一种动态行为分析系统的资源优化方法、装置和系统制造方法及图纸

本发明专利技术提供一种动态行为分析系统的资源优化方法、装置和系统，其中方法包括：检测到有新的虚拟机监控子系统加入到虚拟机监控子系统集群中；为所述新的虚拟机监控子系统分配一标识信息，并将所述标识信息添加至用于记录虚拟机监控子系统的状态的数据库中；若所述虚拟机监控子系统集群中有第一虚拟机监控子系统监控到有样本任务需要处理，则根据所述第一虚拟机监控子系统的标识信息，将所述样本任务分配给所述第一虚拟机监控子系统进行处理。本发明专利技术的方案可以实现虚拟机监控子系统的实时扩容和资源优化。

【技术实现步骤摘要】
一种动态行为分析系统的资源优化方法、装置和系统
本专利技术涉及计算机安全领域，特别是指一种动态行为分析系统的资源优化方法、装置和系统。
技术介绍
在反病毒领域，样本是海量增长的，随着各种变型加密技术的出现，静态分析的方法日益捉襟见肘，因此动态分析的应用越来越受到重视。云安全目前广泛应用的仍然是基于静态特征的方法，在未知病毒特别是加密变型病毒的识别上往往效果不佳，因此，基于动态行为分析的云安全技术成为下一个技术热点。目前的动态分析技术，与静态分析相比较，其主要特点是：采用虚拟机模拟用户环境（即虚拟机监控子系统），让病毒运行起来；针对单个样本的处理周期较静态分析提高一个数量级（静态特征的匹配往往只需要数秒到几十秒，但动态分析需要充分让样本运行起来，因此时间通常是数分钟），因此在效率上不如静态分析系统；静态分析系统通通常没有固定的时间开销瓶颈，而对于动态分析系统，样本在虚拟机监控子系统中的运行时间通常是开销最大的一个部分，受限于虚拟机监控子系统中运行样本的时间，如何能够在保持系统稳定可用性的前提下让系统扩容（即增加虚拟机监控子系统）更简单，可靠，且可随时根据负载情况进行资源调整，对虚拟机监控子系统进行实时扩容和资源优化是亟待解决的问题。
技术实现思路
本专利技术要解决的技术问题是提供一种动态行为分析系统的资源优化方法、装置和系统，实现虚拟机监控子系统的实时扩容和资源优化。为解决上述技术问题，本专利技术的实施例提供一种动态行为分析系统的资源优化方法，包括：检测到有新的虚拟机监控子系统加入到虚拟机监控子系统集群中；为所述新的虚拟机监控子系统分配一标识信息，并将所述标识信息添加至用于记录虚拟机监控子系统的状态的数据库中；若所述虚拟机监控子系统集群中有第一虚拟机监控子系统监控到有样本任务需要处理，则根据所述第一虚拟机监控子系统的标识信息，将所述样本任务分配给所述第一虚拟机监控子系统进行处理。其中，为所述新的虚拟机监控子系统分配一标识信息，并将所述标识信息添加至用于记录虚拟机监控子系统的状态的数据库中的步骤包括：获得所述新的虚拟机监控子系统的注册信息；根据所述注册信息为所述新的虚拟机监控子系统分配一标识信息；为所述新的虚拟机监控子系统建立一数据库表；将为所述新的虚拟机监控子系统分配的所述标识信息作为一条记录插入至所述数据库表中；将所述数据库表加入所述数据库中。其中，将为所述新的虚拟机监控子系统分配的所述标识信息作为一条记录插入至所述数据库表中后还包括：将所述新的虚拟机监控子系统所在的服务器IP作为一条记录插入至所述数据库表中；将所述新的虚拟机监控子系统所在服务器的子ID作为一条记录插入至所述数据库表中；将用于标记所述新的虚拟机监控子系统是否可用的标记信息作为一条记录插入至所述数据库表中；将用于指示所述新的虚拟机监控子系统的最后一次处理样本任务的开始时间的字段信息作为一条记录插入至所述数据库表中；将用于指示所述新的虚拟机监控子系统的最后一次处理样本任务的结束时间的字段信息作为一条记录插入至所述数据库表中；将用于指示所述新的虚拟机监管子系统的工作状态的字段信息作为一条记录插入至所述数据库表中。其中，若所述虚拟机监控子系统集群中有第一虚拟机监控子系统监控到有样本任务需要处理，则根据所述第一虚拟机监控子系统的标识信息，将所述样本任务分配给所述第一虚拟机监控子系统进行处理的步骤包括：遍历所述虚拟机监控子系统集群中的每一个虚拟机监控子系统对应的数据库表；根据所述数据库表中的用于标记虚拟机监控子系统是否可用的标记信息，验证当前遍历到的第一虚拟机监控子系统是否可用；若可用，则获得该当前遍历到的所述第一虚拟机监控子系统是否检索到有样本任务处理的检索结果；若所述检索结果表示当前遍历到的所述第一虚拟机监控子系统监控到有样本任务需要处理，则根据所述第一虚拟机监控子系统的标识信息，将所述样本任务分配给所述第一虚拟机监控子系统进行处理；获得所述第一虚拟机监控子系统输出的样本处理结果。其中，获得所述第一虚拟机监控子系统输出的样本处理结果的步骤包括：调度一日志处理子系统，获得所述第一虚拟机监控子系统输出的样本处理结果；获得所述日志处理子系统对所述样本处理结果进行处理后，得到的原始日志数据并存储；获得所述日志处理子系统对所述样本处理结果进行处理后，得到的解析后用于显示的数据。本专利技术的实施例还提供一种动态行为分析系统的资源优化装置，包括：检测模块，用于检测到有新的虚拟机监控子系统加入到虚拟机监控子系统集群中；第一处理模块，用于为所述新的虚拟机监控子系统分配一标识信息，并将所述标识信息添加至用于记录虚拟机监控子系统的状态的数据库中；第二处理模块，用于若所述虚拟机监控子系统集群中有第一虚拟机监控子系统监控到有样本任务需要处理，则根据所述第一虚拟机监控子系统的标识信息，将所述样本任务分配给所述第一虚拟机监控子系统进行处理。其中，所述第一处理模块包括：第一获得子模块，用于获得所述新的虚拟机监控子系统的注册信息；第一分配子模块，用于根据所述注册信息为所述新的虚拟机监控子系统分配一标识信息；第一建立子模块，用于为所述新的虚拟机监控子系统建立一数据库表；第一插入子模块，用于将为所述新的虚拟机监控子系统分配的所述标识信息作为一条记录插入至所述数据库表中；第一添加子模块，用于将所述数据库表加入所述数据库中。其中，所述第一处理模块还包括：第二插入子模块，用于将所述新的虚拟机监控子系统所在的服务器IP作为一条记录插入至所述数据库表中；第三插入子模块，用于将所述新的虚拟机监控子系统所在服务器的子ID作为一条记录插入至所述数据库表中；第四插入子模块，用于将标记所述新的虚拟机监控子系统是否可用的标记信息作为一条记录插入至所述数据库表中；第五插入子模块，用于将指示所述新的虚拟机监控子系统的最后一次处理样本任务的开始时间的字段信息作为一条记录插入至所述数据库表中；第六插入子模块，用于将指示所述新的虚拟机监控子系统的最后一次处理样本任务的结束时间的字段信息作为一条记录插入至所述数据库表中；第七插入子模块，用于将指示所述新的虚拟机监管子系统的工作状态的字段信息作为一条记录插入至所述数据库表中。其中，第二处理模块包括：遍历子模块，用于遍历所述虚拟机监控子系统集群中的每一个虚拟机监控子系统对应的数据库表；验证子模块，用于根据所述数据库表中的用于标记虚拟机监控子系统是否可用的标记信息，验证当前遍历到的第一虚拟机监控子系统是否可用；第一判断子模块，用于判断所述第一虚拟机监控子系统若可用，则获得该当前遍历到的所述第一虚拟机监控子系统是否检索到有样本任务处理的检索结果；第二判断子模块，用于判断若所述检索结果表示当前遍历到的所述第一虚拟机监控子系统监控到有样本任务需要处理，则根据所述第一虚拟机监控子系统的标识信息，将所述样本任务分配给所述第一虚拟机监控子系统进行处理；获得子模块，用于获得所述第一虚拟机监控子系统输出的样本处理结果。其中，所述获得子模块包括：调度子模块，用于调度一日志处理子系统，获得所述第一虚拟机监控子系统输出的样本处理结果；文件存储子模块，用于获得所述日志处理子系统对所述样本处理结果进行处理后，得到的原始日志数据并存储；数据存储子模块，用于获得所述日志处理子系统对所述样本处理结果进行处理本文档来自技高网...

【技术保护点】
一种动态行为分析系统的资源优化方法，其特征在于，包括：检测到有新的虚拟机监控子系统加入到虚拟机监控子系统集群中；为所述新的虚拟机监控子系统分配一标识信息，并将所述标识信息添加至用于记录虚拟机监控子系统的状态的数据库中；若所述虚拟机监控子系统集群中有第一虚拟机监控子系统监控到有样本任务需要处理，则根据所述第一虚拟机监控子系统的标识信息，将所述样本任务分配给所述第一虚拟机监控子系统进行处理。

【技术特征摘要】
1.一种动态行为分析系统的资源优化方法，其特征在于，包括：检测到有新的虚拟机监控子系统加入到虚拟机监控子系统集群中；为所述新的虚拟机监控子系统分配一标识信息，并将所述标识信息添加至用于记录虚拟机监控子系统的状态的数据库中；若所述虚拟机监控子系统集群中有可用的第一虚拟机监控子系统监控到有样本任务需要处理，则根据所述第一虚拟机监控子系统的标识信息，将所述样本任务分配给该可用的所述第一虚拟机监控子系统进行处理。2.根据权利要求1所述的动态行为分析系统的资源优化方法，其特征在于，为所述新的虚拟机监控子系统分配一标识信息，并将所述标识信息添加至用于记录虚拟机监控子系统的状态的数据库中的步骤包括：获得所述新的虚拟机监控子系统的注册信息；根据所述注册信息为所述新的虚拟机监控子系统分配一标识信息；为所述新的虚拟机监控子系统建立一数据库表；将为所述新的虚拟机监控子系统分配的所述标识信息作为一条记录插入至所述数据库表中；将所述数据库表加入所述数据库中。3.根据权利要求2所述的动态行为分析系统的资源优化方法，其特征在于，将为所述新的虚拟机监控子系统分配的所述标识信息作为一条记录插入至所述数据库表中后还包括：将所述新的虚拟机监控子系统所在的服务器IP作为一条记录插入至所述数据库表中；将所述新的虚拟机监控子系统所在服务器的子ID作为一条记录插入至所述数据库表中；将用于标记所述新的虚拟机监控子系统是否可用的标记信息作为一条记录插入至所述数据库表中；将用于指示所述新的虚拟机监控子系统的最后一次处理样本任务的开始时间的字段信息作为一条记录插入至所述数据库表中；将用于指示所述新的虚拟机监控子系统的最后一次处理样本任务的结束时间的字段信息作为一条记录插入至所述数据库表中；将用于指示所述新的虚拟机监管子系统的工作状态的字段信息作为一条记录插入至所述数据库表中。4.根据权利要求3所述的动态行为分析系统的资源优化方法，其特征在于，若所述虚拟机监控子系统集群中有可用的第一虚拟机监控子系统监控到有样本任务需要处理，则根据所述第一虚拟机监控子系统的标识信息，将所述样本任务分配给该可用的所述第一虚拟机监控子系统进行处理的步骤包括：遍历所述虚拟机监控子系统集群中的每一个虚拟机监控子系统对应的数据库表；根据所述数据库表中的用于标记虚拟机监控子系统是否可用的标记信息，验证当前遍历到的第一虚拟机监控子系统是否可用；若可用，则获得该当前遍历到的所述第一虚拟机监控子系统是否检索到有样本任务处理的检索结果；若所述检索结果表示当前遍历到的所述第一虚拟机监控子系统监控到有样本任务需要处理，则根据所述第一虚拟机监控子系统的标识信息，将所述样本任务分配给所述第一虚拟机监控子系统进行处理；获得所述第一虚拟机监控子系统输出的样本处理结果。5.根据权利要求4所述的动态行为分析系统的资源优化方法，其特征在于，获得所述第一虚拟机监控子系统输出的样本处理结果的步骤包括：调度一日志处理子系统，获得所述第一虚拟机监控子系统输出的样本处理结果；获得所述日志处理子系统对所述样本处理结果进行处理后，得到的原始日志数据并存储；获得所述日志处理子系统对所述样本处理结果进行处理后，得到的解析后用于显示的数据。6.一种动态行为分析系统的资源优化装置，其特征在于，包括：检测模块，用于检测到有新的虚拟机监控子系统加入到虚拟机监控子系统集群中；第一处理模块，用于为所述新的虚拟机监控子系统分配一标识信息，并将所述标识信息添加至用于记录...

【专利技术属性】
技术研发人员：邹义鹏，傅盛，张楠，
申请(专利权)人：北京金山安全软件有限公司，可牛网络技术北京有限公司，贝壳网际北京安全技术有限公司，
类型：发明
国别省市：