基于p2p動(dòng)態(tài)云的惡意軟件檢測(cè)系統(tǒng)及方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明設(shè)及惡意軟件檢測(cè)領(lǐng)域���,特別設(shè)及一種基于P2P動(dòng)態(tài)云的惡意軟件檢測(cè)系 統(tǒng)及方法��。
【背景技術(shù)】
[0002] 隨著信息化的飛速發(fā)展���,網(wǎng)絡(luò)逐漸成為人們交流的主要途徑����。然而網(wǎng)絡(luò)在傳播一 些先進(jìn)工具與技術(shù)的同時(shí)�����,惡意軟件也開始出現(xiàn)����,幾乎所有的網(wǎng)民計(jì)算機(jī)都在不知情的情 況下被惡意軟件侵入過,惡意軟件已經(jīng)逐漸成為網(wǎng)絡(luò)的主要威脅�����。
[0003] 2014年12月25日�,美國(guó)邁克菲公司發(fā)布《2014年第S季度邁克菲威脅報(bào)告》報(bào) 告顯示在第=季度,邁克菲實(shí)驗(yàn)室每分鐘檢測(cè)到的新威脅數(shù)量超過307個(gè)�����,換而言之���,每秒 超過5個(gè)�。本季度�����,移動(dòng)惡意軟件樣本數(shù)量增長(zhǎng)16%���,總體惡意軟件年同比激增76% ;2014 年勒索軟件樣本數(shù)量已高于往年各期總和�,帶數(shù)字簽名的傳統(tǒng)惡意軟件增加了 50%����,樣本 數(shù)量超過150萬個(gè),垃圾郵件數(shù)目增長(zhǎng)了 125% ;金山毒霸安全實(shí)驗(yàn)室發(fā)布報(bào)告指出�����,2014 年針對(duì)惡意軟件的漏檢數(shù)目超過了新增惡意軟件數(shù)目的23%�����,"漏檢"的問題對(duì)中國(guó)網(wǎng)民造 成的年經(jīng)濟(jì)損失超過了 30個(gè)億��;國(guó)外知名信息安全廠商BitDefender公布的惡意軟件排 行榜中����,P2P類型軟件的投訴率高居榜首,不完全統(tǒng)計(jì)��,96%W上的P2P用戶遭受過惡意軟 件攻擊,互聯(lián)網(wǎng)世界已經(jīng)處于一種極度高危的狀態(tài)�。控制惡意軟件在P2P網(wǎng)絡(luò)中的傳播已 經(jīng)成為網(wǎng)絡(luò)安全研究的一個(gè)重要課題����,特別是針對(duì)P2P網(wǎng)絡(luò)中未知惡意軟件快速準(zhǔn)確的檢 ,一直是研究的難題�����。目前基于惡意軟件的行為特征分析的方法在惡意軟件檢測(cè)方面取 得了比較好的效果���,但由于惡意軟件行為特征和P2P網(wǎng)絡(luò)數(shù)據(jù)具有極高的相似性����,將該方 法應(yīng)用到P2P網(wǎng)絡(luò)中惡意軟件的檢測(cè)中����,存在較高的檢測(cè)誤差。
[0004] 云安全(CloudSecurity)是網(wǎng)絡(luò)時(shí)代信息安全的最新體現(xiàn)�,它融合了并行處理、 網(wǎng)格計(jì)算�����、未知病毒行為判斷等新興技術(shù)和概念,通過網(wǎng)狀的大量客戶端對(duì)網(wǎng)絡(luò)中軟件行 為的異常監(jiān)測(cè)����,獲取互聯(lián)網(wǎng)中木馬����、惡意程序的最新信息,傳送到Server端進(jìn)行自動(dòng)分析 和處理�,再把病毒和木馬的解決方案分發(fā)到每一個(gè)客戶端。"云安全"利用互聯(lián)網(wǎng)的傳輸及 計(jì)算功能����,將原來放在客戶端的分析計(jì)算能力轉(zhuǎn)移到了服務(wù)器端,雖然�����,很大程度上彌補(bǔ)了 傳統(tǒng)病毒查殺機(jī)制的不足�,但也大大增加了云服務(wù)器的工作負(fù)荷,導(dǎo)致客戶端請(qǐng)求的響應(yīng) 速度慢����。
【發(fā)明內(nèi)容】
[0005]本發(fā)明的目的是針對(duì)現(xiàn)有技術(shù)存在的不足,在現(xiàn)有云安全和分布式檢測(cè)技術(shù)的研 究基礎(chǔ)上����,結(jié)合惡意軟件的行為特性����,提出一種基于P2P動(dòng)態(tài)云的惡意軟件檢測(cè)系統(tǒng)及方 法����,通過固態(tài)云服務(wù)器完成傳統(tǒng)云服務(wù)器功能,P2P動(dòng)態(tài)云服務(wù)器作為固態(tài)云服務(wù)器和客戶 端的紐帶���,負(fù)責(zé)對(duì)客戶端的請(qǐng)求進(jìn)行篩選�����,需求快速解決方案�����,達(dá)到緩解固態(tài)云工作負(fù)荷���, 提高客戶端響應(yīng)速度的目的,同時(shí)采用固態(tài)云和動(dòng)態(tài)云二次分析的方法提高了檢測(cè)精度�����。
[0006]本發(fā)明的目的是采用下述方案實(shí)現(xiàn)的:一種基于P2P動(dòng)態(tài)云的惡意軟件檢測(cè)系 統(tǒng),包括單臺(tái)固態(tài)云服務(wù)器����、若干動(dòng)態(tài)云服務(wù)器和若干分布式終端,若干動(dòng)態(tài)云服務(wù)器之間 構(gòu)成P2P網(wǎng)絡(luò)�,單臺(tái)固態(tài)云服務(wù)器和若干動(dòng)態(tài)云服務(wù)器之間構(gòu)成C/S網(wǎng)絡(luò)���,其中�,固態(tài)云服 務(wù)器作為服務(wù)器端���,動(dòng)態(tài)云服務(wù)器作為客戶端��,若干動(dòng)態(tài)云服務(wù)器和分布式終端構(gòu)成C/S 網(wǎng)絡(luò)��,其中��,動(dòng)態(tài)云服務(wù)器作為服務(wù)器端��,分布式終端作為客戶端�;所述分布式終端用于網(wǎng) 絡(luò)中軟件行為的異常監(jiān)測(cè)��,獲取異常行為特征,并上傳給動(dòng)態(tài)云服務(wù)器���;所述動(dòng)態(tài)云服務(wù)器 用于對(duì)分布式終端上傳的異常行為特征進(jìn)行分析����,并將分析結(jié)果反饋給分布式終端或上傳 給固態(tài)云服務(wù)器����;所述固態(tài)云服務(wù)器用于對(duì)動(dòng)態(tài)云服務(wù)器上傳的異常行為特征進(jìn)行進(jìn)一步 分析,并將分析結(jié)果通過動(dòng)態(tài)云服務(wù)器反饋給分布式終端�����。
[0007] 所述固態(tài)云服務(wù)器為傳統(tǒng)的云服務(wù)器�,具有快速分析引擎和龐大的病毒特征庫(kù)。
[0008] 所述動(dòng)態(tài)云服務(wù)器配置在網(wǎng)關(guān)或ISP服務(wù)器�����,是固態(tài)云服務(wù)器和分布式終端的紐 帶���。
[0009] 所述動(dòng)態(tài)云服務(wù)器內(nèi)設(shè)有動(dòng)態(tài)云信息處理模塊��,所述動(dòng)態(tài)云信息處理模塊包括聚 類模塊��、統(tǒng)計(jì)模塊和決策模塊���,所述聚類模塊用于接收分布式終端上傳的異常行為特征�,通 過P2P網(wǎng)絡(luò)查找出之前有上傳類似異常行為特征的記錄��,然后對(duì)相關(guān)信息進(jìn)行收集����,并將 收集到的相關(guān)信息發(fā)送給統(tǒng)計(jì)模塊;所述統(tǒng)計(jì)模塊用于對(duì)收集到的相關(guān)信息進(jìn)行分類統(tǒng) 計(jì)���,并將統(tǒng)計(jì)信息發(fā)送給決策模塊;所述決策模塊用于利用決策樹對(duì)統(tǒng)計(jì)信息實(shí)現(xiàn)模式分 類�����,將分析結(jié)果反饋給分布式終端或上傳給固態(tài)云服務(wù)器����。
[0010] 傳統(tǒng)的云服務(wù)器端擁有多個(gè)快速分析引擎、龐大的病毒特征庫(kù)W及行為分析等多 個(gè)分析技術(shù)���,為減小服務(wù)器負(fù)荷�,同時(shí)提高響應(yīng)客戶端請(qǐng)求速度與快速分析可疑文件的能 力,本發(fā)明將行為特性分析配置在P2P動(dòng)態(tài)云端����,形成動(dòng)態(tài)云信息處理模型,其采用聚類算 法捜索具有相似性的客戶端請(qǐng)求����,采用分類統(tǒng)計(jì)的方式對(duì)捜索出的數(shù)據(jù)信息進(jìn)行統(tǒng)計(jì),最 后利用決策樹實(shí)現(xiàn)對(duì)于異常行為特性的快速模式分類����。
[0011] 一種基于P2P動(dòng)態(tài)云的惡意軟件檢測(cè)方法,其特征在于����,包括如下步驟:
[0012]1)在可控網(wǎng)絡(luò)環(huán)境下,建立多個(gè)節(jié)點(diǎn)數(shù)為Isl的小型局域網(wǎng)��,S表示該局域網(wǎng)的節(jié) 點(diǎn)集���;
[0013] 2)構(gòu)建固態(tài)云服務(wù)器��,并在網(wǎng)關(guān)或者ISP服務(wù)器配置動(dòng)態(tài)云服務(wù)器��,固態(tài)云服務(wù) 器和動(dòng)態(tài)云服務(wù)器之間為C/S架構(gòu)�����,動(dòng)態(tài)云服務(wù)器之間采用P2P架構(gòu)����;
[0014] 3)通過大量節(jié)點(diǎn)對(duì)網(wǎng)絡(luò)中軟件行為進(jìn)行異常監(jiān)測(cè),獲取網(wǎng)絡(luò)中惡意軟件的異常行 為特征�����,上傳給動(dòng)態(tài)云服務(wù)器�����;
[0015] 4)動(dòng)態(tài)云服務(wù)器對(duì)上傳的異常行為特征進(jìn)行行為分析�����,如果P2P動(dòng)態(tài)云服務(wù)器能 夠判定此異常行為為惡意軟件所致����,則直接將分析結(jié)果反饋給分布式終端�;如果P2P動(dòng)態(tài) 云服務(wù)器不能夠判斷此異常行為是否為惡意軟件所致,則將此異常行為特征上傳給固態(tài)云 服務(wù)器做二次分析���;
[0016] 5)固態(tài)云服務(wù)器通過運(yùn)行快速分析引擎和病毒特征庫(kù)比對(duì)機(jī)制����,實(shí)現(xiàn)對(duì)上傳的異 常行為特征的二次分析,并將分析結(jié)果通過動(dòng)態(tài)云服務(wù)器反饋給分布式終端��。
[0017] 動(dòng)態(tài)云服務(wù)器采用一種聚類-統(tǒng)計(jì)-決策的方法對(duì)上傳的異常行為特征進(jìn)行行為 分析��,其步驟為:
[0018] 1)當(dāng)動(dòng)態(tài)云收到客戶端請(qǐng)求的時(shí)候����,聚類模塊利用P2P網(wǎng)絡(luò)捜索具有相似性的客 戶端請(qǐng)求,然后對(duì)捜索出的數(shù)據(jù)信息進(jìn)行收集��,并將收集到的數(shù)據(jù)信息送到統(tǒng)計(jì)模塊�;
[0019] 2)統(tǒng)計(jì)模塊采用分類統(tǒng)計(jì)的方式對(duì)捜索出的數(shù)據(jù)信息進(jìn)行統(tǒng)計(jì),得到各個(gè)統(tǒng)計(jì) 值�,并將各個(gè)統(tǒng)計(jì)值送到?jīng)Q策模塊。
[0020] 3)決策模塊接收統(tǒng)計(jì)模塊的各個(gè)統(tǒng)計(jì)值���,將統(tǒng)計(jì)信息作為專家決策的信息元素�����, 進(jìn)行概率計(jì)算�����,得到感染概率值�,將感染概率值與設(shè)定闊值進(jìn)行比較。當(dāng)感染概率值高于設(shè) 定闊值的時(shí)候����,則直接將處理信息反饋給客戶端;當(dāng)感染概率值低于設(shè)定闊值的時(shí)候�����,則將 信息發(fā)送給固態(tài)云服務(wù)器進(jìn)行進(jìn)一步判斷��。同時(shí)每次處理的信息都會(huì)記錄在當(dāng)前動(dòng)態(tài)云服 務(wù)器數(shù)據(jù)庫(kù)中����,供下次聚類