捜索使用。感染概率值為各個統(tǒng)計值與其權值乘積的總和，各 權值的總和為1。各個統(tǒng)計值的權值存儲在動態(tài)云服務器中，它可W根據(jù)統(tǒng)計模塊數(shù)據(jù)自 動調(diào)整，如最近惡意軟件爆發(fā)方式W郵件附件傳播方式居多，則代表文件類型統(tǒng)計的權值C 和代表惡意軟件傳播時間的權值d會提高；如最近惡意軟件傳播方式W掃描IP地址方式居 多，則代表IP地址統(tǒng)計的權值b會提高。
[0021] 本發(fā)明具有的優(yōu)點是：
[0022] (1)本發(fā)明提出了一種基于P2P動態(tài)云的未知惡意軟件檢測系統(tǒng)及方法，在保留 云安全技術的優(yōu)勢的基礎上，在固態(tài)云服務器和客戶端之間增加P2P動態(tài)云服務器，作為 紐帶，負責對客戶端的請求進行篩選，需求快速解決方案，達到緩解固態(tài)云工作負荷，提高 客戶端響應速度的目的。同時采用固態(tài)云和動態(tài)云二次分析的方法提高了檢測精度。
[0023] (2)提出了基于聚類-統(tǒng)計-決策結(jié)構的動態(tài)云信息處理模型，采用聚類算法捜索 具有相似性的客戶端請求，采用分類統(tǒng)計的方式對捜索出的數(shù)據(jù)信息進行統(tǒng)計，最后利用 決策樹對統(tǒng)計信息實現(xiàn)模式分類，能夠通過對W往類似的數(shù)據(jù)請求進行綜合性分析，有利 于對于此次數(shù)據(jù)請求的判定精度的提高。
【附圖說明】
[0024] 圖1為本發(fā)明的基于P2P動態(tài)云的惡意軟件檢測系統(tǒng)的架構圖；
[00巧]圖2為本發(fā)明的基于動態(tài)云的惡意軟件檢測方法的流程圖。
【具體實施方式】
[00%] 為了使本發(fā)明的目的、技術方案和優(yōu)點更加清楚，給出了詳細的實施方式和具體 的操作過程，下面將結(jié)合附圖對本發(fā)明作進一步的詳細描述：
[0027] 參見圖1和圖2,一種基于P2P動態(tài)云的惡意軟件檢測系統(tǒng)，包括單臺固態(tài)云服務 器、若干動態(tài)云服務器和若干分布式終端。分布式終端可W是計算機、手機或平板等。若干 動態(tài)云服務器之間構成P2P網(wǎng)絡，單臺固態(tài)云服務器和若干動態(tài)云服務器之間構成C/S網(wǎng) 絡，其中，固態(tài)云服務器作為服務器端，動態(tài)云服務器作為客戶端，若干動態(tài)云服務器和分 布式終端構成C/S網(wǎng)絡，其中，動態(tài)云服務器作為服務器端，分布式終端作為客戶端；所述 分布式終端用于網(wǎng)絡中軟件行為的異常監(jiān)測，獲取異常行為特征，并上傳給動態(tài)云服務器； 所述動態(tài)云服務器用于對分布式終端上傳的異常行為特征進行分析，并將分析結(jié)果反饋給 分布式終端或上傳給固態(tài)云服務器；所述固態(tài)云服務器用于對動態(tài)云服務器上傳的異常行 為特征進行進一步分析，并將分析結(jié)果通過動態(tài)云服務器反饋給分布式終端。
[0028] 本系統(tǒng)將傳統(tǒng)云分為兩類：固態(tài)云和P2P動態(tài)云。所述固態(tài)云服務器為傳統(tǒng)的云 服務器，具有快速分析引擎和龐大的病毒特征庫。固態(tài)云完成傳統(tǒng)云服務器功能。P2P動態(tài) 云采用分布式結(jié)構，可W配置在諸如網(wǎng)關、ISP服務器等地方，是固態(tài)云和分布式終端的紐 帶，負責對客戶端的請求進行篩選，需求快速解決方案，起到緩解固態(tài)云服務器工作負荷， 提高檢測精度和響應速度的目的。
[0029] 所述動態(tài)云服務器內(nèi)設有動態(tài)云信息處理模塊，所述動態(tài)云信息處理模塊包括聚 類模塊、統(tǒng)計模塊和決策模塊，所述聚類模塊用于接收分布式終端上傳的異常行為特征，通 過P2P網(wǎng)絡查找出之前有上傳類似異常行為特征的記錄，然后對相關信息進行收集，并將 收集到的相關信息發(fā)送給統(tǒng)計模塊；所述統(tǒng)計模塊用于對收集到的相關信息進行分類統(tǒng) 計，并將統(tǒng)計信息發(fā)送給決策模塊；所述決策模塊用于利用決策樹對統(tǒng)計信息實現(xiàn)模式分 類，將分析結(jié)果反饋給分布式終端或上傳給固態(tài)云服務器。
[0030] 傳統(tǒng)的云服務器端擁有多個快速分析引擎、龐大的病毒特征庫W及行為分析等多 個分析技術，為減小服務器負荷，同時提高響應客戶端請求速度與快速分析可疑文件的能 力，本發(fā)明將行為特性分析配置在P2P動態(tài)云端，形成動態(tài)云信息處理模型，其采用聚類算 法捜索具有相似性的客戶端請求，采用分類統(tǒng)計的方式對捜索出的數(shù)據(jù)信息進行統(tǒng)計，最 后利用決策樹實現(xiàn)對于異常行為特性的快速模式分類。
[0031] 分布式終端可W采用現(xiàn)有的惡意軟件異常行為檢測軟件進行檢測，將檢測的結(jié)果 發(fā)送給動態(tài)云服務器。分布式終端也可W采用基于接觸跟蹤的惡意軟件的傳播檢測方法檢 測惡意軟件的傳播行為，該基于接觸跟蹤的惡意軟件的傳播檢測方法可W是一種Email蠕 蟲檢測方法。
[0032] 一種基于P2P動態(tài)云的惡意軟件檢測方法，包括如下步驟：
[0033] 1)在可控網(wǎng)絡環(huán)境下，建立多個節(jié)點數(shù)為Isl的小型局域網(wǎng)，S表示該局域網(wǎng) 的節(jié)點集，設立網(wǎng)關。網(wǎng)絡中所有計算機通過集線器連接到防火墻，同時每臺計算機安裝 Wireshark軟件，選擇其中部分計算機運行惡意代碼，利用Wireshark截取數(shù)據(jù)包W了解惡 意代碼的行為特征。申請人已利用此方法對StormWorm進行了分析。將一些共通的特性 進行總結(jié)有利于檢測模塊實現(xiàn)多態(tài)行為特征提取，同時可W對未知的惡意軟件傳播進行預 測。
[0034] 2)構建由一臺固態(tài)云和若干動態(tài)云構成的云服務器，固態(tài)云服務器和動態(tài)云服務 器之間為C/S架構，動態(tài)云服務器之間采用P2P架構；每臺動態(tài)云服務器配置為一個節(jié)點數(shù) 為Isl的小型局域網(wǎng)的網(wǎng)關，條件允許下云服務器數(shù)目越多越好。
[0035] 3)通過大量節(jié)點對網(wǎng)絡中軟件行為進行異常監(jiān)測，獲取網(wǎng)絡中惡意軟件的異常行 為特征，上傳給動態(tài)云服務器。
[0036] 在分布式節(jié)點上建立分布式檢測模型，分布式檢測模型實現(xiàn)對于單個節(jié)點的異常 行為特征的檢測，檢測結(jié)果作為P2P動態(tài)云模型的輸入?yún)?shù)，P2P動態(tài)云模型作為分布式檢 測模型和固態(tài)云模型的連接紐帶。異常行為特征包含很多，如短時間內(nèi)向多個IP地址發(fā)送 同樣的數(shù)據(jù)包、自動在網(wǎng)頁上下載文件、修改文件類型等，運些異常行為特征和正常行為特 征有相似之處，通過分布式檢測模型的預判斷后，將可疑的行為特征上報動態(tài)云，進行二次 診斷。
[0037] 4)將初步判斷為感染節(jié)點的異常行為特征上傳網(wǎng)關（即動態(tài)云服務器），運行聚 類-統(tǒng)計-決策機制實現(xiàn)對異常行為特征的行為分析，將分析結(jié)果反饋分布式終端或上傳 固態(tài)云服務器；
[0038] 動態(tài)云服務器采用一種聚類-統(tǒng)計-決策的方法對上傳的異常行為特征進行行為 分析，其步驟為：
[0039] 1)當動態(tài)云收到客戶端請求的時候，聚類模塊利用P2P網(wǎng)絡捜索具有相似性的客 戶端請求，然后對捜索出的相關信息（如上傳類似請求的客戶IP，上傳的可疑文件類型，上 傳的時間等信息）進行收集，并將收集到的相關信息送到統(tǒng)計模塊；
[0040] 2)統(tǒng)計模塊采用分類統(tǒng)計的方式對捜索出的數(shù)據(jù)信息進行統(tǒng)計，如客戶端IP地 址統(tǒng)計，客戶端請求上傳時間統(tǒng)計，上傳可疑文件類型統(tǒng)計，惡意軟件感染概率統(tǒng)計等，得 到各個統(tǒng)計值，如R"代表發(fā)送的此類請求最終被確認為惡意軟件異常行為特征的比率，R。 代表發(fā)送此類請求的客戶端IP地址的安全等級平均值（如該IP地址發(fā)送請求頻率高，貝U 相應安全等級低），Rtim。為與此次請求的上傳時間段相同的客戶端請求所占比率，Rtyp。為與 此次上傳可疑文件類型相同的文件占收集到的類似可疑文件類型的比