一种云计算环境下的恶意程序智能防御系统及防御方法

一种云计算环境下的恶意程序智能防御系统及防御方法
【专利摘要】一种云计算环境下的恶意程序智能防御系统，其包括，云计算平台，所述云计算平台并行设置多个不同的反病毒引擎，所述不同反病毒引擎针对不同类型病毒进行扫描；样本收集子系统，所述样子收集子系统收集安全漏洞攻击相关数据；隔离分析子系统，所述隔离分析子系统为多恶意程序行为分析引擎集合，且所述离分析子系统分析得出侧重点不同的行为监控结果；计算服务器，所述计算服务器收集所述样本收集子系统与隔离分析子系统数据，且计算服务器对行为数据进行分析产生行为特征知识库。
【专利说明】一种云计算环境下的恶意程序智能防御系统及防御方法
【技术领域】
[0001]本发明是一种云计算环境下的恶意程序智能防御方法。是一种用于在云计算环境中，采用蜜罐技术与智能的程序行为分析技术结合的方法，设计实现对恶意代码(包括未知病毒)进行检测的病毒防御机制。
【背景技术】
[0002]随着计算机病毒朝着与黑客技术结合、破坏性更大、传播渠道更多、传播速度更快、更多变种、对原程序加密等趋势发展，传统病毒查杀技术在应用上已经比较困难实现对病毒的防御。随着新的计算模式比如分布式计算、网格计算、云计算等的出现，新的恶意程序检测应用也开始出现，比如人们渐渐熟知的“云查杀”。但目前来看，多数反病毒方案面临滞后性、局限性的问题，具体如下:(1)在日益指数级增长的病毒趋势下，传统杀毒软件更新升级存在明显滞后性；
[0003](2)用户单机应用环境下往往只安装一套杀毒软件，存在单点防御局限性；
[0004](3)不升级杀毒软件无法查杀新编写的病毒，无法查杀经过免杀处理的旧病毒；
[0005](4)收集数据时采用蜜罐技术、用户上报、自己成立实验室研发等方式，成本高且收集到的样本数量有限；
[0006](5)现有的一些云查杀引擎只是单纯的将服务器放在云端，依然采用的特征码比对的传统模式，无法实现对未知病毒的检测；
[0007](6)云服务端多引擎并行工作只是将不同厂商的引擎的组合，受不同厂商技术水平、产品针对性限制。

【发明内容】

[0008]为解决上述技术问题，本发明一种充分保障了反病毒引擎知识库的更新，且提高了对未知病毒的检测能力的云计算环境下的恶意程序智能防御系统，其包括，
[0009]云计算平台，所述云计算平台并行设置多个不同的反病毒引擎，所述不同反病毒引擎针对不同类型病毒进行扫描；
[0010]样本收集子系统，所述样本收集子系统收集安全漏洞攻击相关数据；
[0011]隔离分析子系统，所述隔离分析子系统为多恶意程序行为分析引擎集合，且所述离分析子系统分析得出侧重点不同的行为监控结果；
[0012]计算服务器，所述计算服务器收集所述样本收集子系统与隔离分析子系统数据，且计算服务器对行为数据进行分析产生行为特征知识库。
[0013]在上述技术方案的基础上，所述样本收集子系统包括蜜罐系统，所述蜜罐系统自动收集各种攻击行为。
[0014]在上述技术方案的基础上，所述样本收集子系统还包括样本收集子系统管理服务器，所述样本收集子系统管理服务器管理蜜罐系统的运作、系统失败回滚、节点失败隔离等操作。[0015]在上述技术方案的基础上，隔离分析子系统负责虚拟机的工作调度、任务分配、数据收集等操作。
[0016]在上述技术方案的基础上，所述隔离分析子系统；
[0017]让疑似恶意代码得以在该虚拟操作系统环境下运行，通过监控其行为来总结得出行为分析报告。
[0018]在上述技术方案的基础上，隔离分析子系统负责虚拟机的工作调度、任务分配、数据收集等操作。
[0019]在上述技术方案的基础上，所述计算服务器实现对安全威胁的等级划分，与相应的反馈信息之间保持映射关系，用以提示用户所扫描文件的安全威胁等级，在后续步骤中由用户选择对文件的操作结果，并根据用户对操作的要求来对病毒代码清除、文件修复等。
[0020]本发明还提供一种云计算环境下的恶意程序智能防御系统的防御方法，其包括以下步骤，
[0021]S1样本收集子系统自动收集各种攻击行为；
[0022]S2隔离分析子系统不同的行为分析引擎得出侧重点不同的行为监控结果，并将所述结果综合；
[0023]S3所述样本收集子系统与隔离分析子系统结果数据交给计算服务器，计算服务器利用智能检测算法对行为数据进行分析产生行为特征知识库；
[0024]S4用户请求扫描文件，触发综合调度管理服务器，启动多引擎扫描确认后，安全文件则返回“安全”型信息，未知可疑文件，传递给隔离分析子系统；
[0025]S5隔离分析子系统判断是否病毒文件，若是，将样本保存到数据库中，经计算服务器产生特征知识库，返回“危险”型信息；若不是，返回“安全”型信息。
[0026]本发明与现有技术相比，其有益效果是:
[0027]( 1)本发明充分利用了云计算技术本身的海量数据存储、高性能计算能力、低运算资源消耗的优势，解决了传统杀毒模式的滞后性、局限性的问题。大大降低了用户计算机的资源消耗。
[0028](2)本发明相比现有云查杀技术体现出更加智能化的操作，结合优化的程序行为智能检测算法实现对恶意代码全面的监控，降低了受未知病毒的威胁可能性。
[0029](3)基于云计算技术高可扩展性的特点选取开放式的综合调度管理服务器有助于将来对多个反病毒引擎的优化配置。
【专利附图】

【附图说明】
[0030]图1是本发明一种云计算环境下的恶意程序智能防御系统示意图。
【具体实施方式】
[0031]为详细说明本发明之技术内容以下兹例举实施例并配合附图详予说明。
[0032]请参阅图1。一种充分保障了反病毒引擎知识库的更新，且提高了对未知病毒的检测能力的云计算环境下的恶意程序智能防御系统，其包括，
[0033]云计算平台，所述云计算平台并行设置多个不同的反病毒引擎，所述不同反病毒引擎针对不同类型病毒进行扫描；[0034]样本收集子系统，所述样子收集子系统收集安全漏洞攻击相关数据；
[0035]隔离分析子系统，所述隔离分析子系统为多恶意程序行为分析引擎集合，且所述离分析子系统分析得出侧重点不同的行为监控结果；
[0036]计算服务器，所述计算服务器收集所述样本收集子系统与隔离分析子系统数据，且计算服务器对行为数据进行分析产生行为特征知识库。
[0037]样本收集子系统包括蜜罐系统，所述蜜罐系统自动收集各种攻击行为。
[0038]样本收集子系统中，蜜罐系统自动收集各种攻击行为；同时，隔离分析子系统将分析结果综合。样本收集子系统管理服务器负责管理蜜罐子系统的运作、系统失败回滚、节点失败隔离等操作；隔离分析子系统负责虚拟机的工作调度、任务分配、数据收集等操作。
[0039]两个子系统分析的结果数据交给计算服务器，计算服务器利用智能检测算法对行为数据进行分析产生行为特征知识库。其中，智能检测算法能够实现对安全威胁的等级划分，与相应的反馈信息之间保持映射关系，用以提示用户所扫描文件的安全威胁等级，在后续步骤中由用户选择对文件的操作结果，并根据用户对操作的要求来对病毒代码清除、文件修复等。
[0040]隔离分析子系统让疑似恶意代码得以在该虚拟操作系统环境下运行，通过监控其行为来总结得出行为分析报告。由于行为分析软件难以全面的分析某可疑程序在虚拟机运行过程中所作出的全部行为，同时一些行为分析引擎内嵌的虚拟化隔离环境的不同，有可能出现不同的监控盲点或缺陷，因此虚拟化隔离环境集成了不同厂家的虚拟监控器，利用云计算服务通用性和可扩展性，统一部署，发挥各监控器的优势全面监控可疑程序的所有行为。如某一监控器可能注重底层系统调用，全面收集该方面的信息，却忽略了某些系统关键文件的替换和修改动作，因此，此时可以使用另一款监控器，该监控器会更加注重系统关键文件的替换和修改等操作。两款监控器结合，协调工作。
[0041]如果某疑似恶意代码本质上是安全的，便无所谓是否需要系统还原。如果该疑似恶意代码本质上确实是恶意代码，具有一定的破坏性，那么在虚拟操作系统中运行之后，该虚拟操作系统很大程度上已经被感染病毒或已被损坏，这时，虚拟监控器利用自身具备的快照还原功能能够在运行完该恶意代码之后还原到最初的纯净的操作系统。由于无法保证恶意代码的攻击威胁无法攻破虚拟机的还原机制，防止恶意代码突破还原机制感染其他虚拟机环境进而感染整个虚拟化隔离子系统，从而威胁到整个云计算防护体系，所以隔离分析子系统中的虚拟化分析环境与本文提出的云计算安全防护体系的其他部分是隔离的。
[0042]但是本隔离子系统会提供两个安全的接口，一个接口用来接收综合管理服务器提交上来的用户请求分析的疑似恶意代码文件，在接收到疑似恶意代码文件后，隔离分析子系统会将该文件提交到虚拟化分析环境中运行。另一个安全的接口需要将监控器的行为分析报告发送给计算服务器，因为得到的行为分析报告中总结的行为数据需要通过计算服务器上运行的智能检测算法来进行分析，判断得出上述隔离分析的疑似恶意代码是否真正的病毒。
[0043]客户端安全扫描引擎可由用户通过综合调度管理服务器自主选择装一个或多个。
[0044]用户请求扫描文件，触发综合调度管理服务器，启动多引擎扫描确认后，安全文件则返回“安全”型信息，未知可疑文件，传递给隔离分析子系统。
[0045]隔离分析子系统判断是否病毒文件。对于已经在病毒特征知识库中的特征代码，隔离分析子系统可以做出判断，对于不在病毒特征知识库中的代码，需要将监控得到的行为特征分析总结，交由计算服务器利用智能分析算法做出判断其是否为病毒代码。若是，将样本保存到数据库中，经计算服务器产生特征知识库，返回“危险”型信息；若不是，返回“安全”型信息。
[0046]将产生的反馈结果综合，由综合调度管理服务器反馈给用户。由用户决定如何处理扫描的文件。若用户选择清除病毒代码并继续访问文件，将触发计算服务器产生相关的文件操作。
[0047]基于云计算平台的网络智能防御策略实现了对恶意程序代码的智能化分析，打破传统杀毒模式中被动根据已发现病毒产生特征码来匹配的工作模式，利用云计算技术的海量数据存储能力、高计算性能、并行计算和可伸缩性的技术优势，全面提高网络对恶意攻击和威胁的主动防御能力。
[0048]综上所述，仅为本发明之较佳实施例，不以此限定本发明的保护范围，凡依本发明专利范围及说明书内容所作的等效变化与修饰，皆为本发明专利涵盖的范围之内。
【权利要求】
1.一种云计算环境下的恶意程序智能防御系统，其特征在于:其包括，云计算平台，所述云计算平台并行设置多个不同的反病毒引擎，所述不同反病毒引擎针对不同类型病毒进行扫描；样本收集子系统，所述样本收集子系统收集安全漏洞攻击相关数据；隔离分析子系统，所述隔离分析子系统为多恶意程序行为分析引擎集合，且所述离分析子系统分析得出侧重点不同的行为监控结果；计算服务器，所述计算服务器收集所述样本收集子系统与隔离分析子系统数据，且计算服务器对行为数据进行分析产生行为特征知识库。
2.如权利要求1所述的一种云计算环境下的恶意程序智能防御系统，其特征在于:所述样本收集子系统包括蜜罐系统，所述蜜罐系统自动收集各种攻击行为。
3.如权利要求2所述的一种云计算环境下的恶意程序智能防御系统，其特征在于:所述样本收集子系统还包括样本收集子系统管理服务器，所述样本收集子系统管理服务器管理蜜罐系统的运作、系统失败回滚、节点失败隔离等操作。
4.如权利要求1所述的一种云计算环境下的恶意程序智能防御系统，其特征在于:隔离分析子系统负责虚拟机的工作调度、任务分配、数据收集等操作。
5.如权利要求4所述的一种云计算环境下的恶意程序智能防御系统，其特征在于:所述隔离分析子让疑似恶意代码得以在该虚拟操作系统环境下运行，通过监控其行为来总结得出行为分析报告。
6.如权利要求1所述的一种云计算环境下的恶意程序智能防御系统，其特征在于:所述计算服务器实现对安全威胁的等级划分，与相应的反馈信息之间保持映射关系，用以提示用户所扫描文件的安全威胁等级，在后续步骤中由用户选择对文件的操作结果，并根据用户对操作的要求来对病毒代码清除、文件修复等。
7.一种使用权利要求1-6所述云计算环境下的恶意程序智能防御系统的防御方法，其特征在于:其包括以下步骤，S1样本收集子系统自动收集各种攻击行为；S2隔离分析子系统不同的行为分析引擎得出侧重点不同的行为监控结果，并将所述结果综合；S3所述样本收集子系统与隔离分析子系统结果数据交给计算服务器，计算服务器利用智能检测算法对行为数据进行分析产生行为特征知识库；S4用户请求扫描文件，触发综合调度管理服务器，启动多引擎扫描确认后，安全文件则返回“安全”型信息，未知可疑文件，传递给隔离分析子系统；S5隔离分析子系统判断是否病毒文件，若是，将样本保存到数据库中，经计算服务器产生特征知识库，返回“危险”型信息；若不是，返回“安全”型信息。
【文档编号】G06F21/56GK103679026SQ201310647523
【公开日】2014年3月26日 申请日期:2013年12月3日 优先权日:2013年12月3日
【发明者】陈晓峰, 张振宇, 马建峰 申请人:西安电子科技大学