CN109525546A - 一种面向移动终端的云监控系统 - Google Patents

Abstract

本发明公开了一种面向移动终端的云监控系统，本发明针对移动终端对病毒防治的高效率和轻量级需求，运用云安全技术对主机入侵防御系统进行改进，形成一种云监控系统。本发明增加文件判断功能、将规则库和文件判断工作移至云端服务器，降低了系统占用，轻量化了客户端；本发明改变规则制定策略，针对不同病毒制定不同规则，降低了规则的复杂性，提高了规则匹配效率；本发明通过黑白名单技术和单步危险行为分析法，降低了客户端与服务器的通信代价，提高了文件判断效率；改变系统监测模式，变主动监控为被动监控，降低系统监测的工作时间，提高了云监控模型的工作效率，最后通过形式化方法证明了云监控系统的安全性。

Description

一种面向移动终端的云监控系统

技术领域

本发明涉及一种面向移动终端的云监控系统。

背景技术

移动终端以其便利、经济、持续在线性等优势占据了巨大的客户群体，是移动互联网发展的重要基石。随着4G时代的到来，移动终端功能增强，与用户关系更加密切，安全问题的重要性和迫切性逐步上升。当前，移动终端的病毒防护采取的是传统的计算机病毒防治技术，但是相比于计算机，移动终端有限的处理能力、存储空间和电池容量，使得传统的病毒防治技术不能直接应用于移动终端，因此需要具有更轻量级、高效率的客户端的安全产品。

发明内容

针对现有技术的不足，本发明提供了一种面向移动终端的云监控系统，包括文件判断模块、系统监测模块、移动终端客户端、服务器和规则制定模块；

服务器中保存有规则库，规则库中保存有完整的正常文件信息和病毒文件信息以及这些文件的访问规则；

规则制定模块用于制定访问规则；

移动终端客户端中保存有本地文件的访问规则，访问规则存储在规则列表中，规则列表只保护本地文件的信息；

系统监测模块根据移动终端客户端中保存的访问规则和规则库中的访问规则监测系统中各种行为操作；

规则库通过与服务器的交互完成访问规则的更新；

所述文件判断模块用于对规则库不能判断的文件进行性质判断。

在系统中，进行如下形式化定义：

定义1，文件性质集R＝{r1，r2，r3}表示文件的性质，r1表示正常文件，r2表示病毒文件，r3表示可疑文件；

定义2，文件集F＝{f1，f2，f3，…fn}是所有已设定访问规则的文件集合，fn表示文件集F中第n个已设定访问规则的文件，该集合中的文件要么为正常文件，要么为病毒文件；

定义3，文件集F’＝{f1’，f2’，f3’，…fn’}是一个移动终端上已设定访问规则的文件集合，fn’表示文件集F’中第n个已设定访问规则的文件，该集合中的文件要么为正常文件，要么为病毒文件；

定义4，规则集N＝{n1，n2，n3，…ni}是文件访问规则的集合，ni表示第i个文件访问规则，n1＝{进行文件性质判断}为默认规则，表示某一个文件属于未知性质的文件，需要进行文件性质判断；

定义5，规则库M＝{(f，n)|f∈F，n∈N}是文件f和规则n的二元组集合，表示文件f要遵守的访问规则；

定义6，规则列表M’＝{(f′，n′)|f′∈F′，n′∈N}，其中M’是移动终端上存在的文件的访问规则集合；

定义7，文件判断函数k(fi)＝rj是从文件fi到文件性质rj的一个映射，j取值为1,2,3；

定义8，规则生成函数h((fi，rj))＝(fi，nk)，规则制定模块根据文件性质rj生成默认的规则(fi，nk)；

定义9，规则库更新函数y((fi，nk))＝M∪{(fi，nk)}。

系统执行如下步骤：

步骤1，系统监测模块监控系统运行，当发现文件f运行时，查询规则列表M’，查询与文件f相对应的访问规则，当规则列表中存在文件f的访问规则即f∈F’时，转步骤2，当规则列表中不存在文件f的访问规则即时，转步骤3；

步骤2，规则列表向系统监测模块返回文件f的访问规则(f，ni)，系统监测模块接收到访问规则后，按照访问规则监控文件的运行，直到文件运行结束；

步骤3，客户端向服务器的规则库M查询文件f的访问规则；

步骤4，服务器从规则库中查询文件f的访问规则，当规则库中存在文件f的访问规则即f∈F时，返回规则(f，nj)；其中j≠1，并转向步骤2；当规则库中本存在文件f的访问规则即时，返回默认访问规则(f，n1)，其中n1表示进行文件性质判断，转向步骤5；

步骤5，系统监测模块按照规则(f，n1)，向文件判断模块提交文件性质判断请求，并提供相关文件信息，文件判断模块进行文件性质判断，当文件判断结果为可疑文件r3时，转向步骤6，当文件判断结果为正常文件r1或者病毒文件r2时，转向步骤7；

步骤6，要求系统监测模块提供进一步的文件信息，转向步骤5；

步骤7，将文件信息和文件性质提交至规则制定模块，由规则制定模块制定访问规则(f，n’)；

步骤8，规则制定模块更新规则库M，即M＝M∪{(f，n’)}，同时将规则n’加入到规则集N中，得到N＝N∪{n’}。

有益效果：本发明针对移动终端对病毒防治的高效率和轻量级需求，运用云安全技术对主机入侵防御系统进行改进，形成一种云监控系统。本发明增加文件判断功能、将规则库和文件判断工作移至云端服务器，降低了系统占用，轻量化了客户端；本发明改变规则制定策略，针对不同病毒制定不同规则，降低了规则的复杂性，提高了规则匹配效率；本发明通过黑白名单技术和单步危险行为分析法，降低了客户端与服务器的通信代价，提高了文件判断效率；改变系统监测模式，变主动监控为被动监控，降低系统监测的工作时间，提高了云监控模型的工作效率，

附图说明

下面结合附图和具体实施方式对本发明做更进一步的具体说明，本发明的上述或其他方面的优点将会变得更加清楚。

图1为带规则自动生成的HIPS模型。

图2是云监控系统基本模型。

图3为云监控系统的工作流程。

具体实施方式

下面结合附图及实施例对本发明做进一步说明。

本发明提供了一种面向移动终端的云监控系统，

传统反病毒软件的系统监控和查杀是基于病毒特征码进行的，对于尚未分析出特征码的病毒是无法识别的。相对地，Host-based Intrusion Prevention System HIPS，基于主机的入侵防御系统是基于软件行为的，判断其是否违反了规则库中的规则，然后再据此做出反应。因此，HIPS既可以防范已知病毒，也可以防范未知病毒，甚至正常程序的危险行为(加载驱动等)，而HIPS的实现相对于复杂的沙盘等新一代病毒防治方法更为简单，对系统资源的占用也相对较少，比较适合于移动终端。

但是另一方面，HIPS需要用户手动添加规则，对用户的专业水平要求高，如果用户的基础知识不足，错误放行，那么恶意程序就会侵入系统，因此其易用性较差，不适合移动终端的广泛用户群体。为解决HIPS的应用矛盾，本发明增加规则制定功能，其由服务器智能生成或者后台专业人员制定，如图1所示，系统监测模块根据规则库中的规则监测系统中各种行为操作，规则库则通过与服务器的交互完成规则的更新。

传统的HIPS试图通过通用的规则来防御所有的病毒入侵，但是病毒种类繁多、行为千差万别，势必要求这些通用的规则足够复杂、多样，而且随着新病毒的不断出现，这些规则会像病毒特征库一样要求不断更新。本发明改变传统的规则制定方法，增加文件性质判断功能来识别每一个文件的性质，并针对每一个病毒文件制定一条规则，同时利用云安全技术，将文件性质判断工作移至服务器进行，同时将规则库移至服务器，在客户端上只保存本地文件的访问规则，形成本发明提出的云监控的基本模型，如图2所示。规则列表规定了本地文件的访问规则，规则库中是服务器收集的所有文件的访问规则，文件判断的功能在于识别文件的性质是属于正常文件或者病毒文件。

本发明系统中进行如下形式化定义：

定义1，文件性质集R＝{r1，r2，r3}表示文件的性质，r1表示正常文件，r2表示病毒文件，r3表示可疑文件；

定义2，文件集F＝{f1，f2，f3，…fn}是所有已设定访问规则的文件集合，fn表示文件集F中第n个已设定访问规则的文件，该集合中的文件要么为正常文件，要么为病毒文件，文件的类型包括系统文件、用户文件和应用程序等；

定义3，文件集F’＝{f1’，f2’，f3’，…fn’}是一个移动终端上已设定访问规则的文件集合，fn’表示文件集F’中第n个已设定访问规则的文件，该集合中的文件要么为正常文件，要么为病毒文件，文件的类型包括系统文件、用户文件和应用程序等；

定义4，规则集N＝{n1，n2，n3，…ni}是文件访问规则的集合，ni表示第i个文件访问规则，n1＝{进行文件性质判断}为默认规则，表示某一个文件属于未知性质的文件，需要进行文件性质判断；

定义5，规则库M＝{(f，n)|f∈F，n∈N}是文件f和规则n的二元组集合，表示文件f要遵守的访问规则；

定义6，规则列表M’＝{(f′，n′)|f′∈F′，n′∈N}，其中M’是移动终端上存在的文件的访问规则集合；

定义7，文件判断函数k(fi)＝rj是从文件fi到文件性质rj的一个映射，j取值为1,2,3。

定义8，规则生成函数h((fi，rj))＝(fi，nk)，规则制定模块根据文件性质rj生成默认的规则(fi，nk)；

定义9，规则库更新函数y((fi，nk))＝M∪{(fi，nk)}。

云监控系统的工作流程如图3所示，包括如下步骤：

步骤1，系统监测模块监控系统运行，当发现文件f运行时，查询规则列表M’，查询与文件f相对应的访问规则，当规则列表中存在文件f的访问规则即f∈F’时，转步骤2，当规则列表中不存在文件f的访问规则即时，转步骤3；

步骤2，规则列表向系统监测模块返回文件f的访问规则(f，ni)，系统监测模块接收到访问规则后，按照访问规则监控文件的运行，直到文件运行结束；

步骤3，客户端向服务器的规则库M查询文件f的访问规则；

步骤4，服务器从规则库中查询文件f的访问规则，当规则库中存在文件f的访问规则即f∈F时，返回规则(f，nj)；其中j≠1，并转向步骤2；当规则库中本存在文件f的访问规则即时，返回默认访问规则(f，n1)，其中n1表示进行文件性质判断，转向步骤5；

步骤5，系统监测模块按照规则(f，n1)，向文件判断模块提交文件性质判断请求，并提供相关文件信息(比如文件的类型、创建时间)，文件判断模块进行文件性质判断，当文件判断结果为可疑文件r3时，转向步骤6，当文件判断结果为正常文件r1或者病毒文件r2时，转向步骤7；

步骤6，要求系统监测模块提供进一步的文件信息(比如文件的创建人、文件的大小)，转向步骤5；

步骤7，将文件信息和文件性质提交至规则制定模块，由规则制定模块制定访问规则(f，n’)＝h((f，r))；

步骤8，规则制定模块更新规则库M，即M＝M∪{(f，n’)}，同时将规则n’加入到规则集N中，得到N＝N∪{n’}；

本发明提供了一种面向移动终端的云监控系统，具体实现该技术方案的方法和途径很多，以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。本实施例中未明确的各组成部分均可用现有技术加以实现。

Claims (3)

1.一种面向移动终端的云监控系统，其特征在于，包括文件判断模块、系统监测模块、移动终端客户端、服务器和规则制定模块；

服务器中保存有规则库，规则库中保存有完整的正常文件信息和病毒文件信息以及这些文件的访问规则；

规则制定模块用于制定访问规则；

移动终端客户端中保存有本地文件的访问规则，访问规则存储在规则列表中，规则列表只保护本地文件的信息；

系统监测模块根据移动终端客户端中保存的访问规则和规则库中的访问规则监测系统中各种行为操作；

规则库通过与服务器的交互完成访问规则的更新；

所述文件判断模块用于对规则库不能判断的文件进行性质判断。

2.根据权利要求1所述的系统，其特征在于，在系统中，进行如下形式化定义：

定义1，文件性质集R＝{r1，r2，r3}表示文件的性质，r1表示正常文件，r2表示病毒文件，r3表示可疑文件；

定义2，文件集F＝{f1，f2，f3，…fn}是所有已设定访问规则的文件集合，fn表示文件集F中第n个已设定访问规则的文件，该集合中的文件要么为正常文件，要么为病毒文件；

定义3，文件集F’＝{f1’，f2’，f3’，…fn’}是一个移动终端上已设定访问规则的文件集合，fn’表示文件集F’中第n个已设定访问规则的文件，该集合中的文件要么为正常文件，要么为病毒文件；

定义4，规则集N＝{n1，n2，n3，…ni}是文件访问规则的集合，ni表示第i个文件访问规则，n1＝{进行文件性质判断}为默认规则，表示某一个文件属于未知性质的文件，需要进行文件性质判断；

定义5，规则库M＝{(f，n)|f∈F，n∈N}是文件f和规则n的二元组集合，表示文件f要遵守的访问规则；

定义6，规则列表M’＝{(f′，n′)|f′∈F′，n′∈N}，其中是移动终端上存在的文件的访问规则集合；

定义7，文件判断函数k(fi)＝rj是从文件fi到文件性质rj的一个映射，j取值为1,2,3；

定义8，规则生成函数h((fi，rj))＝(fi，nk)，规则制定模块根据文件性质rj生成默认的规则(fi，nk)；

定义9，规则库更新函数y((fi，nk))＝M∪{(fi，nk)}。

3.根据权利要求2所述的系统，其特征在于，系统执行如下步骤：

步骤1，系统监测模块监控系统运行，当发现文件f运行时，查询规则列表M’，查询与文件f相对应的访问规则，当规则列表中存在文件f的访问规则即f∈F’时，转步骤2，当规则列表中不存在文件f的访问规则即时，转步骤3；

步骤2，规则列表向系统监测模块返回文件f的访问规则(f，ni)，系统监测模块接收到访问规则后，按照访问规则监控文件的运行，直到文件运行结束；

步骤3，客户端向服务器的规则库M查询文件f的访问规则；

步骤4，服务器从规则库中查询文件f的访问规则，当规则库中存在文件f的访问规则即f∈F时，返回规则(f，nj)；其中j≠1，并转向步骤2；当规则库中本存在文件f的访问规则即时，返回默认访问规则(f，n1)，其中n1表示进行文件性质判断，转向步骤5；

步骤5，系统监测模块按照规则(f，n1)，向文件判断模块提交文件性质判断请求，并提供相关文件信息，文件判断模块进行文件性质判断，当文件判断结果为可疑文件r3时，转向步骤6，当文件判断结果为正常文件r1或者病毒文件r2时，转向步骤7；

步骤6，要求系统监测模块提供进一步的文件信息，转向步骤5；

步骤7，将文件信息和文件性质提交至规则制定模块，由规则制定模块制定访问规则(f，n’)；

步骤8，规则制定模块更新规则库M，即M＝M∪{(f，n’)}，同时将规则n’加入到规则集N中，得到N＝N∪{n’}。