一種基于云計(jì)算的惡意代碼分析系統(tǒng)和方法
【專利摘要】本發(fā)明涉及一種惡意代碼分析方法,特別是一種基于云計(jì)算的惡意代碼分析系統(tǒng)和方法。該系統(tǒng)包括惡意代碼檢測代理和惡意代碼云分析系統(tǒng);其中惡意代碼檢測代理包括安全監(jiān)控引擎、查殺引擎、本地黑白名單、行為模式庫和病毒特征庫;惡意代碼云分析系統(tǒng)包括特征判斷與查詢引擎、樣本存儲(chǔ)中心、多分析引擎、全局黑白名單、全局惡意行為特征庫、全局病毒特征庫。本發(fā)明利用云計(jì)算技術(shù)將安全服務(wù)化,實(shí)現(xiàn)多查殺與分析引擎的兼容與協(xié)同,依靠云端強(qiáng)大的數(shù)據(jù)處理與分析能力,提升全網(wǎng)威脅分析與響應(yīng)能力,實(shí)現(xiàn)主機(jī)威脅的快速發(fā)現(xiàn),快速分析和快速處理,有力保證主機(jī)運(yùn)行環(huán)境的安全。本發(fā)明還可提高主機(jī)入侵檢測防護(hù)系統(tǒng)的自防護(hù)能力。
【專利說明】一種基于云計(jì)算的惡意代碼分析系統(tǒng)和方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種惡意代碼分析方法,特別是一種基于云計(jì)算的惡意代碼分析系統(tǒng)和方法。
【背景技術(shù)】
[0002]終端作為信息系統(tǒng)的載體,是實(shí)際操作和網(wǎng)絡(luò)行為的發(fā)起者,也是關(guān)鍵文件和數(shù)據(jù)等敏感信息的存儲(chǔ)體,往往成為攻擊者攻擊或劫持的首要目標(biāo)。隨著信息技術(shù)的快速發(fā)展以及網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大,利用惡意代碼針對(duì)終端惡意攻擊和破壞行為日益頻繁,攻擊強(qiáng)度不斷增大。通過對(duì)終端計(jì)算資源狀態(tài)和行為進(jìn)行實(shí)時(shí)監(jiān)控,及時(shí)發(fā)現(xiàn)惡意代碼對(duì)于保證計(jì)算機(jī)和網(wǎng)絡(luò)的正常運(yùn)行有著重要的意義。
[0003]目前,針對(duì)終端的惡意代碼分析系統(tǒng)主要依賴終端的計(jì)算資源和操作系統(tǒng)的功能來實(shí)現(xiàn),雖然一定程度了提升了終端的安全防護(hù)能力,但同時(shí)也存在一定的問題和不足。
[0004](I)惡意代碼變異速度越來越快,快速識(shí)別和查殺新威脅的難度大
[0005]隨著攻擊技術(shù)的發(fā)展,病毒、木馬、蠕蟲和間諜軟件等惡意代碼的變異速度越來越快,隱蔽性和持久性越來越強(qiáng)。目前主要是單一的采用基于特征碼進(jìn)行惡意代碼的查殺,這種查殺方式只有在提取惡意代碼的特征碼之后才有效。由于惡意代碼變異速度越來越快,原有的特征碼無法應(yīng)對(duì)新的變異代碼,大大增加了惡意代碼的查殺難度,無法快速識(shí)別和查殺新的威脅,給業(yè)務(wù)系統(tǒng)的安全運(yùn)行帶來了巨大的安全隱患。
[0006](2)安全軟件的復(fù)雜性越來越高,自身脆弱性易成為新的攻擊目標(biāo)
[0007]為了應(yīng)對(duì)不斷發(fā)展的攻擊技術(shù)和快速識(shí)別新的威脅,安全軟件不斷拓展和集成新的功能,造成自身的復(fù)雜性越來越高,在一定程度提升威脅識(shí)別能力的同時(shí),其自身的安全性也帶來新的安全隱患。通過繞過安全軟件或者直接攻擊安全軟件,從而劫持整個(gè)平臺(tái)的事件時(shí)有發(fā)生,這也成為網(wǎng)絡(luò)攻擊技術(shù)未來發(fā)展的一種趨勢。在一定程度上來說,安全軟件自身脆弱性所帶來的安全威脅可能比惡意代碼本身還要大。
[0008](3)當(dāng)前的防病毒措施面臨著占有大量資源、防護(hù)能力弱等問題
[0009]為了應(yīng)對(duì)信息系統(tǒng)計(jì)算平臺(tái)的安全威脅,目前針對(duì)終端平臺(tái)已經(jīng)部署了不同類型的安全防護(hù)產(chǎn)品,一方面持續(xù)的病毒庫和特征庫的更新消耗了主機(jī)的大量存儲(chǔ)空間,主機(jī)資源有限,安全防護(hù)措施資源量大,直接影響上層業(yè)務(wù)的運(yùn)行,同時(shí)過多的依賴操作系統(tǒng)實(shí)現(xiàn),自身容易遭受攻擊。
【發(fā)明內(nèi)容】
[0010]本發(fā)明目的在于提供一種基于云計(jì)算的惡意代碼分析系統(tǒng)和方法,解決當(dāng)前惡意代碼分析系統(tǒng)威脅識(shí)別能力滯后,快速反應(yīng)能力弱,主機(jī)資源消耗大的問題。
[0011]云計(jì)算技術(shù)主要是基于“網(wǎng)絡(luò)就是計(jì)算機(jī)”的思想,利用Internet將大量的計(jì)算資源、存儲(chǔ)資源和軟件資源整合在一起,形成大規(guī)模的共享虛擬IT資源池,通過分布式計(jì)算和分布式存儲(chǔ)等技術(shù)打破傳統(tǒng)針對(duì)本地用戶的一對(duì)一服務(wù)模式,為遠(yuǎn)程計(jì)算機(jī)用戶提供相應(yīng)的IT服務(wù),真正實(shí)現(xiàn)資源的按需分配。
[0012]一種基于云計(jì)算的惡意代碼分析系統(tǒng)包括惡意代碼檢測代理和惡意代碼云分析系統(tǒng)。為了減少因自身的復(fù)雜性帶來新的安全威脅和主機(jī)性能的影響,同時(shí)提高入侵威脅的快速發(fā)現(xiàn),快速分析和快速處理能力,主機(jī)惡意代碼分析系統(tǒng)將核心的檢測分析引擎從主機(jī)端分離,主機(jī)端惡意代碼檢測代理只保留狀態(tài)檢測、行為監(jiān)控和查殺等功能,所需的復(fù)雜的檢測分析功能在服務(wù)端由惡意代碼云分析系統(tǒng)以網(wǎng)絡(luò)服務(wù)的形式提供。其中惡意代碼檢測代理包括安全監(jiān)控引擎、查殺引擎、本地黑白名單、行為模式庫和病毒特征庫;惡意代碼云分析系統(tǒng)包括特征判斷與查詢服務(wù)器、樣本存儲(chǔ)中心、多分析引擎、全局黑白名單、全局惡意行為特征庫、全局病毒特征庫。惡意代碼檢測代理(用軟件實(shí)現(xiàn))部署于各主機(jī)端,基于本地策略實(shí)施安全狀態(tài)檢測和行為監(jiān)控,當(dāng)發(fā)現(xiàn)未知威脅時(shí),向云端發(fā)出檢測分析服務(wù)請(qǐng)求,并根據(jù)服務(wù)請(qǐng)求結(jié)果進(jìn)行相應(yīng)處理;惡意代碼云分析系統(tǒng)(用軟件實(shí)現(xiàn))部署于服務(wù)器端,響應(yīng)代理端的服務(wù)請(qǐng)求并進(jìn)行服務(wù)調(diào)度分發(fā),提供檢測分析服務(wù)、統(tǒng)一管理服務(wù)等安全服務(wù),實(shí)現(xiàn)多安全分析引擎的協(xié)同和策略制定與下發(fā)等。
[0013]一種基于云計(jì)算的惡意代碼分析方法的具體步驟為:
[0014]1.惡意代碼檢測代理加載后,其中的安全監(jiān)控引擎根據(jù)本地黑白名單、行為模式庫和病毒特征庫,對(duì)主機(jī)狀態(tài)和行為進(jìn)行檢測,創(chuàng)建、運(yùn)行軟件或文件時(shí),代理查詢本地黑白名單,如果在名單中則根據(jù)規(guī)則控制其行為;
[0015]2.軟件或文件不在本地黑白名單中,則安全監(jiān)控引擎先阻止其運(yùn)行,發(fā)出檢測分析服務(wù)請(qǐng)求,并將可疑軟件或文件計(jì)算hash值后加密上傳至惡意代碼云分析系統(tǒng)進(jìn)行分析;
[0016]3.惡意代碼云分析系統(tǒng)的特征判斷與查詢引擎接收到請(qǐng)求后,將惡意代碼檢測代理上傳的hash值進(jìn)行解密,并根據(jù)全局的黑白名單進(jìn)行特征判斷和查詢;
[0017]4.如果查詢到解密的hash值在全局黑白名單中,表明該軟件或文件在全網(wǎng)中曾分析過,在樣本中心記錄好惡意代碼檢測代理以及其上傳的軟件或文件hash值信息后,直接將原分析結(jié)果和處置規(guī)則加密后下發(fā)到對(duì)應(yīng)的惡意代碼檢測代理;
[0018]5.惡意代碼檢測代理在接收到惡意代碼云分析系統(tǒng)的反饋后,對(duì)分析結(jié)果和處置規(guī)則進(jìn)行解密,解密后查殺引擎根據(jù)下發(fā)的規(guī)則進(jìn)行相應(yīng)處置,并將分析結(jié)果和處置規(guī)則加入到本地黑白名單;
[0019]6.如果惡意代碼云分析系統(tǒng)全網(wǎng)查詢失敗,則會(huì)向惡意代碼檢測代理發(fā)出查詢失敗的反饋,并請(qǐng)求上傳可疑軟件或文件;
[0020]7.惡意代碼檢測代理在收到請(qǐng)求后,加密可疑軟件或文件并上傳至惡意代碼云分析系統(tǒng);
[0021]8.惡意代碼云分析系統(tǒng)在接收到上傳的文件,解密后首先在樣本存儲(chǔ)中心進(jìn)行存儲(chǔ),然后基于特征碼和行為的多分析引擎進(jìn)行分析,根據(jù)分析結(jié)果更新全局黑白名單庫,并根據(jù)分析結(jié)果和處置規(guī)則下發(fā)至對(duì)應(yīng)的惡意代碼檢測代理,代理的查殺引擎根據(jù)規(guī)則進(jìn)行相應(yīng)處置
[0022]9.惡意代碼云分析系統(tǒng)在海量樣本分析的基礎(chǔ)上,提取出新的惡意行為特征和病毒代碼特征并更新行為模式庫和病毒特征庫,在行為模式庫和病毒特征庫更新之后,將本地白名單中的樣本進(jìn)行回溯檢測分析,如果發(fā)現(xiàn)是惡意代碼則將通知對(duì)應(yīng)惡意代碼檢測代理的查殺引擎進(jìn)行查殺。
[0023]至此,基于云計(jì)算的惡意代碼分析方法通過以上各項(xiàng)安全控制措施,有效的提升了惡意代碼的快速識(shí)別和快速處置能力。
[0024]本發(fā)明結(jié)合虛擬機(jī)技術(shù)的安全特性,主要具有以下優(yōu)點(diǎn):
[0025]1.實(shí)現(xiàn)主機(jī)安全威脅的快速發(fā)現(xiàn),快速分析和快速處理
[0026]利用云計(jì)算技術(shù)將安全服務(wù)化,實(shí)現(xiàn)多查殺與分析引擎的兼容與協(xié)同,依靠云端強(qiáng)大的數(shù)據(jù)處理與分析能力,提升全網(wǎng)威脅分析與響應(yīng)能力,實(shí)現(xiàn)主機(jī)威脅的快速發(fā)現(xiàn),快速分析和快速處理,有力保證主機(jī)運(yùn)行環(huán)境的安全。
[0027]2.提高主機(jī)入侵檢測防護(hù)系統(tǒng)的自防護(hù)能力
[0028]將核心的惡意代碼檢測分析功能從傳統(tǒng)的主機(jī)端分離至云端,在云端以服務(wù)的形式提供。一方面簡化了主機(jī)端惡意代碼分析軟件自身的復(fù)雜性,減少因其自身復(fù)雜性帶來安全隱患,另一方面將核心服務(wù)置于云端,因無法獲取具體的細(xì)節(jié)較少遭受攻擊的可能,提升自防護(hù)能力。
【專利附圖】
【附圖說明】
[0029]圖1基于云計(jì)算的惡意代碼分析系統(tǒng)示意圖
[0030]I惡意代碼檢測代理2惡意代碼云分析系統(tǒng)3安全監(jiān)控引擎4查殺引擎5本地黑/白名單6本地行為模式庫7本地特征庫8特征判斷與查詢引擎9樣本存儲(chǔ)中心10分析引擎11全局惡意代碼行為特征庫12全局病毒特征庫13全局白名單14全局黑名單
[0031]圖1基于云計(jì)算的惡意代碼分析系統(tǒng)工作原理示意圖【具體實(shí)施方式】
[0032]一種基于云計(jì)算的惡意代碼分析系統(tǒng)包括惡意代碼檢測代理I和惡意代碼云分析系統(tǒng)2。為了減少因自身的復(fù)雜性帶來新的安全威脅和主機(jī)性能的影響,同時(shí)提高入侵威脅的快速發(fā)現(xiàn),快速分析和快速處理能力,主機(jī)惡意代碼分析系統(tǒng)將核心的檢測分析引擎從主機(jī)端分離,主機(jī)端惡意代碼檢測代理I只保留狀態(tài)檢測、行為監(jiān)控和查殺等功能,所需的復(fù)雜的檢測分析功能在服務(wù)端由惡意代碼云分析系統(tǒng)以網(wǎng)絡(luò)服務(wù)的形式提供。其中惡意代碼檢測代理理I包括安全監(jiān)控引擎3、查殺引擎4、本地黑/白名單5、行為模式庫6和病毒特征庫7 ;惡意代碼云分析系統(tǒng)2包括特征判斷與查詢引擎8、樣本存儲(chǔ)中心9、多分析引擎10、全局黑名單14、全局白名單13、全局惡意行為特征庫11、全局病毒特征庫12。惡意代碼檢測代理I部署于各主機(jī)端,基于本地策略實(shí)施安全狀態(tài)檢測和行為監(jiān)控,當(dāng)發(fā)現(xiàn)未知威脅時(shí),向云端發(fā)出檢測分析服務(wù)請(qǐng)求,并根據(jù)服務(wù)請(qǐng)求結(jié)果進(jìn)行相應(yīng)處理;主機(jī)惡意代碼云分析系統(tǒng)2部署于服務(wù)器端,響應(yīng)代理端的服務(wù)請(qǐng)求并進(jìn)行服務(wù)調(diào)度分發(fā),提供檢測分析服務(wù)、統(tǒng)一管理服務(wù)等安全服務(wù),實(shí)現(xiàn)多安全分析引擎的協(xié)同和策略制定與下發(fā)等。
[0033]一種基于云計(jì)算的惡意代碼分析方法的具體步驟為:
[0034]1.惡意代碼檢測代理I加載后,其中的安全監(jiān)控3引擎根據(jù)本地的知識(shí)庫對(duì)主機(jī)狀態(tài)和行為進(jìn)行檢測,創(chuàng)建、運(yùn)行軟件或文件時(shí),代理I查詢本地黑白名單5,如果在名單中則根據(jù)規(guī)則控制其行為;[0035]2.軟件或文件不在本地黑白名單中,則先阻止其運(yùn)行,發(fā)出檢測分析服務(wù)請(qǐng)求,并將可疑軟件或文件計(jì)算hash值后加密上傳至惡意代碼云分析系統(tǒng)2進(jìn)行分析;
[0036]3.惡意代碼云分析系統(tǒng)2接收到請(qǐng)求后,將惡意代碼檢測代理I上傳的hash值進(jìn)行解密,并根據(jù)全局的黑白名單進(jìn)行特征判斷和查詢;
[0037]4.如果查詢到解密的hash值在全局黑白名單中,表明該軟件或文件在全網(wǎng)中曾分析過,在樣本中心記錄好惡意代碼檢測代理I以及其上傳的軟件或文件hash值信息后,直接將原分析結(jié)果和處置規(guī)則加密后下發(fā)到對(duì)應(yīng)的惡意代碼檢測代理I ;
[0038]5.惡意代碼檢測代理I在接收到惡意代碼云分析系統(tǒng)2的反饋后,對(duì)分析結(jié)果和處置規(guī)則進(jìn)行解密,解密后查殺引擎4根據(jù)下發(fā)的規(guī)則進(jìn)行相應(yīng)處置,并將分析結(jié)果和處置規(guī)則加入到本地黑白名單5 ;
[0039]6.如果惡意代碼云分析系統(tǒng)2全網(wǎng)查詢失敗,則會(huì)向惡意代碼檢測代理I發(fā)出查詢失敗的反饋,并請(qǐng)求上傳可疑軟件或文件;
[0040]7.惡意代碼檢測代理I在收到請(qǐng)求后,加密可疑軟件或文件并上傳至惡意代碼云分析系統(tǒng)2 ;
[0041]8.惡意代碼云分析系統(tǒng)2在接收到上傳的文件,解密后首先在樣本存儲(chǔ)中心進(jìn)行存儲(chǔ)9,然后基于特征碼和行為的多分析引擎10進(jìn)行分析,根據(jù)分析結(jié)果更新全局黑名單庫14或白名單庫13,并根據(jù)分析結(jié)果和處置規(guī)則下發(fā)至對(duì)應(yīng)的惡意代碼檢測代理1,代理的查殺引擎4根據(jù)規(guī)則進(jìn)行相應(yīng)處置
[0042]9.惡意代碼云分析系統(tǒng)2在海量樣本分析的基礎(chǔ)上,提取出新的惡意行為特征和病毒代碼特征并更新特征庫,在特征庫更新之后,將白名單中的樣本進(jìn)行回溯檢測分析,如果發(fā)現(xiàn)是惡意代碼則將通知對(duì)應(yīng)惡意代碼檢測代理I的查殺引擎4進(jìn)行查殺。
[0043]至此,基于云計(jì)算的惡意代碼分析方法通過以上各項(xiàng)安全控制措施,有效的提升了惡意代碼的快速識(shí)別和快速處置能力。
【權(quán)利要求】
1.一種基于云計(jì)算的惡意代碼分析系統(tǒng),其特征在于:包括惡意代碼檢測代理和惡意代碼云分析系統(tǒng);其中惡意代碼檢測代理包括安全監(jiān)控引擎、查殺引擎、本地黑白名單、行為模式庫和病毒特征庫;惡意代碼云分析系統(tǒng)包括特征判斷與查詢引擎、樣本存儲(chǔ)中心、多分析引擎、全局黑白名單、全局惡意行為特征庫、全局病毒特征庫。
2.應(yīng)用權(quán)利要求1所述的一種基于云計(jì)算的惡意代碼分析系統(tǒng),其特征在于步驟為: 1).惡意代碼檢測代理加載后,其中的安全監(jiān)控弓I擎根據(jù)本地黑白名單、行為模式庫和病毒特征庫,對(duì)主機(jī)狀態(tài)和行為進(jìn)行檢測,創(chuàng)建、運(yùn)行軟件或文件時(shí),代理查詢本地黑白名單,如果在名單中則根據(jù)規(guī)則控制其行為; 2).軟件或文件不在本地黑白名單中,則安全監(jiān)控引擎先阻止其運(yùn)行,發(fā)出檢測分析服務(wù)請(qǐng)求,并將可疑軟件或文件計(jì)算hash值后加密上傳至惡意代碼云分析系統(tǒng)進(jìn)行分析; 3).惡意代碼云分析系統(tǒng)的特征判斷與查詢引擎接收到請(qǐng)求后,將惡意代碼檢測代理上傳的hash值進(jìn)行解密,并根據(jù)全局的黑白名單進(jìn)行特征判斷和查詢; 4).如果查詢到解密的hash值在全局黑白名單中,表明該軟件或文件在全網(wǎng)中曾分析過,在樣本中心記錄好惡意代碼檢測代理以及其上傳的軟件或文件hash值信息后,直接將原分析結(jié)果和處置規(guī)則加密后下發(fā)到對(duì)應(yīng)的惡意代碼檢測代理; 5).惡意代碼檢測代理在接收到惡意代碼云分析系統(tǒng)的反饋后,對(duì)分析結(jié)果和處置規(guī)則進(jìn)行解密,解密后查殺引擎根據(jù)下發(fā)的規(guī)則進(jìn)行相應(yīng)處置,并將分析結(jié)果和處置規(guī)則加入到本地黑白名單; 6).如果惡意代碼云分析系統(tǒng)全網(wǎng)查詢失敗,則會(huì)向惡意代碼檢測代理發(fā)出查詢失敗的反饋,并請(qǐng)求上傳可疑軟件或文件; 7).惡意代碼檢測代理在收到請(qǐng)求后,加密可疑軟件或文件并上傳至惡意代碼云分析系統(tǒng); 8).惡意代碼云分析系統(tǒng)在接收到上傳的文件,解密后首先在樣本存儲(chǔ)中心進(jìn)行存儲(chǔ),然后基于特征碼和行為的多分析引擎進(jìn)行分析,根據(jù)分析結(jié)果更新全局黑白名單庫,并根據(jù)分析結(jié)果和處置規(guī)則下發(fā)至對(duì)應(yīng)的惡意代碼檢測代理,代理的查殺引擎根據(jù)規(guī)則進(jìn)行相應(yīng)處置 9).惡意代碼云分析系統(tǒng)在海量樣本分析的基礎(chǔ)上,提取出新的惡意行為特征和病毒代碼特征并更新行為模式庫和病毒特征庫,在行為模式庫和病毒特征庫更新之后,將本地白名單中的樣本進(jìn)行回溯檢測分析,如果發(fā)現(xiàn)是惡意代碼則將通知對(duì)應(yīng)惡意代碼檢測代理的查殺引擎進(jìn)行查殺。
【文檔編號(hào)】H04L29/06GK103500305SQ201310398011
【公開日】2014年1月8日 申請(qǐng)日期:2013年9月4日 優(yōu)先權(quán)日:2013年9月4日
【發(fā)明者】段翼真, 王曉程, 劉忠, 王斌, 毛俐旻, 陳志浩 申請(qǐng)人:中國航天科工集團(tuán)第二研究院七〇六所