箱(sandbox)中，从而于该沙箱中开启该可疑文件样本，从而分析该可疑文件样本中是否会对系统进行攻击而产生可执行的攻击程序，若有，则进一步针对该可执行的攻击程序的安全性进行分析，例如分析该程序是否会尝试修改系统设定、执行漏洞攻击、窃取系统数据以及对外下载更多攻击程序等等恶意程序的行为，故可将含有危害性的可执行程序的可疑文件样本确定为恶意文件。

步骤二，令该分析模块3通过开启该恶意文件来识别其相应的病毒行为模式，例如已经实施的病毒行为，正在进行的病毒行为以及将要执行的病毒行为等。

步骤三，再令分析模块3分析该恶意文件是否有网络访问请求，若有则提取该恶意文件的网络访问路径、访问程序名称等信息，并针对该恶意文件的网络访问请求执行监控，以此确定出与该恶意文件相关的网络恶意站点以及病毒控制主机，

步骤四，令分析模块3记录该恶意文件中所存在的网络病毒及其病毒行为模式(如受控制及感染行为)，以及与该恶意文件相关的网络恶意站点以及病毒控制主机的地址等信息，并生成前述网络病毒行为分析报告。

本发明提供的防止病毒反复感染模块9方法如下：

首先，扫描并清除计算机中存在的所述计算机病毒的恶意模块，并记录被清除的恶意模块的信息；

其次，根据所述被清除的恶意模块的信息生成拦截对象列表并传输给内核驱动；

最后，通过所述内核驱动阻止其他进程再次创建所述拦截对象列表中记录的恶意模块。

本发明端口检测模块1、病毒监测模块2、分析模块3获取的数据信息通过主控模块4进行存储与处理分析，调取病毒特征匹配模块6对计算被监控主机通信数据包的病毒特征指纹，与病毒特征库模块5内的病毒特征比对，并将对比结果发送到病毒查杀模块8进行处理；如果匹配成功则进行查杀，如果没有匹配成功则记录存储查杀信息记录。

以上所述仅是对本发明的较佳实施例而已，并非对本发明作任何形式上的限制，凡是依据本发明的技术实质对以上实施例所做的任何简单修改、等同变化与修饰，均属于本发明技术方案的范围内。

Claims (3)

1.一种新型计算机网络病毒防御系统，其特征在于，所述新型计算机网络病毒防御系统包括：

端口检测模块，与主控模块连接，用于计算机系统开启进程端口进行实时检测；

病毒监测模块，与主控模块连接，用于用于侦测各客户端在取得因特网通讯服务的过程中该客户端流量中是否存在可疑文件；以监控各客户端的网络流量方式作为侦测是否下载可疑文件的依据，其中通讯服务为电子邮件收发、网页浏览、实时通讯、端对端软件文件分享以及FTP文件传输；

所述病毒监测模块利用相关度和冗余度的概念定义一组最小化的目标函数，用以评价雷达辐射源信号特征子集的质量；其中相关度倾向保留所有与数据结构关联紧密的特征，而冗余度则会排除与已选特征相关度高的特征；二者作为膜微粒群算法的适应度函数；

相关度目标采用熵度量指标，定义如下：

<mrow> <msub> <mi>f</mi> <mn>1</mn> </msub> <mrow> <mo>(</mo> <mi>x</mi> <mo>)</mo> </mrow> <mo>=</mo> <mo>-</mo> <munderover> <mo>&amp;Sigma;</mo> <mrow> <mi>i</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>N</mi> </munderover> <munderover> <mo>&amp;Sigma;</mo> <mrow> <mi>j</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>N</mi> </munderover> <mrow> <mo>(</mo> <msub> <mi>s</mi> <mrow> <mi>i</mi> <mi>j</mi> </mrow> </msub> <mi>lg</mi> <mi> </mi> <msub> <mi>s</mi> <mrow> <mi>i</mi> <mi>j</mi> </mrow> </msub> <mo>+</mo> <mo>(</mo> <mrow> <mn>1</mn> <mo>-</mo> <msub> <mi>s</mi> <mrow> <mi>i</mi> <mi>j</mi> </mrow> </msub> </mrow> <mo>)</mo> <mi>lg</mi> <mo>(</mo> <mrow> <mn>1</mn> <mo>-</mo> <msub> <mi>s</mi> <mrow> <mi>i</mi> <mi>j</mi> </mrow> </msub> </mrow> <mo>)</mo> <mo>)</mo> </mrow> </mrow>

s_ij＝exp(-aD_ij),

其中，N是客户端信号数据样本的个数；a是权重系数，D_ij是样本i和样本j在x所表示的特征子集下的欧式距离；D_a表示所有样本在全空间下欧式距离的平均值。S_ij的取值必须归一化到[0，1]；当选择的特征子集合理时，样本i和样本j若属于同类，则S_ij的取值很小，反之越大；从而f₁(x)选取最小值；

冗余度目标则利用相关系数，当相关系数绝对值越小，特征子集所包含的冗余越小；目标函数定义如下：

<mrow> <msub> <mi>f</mi> <mn>2</mn> </msub> <mrow> <mo>(</mo> <mi>x</mi> <mo>)</mo> </mrow> <mo>=</mo> <mfrac> <mn>1</mn> <mi>n</mi> </mfrac> <munderover> <mo>&amp;Sigma;</mo> <mrow> <mi>j</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>d</mi> </munderover> <munderover> <mo>&amp;Sigma;</mo> <mrow> <mi>k</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>d</mi> </munderover> <msub> <mi>x</mi> <mi>j</mi> </msub> <msub> <mi>x</mi> <mi>k</mi> </msub> <mo>|</mo> <msub> <mi>c</mi> <mrow> <mi>j</mi> <mi>k</mi> </mrow> </msub> <mo>|</mo> <mo>-</mo> <msub> <mi>n</mi> <mi>x</mi> </msub> </mrow>

<mrow> <msub> <mi>c</mi> <mrow> <mi>j</mi> <mi>k</mi> </mrow> </msub> <mo>=</mo> <mfrac> <mrow> <munderover> <mo>&amp;Sigma;</mo> <mrow> <mi>i</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>N</mi> </munderover> <mrow> <mo>(</mo> <msub> <mi>b</mi> <mrow> <mi>i</mi> <mi>j</mi> </mrow> </msub> <mo>-</mo> <msub> <mi>b</mi> <mrow> <mi>a</mi> <mi>j</mi> </mrow> </msub> <mo>)</mo> </mrow> <mrow> <mo>(</mo> <msub> <mi>b</mi> <mrow> <mi>i</mi> <mi>k</mi> </mrow> </msub> <mo>-</mo> <msub> <mi>b</mi> <mrow> <mi>a</mi> <mi>k</mi> </mrow> </msub> <mo>)</mo> </mrow> </mrow> <mrow> <msqrt> <mrow> <munderover> <mo>&amp;Sigma;</mo> <mrow> <mi>i</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>N</mi> </munderover> <msup> <mrow> <mo>(</mo> <msub> <mi>b</mi> <mrow> <mi>i</mi> <mi>j</mi> </mrow> </msub> <mo>-</mo> <msub> <mi>b</mi> <mrow> <mi>a</mi> <mi>j</mi> </mrow> </msub> <mo>)</mo> </mrow> <mn>2</mn> </msup> </mrow> </msqrt> <msqrt> <mrow> <munderover> <mo>&amp;Sigma;</mo> <mrow> <mi>i</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>N</mi> </munderover> <msup> <mrow> <mo>(</mo> <msub> <mi>b</mi> <mrow> <mi>i</mi> <mi>k</mi> </mrow> </msub> <mo>-</mo> <msub> <mi>b</mi> <mrow> <mi>a</mi> <mi>k</mi> </mrow> </msub> <mo>)</mo> </mrow> <mn>2</mn> </msup> </mrow> </msqrt> </mrow> </mfrac> </mrow>

其中，n_x表示客户端信号特征子集的个数；d是总的特征个数；x_j和x_k分别表示x中第j个和第k个元素的取值；b_ij表示第i个样本在第j个特征上的取值，b_aj表示所有样本在第j个特征上的均值。因此，在特征子集规模确定时，冗余度小的特征子集对应的目标函数f₂(x)越小；

所述客户端信号特征选择方法具体包括：

步骤一，计算Pareto前沿点，根据相关度和冗余度目标函数计算雷达信号特征个体的适应度，并求出当前字符个体中的Pareto前沿点，时间复杂度为O(N²)；

步骤二，初始化外部档案，Pareto前沿点数量小于预设数值R，则直接将所有点存入外部档案中；Pareto前沿点数量大于预设数值，根据公式(5)计算所有Pareto前沿点的拥挤距离，从拥挤距离最小的点开始逐一删除，直至备选存入外部档案的Pareto前沿点数量与预设数值相等；然后将这些前沿点存放在外部档案中；

式中，n表示目标函数的个数，d_i表示第i个字符对象的在种群中的拥挤距离，表示种群中第m个目标函数取得的最大值，表示种群中第m个目标函数取得的最小值，和是第i个字符对象在第m维两侧最临近点的第m个目标函数值，其中

步骤三，调用分裂规则创建基本膜，完成准备工作后，表层膜内开始分裂生成M个基本膜；分裂基本膜数量M与外部档案的Pareto前沿点数量相等；然后将这些存档的Pareto前沿点作为该基本膜内种群的最优个体；最后，将其余各个个体放入距离自身最近的Pareto前沿点所在基本膜中，时间复杂度为O(N×R)；

步骤四，基本膜内独立执行粒子群算法，各个基本膜内，以最先存入外部档案内的Pareto前沿点为种群最优个体，运用公式(3)X_t+1＝X_t+V_t+1和和公式(2)V_t+1＝ω×V_t+c₁×rand()×(pBest-X_t)+c₂×rand()×(gBest-X_t)，

Π＝(V,T,C,μ,ω₁,…,ω_m,(R₁,ρ₁),…(R_m,ρ_m))，计算新的个体速度和位置。并根据最新的位置重新计算适应度；其中，公式(3)中，V_t，V_t+1分别是第t和第t+1次飞行的速度；X_t，X_t+1分别是经过第t和第t+1次飞行后粒子落在的位置；公式(4)中，V为字母表，其所包含元素为字符对象。它是对细胞内新陈代谢元素、物质的抽象；为输出字母表；为催化剂，这些元素在细胞进化过程中即不发生变化，也不产生新的字符。但在某些进化规则中必需有它的参与才能执行，如果不存在规则将无法被执行；μ是包含m个膜的膜结构，各个膜及其所围的区域用标号集H表示，H＝{1,2,…,m}，其中m称为该膜系统的度；ω_i∈V^*(1≤i≤m)表示膜结构μ中的区域i里面含有对象的多重集，V^*是V中字符组成的任意字符对象的集合；R_i(1≤i≤m)是进化规则的有限集，每一个R_i是与膜结构u中的区域i相关联的，ρ_i是R_i中的偏序关系，称为优先关系，表示规则R_i执行的优先关系。R_i的进化规则是二元组(u,v)，通常写成u→v，v中字符可以属于V也可以不属于V，但当某规则执行后产生了不属于V的字符对象时，执行该规则后膜被溶解；u的长度即u所含字符对象的个数称为规则u→v的半径；

步骤五，溶解；完成各自的粒子群算法后，各个基本膜破裂，将新产生的字符(个体)重新释放到表层膜内；

步骤六，计算前沿点，放入外部档案；计算步骤五中所有被释放到表层膜字符的Pareto前沿点；并将这些点存入外部档案中；

步骤七，计算非支配排序，更新外部档案，判断外部档案字符数量是否超出限制，如果超出限制，重新档案内所有字符的拥挤距离；从拥挤距离最小的点开始逐一删除，直至外部档案内字符数量与预设数值相等，时间复杂度为O(D×2R×log(2R))；

步骤八，迭代，判断当前状态是否满足结束循环的条件；如果不满足，则继续执行步骤三；如果满足，执行输出外部存档内的所有字符步骤；

分析模块，与主控模块连接，用于当病毒监测模块监测到客户端在取得网络通讯服务过程中该客户端流量中存在有可疑文件时，在取得网络通讯服务过程中客户端发生网络流量异常的情形，捕捉客户端在取得网络通讯服务过程中的可疑文件的可疑文件样本，并暂存于数据库中以供判断该可疑文件样本中是否存在网络病毒以及该网络病毒可能执行的恶意行为，并生成该可疑文件样本对应的网络病毒行为分析报告；

主控模块，与端口检测模块、病毒监测模块、分析模块、病毒特征库模块、病毒特征匹配模块、病毒隔离模块、病毒查杀模块连接，用于将端口检测模块、病毒监测模块、分析模块数据信息进行存储与处理分析，并对病毒程序进行防御措施；

所述主控模块估计时频重叠信号的双谱方法包括：

接收的时频重叠信号的表达式如下：

y(t)＝x₁(t)+x₂(t)+…x_p(t)+n(t)；

其中x_i(t)表示第i个分量信号，p为分量信号个数，n(t)表示高斯噪声信号，y(t)表示接收的时频重叠信号，其三阶累积量的表达式如下：

C_3y(τ₁,τ₂)＝E[y(t)y(t+τ₁)y(t+τ₂)]；

其中，τ₁，τ₂为两个不同时延；由三阶累积量的性质，高斯噪声的三阶累积量恒等于零，上式表示为：

<mrow> <msub> <mi>C</mi> <mrow> <mn>3</mn> <mi>y</mi> </mrow> </msub> <mrow> <mo>(</mo> <msub> <mi>&amp;tau;</mi> <mn>1</mn> </msub> <mo>,</mo> <msub> <mi>&amp;tau;</mi> <mn>2</mn> </msub> <mo>)</mo> </mrow> <mo>=</mo> <msub> <mi>C</mi> <mrow> <mn>3</mn> <msub> <mi>x</mi> <mn>1</mn> </msub> </mrow> </msub> <mrow> <mo>(</mo> <msub> <mi>&amp;tau;</mi> <mn>1</mn> </msub> <mo>,</mo> <msub> <mi>&amp;tau;</mi> <mn>2</mn> </msub> <mo>)</mo> </mrow> <mo>+</mo> <msub> <mi>C</mi> <mrow> <mn>3</mn> <msub> <mi>x</mi> <mn>2</mn> </msub> </mrow> </msub> <mrow> <mo>(</mo> <msub> <mi>&amp;tau;</mi> <mn>1</mn> </msub> <mo>,</mo> <msub> <mi>&amp;tau;</mi> <mn>2</mn> </msub> <mo>)</mo> </mrow> <mo>+</mo> <mo>...</mo> <mo>+</mo> <msub> <mi>C</mi> <mrow> <mn>3</mn> <msub> <mi>x</mi> <mi>p</mi> </msub> </mrow> </msub> <mrow> <mo>(</mo> <msub> <mi>&amp;tau;</mi> <mn>1</mn> </msub> <mo>,</mo> <msub> <mi>&amp;tau;</mi> <mn>2</mn> </msub> <mo>)</mo> </mrow> <mo>;</mo> </mrow>

令即C_3y(τ₁,τ₂)＝C_3x(τ₁,τ₂)；

对C_3y(τ₁,τ₂)进行二次傅里叶变换可得到时频重叠信号的双谱B_3y(ω₁,ω₂)：

B_3y(ω₁,ω₂)＝B_3x(ω₁,ω₂)＝X(ω₁)X(ω₂)X^*(ω₁+ω₂)；

其中，ω₁，ω₂为两个不同频率；

所述主控模块时频重叠MASK的信号模型表示为：

<mrow> <mi>x</mi> <mrow> <mo>(</mo> <mi>t</mi> <mo>)</mo> </mrow> <mo>=</mo> <munderover> <mo>&amp;Sigma;</mo> <mrow> <mi>i</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>N</mi> </munderover> <msub> <mi>s</mi> <mi>i</mi> </msub> <mrow> <mo>(</mo> <mi>t</mi> <mo>)</mo> </mrow> <mo>+</mo> <mi>n</mi> <mrow> <mo>(</mo> <mi>t</mi> <mo>)</mo> </mrow> <mo>;</mo> </mrow>

其中，N为时频重叠信号的信号分量个数，n(t)是加性高斯白噪声，s_i(t)为时频重叠信号的信号分量，其表示为式中A_i表示信号分量的幅度，a_i(m)表示信号分量的码元符号，p(t)表示成型滤波函数，T_i表示信号分量的码元周期，f_ci表示信号分量的载波频率，表示信号分量的相位；MASK信号的循环双谱的对角切片谱表示为：

其中，y(t)表示MASK信号，α是y(t)的循环频率，f_c表示信号的载波频率，T是信号的码元周期，k为整数，C_a,3表示随机序列a的三阶累积量，δ()是冲激函数，P(f)是成型脉冲函数，表达式为：

<mrow> <mi>P</mi> <mrow> <mo>(</mo> <mi>f</mi> <mo>)</mo> </mrow> <mo>=</mo> <mfrac> <mrow> <mi>sin</mi> <mi>&amp;pi;</mi> <mi>f</mi> <mi>T</mi> </mrow> <mrow> <mi>&amp;pi;</mi> <mi>f</mi> </mrow> </mfrac> <mo>;</mo> </mrow>

对循环双谱的对角切片谱取f＝0截面得到：

对于MASK信号，其循环双谱的对角切片谱的f＝0截面，在处存在峰值，并携有信号的载频信息；由于循环双谱的对角切片谱满足线性叠加性，则时频重叠MASK信号循环双谱的对角切片谱的表达式为：

其中，是常数，与第i个信号分量的调制方式有关，T_i是第i个信号分量的码元周期；

病毒特征库模块，与主控模块连接，用于存储各类病毒特征信息数据；

病毒特征匹配模块，与主控模块连接、病毒查杀模块，用于计算被监控主机通信数据包的病毒特征指纹，与病毒特征库模块内的病毒特征比对，并将对比结果发送到病毒查杀模块进行处理；

病毒隔离模块，与主控模块连接，用于利用模拟服务进程与产生异常流量的主机通信，提取攻击指纹特征，充实病毒特征库；

病毒查杀模块，与病毒特征匹配模块、防止病毒反复感染模块连接，用于对病毒特征匹配模块匹配结果进行处理，如果匹配成功则进行查杀，如果没有匹配成功则记录存储查杀信息记录；

防止病毒反复感染模块，与病毒查杀模块连接，用于对病毒查杀模块查杀病毒后，防止病毒被清除后重新释放出病毒和进程，实现再生的能力。

2.如权利要求1所述的新型计算机网络病毒防御系统，其特征在于，所述分析模块具体分析方法如下：

步骤一，先行将所捕捉的各客户端取得通讯服务过程中所存在的可疑文件样本移至沙箱中，从而于该沙箱中开启该可疑文件样本，从而分析该可疑文件样本中是否会对系统进行攻击而产生可执行的攻击程序，若有，则进一步针对该可执行的攻击程序的安全性进行分析，分析该程序是否会尝试修改系统设定、执行漏洞攻击、窃取系统数据以及对外下载更多攻击程序恶意程序的行为，故可将含有危害性的可执行程序的可疑文件样本确定为恶意文件；

步骤二，令该分析模块通过开启该恶意文件来识别其相应的病毒行为模式，例如已经实施的病毒行为，正在进行的病毒行为以及将要执行的病毒行为；

步骤三，再令分析模块分析该恶意文件是否有网络访问请求，若有则提取该恶意文件的网络访问路径、访问程序名称信息，并针对该恶意文件的网络访问请求执行监控，以此确定出与该恶意文件相关的网络恶意站点以及病毒控制主机；

步骤四，令分析模块记录该恶意文件中所存在的网络病毒及其病毒行为模式，以及与该恶意文件相关的网络恶意站点以及病毒控制主机的地址信息，并生成前述网络病毒行为分析报告。

3.如权利要求1所述的新型计算机网络病毒防御系统，其特征在于，所述防止病毒反复感染模块方法如下：

首先，扫描并清除计算机中存在的所述计算机病毒的恶意模块，并记录被清除的恶意模块的信息；

然后，根据被清除的恶意模块的信息生成拦截对象列表并传输给内核驱动；

最后，通过内核驱动阻止其他进程再次创建所述拦截对象列表中记录的恶意模块。