一种用于云安全系统的用户感知病毒报告分析方法
【专利摘要】本发明公开了一种用于云安全系统的用户感知病毒报告分析方法,属于分布式计算、信息安全、计算机网络和计算机软件的交叉技术应用领域。云服务器根据各用户终端发送的用户感知病毒报告判断用户终端是否感染恶意代码,并确定恶意代码的危害等级;各用户终端所发送的用户感知病毒报告包括各用户终端自身所感知到的节点症状集合;云服务器为节点症状集合中的各节点症状赋予不同的权值,权值越大表示感染恶意代码的可能性越大,并根据加权后的节点症状集合判断用户终端是否感染恶意代码。鉴于主机配置不同对症状的影响,本发明进一步根据节点的综合个体特征值对以上权值作出相应调整。相比现有技术,本发明具有用户直观、全面可行、灵活性高的优点。
【专利说明】—种用于云安全系统的用户感知病毒报告分析方法
【技术领域】
[0001]本发明涉及一种用于云安全系统的用户感知病毒报告分析方法,属于分布式计算、信息安全、计算机网络和计算机软件的交叉技术应用领域。
【背景技术】
[0002]网络病毒包括计算机病毒、网络蠕虫、后门木马、间谍件等,网络优秀的资源共享和通信功能为网络病毒的传播、感染和破坏提供了天然温床。通过网络特别是互联网及其应用系统传播的网络病毒、波及范围大、覆盖面广,在短时间内就可以造成网络拥塞甚至瘫痪、共享资源丢失、机密信息失窃,从而造成巨大的损失。
[0003]新型的云安全(Cloud Security)反病毒系统通过网状的大规模终端对网络中软、硬件异常行为进行监测,实时获取互联网中蠕虫与木马等恶意代码的最新信息,自动传送到服务器端进行分析和处理,再将恶意代码解决方案迅速分发到每一个网络终端。这意味着反病毒系统不再仅仅依靠本地硬盘中的病毒库来识别和查杀各种恶意代码(特别是未知恶意代码),而是依靠庞大的网络服务,将整个互联网联合成为一个巨大的协同“杀毒软件”,实时采集、分析以及处理恶意代码,实现“参与者越多,每个参与者就越安全,整个互联网就会更安全”的目标。瑞星、趋势科技、卡巴斯基、McAFee、SYMANTEC、江民科技、PANDA、金山、360等都推出了各自的云安全系统。
[0004]显然,对海量用户提供的海量病毒报告分类、分析与汇总是云安全系统的主要任务。趋势云安全系统每天收集到2.5亿个病毒报告;卡巴斯基全功能云安全系统在用户“知情并同意(Awareness & Approval) ”的情况下在线收集、分析(Online Real timeCollecting & Analysing)数以万计的网络终端提交的可疑病毒报告;瑞星云安全的核心“瑞星卡卡6.0”每天收集8?10万个木马病毒报告,并对病毒进行分类和特征提取。
[0005]海量病毒报告的分类、分析与汇总为云安全系统带来了巨大的负载。为了解决这种问题,趋势云安全系统通过在全球建立了 5大云计算(Cloud computing)数据中心,使用几万台服务器来完成对病毒报告的收集与分析。
[0006]在目前云安全系统中,云服务器会收到来自各个用户终端节点的病毒报告。当云服务器收到大批来自不同用户感知后汇报的病毒报告时,按照何种方法来对这些病毒报告进行分析成为影响整个系统提高抵御网络病毒能力的一个关键点。
【发明内容】
[0007]本发明所要解决的技术问题在于克服现有技术不足,针对互联网或内联网的网络计算环境,提供一种用于云安全系统的用户感知病毒报告分析方法,根据用户所感知的病毒感染症状判别用户终端是否感染恶意代码。
[0008]一种用于云安全系统的用户感知病毒报告分析方法,云服务器根据各用户终端发送的用户感知病毒报告判断用户终端是否感染恶意代码,并确定恶意代码的危害等级;所述各用户终端所发送的用户感知病毒报告包括各用户终端自身所感知到的节点症状集合;云服务器为节点症状集合中的各节点症状赋予不同的权值,权值越大表示感染恶意代码的可能性越大,并根据加权后的节点症状集合判断用户终端是否感染恶意代码。
[0009]考虑到主机配置不同对症状的影响,为了更准确地判定用户终端是否感染恶意代码,本发明进一步地采用以下技术方案:
[0010]所述用户感知病毒报告还包括各用户终端自身的节点个体特征值,所述节点个体特征值通过对节点的多个性能参数进行归一化计算得到;云服务器为节点症状集合中的各节点症状赋予不同的权值后,还根据节点的综合个体特征值对所述权值进行调整,所述节点的综合个体特征值通过对节点个体特征值进行加权求和得到;具体调整方法如下:如节点的综合个体特征值在预设的节点综合个体特征标准值范围内,则不对权值进行调整;如高于所述节点综合个体特征标准值范围的上限,则调高所述权值;如低于所述所述节点综合个体特征标准值范围的下限,则调低所述权值。
[0011]优选地,云服务器为节点症状集合中的各节点症状赋予四个不同的权值,采用字母A-D由高到低表示,具体如下:
[0012]权值为A的节点症状:反病毒软件被禁用或无法正常安装、反复弹出不明对话框、自行发送大量数据包、系统无端播放歌曲和无名声音、图标或程序无法删除、反复打开各种网页、用户无法进入安全模式、无法正常运行注册表、自行发送大量未知邮件;
[0013]权值为B的节点症状:帐号被盗、大量文件被破坏、软驱和/或光驱无故读个不停、硬盘空间被大量占用、无操作时硬盘指示灯频闪、系统出现蓝屏、软件报错或无法使用;权值为C的节点症状:系统响应缓慢或无故重启、系统中出现有可疑文件、系统中有可疑服务或进程、默认主页被修改且无法还原、收藏夹出现非用户添加的网站;
[0014]权值为D的节点症状:中央处理器使用率较高、内存使用率较高、网络速度过慢、打开或隐藏窗口速度明显下降、开机或关机时提示错误信息。
[0015]进一步地,所述根据加权后的节点症状集合判断用户终端是否感染恶意代码,具体按照以下方法:加权后的节点症状集合符合以下条件之一,则判断相应的用户终端感染恶意代码:①含有两个权值为A的节点症状;②含有一个权值为A的节点症状和一个权值为B的节点症状含一个权值为A的节点症状和2个权值为C的节点症状;④含一个权值为A的节点症状,I个权值为C的节点症状和3个权值为D的节点症状;?含一个权值为A的节点症状和4个权值为D的节点症状;⑥含3个权值为B的节点症状;⑦含有2个权值为B的节点症状和2个权值为C的节点症状;⑧含I个权值为B的节点症状和4个权值为D的节点症状;⑨含I个权值为B的节点症状,I个权值为C的节点症状和3个权值为D的节点症状;(?含2个权值为的C节点症状和4个权值为D的节点症状。
[0016]进一步地,本发明的用户感知病毒报告分析方法还包括:云服务器根据感染恶意代码的用户终端在系统总的用户终端中所占比例发出相应的系统警报。
[0017]相比现有技术,本发明方法具有以下有益效果:
[0018](I)用户直观:本发明基于用户可以感知得到的终端节点不同类型的症状列表来判断病毒爆发情况,对用户来说简单、直观。
[0019](2)全面可行:本发明总结了共计26种节点症状,基本涵盖了目前病毒对节点造成的所有用户可感知的症状,以此作为分析病毒的依据是比较全面可行的。
[0020](3)灵活性高:本发明鉴于主机配置不同对症状的影响,对以上基本权值标准还应作了灵活处理,具有较高的灵活性。
【具体实施方式】
[0021]本发明将用户感知的不同病毒感染症状分为不同的权值,设计疑似感染恶意代码判别标准,同时鉴于主机配置不同对症状的影响,对以上权值标准作出相应调整,最后按照监控的病毒报告,设置三个等级的系统警报,从而提高系统的处理效率。
[0022]为了便于公众理解本发明技术方案,下面以一个具体实施例来对本发明进行详细说明。
[0023]云安全系统要求用户终端节点向服务器主动发送病毒报告,以快速的获取病毒传播和感染情况。本【具体实施方式】中,用户终端节点所发送的用户感知病毒报告(Maliciouscode report, MCR)被定义为以下的3元组:
[0024]MCR=(Identity, Attributes, Signs)(I)
[0025]式(I)中的Identity为节点标识,Attributes为节点的个体特征集,Signs为用户观察到的节点症状集。
[0026]提交病毒报告的用户终端个体特征集Attributes为:
[0027]Attributes= {a” a2, a3,...,a”...,am}(2)
[0028]式(2)中的Bi (i=l, 2,......,m)为节点个体特征值,通过将包括中央处理器性
能、内存容量、操作系统类型等在内的节点性能参数经归一化计算得到。m为所选取的节点个体特征(性能参数)总数。
[0029]由节点个体特征集Attributes进一步加权计算得到节点综合个体特征值az。由于终端性能中最重要的部分是中央处理器性能和内存容量,因此设定表征中央处理器性能的个体特征值(设为S1)的权为O1,表征内存容量的个体特征值(设为a2)的权为ω2,除此之外的其他性能参数的个体特征值(设为a3, a4,..., Bi,..., am)的权总和为ω 3,ω ^ ω 2+ ω 3=1。用户终端的节点综合个体特征值az计算式为:
【权利要求】
1.一种用于云安全系统的用户感知病毒报告分析方法,云服务器根据各用户终端发送的用户感知病毒报告判断用户终端是否感染恶意代码,并确定恶意代码的危害等级;其特征在于,所述各用户终端所发送的用户感知病毒报告包括各用户终端自身所感知到的节点症状集合;云服务器为节点症状集合中的各节点症状赋予不同的权值,权值越大表示感染恶意代码的可能性越大,并根据加权后的节点症状集合判断用户终端是否感染恶意代码。
2.如权利要求1所述用于云安全系统的用户感知病毒报告分析方法,其特征在于,所述用户感知病毒报告还包括各用户终端自身的节点个体特征值,所述节点个体特征值通过对节点的多个性能参数进行归一化计算得到;云服务器为节点症状集合中的各节点症状赋予不同的权值后,还根据节点的综合个体特征值对所述权值进行调整,所述节点的综合个体特征值通过对节点个体特征值进行加权求和得到;具体调整方法如下:如节点的综合个体特征值在预设的节点综合个体特征标准值范围内,则不对权值进行调整;如高于所述节点综合个体特征标准值范围的上限,则调高所述权值;如低于所述所述节点综合个体特征标准值范围的下限,则调低所述权值。
3.如权利要求2所述用于云安全系统的用户感知病毒报告分析方法,其特征在于,云服务器为节点症状集合中的各节点症状赋予四个不同的权值,采用字母A-D由高到低表示,具体如下: 权值为A的节点症状:反病毒软件被禁用或无法正常安装、反复弹出不明对话框、自行发送大量数据包、系统无端播放歌曲和无名声音、图标或程序无法删除、反复打开各种网页、用户无法进入安全模式、无法正常运行注册表、自行发送大量未知邮件; 权值为B的节点症状:帐 号被盗、大量文件被破坏、软驱和/或光驱无故读个不停、硬盘空间被大量占用、无操作时硬盘指示灯频闪、系统出现蓝屏、软件报错或无法使用;权值为C的节点症状:系统响应缓慢或无故重启、系统中出现有可疑文件、系统中有可疑服务或进程、默认主页被修改且无法还原、收藏夹出现非用户添加的网站; 权值为D的节点症状:中央处理器使用率较高、内存使用率较高、网络速度过慢、打开或隐藏窗口速度明显下降、开机或关机时提示错误信息。
4.如权利要求3所述用于云安全系统的用户感知病毒报告分析方法,其特征在于,所述根据加权后的节点症状集合判断用户终端是否感染恶意代码,具体按照以下方法:加权后的节点症状集合符合以下条件之一,则判断相应的用户终端感染恶意代码:①含有两个权值为A的节点症状;②含有一个权值为A的节点症状和一个权值为B的节点症状;③含一个权值为A的节点症状和2个权值为C的节点症状含一个权值为A的节点症状,I个权值为C的节点症状和3个权值为D的节点症状;?含一个权值为A的节点症状和4个权值为D的节点症状;⑥含3个权值为B的节点症状;⑦含有2个权值为B的节点症状和2个权值为C的节点症状御含I个权值为B的节点症状和4个权值为D的节点症状;⑨含I个权值为B的节点症状,I个权值为C的节点症状和3个权值为D的节点症状;(?含2个权值为的C节点症状和4个权值为D的节点症状。
5.如权利要求4所述用于云安全系统的用户感知病毒报告分析方法,其特征在于,该方法还包括:云服务器根据感染恶意代码的用户终端在系统总的用户终端中所占比例发出相应的系统警报。
6.如权利要求5所述用于云安全系统的用户感知病毒报告分析方法,其特征在于,所述系统警报根据安全级别由低到高设置为黄、橙、红三个等级。
7.如权利要求6所述用于云安全系统的用户感知病毒报告分析方法,其特征在于,感染恶意代码的用户终端在系统总的用户终端中所占比例大于O且小于等于0.1,系统警报等级为黄;感染恶意代码的用户终端在系统总的用户终端中所占比例大于0.1且小于等于0.7,系统警报等级为橙;感染恶意代码的用户终端在系统总的用户终端中所占比例大于0.7且小于I,系统警报等级为红。
8.如权利要求2所述用于云安全系统的用户感知病毒报告分析方法,其特征在于,所述多个节点性能参数包括节点的中央处理器性能和内存容量。
【文档编号】G06F21/56GK103544438SQ201310452351
【公开日】2014年1月29日 申请日期:2013年9月27日 优先权日:2013年9月27日
【发明者】徐小龙, 徐佳, 李千目, 孙雁飞, 王新珩, 李玲娟, 毕朝国, 陈丹伟, 邱国霞, 杨宝杰 申请人:南京邮电大学