CN113726771A - 一种基于疫苗模型的云平台病毒查杀方法及查杀系统 - Google Patents
一种基于疫苗模型的云平台病毒查杀方法及查杀系统 Download PDFInfo
- Publication number
- CN113726771A CN113726771A CN202111003163.1A CN202111003163A CN113726771A CN 113726771 A CN113726771 A CN 113726771A CN 202111003163 A CN202111003163 A CN 202111003163A CN 113726771 A CN113726771 A CN 113726771A
- Authority
- CN
- China
- Prior art keywords
- cloud platform
- virtual machine
- vaccine
- vaccine model
- virus
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种基于疫苗模型的云平台病毒查杀方法及系统,所述方法包括以下步骤:实时获取云平台上各虚拟机的带有时间戳的状态数据,基于所述状态数据及事先设定的报警阈值判断是否触发对应虚拟机的告警信号;在接收到某一虚拟机的告警信号时,判断是否接收到该虚拟机确认感染病毒或木马的信号;在接收到所述确认感染病毒或木马的信号时,产生对应虚拟机的感染标记指标数据;基于所述感染标记指标数据训练获得一基于机器学习算法的疫苗模型;采用所述疫苗模型判断云平台上其他虚拟机是否感染病毒或木马。与现有技术相比,本发明具有提升木马或病毒的查杀效率等优点。
Description
技术领域
本发明属于云平台安全技术领域,涉及一种病毒查杀方法,尤其是涉及一种基于疫苗模型的云平台病毒查杀方法及查杀系统。
背景技术
近年来,随着数字化转型的推进,云上安全得到日益的重视。目前常用的云上防护系统是安装防病毒软件,但在政务云等关键领域的云平台中,客户并不希望在虚拟机中安装第三方的杀毒软件。这一方面是因为第三方软件会有数据泄露的风险,另一方面是因为防病毒软件会对许多正常进程拦截和误杀,进而影响正常业务应用的功能和性能。在这种场景下,客户往往通过“信息安全态势感知系统”并配合运维人员手动查杀来实现病毒防范。“信息安全态势感知系统”是一个以“信息安全指标类数据”为对象的大数据管理系统,即对信息安全指标类数据进行大数据的搜集、存储、展示,帮助运维人员对信息安全态势的“宏观感知”。但当云平台上有大量虚拟机,例如有成千上万台虚拟机的情况下,运维人员根据信息安全态势感知平台的提示,要一台一台去排查是否感染病毒或木马显得效率低下,甚至无法完成。
发明内容
本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种提升木马或病毒的查杀效率的基于疫苗模型的云平台病毒查杀方法及查杀系统。
本发明的目的可以通过以下技术方案来实现:
一种基于疫苗模型的云平台病毒查杀方法,包括以下步骤:
实时获取云平台上各虚拟机的带有时间戳的状态数据,基于所述状态数据及事先设定的报警阈值判断是否触发对应虚拟机的告警信号;
在接收到某一虚拟机的告警信号时,判断是否接收到该虚拟机确认感染病毒或木马的信号;
在接收到所述确认感染病毒或木马的信号时,产生对应虚拟机的感染标记指标数据;
基于所述感染标记指标数据训练获得一基于机器学习算法的疫苗模型;
采用所述疫苗模型判断云平台上其他虚拟机是否感染病毒或木马。
所述状态数据包括CPU特征、内存特征、网络流特征和操作系统特征中的一种或多种特征的组合。
当所述状态数据中的某个指标超过预先设定的对应报警阈值时,触发所述告警信号。
进一步地,采用所述病毒疫苗模型判断云平台上其他虚拟机是否感染病毒或木马具体为:
将其他虚拟机与所述感染标记指标数据同类的指标数据输入到疫苗模型中,获得感染判断结果。
进一步地,该方法还包括:在查找到感染的虚拟机后,使用自动化运维脚本对所有虚拟机进行批量处理。
进一步地,通过云平台上创建的一疫苗虚机获得所述疫苗模型。
本发明还提供一种基于疫苗模型的云平台病毒查杀系统,包括监控平台、时序数据库和运维终端,其中,
所述监控平台用于实时获取云平台上各虚拟机的带有时间戳的状态数据,并存储于所述时序数据库中,基于所述状态数据及事先设定的报警阈值判断是否触发对应虚拟机的告警信号;
所述运维终端用于接收某一虚拟机的告警信号及该虚拟机确认感染病毒或木马的信号,在同时接收到告警信号和确认信号时,产生对应虚拟机的感染标记指标数据,并在云平台上创建一疫苗虚机;
所述疫苗虚机基于所述感染标记指标数据训练获得一基于机器学习算法的疫苗模型,并采用所述疫苗模型判断云平台上其他虚拟机是否感染病毒或木马。
进一步地,所述监控平台为有代理监控平台或无代理监控平台。
进一步地,所述运维终端还用于接收用于判断是否触发告警信号的报警阈值。
进一步地,所述运维终端还用于创建用于对所有感染的虚拟机进行批量处理的自动化运维脚本。
与现有技术相比,本发明具有以下有益效果:
1、本发明实时判断云平台上的虚机是否感染病毒或木马,在有虚机受到感染时,训练获得一疫苗模型,通过该疫苗模型对其他虚机进行病毒查杀,及时性好,可靠性高,可实现批量的木马或病毒查杀,有效提高查杀效率。
2、本发明基于机器学习算法进行疫苗模型的构建和训练,实现对感染虚机的有效分类,分类精度高。
3、本发明对于感染的虚机,可以使用脚本批量处理,进一步提高处理效率。
附图说明
图1为本发明实施例的一种结构示意图;
图2为本发明的实施过程示意图。
具体实施方式
下面结合附图和具体实施例对本发明进行详细说明。本实施例以本发明技术方案为前提进行实施,给出了详细的实施方式和具体的操作过程,但本发明的保护范围不限于下述的实施例。
实施例1
本实施例提供一种基于疫苗模型的云平台病毒查杀方法,包括以下步骤:实时获取云平台上各虚拟机的带有时间戳的状态数据,基于状态数据判断是否触发对应虚拟机的告警信号;在接收到某一虚拟机的告警信号时,判断是否接收到该虚拟机感染病毒或木马的确认信号;在接收到确认信号时,产生对应虚拟机的感染标记指标数据;基于感染标记指标数据训练获得一基于机器学习算法的疫苗模型;采用疫苗模型判断云平台上其他虚拟机是否感染病毒或木马。该通过机器学习技术,对已知病毒或木马建立病毒疫苗模型,通过该模型,帮助云运维管理员进行批量的木马或病毒查杀,有效提高查杀效率。
上述方法中,状态数据包括但不限于CPU特征、内存特征、网络流特征(源端口、目的端口、源地址,目的地址,协议)及操作系统特征中的一种或多种特征的组合。当状态数据中的某个指标超过预先设定的对应报警阈值时,触发告警信号。报警阈值可由运维人员设置。
上述方法中,采用病毒疫苗模型判断云平台上其他虚拟机是否感染病毒或木马具体为:将其他虚拟机与感染标记指标数据同类的指标数据输入到疫苗模型中,获得感染判断结果。
在优选的实施方式中,该方法还包括:在查找到感染的虚拟机后,使用如Ansible等自动化运维脚本对所有虚拟机进行批量处理。
上述方法中,通过云平台上创建的一疫苗虚机获得疫苗模型。这台“疫苗虚机”一方面用于训练模型,一方面也用于判断业务虚拟机是否感染木马或病毒。
上述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
上述方法适合任何技术实现的IaaS云平台,包括开源的OpenStack和闭源的阿里云(飞天操作系统)等,同时适合任何技术实现的云平台监控软件,例如Prometheus、Zabbix等。
实施例2
本实施例提供一种基于疫苗模型的云平台病毒查杀系统,参考图1所示,包括监控平台、时序数据库和运维终端,其中,监控平台用于实时获取云平台上各虚拟机的带有时间戳的状态数据,并存储于时序数据库中,基于状态数据判断是否触发对应虚拟机的告警信号;运维终端用于接收某一虚拟机的告警信号及该虚拟机感染病毒或木马的确认信号,在同时接收到告警信号和确认信号时,产生对应虚拟机的感染标记指标数据,并在云平台上创建一疫苗虚机;疫苗虚机基于感染标记指标数据训练获得一基于机器学习算法的疫苗模型,并采用疫苗模型判断云平台上其他虚拟机是否感染病毒或木马。
如图1所示的各部分具体说明如下:
物理机1:物理机是云平台向下管理的对象。
云平台2:云平台用于对下管理物理机,对上将物理机的计算、存储和网络资源抽象为虚机,并按需提供服务(即基础设施即服务,IaaS)。
虚机3:虚机是云平台上的逻辑计算单元。其中有一台为“疫苗虚机”,其他都是业务虚机。业务虚机用于承载客户业务,业务虚机中可能有被木马或被病毒感染,如图1中的有填充方式块所示。
疫苗虚机4:承载在云平台上的虚机的一个,当云运维管理员需要训练“疫苗”模型时,会按需创建一台“疫苗虚机”。这台“疫苗虚机”一方面用于训练模型,一方面也用于判断业务虚拟机是否感染木马或病毒。
监控平台5:用于监控虚拟机内包括但不限于CPU特征、内存特征、网络流特征(源端口、目的端口、源地址,目的地址,协议)和操作系统特征中的一种或多种特征的组合。监控平台可分为有代理和无代理两种。有代理模式需要在虚拟机中安装代理层序,无代理模式不需要在虚拟机中安装代理程序,而是通过云平台相关功能获得虚拟机的运行参数。
时序数据库6:用于存放虚拟机带有时间戳的状态信息。例如每个虚拟机每隔10秒钟的CPU占用率、内存占用率和网络流量数据。
运维终端7:实现云平台的运维,还用于接收用于判断是否触发告警信号的报警阈值以及创建用于对所有感染的虚拟机进行批量处理的自动化运维脚本。
上述系统可以用机器学习算法训练一个病毒疫苗模型,并用该模型去查找感染同种病毒或木马的虚机,并用脚本进行批量隔离、杀毒等处理。参考图2所示,具体实现过程包括以下步骤:
S101、运维终端在云平台监控软件上设定报警阈值,例如虚机的CPU利用率超过90%时报警。
S102、虚拟机通过监控软件上报状态和时间戳。
S103、监控平台可以提供接口接收上报状态,接口格式可以是RESTFUL API形式,将虚拟机状态和时间戳被监控系统存储在时序数据库中,时序数据库的具体实现可以是InfluxDB,OpentsDB等。
S104、判断是否触发报警。
S105、对于触发报警的虚拟机,管理员通过联系虚拟机拥有者等方式对是否中毒进行具体分析,排查是否感染病毒或木马,若是,则产生感染的确认信号。
S106、在确认感染病毒或木马后,则对虚机及相关指标数据进行标记。
S107、通过标记数据对模型进行训练,获得识别病毒的疫苗模型,该疫苗模型的实现可以基于“深度神经网络”(DNN),实现对感染虚机的分类。
S108、通过该疫苗模型判断云平台上其他虚机是否感染,具体方法是将其他虚机的同类指标数据输入到疫苗模型中,疫苗模型会输出虚机是否感染的结果。
S109、对于感染的虚机,运维人员用脚本批量处理,该处理脚本可以是Ansible等自动化运维脚本。
以上详细描述了本发明的较佳具体实施例。应当理解,本领域的普通技术人员无需创造性劳动就可以根据本发明的构思作出诸多修改和变化。因此,凡本技术领域中技术人员依本发明的构思在现有技术的基础上通过逻辑分析、推理或者有限的实验可以得到的技术方案,皆应在由权利要求书所确定的保护范围内。
Claims (10)
1.一种基于疫苗模型的云平台病毒查杀方法,其特征在于,包括以下步骤:
实时获取云平台上各虚拟机的带有时间戳的状态数据,基于所述状态数据及事先设定的报警阈值判断是否触发对应虚拟机的告警信号;
在接收到某一虚拟机的告警信号时,判断是否接收到该虚拟机确认感染病毒或木马的信号;
在接收到所述确认感染病毒或木马的信号时,产生对应虚拟机的感染标记指标数据;
基于所述感染标记指标数据训练获得一基于机器学习算法的疫苗模型;
采用所述疫苗模型判断云平台上其他虚拟机是否感染病毒或木马。
2.根据权利要求1所述的基于疫苗模型的云平台病毒查杀方法,其特征在于,所述状态数据包括CPU特征、内存特征、网络流特征和操作系统特征中的一种或多种特征的组合。
3.根据权利要求1所述的基于疫苗模型的云平台病毒查杀方法,其特征在于,当所述状态数据中的某个指标超过预先设定的对应报警阈值时,触发所述告警信号。
4.根据权利要求1所述的基于疫苗模型的云平台病毒查杀方法,其特征在于,采用所述病毒疫苗模型判断云平台上其他虚拟机是否感染病毒或木马具体为:
将其他虚拟机与所述感染标记指标数据同类的指标数据输入到疫苗模型中,获得感染判断结果。
5.根据权利要求1所述的基于疫苗模型的云平台病毒查杀方法,其特征在于,该方法还包括:在查找到感染的虚拟机后,使用自动化运维脚本对所有虚拟机进行批量处理。
6.根据权利要求1所述的基于疫苗模型的云平台病毒查杀方法,其特征在于,通过云平台上创建的一疫苗虚机获得所述疫苗模型。
7.一种基于疫苗模型的云平台病毒查杀系统,其特征在于,包括监控平台、时序数据库和运维终端,其中,
所述监控平台用于实时获取云平台上各虚拟机的带有时间戳的状态数据,并存储于所述时序数据库中,基于所述状态数据及事先设定的报警阈值判断是否触发对应虚拟机的告警信号;
所述运维终端用于接收某一虚拟机的告警信号及该虚拟机确认感染病毒或木马的信号,在同时接收到告警信号和确认信号时,产生对应虚拟机的感染标记指标数据,并在云平台上创建一疫苗虚机;
所述疫苗虚机基于所述感染标记指标数据训练获得一基于机器学习算法的疫苗模型,并采用所述疫苗模型判断云平台上其他虚拟机是否感染病毒或木马。
8.根据权利要求7所述的基于疫苗模型的云平台病毒查杀系统,其特征在于,所述监控平台为有代理监控平台或无代理监控平台。
9.根据权利要求7所述的基于疫苗模型的云平台病毒查杀系统,其特征在于,所述运维终端还用于接收用于判断是否触发告警信号的报警阈值。
10.根据权利要求7所述的基于疫苗模型的云平台病毒查杀系统,其特征在于,所述运维终端还用于创建用于对所有感染的虚拟机进行批量处理的自动化运维脚本。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111003163.1A CN113726771A (zh) | 2021-08-30 | 2021-08-30 | 一种基于疫苗模型的云平台病毒查杀方法及查杀系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111003163.1A CN113726771A (zh) | 2021-08-30 | 2021-08-30 | 一种基于疫苗模型的云平台病毒查杀方法及查杀系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113726771A true CN113726771A (zh) | 2021-11-30 |
Family
ID=78678939
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111003163.1A Pending CN113726771A (zh) | 2021-08-30 | 2021-08-30 | 一种基于疫苗模型的云平台病毒查杀方法及查杀系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113726771A (zh) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103825875A (zh) * | 2013-11-07 | 2014-05-28 | 北京安码科技有限公司 | 一种疫苗接种策略的虚拟机检测方法 |
| US20150268977A1 (en) * | 2012-09-07 | 2015-09-24 | International Business Machines Corporation | System for virtual machine monitoring in cloud infrastructures |
| CN106775929A (zh) * | 2016-11-25 | 2017-05-31 | 中国科学院信息工程研究所 | 一种虚拟化平台安全监控方法及系统 |
| CN107247651A (zh) * | 2017-05-09 | 2017-10-13 | 中国电子产品可靠性与环境试验研究所 | 云计算平台监测预警方法和系统 |
| CN108959039A (zh) * | 2018-07-18 | 2018-12-07 | 郑州云海信息技术有限公司 | 一种虚拟机故障预测的方法及装置 |
| CN110046054A (zh) * | 2018-01-17 | 2019-07-23 | 中兴通讯股份有限公司 | 虚拟机异常检测方法、装置、设备及计算机可读存储介质 |
| CN112882795A (zh) * | 2021-02-25 | 2021-06-01 | 深信服科技股份有限公司 | 虚拟机异常诊断方法、装置、设备及存储介质 |
-
2021
- 2021-08-30 CN CN202111003163.1A patent/CN113726771A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150268977A1 (en) * | 2012-09-07 | 2015-09-24 | International Business Machines Corporation | System for virtual machine monitoring in cloud infrastructures |
| CN103825875A (zh) * | 2013-11-07 | 2014-05-28 | 北京安码科技有限公司 | 一种疫苗接种策略的虚拟机检测方法 |
| CN106775929A (zh) * | 2016-11-25 | 2017-05-31 | 中国科学院信息工程研究所 | 一种虚拟化平台安全监控方法及系统 |
| CN107247651A (zh) * | 2017-05-09 | 2017-10-13 | 中国电子产品可靠性与环境试验研究所 | 云计算平台监测预警方法和系统 |
| CN110046054A (zh) * | 2018-01-17 | 2019-07-23 | 中兴通讯股份有限公司 | 虚拟机异常检测方法、装置、设备及计算机可读存储介质 |
| CN108959039A (zh) * | 2018-07-18 | 2018-12-07 | 郑州云海信息技术有限公司 | 一种虚拟机故障预测的方法及装置 |
| CN112882795A (zh) * | 2021-02-25 | 2021-06-01 | 深信服科技股份有限公司 | 虚拟机异常诊断方法、装置、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101327317B1 (ko) | Sap 응용 트래픽 분석 및 모니터링 장치 및 방법, 이를 이용한 정보 보호 시스템 | |
| CN109347827B (zh) | 网络攻击行为预测的方法、装置、设备及存储介质 | |
| CN110012005B (zh) | 识别异常数据的方法、装置、电子设备及存储介质 | |
| CN112953971B (zh) | 一种网络安全流量入侵检测方法和系统 | |
| US10257222B2 (en) | Cloud checking and killing method, device and system for combating anti-antivirus test | |
| CN103428183B (zh) | 恶意网址的识别方法和装置 | |
| CN109271793B (zh) | 物联网云平台设备类别识别方法及系统 | |
| CN108521408A (zh) | 抵抗网络攻击方法、装置、计算机设备及存储介质 | |
| CN110225109B (zh) | 一种基于“工商联连”平台的多队列的数据传输方法 | |
| CN108551449B (zh) | 防病毒管理系统及方法 | |
| CN115147956B (zh) | 数据处理方法、装置、电子设备及存储介质 | |
| CN113704328B (zh) | 基于人工智能的用户行为大数据挖掘方法及系统 | |
| CN107911232B (zh) | 一种确定业务操作规则的方法及装置 | |
| CN111414305A (zh) | 测试方法、测试装置、测试设备以及介质 | |
| CN109040128A (zh) | 一种基于离线pcap流量包的WAF反向代理检测方法 | |
| CN111404768A (zh) | 一种dpi识别的实现方法及设备 | |
| CN113704772A (zh) | 基于用户行为大数据挖掘的安全防护处理方法及系统 | |
| CN115242434A (zh) | 应用程序接口api的识别方法及装置 | |
| CN110798353A (zh) | 基于行为特征大数据分析的网络行为风险感知及防御方法 | |
| CN113098852B (zh) | 一种日志处理方法及装置 | |
| CN108804501A (zh) | 一种检测有效信息的方法及装置 | |
| CN110460593B (zh) | 一种移动流量网关的网络地址识别方法、装置及介质 | |
| CN113726771A (zh) | 一种基于疫苗模型的云平台病毒查杀方法及查杀系统 | |
| CN114124453B (zh) | 网络安全信息的处理方法、装置、电子设备及储存介质 | |
| KR101022167B1 (ko) | 네트워크 자산의 취약성을 고려한 침입탐지시스템의로그최적화 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |