基于p2p動態(tài)云的惡意軟件檢測系統(tǒng)及方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明設(shè)及惡意軟件檢測領(lǐng)域�����,特別設(shè)及一種基于P2P動態(tài)云的惡意軟件檢測系 統(tǒng)及方法。
【背景技術(shù)】
[0002] 隨著信息化的飛速發(fā)展��,網(wǎng)絡(luò)逐漸成為人們交流的主要途徑�����。然而網(wǎng)絡(luò)在傳播一 些先進工具與技術(shù)的同時�,惡意軟件也開始出現(xiàn),幾乎所有的網(wǎng)民計算機都在不知情的情 況下被惡意軟件侵入過��,惡意軟件已經(jīng)逐漸成為網(wǎng)絡(luò)的主要威脅���。
[0003] 2014年12月25日���,美國邁克菲公司發(fā)布《2014年第S季度邁克菲威脅報告》報 告顯示在第=季度,邁克菲實驗室每分鐘檢測到的新威脅數(shù)量超過307個���,換而言之����,每秒 超過5個�。本季度,移動惡意軟件樣本數(shù)量增長16%�����,總體惡意軟件年同比激增76% ;2014 年勒索軟件樣本數(shù)量已高于往年各期總和����,帶數(shù)字簽名的傳統(tǒng)惡意軟件增加了 50%,樣本 數(shù)量超過150萬個�����,垃圾郵件數(shù)目增長了 125% ;金山毒霸安全實驗室發(fā)布報告指出����,2014 年針對惡意軟件的漏檢數(shù)目超過了新增惡意軟件數(shù)目的23%,"漏檢"的問題對中國網(wǎng)民造 成的年經(jīng)濟損失超過了 30個億�;國外知名信息安全廠商BitDefender公布的惡意軟件排 行榜中,P2P類型軟件的投訴率高居榜首�,不完全統(tǒng)計,96%W上的P2P用戶遭受過惡意軟 件攻擊�����,互聯(lián)網(wǎng)世界已經(jīng)處于一種極度高危的狀態(tài)�。控制惡意軟件在P2P網(wǎng)絡(luò)中的傳播已 經(jīng)成為網(wǎng)絡(luò)安全研究的一個重要課題�����,特別是針對P2P網(wǎng)絡(luò)中未知惡意軟件快速準(zhǔn)確的檢 ,一直是研究的難題�。目前基于惡意軟件的行為特征分析的方法在惡意軟件檢測方面取 得了比較好的效果,但由于惡意軟件行為特征和P2P網(wǎng)絡(luò)數(shù)據(jù)具有極高的相似性���,將該方 法應(yīng)用到P2P網(wǎng)絡(luò)中惡意軟件的檢測中�,存在較高的檢測誤差����。
[0004] 云安全(CloudSecurity)是網(wǎng)絡(luò)時代信息安全的最新體現(xiàn),它融合了并行處理����、 網(wǎng)格計算、未知病毒行為判斷等新興技術(shù)和概念����,通過網(wǎng)狀的大量客戶端對網(wǎng)絡(luò)中軟件行 為的異常監(jiān)測,獲取互聯(lián)網(wǎng)中木馬�、惡意程序的最新信息,傳送到Server端進行自動分析 和處理��,再把病毒和木馬的解決方案分發(fā)到每一個客戶端���。"云安全"利用互聯(lián)網(wǎng)的傳輸及 計算功能��,將原來放在客戶端的分析計算能力轉(zhuǎn)移到了服務(wù)器端���,雖然,很大程度上彌補了 傳統(tǒng)病毒查殺機制的不足�,但也大大增加了云服務(wù)器的工作負荷,導(dǎo)致客戶端請求的響應(yīng) 速度慢����。
【發(fā)明內(nèi)容】
[0005]本發(fā)明的目的是針對現(xiàn)有技術(shù)存在的不足,在現(xiàn)有云安全和分布式檢測技術(shù)的研 究基礎(chǔ)上�,結(jié)合惡意軟件的行為特性,提出一種基于P2P動態(tài)云的惡意軟件檢測系統(tǒng)及方 法����,通過固態(tài)云服務(wù)器完成傳統(tǒng)云服務(wù)器功能,P2P動態(tài)云服務(wù)器作為固態(tài)云服務(wù)器和客戶 端的紐帶��,負責(zé)對客戶端的請求進行篩選�����,需求快速解決方案����,達到緩解固態(tài)云工作負荷�, 提高客戶端響應(yīng)速度的目的��,同時采用固態(tài)云和動態(tài)云二次分析的方法提高了檢測精度�。
[0006]本發(fā)明的目的是采用下述方案實現(xiàn)的:一種基于P2P動態(tài)云的惡意軟件檢測系 統(tǒng),包括單臺固態(tài)云服務(wù)器�����、若干動態(tài)云服務(wù)器和若干分布式終端��,若干動態(tài)云服務(wù)器之間 構(gòu)成P2P網(wǎng)絡(luò)���,單臺固態(tài)云服務(wù)器和若干動態(tài)云服務(wù)器之間構(gòu)成C/S網(wǎng)絡(luò)����,其中����,固態(tài)云服 務(wù)器作為服務(wù)器端,動態(tài)云服務(wù)器作為客戶端����,若干動態(tài)云服務(wù)器和分布式終端構(gòu)成C/S 網(wǎng)絡(luò)�����,其中��,動態(tài)云服務(wù)器作為服務(wù)器端�,分布式終端作為客戶端��;所述分布式終端用于網(wǎng) 絡(luò)中軟件行為的異常監(jiān)測����,獲取異常行為特征�����,并上傳給動態(tài)云服務(wù)器�����;所述動態(tài)云服務(wù)器 用于對分布式終端上傳的異常行為特征進行分析���,并將分析結(jié)果反饋給分布式終端或上傳 給固態(tài)云服務(wù)器�����;所述固態(tài)云服務(wù)器用于對動態(tài)云服務(wù)器上傳的異常行為特征進行進一步 分析����,并將分析結(jié)果通過動態(tài)云服務(wù)器反饋給分布式終端。
[0007] 所述固態(tài)云服務(wù)器為傳統(tǒng)的云服務(wù)器��,具有快速分析引擎和龐大的病毒特征庫��。
[0008] 所述動態(tài)云服務(wù)器配置在網(wǎng)關(guān)或ISP服務(wù)器�����,是固態(tài)云服務(wù)器和分布式終端的紐 帶����。
[0009] 所述動態(tài)云服務(wù)器內(nèi)設(shè)有動態(tài)云信息處理模塊,所述動態(tài)云信息處理模塊包括聚 類模塊��、統(tǒng)計模塊和決策模塊����,所述聚類模塊用于接收分布式終端上傳的異常行為特征,通 過P2P網(wǎng)絡(luò)查找出之前有上傳類似異常行為特征的記錄����,然后對相關(guān)信息進行收集��,并將 收集到的相關(guān)信息發(fā)送給統(tǒng)計模塊�;所述統(tǒng)計模塊用于對收集到的相關(guān)信息進行分類統(tǒng) 計����,并將統(tǒng)計信息發(fā)送給決策模塊;所述決策模塊用于利用決策樹對統(tǒng)計信息實現(xiàn)模式分 類�,將分析結(jié)果反饋給分布式終端或上傳給固態(tài)云服務(wù)器。
[0010] 傳統(tǒng)的云服務(wù)器端擁有多個快速分析引擎���、龐大的病毒特征庫W及行為分析等多 個分析技術(shù),為減小服務(wù)器負荷��,同時提高響應(yīng)客戶端請求速度與快速分析可疑文件的能 力����,本發(fā)明將行為特性分析配置在P2P動態(tài)云端,形成動態(tài)云信息處理模型����,其采用聚類算 法捜索具有相似性的客戶端請求,采用分類統(tǒng)計的方式對捜索出的數(shù)據(jù)信息進行統(tǒng)計�����,最 后利用決策樹實現(xiàn)對于異常行為特性的快速模式分類。
[0011] 一種基于P2P動態(tài)云的惡意軟件檢測方法�����,其特征在于��,包括如下步驟:
[0012]1)在可控網(wǎng)絡(luò)環(huán)境下�����,建立多個節(jié)點數(shù)為Isl的小型局域網(wǎng)�����,S表示該局域網(wǎng)的節(jié) 點集����;
[0013] 2)構(gòu)建固態(tài)云服務(wù)器,并在網(wǎng)關(guān)或者ISP服務(wù)器配置動態(tài)云服務(wù)器����,固態(tài)云服務(wù) 器和動態(tài)云服務(wù)器之間為C/S架構(gòu),動態(tài)云服務(wù)器之間采用P2P架構(gòu)��;
[0014] 3)通過大量節(jié)點對網(wǎng)絡(luò)中軟件行為進行異常監(jiān)測,獲取網(wǎng)絡(luò)中惡意軟件的異常行 為特征��,上傳給動態(tài)云服務(wù)器���;
[0015] 4)動態(tài)云服務(wù)器對上傳的異常行為特征進行行為分析�,如果P2P動態(tài)云服務(wù)器能 夠判定此異常行為為惡意軟件所致�����,則直接將分析結(jié)果反饋給分布式終端�;如果P2P動態(tài) 云服務(wù)器不能夠判斷此異常行為是否為惡意軟件所致,則將此異常行為特征上傳給固態(tài)云 服務(wù)器做二次分析���;
[0016] 5)固態(tài)云服務(wù)器通過運行快速分析引擎和病毒特征庫比對機制�����,實現(xiàn)對上傳的異 常行為特征的二次分析,并將分析結(jié)果通過動態(tài)云服務(wù)器反饋給分布式終端����。
[0017] 動態(tài)云服務(wù)器采用一種聚類-統(tǒng)計-決策的方法對上傳的異常行為特征進行行為 分析,其步驟為:
[0018] 1)當(dāng)動態(tài)云收到客戶端請求的時候��,聚類模塊利用P2P網(wǎng)絡(luò)捜索具有相似性的客 戶端請求,然后對捜索出的數(shù)據(jù)信息進行收集��,并將收集到的數(shù)據(jù)信息送到統(tǒng)計模塊�;
[0019] 2)統(tǒng)計模塊采用分類統(tǒng)計的方式對捜索出的數(shù)據(jù)信息進行統(tǒng)計,得到各個統(tǒng)計 值�,并將各個統(tǒng)計值送到?jīng)Q策模塊。
[0020] 3)決策模塊接收統(tǒng)計模塊的各個統(tǒng)計值��,將統(tǒng)計信息作為專家決策的信息元素��, 進行概率計算��,得到感染概率值�����,將感染概率值與設(shè)定闊值進行比較�����。當(dāng)感染概率值高于設(shè) 定闊值的時候��,則直接將處理信息反饋給客戶端�����;當(dāng)感染概率值低于設(shè)定闊值的時候,則將 信息發(fā)送給固態(tài)云服務(wù)器進行進一步判斷�。同時每次處理的信息都會記錄在當(dāng)前動態(tài)云服 務(wù)器數(shù)據(jù)庫中,供下次聚類