The invention discloses a cloud platform malicious behavior detection system and a method thereof, which relates to the field of malicious behavior detection. This system includes the cloud (10) and (20); the target client cloud (10) including first (11), first behavior detector network detector (12), (13), scanner mode filter (14), first (15), the malicious program library first trusted Library (16) and first network attacks the pattern library (17); the target client (20) including second (21), second behavior detector network detector (22), (23), network probe probe (24), second (25), the malicious program library second trusted Library (26) and the second network attack pattern library (27). The invention has the advantages of: (1) efficiency; accuracy; rapidity; extensibility; adaptability.
【技术实现步骤摘要】
一种云平台恶意行为检测系统及其方法
本专利技术涉及恶意行为检测领域,尤其涉及一种云平台恶意行为检测系统及其方法,具有高效和可扩展性的优势。
技术介绍
恶意行为是指计算机系统的硬件、软件及其系统中的数据受到恶意代码攻击而遭到破坏、更改和泄露的行为。随着互联网的飞速发展,在方便社会的同时,各种计算机恶意程序也不断出现。木马、蠕虫、服务器漏洞攻击、远程溢出和Web漏洞攻击等各种恶意网络攻击行为不断涌现,给用户造成了极大的威胁。如何对这些恶意行为进行检测是信息安全中的重大课题,有着很重要的意义。传统的恶意行为检测技术基于恶意代码特征,即从恶意程序中提取恶意代码特征,形成恶意代码特征库的方式来识别恶意行为。这种方式实现较为简单,但有一定的局限性。首先,客户端系统的计算能力、存储能力都是有限的,这在一定程度上限制了恶意行为识别的能力;而且,由于恶意行为的复杂性和多样性,单一的检测系统或方法容易出现误报和漏报的情况;另外,恶意代码特征库的更新频率不能得到保障。
技术实现思路
本专利技术的目的就在于克服现有技术存在的缺点和不足,针对程序恶意行为和网络恶意行为,提供一种云平台恶意行为检测系统及其方法,实现对恶意行为的识别。实现本专利技术目的技术方案是:本专利技术通过对程序恶意行为和网络恶意行为进行详细的研究,通过以下方式实现对恶意行为的检测:1、在云端通过多种扫描引擎构成的扫描器,对可疑程序进行精确扫描,判断是否具有恶意行为;并根据扫描结果,将程序信息摘要实时快速更新到第1恶意程序库和第1可信程序库;同时根据客户端的环境信息实时下发第2恶意程序库和第2可信程序库的更新到目标客户 ...
【技术保护点】
一种云平台恶意行为检测系统,其特征在于:包括云端(10)和目标客户端(20);其中云端(10)包括第1行为检测器(11)、第1网络检测器(12)、扫描器(13)、模式筛选器(14)、第1恶意程序库(15)、第1可信程序库(16)和第1网络攻击模式库(17);其中目标客户端(20)包括第2行为检测器(21)、第2网络检测器(22)、行为探针(23)、网络探针(24)、第2恶意程序库(25)、第2可信程序库(26)和第2网络攻击模式库(27);其交互关系是:第2行为检测器(21)分别与行为探针(23)、第2恶意程序库(25)、第2可信程序库(26)和第1行为检测器(11)进行交互,实现在目标客户端(20)上对程序恶意行为的提取、识别和响应;第2网络检测器(22)分别与网络探针(24)、第2网络攻击模式库(27)和第1网络检测器(12)进行交互,实现在目标客户端(20)上对网络恶意行为的提取、识别和响应;第1行为检测器(11)分别与第1恶意程序库(15)、第1可信程序库(16)、扫描器(13)和第2行为检测器(21)进行交互,实现在云端(10)对恶意程序行为的提取、识别和响应;第1网络检测器 ...
【技术特征摘要】
1.一种云平台恶意行为检测系统,其特征在于:包括云端(10)和目标客户端(20);其中云端(10)包括第1行为检测器(11)、第1网络检测器(12)、扫描器(13)、模式筛选器(14)、第1恶意程序库(15)、第1可信程序库(16)和第1网络攻击模式库(17);其中目标客户端(20)包括第2行为检测器(21)、第2网络检测器(22)、行为探针(23)、网络探针(24)、第2恶意程序库(25)、第2可信程序库(26)和第2网络攻击模式库(27);其交互关系是:第2行为检测器(21)分别与行为探针(23)、第2恶意程序库(25)、第2可信程序库(26)和第1行为检测器(11)进行交互,实现在目标客户端(20)上对程序恶意行为的提取、识别和响应;第2网络检测器(22)分别与网络探针(24)、第2网络攻击模式库(27)和第1网络检测器(12)进行交互,实现在目标客户端(20)上对网络恶意行为的提取、识别和响应;第1行为检测器(11)分别与第1恶意程序库(15)、第1可信程序库(16)、扫描器(13)和第2行为检测器(21)进行交互,实现在云端(10)对恶意程序行为的提取、识别和响应;第1网络检测器(12)分别与第1网络攻击模式库(17)和第2网络检测器(22)进行交互,实现在云端(10)上对恶意网络攻击行为的提取、识别和响应;模式筛选器(14)分别与第1恶意程序库(15)、第1可信程序库(16)、第1网络攻击模式库(17)、第2恶意程序库(25)、第2可信程序库(26)和第2网络攻击模式库(27)进行交互,实现对目标客户端(20)的信息收集和对检测规则的下发。2.基于权利要求1所述系统的一种云平台恶意行为检测方法,其特征在于:①行为探针(23)针对程序恶意行为,提取目标客户端(20)上的程序信息摘要,发送给第2行为检测器(21),进行恶意行为检测;②第2行为检测器(21)通过行为探针(23)提交的程序信息摘要,结合第2恶意程序库(25)、第2可信程序库(26)识别程序恶意行为;对于无法识别的可疑程序,则提交给云端(10)的第1行为检测器(11)进行检测;③第2网络检测器(22)通过网络探针(24)提交的网络流量摘要,结合第2网络攻击模式库(27)识别网络恶意行为;对于无法识别的可疑流量,则提交给云端(10)的第1网络检测器(12)进行检测;在云端(10)的第1网络检测器(12)通过第2网络检测器(22)提交的网络流量摘要,结合第1网络攻击模式库(17)识别网络恶意行为;④第1行为检测器(11)通过第2行为检测器(21)提交的程序信息摘要,结合第1恶意程序库(15)、第1可信程序库(16)识别程序恶意行为;对于无法识别的可疑程序,则提交扫描器(13)进行检测;对于识别的可疑程序和正常程序,则分别更新第1恶意程序库(15)和第1可信程序库(16);⑤扫描器(13)接收第1行为检测器(11)提交的程序信息摘要,通过第1、2……N扫描引擎(131、132……13N)对可疑程序进行扫描,识别程序恶意行为;⑥模式筛选器(14)结合客户端的环境信息,对第1恶意程序库(15)、可第1信程序库(16)、第1网络攻击模式库(17)的更新部分进行筛选,实时下发给目标客户端(20),以更新目标客户端(20)的第1恶意程序库(15)、第1可信程序库(16)和第1网络攻击模式库(17)。3.按权利要求2所述的云平台恶意行为检测方法,其特征在于所述的步骤①:a、行为探针(23)通过系统统计工具、Hook方式获取程序启动路径、程序启动镜像、下载的程序文件,进而提取程序信息摘要,发送给第2行为检测器(21),进行恶意行为检测;b、所述的程序信息摘要是对程序的标识,包括程序名称、程序文件大小、程序镜像大小、程序文件哈希值、程序镜像哈希值、程序文件图案和程序镜像图案的信息;哈希算法包括但不限于MD5和SHA1;c、所述的程序文件图案和程序镜像图案是对程序数据的一种采样,可以用一个三元组的集合来描述,三元组为:偏移、数据块大小、数据块;当偏移为,数据块大小等于程序文件大小或程序镜像大小时,数据块就是程序文件或程序镜像;由于当前存在对哈希值进行碰撞构造的方法,恶意程序可以构造和正常程序相同的哈希值来绕过检测;使用程序文件图案和程序镜像图案可以最大程度的防止这种情况;d、所述目标客户端(20)是指所述一种云平台恶意行为检测方法应用的对象,包括但不限于PC机、云平台和智能终端。4.按权利要求2所述的云平台恶意行为检测方法,其特征在于所述的步骤②:a、第2行为检测器(21)接收行为探针(23)提交的程序信息摘要,通过第2恶意程序库(25)进行模式匹配;如果程序文件大小、程...
【专利技术属性】
技术研发人员:罗蛟,保永武,叶猛,
申请(专利权)人:武汉虹旭信息技术有限责任公司,
类型:发明
国别省市:湖北,42
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。