专利名称:基于云平台的主动防御方法
技术领域:
本发明涉及信息安全领域,更具体地,本发明涉及一种基于云平台的主动防御方法。
背景技术:
长期以来,计算机病毒一直威胁着计算机系统的数据安全。计算机病毒的隐蔽性, 传染性及破坏性严重干扰了计算机的正常运行,给人类造成了巨大的损失。随着计算机网络及其应用的快速发展,病毒产生的渠道、传播形式以及生命周期也随之发生了质的改变。 目前新产生的病毒大多来自网络,通过网络传播、自动下载新病毒或自动更新变种,并不断传播。近几年来,“云安全”的思想被提出,其主要技术方法是通过网状的大量客户端, 对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,推送到服务端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。目前各安全厂商都已经推出云安全解决方案,有如下两种典型方案1.客户端与“云安全”平台实时通信,组成监测木马和恶意网址的互联网络,客户端对用户计算机进行扫描,然后提取可能是病毒的文件上报,经过云端检测处理后,升级杀毒软件并将解决方案送达所有客户端,所有客户端就都能防范这一威胁,这种方案里,所有客户端组成云网络;2.利用庞大的服务器群,实时收集应用请求,并通过在云端的计算,判断这些请求是否是安全的,比如打开一条网站链接,先通过存储在其云端的数据对这些请求进行鉴别,分析其是否是安全的链接或程序,并给客户以反馈,通过云端强大的存储和处理能力保证用户得到同步反馈。现有的云安全解决方案扩大了恶意软件样本的获取渠道,使杀毒软件厂商可以更快的获取新样本,但仍然存在一些局限首先,恶意代码可能对抗云安全分析,比如增大自身大小对抗上传,或者只在特定条件下才暴露其恶意行为;其次,受到目前恶意软件自动化分析技术的限制,杀毒软件厂商仍然不能对新样本即时分析,并迅速做出响应。新病毒样本从出现到被杀毒软件厂商识别的时间差内依然有大量用户会被恶意软件感染,也就是云安全所存在的首批受害者问题;最后,即使在服务端采用云安全方案时,客户端仍然要安装杀毒软件,客户端资源消耗较大。
发明内容
本发明的目的在于提供一种基于云平台的主动防御方法,其中客户端与云端服务器协同完成对恶意程序的检测。本发明是通过以下技术方案实现的—种基于云平台的主动防御方法,包括以下步骤客户端拦截进程创建,以获取进程的程序文件路径,根据程序文件路径计算程序文件的特征值,判断程序文件的特征值是否存在于本地数据库中,若程序文件的特征值不是存在于本地数据库中,则将程序文件的特征值发送至云端,判断程序文件的特征值是否存在于云端的数据库中,若程序文件的特征值不是存在于云端的数据库中,则判断是否需要对程序文件执行云端分析,若需要对程序文件执行云端分析,则将程序文件发送到云端,云端执行程序文件中的命令,具体包括子步骤判断命令是否包括用户环境相关命令,若命令包括用户环境相关命令,则对客户端执行系统调用,访问客户端的注册表及资源文件,判断程序文件中的命令是否已经执行完毕, 如命令已经执行完毕,则过程结束,如果命令没有执行完毕,则返回判断命令是否包括用户环境相关命令的步骤,判断程序文件中的剩余命令是否不包括用户环境相关命令,若剩余命令不包括用户环境相关命令,则执行剩余命令,根据程序文件的行为记录检测程序文件的安全性,将检测结果返回给客户端。本发明的方法还包括步骤若不需要对程序文件执行云端分析,则则直接返回安全的结果。云端执行程序文件中的命令的步骤还包括若命令不包括用户环境相关命令,则对命令执行本地调用,访问云端的注册表及资源文件,并返回判断程序文件中的命令是否已经执行完毕的步骤。本发明的方法还包括步骤若剩余命令包括用户环境相关命令,则返回云端执行程序文件中的命令的步骤。本发明具有以下优点(1)对客户端保护更加有效客户端会拦截所有进程创建及其操作,程序特征码及行为被上传到服务器端查询,服务器端首先采用查询特征码等黑白名单库给出检测结果,当查询未命中时在客户端执行恶意程序但所有危险操作都被定位到服务器端,即使对抗云端分析的恶意程序仍然可以在本地执行而不会对本地系统造成危害,因而可以有效保护客户端的安全;(2)云端的分析响应速度更快客户端所拦截的所有可疑文件都会被选择在重定位到云端执行,并且可以借助客户端的配合模拟真实的用户环境,能够充分捕捉恶意软件的行为,避免恶意软件有意逃避虚拟环境的检测。由多个客户端配合进行不同实例的分析,能对恶意软件做最全面和充分的行为分析;服务器端用户上传的程序在服务器端客户机操作系统中被执行,利用硬件辅助虚拟化技术在特权域检测用户行为,这种检测对客户机操作系统的执行程序是完全透明的, 可以充分暴露检测程序的行为,避免恶意程序对抗分析;(3)客户端的开销较低用户客户端可以不装复杂的杀毒软件和庞大的病毒库,客户端可以使用轻量级拦截进程加载及操作的程序,在客户端使用本地黑白名单缓冲区,减少网络查询开销,本地查询未命中再向云端查询,并将查询结果保存在本地,最后客户端根据查询到的结果允许或拒绝目标程序操作。
图1是本发明基于云平台的主动防御方法的流程图。图2是本发明方法中步骤⑶的细化流程图。
具体实施例方式以下对本发明中一些技术术语进行定义云端S卩服务器端。程序文件的特征值可以惟一标识文件的值,如MD5值、SHAl安全哈希算法 (Secure Hash Algorithm,简称SHA1)值以及程序的关键指令。程序文件中的命令指程序指令。用户环境相关命令指特定的程序指令,如处理用户输入的指令、读取系统信息指令和读取用户数据的指令。云端分析在服务器端执行程序并进行分析以识别程序的安全性。如图1所示,本发明基于云计算的主动防御方法包括以下步骤(1)客户端拦截进程创建,以获取进程的程序文件路径;(2)根据程序文件路径计算程序文件的特征值,具体而言,可以采用MD5或SHAl算法获得程序的特征值,也可以提取程序的关键指令;(3)判断程序文件的特征值是否存在于本地数据库中,若程序文件的特征值不是存在于本地数据库中,则进入步骤G),否则进入步骤(11);(4)将程序文件的特征值发送至云端;(5)判断程序文件的特征值是否存在于云端的数据库中,若程序文件的特征值不是存在于云端的数据库中,则进入步骤(6),否则进入步骤(11);(6)判断是否需要对程序文件执行云端分析,若需要对程序文件执行云端分析,则进入步骤(7),否则直接返回安全的结果;(7)将程序文件发送到云端;(8)云端执行程序文件中的命令;(9)判断程序文件中的剩余程序是否包含用户环境相关命令,若剩余程序包含用户环境相关命令,则返回步骤(8),否则进入步骤(10);(10)根据程序文件的行为记录检测程序文件的安全性;(11)将检测结果返回给客户端。如图2所示,本发明方法中的步骤(8)包括以下子步骤(8-1)判断程序文件中的命令是否包括用户环境相关命令,若命令包括用户环境相关命令,则进入步骤(8-2),否则进入步骤(8-5);(8-2)对客户端执行系统调用;(8-3)访问客户端的注册表及资源文件;(8-4)判断程序文件中的命令是否已经执行完毕,若执行完毕,则过程结束,若没有执行完毕,则返回子步骤(8-1);(8-5)对云端本地执行上述命令;(8-6)访问云端本地注册表及资源文件,并返回子步骤(8-4)。
权利要求
1.一种基于云平台的主动防御方法,包括以下步骤 客户端拦截进程创建,以获取进程的程序文件路径; 根据所述程序文件路径计算程序文件的特征值;判断所述程序文件的特征值是否存在于本地数据库中;若所述程序文件的特征值不是存在于所述本地数据库中,则将所述程序文件的特征值发送至云端;判断所述程序文件的特征值是否存在于所述云端的数据库中; 若所述程序文件的特征值不是存在于所述云端的数据库中,则判断是否需要对所述程序文件执行云端分析;若需要对所述程序文件执行云端分析,则将所述程序文件发送到所述云端; 所述云端执行所述程序文件中的命令,具体包括 判断所述命令是否包括用户环境相关命令;若所述命令包括所述用户环境相关命令,则对所述客户端执行系统调用; 访问所述客户端的注册表及资源文件; 判断所述程序文件中的命令是否已经执行完毕;如所述命令已经执行完毕,则过程结束,如果所述命令没有执行完毕,则返回判断所述命令是否包括用户环境相关命令的步骤;判断所述程序文件中的剩余命令是否不包括用户环境相关命令; 若所述剩余命令不包括所述用户环境相关命令,则执行所述剩余命令; 根据所述程序文件的行为记录检测所述程序文件的安全性; 将检测结果返回给所述客户端。
2.根据权利要求1所述的主动防御方法,其特征在于,还包括步骤 若不需要对所述程序文件执行云端分析,则直接返回安全的结果。
3.根据权利要求1所述的主动防御方法,其特征在于,所述云端执行所述程序文件中的命令的步骤还包括若所述命令不包括所述用户环境相关命令,则对所述命令执行本地调用; 访问所述云端的注册表及资源文件,并返回所述判断所述命令是否已经执行完毕的步马聚ο
4.根据权利要求1所述的主动防御方法,其特征在于,还包括步骤若所述剩余命令包括所述用户环境相关命令,则返回所述云端执行所述程序文件中的命令的步骤。
全文摘要
本发明公开了一种基于云平台的主动防御方法,包括以下步骤客户端拦截进程创建,以获取进程的程序文件路径,根据程序文件路径计算程序文件的特征值,判断程序文件的特征值是否存在于本地数据库中,若不是存在于本地数据库中,则将程序文件的特征值发送至云端,判断程序文件的特征值是否存在于云端的数据库中,若不是存在于云端的数据库中,则判断是否需要对程序文件执行云端分析,若需要对程序文件执行云端分析,则将程序文件发送到云端,云端执行程序文件中的命令,判断程序文件中的剩余命令是否不包括用户环境相关命令,若剩余命令不包括用户环境相关命令,则执行剩余命令,根据程序文件的行为记录检测程序文件的安全性,将检测结果返回给客户端。
文档编号H04L29/08GK102413142SQ20111039153
公开日2012年4月11日 申请日期2011年11月30日 优先权日2011年11月30日
发明者秦攀, 胡刚, 邹德清, 金海 , 项国富 申请人:华中科技大学