一种云平台恶意行为检测系统及其方法技术方案

本发明专利技术公开了一种云平台恶意行为检测系统及其方法，涉及恶意行为检测领域。本系统包括云端（10）和目标客户端（20）；其中云端（10）包括第1行为检测器（11）、第1网络检测器（12）、扫描器（13）、模式筛选器（14）、第1恶意程序库（15）、第1可信程序库（16）和第1网络攻击模式库（17）；其中目标客户端（20）包括第2行为检测器（21）、第2网络检测器（22）、行为探针（23）、网络探针（24）、第2恶意程序库（25）、第2可信程序库（26）和第2网络攻击模式库（27）。本发明专利技术具有：①高效；②准确性；③快速性；④可扩展性；⑤适应性广。

Cloud platform malicious behavior detection system and method thereof

The invention discloses a cloud platform malicious behavior detection system and a method thereof, which relates to the field of malicious behavior detection. This system includes the cloud (10) and (20); the target client cloud (10) including first (11), first behavior detector network detector (12), (13), scanner mode filter (14), first (15), the malicious program library first trusted Library (16) and first network attacks the pattern library (17); the target client (20) including second (21), second behavior detector network detector (22), (23), network probe probe (24), second (25), the malicious program library second trusted Library (26) and the second network attack pattern library (27). The invention has the advantages of: (1) efficiency; accuracy; rapidity; extensibility; adaptability.

【技术实现步骤摘要】
一种云平台恶意行为检测系统及其方法
本专利技术涉及恶意行为检测领域，尤其涉及一种云平台恶意行为检测系统及其方法，具有高效和可扩展性的优势。
技术介绍
恶意行为是指计算机系统的硬件、软件及其系统中的数据受到恶意代码攻击而遭到破坏、更改和泄露的行为。随着互联网的飞速发展，在方便社会的同时，各种计算机恶意程序也不断出现。木马、蠕虫、服务器漏洞攻击、远程溢出和Web漏洞攻击等各种恶意网络攻击行为不断涌现，给用户造成了极大的威胁。如何对这些恶意行为进行检测是信息安全中的重大课题，有着很重要的意义。传统的恶意行为检测技术基于恶意代码特征，即从恶意程序中提取恶意代码特征，形成恶意代码特征库的方式来识别恶意行为。这种方式实现较为简单，但有一定的局限性。首先，客户端系统的计算能力、存储能力都是有限的，这在一定程度上限制了恶意行为识别的能力；而且，由于恶意行为的复杂性和多样性，单一的检测系统或方法容易出现误报和漏报的情况；另外，恶意代码特征库的更新频率不能得到保障。
技术实现思路
本专利技术的目的就在于克服现有技术存在的缺点和不足，针对程序恶意行为和网络恶意行为，提供一种云平台恶意行为检测系统及其方法，实现对恶意行为的识别。实现本专利技术目的技术方案是：本专利技术通过对程序恶意行为和网络恶意行为进行详细的研究，通过以下方式实现对恶意行为的检测：1、在云端通过多种扫描引擎构成的扫描器，对可疑程序进行精确扫描，判断是否具有恶意行为；并根据扫描结果，将程序信息摘要实时快速更新到第1恶意程序库和第1可信程序库；同时根据客户端的环境信息实时下发第2恶意程序库和第2可信程序库的更新到目标客户端，供目标客户端检测程序恶意行为时使用。2、目标客户端通过行为探针提取程序信息摘要，通过客户端的第2行为检测器，结合客户端的第2恶意程序库和第2可信程序库，判断是否具有恶意行为；对于无法判断的可疑程序，则提交给云端的检测器进行进一步深入地处理。3、对于网络恶意行为，目标客户端有第2网络攻击模式库和第2网络检测器，云端有第1网络攻击模式库和第1网络检测器；利用云端的计算能力可以在客户端对可疑流量无法识别的情况下提供可靠的识别。同时根据客户端的环境信息实时下发第2网络攻击模式库的更新到目标客户端，供目标客户端检测网络恶意行为时使用。一、一种云平台恶意行为检测系统（简称系统）本系统包括云端和目标客户端；其中云端包括第1行为检测器、第1网络检测器、扫描器、模式筛选器、第1恶意程序库、第1可信程序库和第1网络攻击模式库；其中目标客户端包括第2行为检测器、第2网络检测器、行为探针、网络探针、第2恶意程序库、第2可信程序库和第2网络攻击模式库；其交互关系是：第2行为检测器分别与行为探针、第2恶意程序库、第2可信程序库和第1行为检测器进行交互，实现在目标客户端上对程序恶意行为的提取、识别和响应；第2网络检测器分别与网络探针、第2网络攻击模式库和第1网络检测器进行交互，实现在目标客户端上对网络恶意行为的提取、识别和响应；第1行为检测器分别与第1恶意程序库、第1可信程序库、扫描器和第2行为检测器进行交互，实现在云端对恶意程序行为的提取、识别和响应；第1网络检测器分别与第1网络攻击模式库和第2网络检测器进行交互，实现在云端上对恶意网络攻击行为的提取、识别和响应；模式筛选器分别与第1恶意程序库、第1可信程序库、第1网络攻击模式库、第2恶意程序库、第2可信程序库和第2网络攻击模式库进行交互，实现对目标客户端的信息收集和对检测规则的下发。二、一种云平台恶意行为检测方法（简称方法）本方法的研究思路是在云端通过多种扫描引擎构成的扫描器，对可疑程序进行精确扫描，判断是否具有恶意行为；并根据扫描结果，将程序信息摘要实时快速更新到第1恶意程序库和第1可信程序库。同时根据客户端的环境信息实时下发第2恶意程序库和第2可信程序库的更新到目标客户端，供目标客户端检测程序恶意行为时使用。对于网络恶意行为，对于网络恶意行为，目标客户端有第2网络攻击模式库和第2网络检测器，云端有第1网络攻击模式库和第1网络检测器；利用云端的计算能力可以在客户端对可疑流量无法识别的情况下提供可靠的识别；同时根据客户端的环境信息实时下发第2网络攻击模式库的更新到目标客户端，供目标客户端检测网络恶意行为时使用。具体地说，本方法包括如下步骤：①行为探针针对程序恶意行为，提取目标客户端上的程序信息摘要，发送给第2行为检测器，进行恶意行为检测；②第2行为检测器通过行为探针提交的程序信息摘要，结合第2恶意程序库、第2可信程序库识别程序恶意行为；对于无法识别的可疑程序，则提交给云端的第1行为检测器进行检测；③第2网络检测器通过网络探针提交的网络流量摘要，结合第2网络攻击模式库识别网络恶意行为；对于无法识别的可疑流量，则提交给云端的第1网络检测器进行检测；在云端的第1网络检测器通过第2网络检测器提交的网络流量摘要，结合第1网络攻击模式库识别网络恶意行为；④第1行为检测器通过第2行为检测器提交的程序信息摘要，结合第1恶意程序库、第1可信程序库识别程序恶意行为；对于无法识别的可疑程序，则提交扫描器进行检测；对于识别的可疑程序和正常程序，则分别更新第1恶意程序库和第1可信程序库；⑤扫描器接收第1行为检测器提交的程序信息摘要，通过第1、2……N扫描引擎、对可疑程序进行扫描，识别程序恶意行为；⑥模式筛选器结合客户端的环境信息，对第1恶意程序库、可第1信程序库、第1网络攻击模式库的更新部分进行筛选，实时下发给目标客户端，以更新目标客户端的第1恶意程序库、第1可信程序库和第1网络攻击模式库。本专利技术具有下列优点和积极效果：①高效：相对于传统的恶意行为特征库的匹配，对程序信息摘要的匹配所需的计算量和系统开销要小得多；同时，依托云端的计算能力，可以在客户端无法识别的情况下，对可疑恶意程序行为和可疑恶意网络行为提供高效的识别。②准确性：在云端通过多种扫描引擎构成的扫描器，对可疑程序进行精确扫描，判断是否具有恶意行为；其结果比单一的检测系统或方法更准确，可避免误报和漏报的发生。③快速性：云端的模式筛选器，可以结合客户端的环境信息，对第1恶意程序库、第1可信程序库、第1网络攻击模式库的更新部分进行筛选，实时下发给目标客户端。④可扩展性：在不对系统的结构进行修改的前提下，可以很方便地增加准确性更高或者使用最新技术的扫描引擎，以增加检测的准确性。⑤适应性广：行为探针和网络探针可以部署在多种目标客户端上，包括但不限于PC机、智能终端、交换机（网络探针）、云平台的虚拟机、云平台的虚拟交换机（网络探针）等。附图说明图1是本系统的结构方框图；其中：10—云端；11—第1行为检测器；12—第1网络检测器；13—扫描器，131—第1扫描引擎，132—第2扫描引擎，……13N—第N扫描引擎；14—模式筛选器；15—第1恶意程序库；16—第1可信程序库；17—第1网络攻击模式库。20—目标客户端；21—第2行为检测器；22—第2网络检测器；23—行为探针；24—网络探针；25—第2恶意程序库；26—第2可信程序库；27—第2网络攻击模式库。英译汉1、MD5：MessageDigestAlgorithm，消息摘要算法，为计算机安全领域广泛使用的一种散列函数，用以提供消息的完整性保护。本文档来自技高网...

【技术保护点】
一种云平台恶意行为检测系统，其特征在于：包括云端（10）和目标客户端（20）；其中云端（10）包括第1行为检测器（11）、第1网络检测器（12）、扫描器（13）、模式筛选器（14）、第1恶意程序库（15）、第1可信程序库（16）和第1网络攻击模式库（17）；其中目标客户端（20）包括第2行为检测器（21）、第2网络检测器（22）、行为探针（23）、网络探针（24）、第2恶意程序库（25）、第2可信程序库（26）和第2网络攻击模式库（27）；其交互关系是：第2行为检测器（21）分别与行为探针（23）、第2恶意程序库（25）、第2可信程序库（26）和第1行为检测器（11）进行交互，实现在目标客户端（20）上对程序恶意行为的提取、识别和响应；第2网络检测器（22）分别与网络探针（24）、第2网络攻击模式库（27）和第1网络检测器（12）进行交互，实现在目标客户端（20）上对网络恶意行为的提取、识别和响应；第1行为检测器（11）分别与第1恶意程序库（15）、第1可信程序库（16）、扫描器（13）和第2行为检测器（21）进行交互，实现在云端（10）对恶意程序行为的提取、识别和响应；第1网络检测器（12）分别与第1网络攻击模式库（17）和第2网络检测器（22）进行交互，实现在云端（10）上对恶意网络攻击行为的提取、识别和响应；模式筛选器（14）分别与第1恶意程序库（15）、第1可信程序库（16）、第1网络攻击模式库（17）、第2恶意程序库（25）、第2可信程序库（26）和第2网络攻击模式库（27）进行交互，实现对目标客户端（20）的信息收集和对检测规则的下发。...

【技术特征摘要】
1.一种云平台恶意行为检测系统，其特征在于：包括云端（10）和目标客户端（20）；其中云端（10）包括第1行为检测器（11）、第1网络检测器（12）、扫描器（13）、模式筛选器（14）、第1恶意程序库（15）、第1可信程序库（16）和第1网络攻击模式库（17）；其中目标客户端（20）包括第2行为检测器（21）、第2网络检测器（22）、行为探针（23）、网络探针（24）、第2恶意程序库（25）、第2可信程序库（26）和第2网络攻击模式库（27）；其交互关系是：第2行为检测器（21）分别与行为探针（23）、第2恶意程序库（25）、第2可信程序库（26）和第1行为检测器（11）进行交互，实现在目标客户端（20）上对程序恶意行为的提取、识别和响应；第2网络检测器（22）分别与网络探针（24）、第2网络攻击模式库（27）和第1网络检测器（12）进行交互，实现在目标客户端（20）上对网络恶意行为的提取、识别和响应；第1行为检测器（11）分别与第1恶意程序库（15）、第1可信程序库（16）、扫描器（13）和第2行为检测器（21）进行交互，实现在云端（10）对恶意程序行为的提取、识别和响应；第1网络检测器（12）分别与第1网络攻击模式库（17）和第2网络检测器（22）进行交互，实现在云端（10）上对恶意网络攻击行为的提取、识别和响应；模式筛选器（14）分别与第1恶意程序库（15）、第1可信程序库（16）、第1网络攻击模式库（17）、第2恶意程序库（25）、第2可信程序库（26）和第2网络攻击模式库（27）进行交互，实现对目标客户端（20）的信息收集和对检测规则的下发。2.基于权利要求1所述系统的一种云平台恶意行为检测方法，其特征在于：①行为探针（23）针对程序恶意行为，提取目标客户端（20）上的程序信息摘要，发送给第2行为检测器（21），进行恶意行为检测；②第2行为检测器（21）通过行为探针（23）提交的程序信息摘要，结合第2恶意程序库（25）、第2可信程序库（26）识别程序恶意行为；对于无法识别的可疑程序，则提交给云端（10）的第1行为检测器（11）进行检测；③第2网络检测器（22）通过网络探针（24）提交的网络流量摘要，结合第2网络攻击模式库（27）识别网络恶意行为；对于无法识别的可疑流量，则提交给云端（10）的第1网络检测器（12）进行检测；在云端（10）的第1网络检测器（12）通过第2网络检测器（22）提交的网络流量摘要，结合第1网络攻击模式库（17）识别网络恶意行为；④第1行为检测器（11）通过第2行为检测器（21）提交的程序信息摘要，结合第1恶意程序库（15）、第1可信程序库（16）识别程序恶意行为；对于无法识别的可疑程序，则提交扫描器（13）进行检测；对于识别的可疑程序和正常程序，则分别更新第1恶意程序库（15）和第1可信程序库（16）；⑤扫描器（13）接收第1行为检测器（11）提交的程序信息摘要，通过第1、2……N扫描引擎（131、132……13N）对可疑程序进行扫描，识别程序恶意行为；⑥模式筛选器（14）结合客户端的环境信息，对第1恶意程序库（15）、可第1信程序库（16）、第1网络攻击模式库（17）的更新部分进行筛选，实时下发给目标客户端（20），以更新目标客户端（20）的第1恶意程序库（15）、第1可信程序库（16）和第1网络攻击模式库（17）。3.按权利要求2所述的云平台恶意行为检测方法，其特征在于所述的步骤①：a、行为探针（23）通过系统统计工具、Hook方式获取程序启动路径、程序启动镜像、下载的程序文件，进而提取程序信息摘要，发送给第2行为检测器（21），进行恶意行为检测；b、所述的程序信息摘要是对程序的标识，包括程序名称、程序文件大小、程序镜像大小、程序文件哈希值、程序镜像哈希值、程序文件图案和程序镜像图案的信息；哈希算法包括但不限于MD5和SHA1；c、所述的程序文件图案和程序镜像图案是对程序数据的一种采样，可以用一个三元组的集合来描述，三元组为：偏移、数据块大小、数据块；当偏移为，数据块大小等于程序文件大小或程序镜像大小时，数据块就是程序文件或程序镜像；由于当前存在对哈希值进行碰撞构造的方法，恶意程序可以构造和正常程序相同的哈希值来绕过检测；使用程序文件图案和程序镜像图案可以最大程度的防止这种情况；d、所述目标客户端（20）是指所述一种云平台恶意行为检测方法应用的对象，包括但不限于PC机、云平台和智能终端。4.按权利要求2所述的云平台恶意行为检测方法，其特征在于所述的步骤②：a、第2行为检测器（21）接收行为探针（23）提交的程序信息摘要，通过第2恶意程序库（25）进行模式匹配；如果程序文件大小、程...

【专利技术属性】
技术研发人员：罗蛟，保永武，叶猛，
申请(专利权)人：武汉虹旭信息技术有限责任公司，
类型：发明
国别省市：湖北,42