本发明专利技术提供了一种恶意软件动态行为分析系统的预警方法及装置,其中所述方法包括:统计恶意软件动态行为分析系统在过去一段时间内对恶意软件样本的处理信息,学习恶意软件动态行为分析系统对恶意软件样本的处理规律;获取恶意软件动态行为分析系统对恶意软件样本的当前处理状态,并在当前处理状态与所述处理规律不匹配时发出预警。本发明专利技术能够及时发现系统中的异常并进行告警。
【技术实现步骤摘要】
【专利摘要】本专利技术提供了一种恶意软件动态行为分析系统的预警方法及装置,其中所述方法包括:统计恶意软件动态行为分析系统在过去一段时间内对恶意软件样本的处理信息,学习恶意软件动态行为分析系统对恶意软件样本的处理规律;获取恶意软件动态行为分析系统对恶意软件样本的当前处理状态,并在当前处理状态与所述处理规律不匹配时发出预警。本专利技术能够及时发现系统中的异常并进行告警。【专利说明】恶意软件动态行为分析系统的预警方法及装置
本专利技术涉及网络安全
,具体涉及一种恶意软件动态行为分析系统的预警 方法及装置。
技术介绍
恶意软件动态行为分析系统,是将恶意软件置于虚拟机环境中来运行,对其运行 期间的动态行为进行监控和分析的一套系统,该系统的输入为恶意软件的样本,输出为针 对该样本的动态行为分析报告。该系统通常包括有中央调度服务器和多个分布式虚拟机 处理节点。其中,中央调度服务器是用于存储、调度待处理的样本的服务器,分布式虚拟机 处理节点是指系统中用于处理恶意软件样本的处理节点,该节点可以通过挂载的方式注册 到系统中,这样就能从中央调度服务器获取恶意软件样本进行处理。目前来说,虚拟化平台 通常都有针对虚拟机的监控,包括CPU (Central Processing Unit,中央处理器)占用率以 及是否宕机等信息,这些措施虽然能够提供对虚拟机本身的完整监控,但是对于恶意软件 动态行为分析系统来说,它做不到在上层的系统层面对系统运行状况做监控和预警,例如, 在某些情况下,虚拟机中运行的恶意软件样本会破坏虚拟机的软件环境,例如对网络通信 的干扰等,这些可能会导致我们恶意软件行为分析系统的通信中断,但是不造成虚拟机CPU 占用率过高或者宕机,在这种情况下,虚拟机平台自有的监控系统会提示虚拟机运行状况 良好,但是上层系统的处理流程已经出现阻塞等问题,最常见的就是处理样本超时,此时就 需要依赖监控预警系统来给出相应的反馈和后续处理动作(如同一个虚拟机连续多个样本 出现超时,则停用该虚拟机)。 恶意软件动态行为分析系统的异常监测和预警,是指对系统运行状态进行监控, 对出现的异常情况发出警报,具体的警报形式有多种多样,例如可以通过文字提示或电子 邮件通知等方式进行警示。 对于通常的流转业务系统而言,处理环节一般会有很多个。为保证整体业务流水 线正常工作,就要求各个环节都能正常运转,一旦出现问题需要能够尽快被发现,并尽可能 的自动恢复,恢复不了的则通过人工干预。因此,需要对整体流程和各个子环节进行状态监 控以便发现问题,通常需要在系统层面,以及需要监控的子环节层面部署相应的监控机制, 以此达到预警目的。 恶意软件动态行为分析系统在其运行过程中,由于涉及到将恶意软件样本放到虚 拟机环境中运行抓取其日志记录解析最终得出分析报告。对于系统运行状态的监测,通常 是事先在可能出现问题的环节部署如日志记录、状态监控等功能,来发现系统中出现的异 堂 巾。 可以看出,传统的预警方法需要事先把可能出现问题的环节都想到,才能在最大 程度上防止漏掉监控点。事实上,事先把所有可能出问题的环节都考虑到是比较困难的,而 在所有的点上部署监控也不现实,因此很容易遗漏掉某些监控点,导致系统在实际运行中 出现问题而不能及时发现异常,从而导致跟进和修复的整体周期变长,对整体业务会产生 较大的影响。
技术实现思路
有鉴于此,本专利技术的目的是提供一种恶意软件动态行为分析系统的预警方法及装 置,能够及时发现系统中的异常并进行告警。 为解决上述技术问题,本专利技术提供方案如下: -种恶意软件动态行为分析系统的预警方法,包括: 统计恶意软件动态行为分析系统在过去一段时间内对恶意软件样本的处理信息, 学习恶意软件动态行为分析系统对恶意软件样本的处理规律; 获取恶意软件动态行为分析系统对恶意软件样本的当前处理状态,并在当前处理 状态与所述处理规律不匹配时发出预警。 进一步的,上述方案中,所述处理信息包括各个节点忙闲状态的转换时长以及针 对单个样本的处理时长;所述处理规律包括各个节点在所述过去一段时间内的忙闲状态的 平均转换时长以及针对单个样本的平均处理时长。 进一步的,上述方案中,所述获取恶意软件动态行为分析系统的当前处理状态,并 在当前处理状态与所述处理规律不匹配时发出预警包括 : 获取恶意软件动态行为分析系统中各个节点,在预定长度的时间周期内的忙闲状 态的转换时长和针对单个样本的处理时长; 若当前时间周期内的忙闲状态的转换时长与所述平均转换时长之间的差值大于 预设第一门限,或者,当前时间周期内针对单个样本的处理时长与所述平均处理时长之间 的差值大于预设第二门限,则产生对应节点的节点告警信息。 进一步的,上述方案中,还包括: 若针对一节点连续产生所述节点告警信息的次数达到预定第一阈值,则发出系统 管理警报,并停止对应节点对恶意软件样本的处理。 进一步的,上述方案中,所述处理信息还包括:恶意软件样本的处理数量,所述处 理规律还包括:预定长度的时间周期内恶意软件样本的处理数量的参考平均值。 进一步的,上述方案中,所述获取恶意软件动态行为分析系统的当前处理状态,并 在当前处理状态与所述处理规律不匹配时发出预警还包括: 获取恶意软件动态行为分析系统在当前时间周期内的样本处理总数量的平均 值; 在当前时间周期内的样本处理总数量的平均值与所述参考平均值之间的差值大 于预设第三门限时,发出系统告警信息。 进一步的,上述方案中,所述获取恶意软件动态行为分析系统的当前处理状态,并 在当前处理状态与所述处理规律不匹配时发出预警还包括: 若连续发出所述系统告警信息的次数达到预定第二阈值,发出系统管理警报。 进一步的,上述方案中,进一步在系统中的节点数量保持不变、且产生所述节点告 警信息的节点数量低于预设第三阈值、以及在当前时间周期内的样本处理总数量的平均值 与所述参考平均值之间的差值大于预设第三门限时,发出所述系统告警信息。 本专利技术实施例还提供了一种恶意软件动态行为分析系统的预警装置,包括: 统计学习模块,用于统计恶意软件动态行为分析系统在过去一段时间内对恶意软 件样本的处理信息,学习恶意软件动态行为分析系统对恶意软件样本的处理规律; 告警处理模块,用于获取恶意软件动态行为分析系统对恶意软件样本的当前处理 状态,并在当前处理状态与所述处理规律不匹配时发出预警。 进一步的,上述方案中,所述处理信息包括各个节点忙闲状态的转换时长以及针 对单个样本的处理时长;所述处理规律包括各个节点在所述过去一段时间内的忙闲状态的 平均转换时长以及针对单个样本的平均处理时长。 进一步的,上述方案中,所述告警处理模块包括: 第一获取单元,用于获取恶意软件动态行为分析系统中各个节点,在预定长度的 时间周期内的忙闲状态的转换时长和针对单个样本的处理时长; 第一告警单元,用于若当前时间周期内的忙闲状态的转换时长与所述平均转换时 长之间的差值大于预设第一门限,或者,当前时间周期内针对单个样本的处理时长与所述 平均处理时长之间的差值大于预设第二门限,则产生对应节点的节点告警信息。本文档来自技高网...
【技术保护点】
一种恶意软件动态行为分析系统的预警方法,其特征在于,所述方法包括:统计恶意软件动态行为分析系统在过去一段时间内对恶意软件样本的处理信息,学习恶意软件动态行为分析系统对恶意软件样本的处理规律;获取恶意软件动态行为分析系统对恶意软件样本的当前处理状态,并在当前处理状态与所述处理规律不匹配时发出预警。
【技术特征摘要】
【专利技术属性】
技术研发人员:邹义鹏,焦国强,陈勇,张楠,
申请(专利权)人:贝壳网际北京安全技术有限公司,北京金山网络科技有限公司,北京金山安全软件有限公司,珠海市君天电子科技有限公司,可牛网络技术北京有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。