一种云计算环境下的恶意程序智能防御系统,其包括,云计算平台,所述云计算平台并行设置多个不同的反病毒引擎,所述不同反病毒引擎针对不同类型病毒进行扫描;样本收集子系统,所述样子收集子系统收集安全漏洞攻击相关数据;隔离分析子系统,所述隔离分析子系统为多恶意程序行为分析引擎集合,且所述离分析子系统分析得出侧重点不同的行为监控结果;计算服务器,所述计算服务器收集所述样本收集子系统与隔离分析子系统数据,且计算服务器对行为数据进行分析产生行为特征知识库。
【技术实现步骤摘要】
一种云计算环境下的恶意程序智能防御系统及防御方法
本专利技术是一种云计算环境下的恶意程序智能防御方法。是一种用于在云计算环境中,采用蜜罐技术与智能的程序行为分析技术结合的方法,设计实现对恶意代码(包括未知病毒)进行检测的病毒防御机制。
技术介绍
随着计算机病毒朝着与黑客技术结合、破坏性更大、传播渠道更多、传播速度更快、更多变种、对原程序加密等趋势发展,传统病毒查杀技术在应用上已经比较困难实现对病毒的防御。随着新的计算模式比如分布式计算、网格计算、云计算等的出现,新的恶意程序检测应用也开始出现,比如人们渐渐熟知的“云查杀”。但目前来看,多数反病毒方案面临滞后性、局限性的问题,具体如下:(1)在日益指数级增长的病毒趋势下,传统杀毒软件更新升级存在明显滞后性;(2)用户单机应用环境下往往只安装一套杀毒软件,存在单点防御局限性;(3)不升级杀毒软件无法查杀新编写的病毒,无法查杀经过免杀处理的旧病毒;(4)收集数据时采用蜜罐技术、用户上报、自己成立实验室研发等方式,成本高且收集到的样本数量有限;(5)现有的一些云查杀引擎只是单纯的将服务器放在云端,依然采用的特征码比对的传统模式,无法实现对未知病毒的检测;(6)云服务端多引擎并行工作只是将不同厂商的引擎的组合,受不同厂商技术水平、产品针对性限制。
技术实现思路
为解决上述技术问题,本专利技术一种充分保障了反病毒引擎知识库的更新,且提高了对未知病毒的检测能力的云计算环境下的恶意程序智能防御系统,其包括,云计算平台,所述云计算平台并行设置多个不同的反病毒引擎,所述不同反病毒引擎针对不同类型病毒进行扫描;样本收集子系统,所述样本收集子系统收集安全漏洞攻击相关数据;隔离分析子系统,所述隔离分析子系统为多恶意程序行为分析引擎集合,且所述离分析子系统分析得出侧重点不同的行为监控结果;计算服务器,所述计算服务器收集所述样本收集子系统与隔离分析子系统数据,且计算服务器对行为数据进行分析产生行为特征知识库。在上述技术方案的基础上,所述样本收集子系统包括蜜罐系统,所述蜜罐系统自动收集各种攻击行为。在上述技术方案的基础上,所述样本收集子系统还包括样本收集子系统管理服务器,所述样本收集子系统管理服务器管理蜜罐系统的运作、系统失败回滚、节点失败隔离等操作。在上述技术方案的基础上,隔离分析子系统负责虚拟机的工作调度、任务分配、数据收集等操作。在上述技术方案的基础上,所述隔离分析子系统;让疑似恶意代码得以在该虚拟操作系统环境下运行,通过监控其行为来总结得出行为分析报告。在上述技术方案的基础上,隔离分析子系统负责虚拟机的工作调度、任务分配、数据收集等操作。在上述技术方案的基础上,所述计算服务器实现对安全威胁的等级划分,与相应的反馈信息之间保持映射关系,用以提示用户所扫描文件的安全威胁等级,在后续步骤中由用户选择对文件的操作结果,并根据用户对操作的要求来对病毒代码清除、文件修复等。本专利技术还提供一种云计算环境下的恶意程序智能防御系统的防御方法,其包括以下步骤,S1样本收集子系统自动收集各种攻击行为;S2隔离分析子系统不同的行为分析引擎得出侧重点不同的行为监控结果,并将所述结果综合;S3所述样本收集子系统与隔离分析子系统结果数据交给计算服务器,计算服务器利用智能检测算法对行为数据进行分析产生行为特征知识库;S4用户请求扫描文件,触发综合调度管理服务器,启动多引擎扫描确认后,安全文件则返回“安全”型信息,未知可疑文件,传递给隔离分析子系统;S5隔离分析子系统判断是否病毒文件,若是,将样本保存到数据库中,经计算服务器产生特征知识库,返回“危险”型信息;若不是,返回“安全”型信息。本专利技术与现有技术相比,其有益效果是:(1)本专利技术充分利用了云计算技术本身的海量数据存储、高性能计算能力、低运算资源消耗的优势,解决了传统杀毒模式的滞后性、局限性的问题。大大降低了用户计算机的资源消耗。(2)本专利技术相比现有云查杀技术体现出更加智能化的操作,结合优化的程序行为智能检测算法实现对恶意代码全面的监控,降低了受未知病毒的威胁可能性。(3)基于云计算技术高可扩展性的特点选取开放式的综合调度管理服务器有助于将来对多个反病毒引擎的优化配置。附图说明图1是本专利技术一种云计算环境下的恶意程序智能防御系统示意图。具体实施方式为详细说明本专利技术之
技术实现思路
以下兹例举实施例并配合附图详予说明。请参阅图1。一种充分保障了反病毒引擎知识库的更新,且提高了对未知病毒的检测能力的云计算环境下的恶意程序智能防御系统,其包括,云计算平台,所述云计算平台并行设置多个不同的反病毒引擎,所述不同反病毒引擎针对不同类型病毒进行扫描;样本收集子系统,所述样子收集子系统收集安全漏洞攻击相关数据;隔离分析子系统,所述隔离分析子系统为多恶意程序行为分析引擎集合,且所述离分析子系统分析得出侧重点不同的行为监控结果;计算服务器,所述计算服务器收集所述样本收集子系统与隔离分析子系统数据,且计算服务器对行为数据进行分析产生行为特征知识库。样本收集子系统包括蜜罐系统,所述蜜罐系统自动收集各种攻击行为。样本收集子系统中,蜜罐系统自动收集各种攻击行为;同时,隔离分析子系统将分析结果综合。样本收集子系统管理服务器负责管理蜜罐子系统的运作、系统失败回滚、节点失败隔离等操作;隔离分析子系统负责虚拟机的工作调度、任务分配、数据收集等操作。两个子系统分析的结果数据交给计算服务器,计算服务器利用智能检测算法对行为数据进行分析产生行为特征知识库。其中,智能检测算法能够实现对安全威胁的等级划分,与相应的反馈信息之间保持映射关系,用以提示用户所扫描文件的安全威胁等级,在后续步骤中由用户选择对文件的操作结果,并根据用户对操作的要求来对病毒代码清除、文件修复等。隔离分析子系统让疑似恶意代码得以在该虚拟操作系统环境下运行,通过监控其行为来总结得出行为分析报告。由于行为分析软件难以全面的分析某可疑程序在虚拟机运行过程中所作出的全部行为,同时一些行为分析引擎内嵌的虚拟化隔离环境的不同,有可能出现不同的监控盲点或缺陷,因此虚拟化隔离环境集成了不同厂家的虚拟监控器,利用云计算服务通用性和可扩展性,统一部署,发挥各监控器的优势全面监控可疑程序的所有行为。如某一监控器可能注重底层系统调用,全面收集该方面的信息,却忽略了某些系统关键文件的替换和修改动作,因此,此时可以使用另一款监控器,该监控器会更加注重系统关键文件的替换和修改等操作。两款监控器结合,协调工作。如果某疑似恶意代码本质上是安全的,便无所谓是否需要系统还原。如果该疑似恶意代码本质上确实是恶意代码,具有一定的破坏性,那么在虚拟操作系统中运行之后,该虚拟操作系统很大程度上已经被感染病毒或已被损坏,这时,虚拟监控器利用自身具备的快照还原功能能够在运行完该恶意代码之后还原到最初的纯净的操作系统。由于无法保证恶意代码的攻击威胁无法攻破虚拟机的还原机制,防止恶意代码突破还原机制感染其他虚拟机环境进而感染整个虚拟化隔离子系统,从而威胁到整个云计算防护体系,所以隔离分析子系统中的虚拟化分析环境与本文提出的云计算安全防护体系的其他部分是隔离的。但是本隔离子系统会提供两个安全的接口,一个接口用来接收综合管理服务器提交上来的用户请求分析的疑似恶意代码文件,在接收到疑似恶意代码文件后本文档来自技高网...
【技术保护点】
一种云计算环境下的恶意程序智能防御系统,其特征在于:其包括,云计算平台,所述云计算平台并行设置多个不同的反病毒引擎,所述不同反病毒引擎针对不同类型病毒进行扫描;样本收集子系统,所述样本收集子系统收集安全漏洞攻击相关数据;隔离分析子系统,所述隔离分析子系统为多恶意程序行为分析引擎集合,且所述离分析子系统分析得出侧重点不同的行为监控结果;计算服务器,所述计算服务器收集所述样本收集子系统与隔离分析子系统数据,且计算服务器对行为数据进行分析产生行为特征知识库。
【技术特征摘要】
1.一种云计算环境下的恶意程序智能防御系统,其特征在于:其包括,云计算平台,所述云计算平台并行设置多个不同的反病毒引擎,所述多个不同的反病毒引擎针对不同类型病毒进行扫描;样本收集子系统,所述样本收集子系统收集安全漏洞攻击的相关数据;隔离分析子系统,所述隔离分析子系统为多恶意程序行为分析引擎集合,且所述隔离分析子系统分析得出侧重点不同的行为监控结果;计算服务器,所述计算服务器收集所述样本收集子系统与隔离分析子系统的数据,且计算服务器对行为数据进行分析并产生行为特征知识库;所述样本收集子系统包括蜜罐系统,所述蜜罐系统自动收集各种攻击行为;所述样本收集子系统还包括样本收集子系统管理服务器,所述样本收集子系统管理服务器管理蜜罐系统的运作、系统失败回滚和节点失败隔离操作;隔离分析子系统负责虚拟机的工作调度、任务分配、数据收集操作;所述隔离分析子系统让疑似恶意代码得以在虚拟操作系统环境下运行,通过监控其行为来总结得出行为分析报告;所述计算服...
【专利技术属性】
技术研发人员:陈晓峰,张振宇,马建峰,
申请(专利权)人:西安电子科技大学,
类型:发明
国别省市:陕西;61
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。