一種用於雲安全系統的用戶感知病毒報告分析方法

2023-10-31 00:52:32

一種用於雲安全系統的用戶感知病毒報告分析方法
【專利摘要】本發明公開了一種用於雲安全系統的用戶感知病毒報告分析方法，屬於分布式計算、信息安全、計算機網絡和計算機軟體的交叉技術應用領域。雲伺服器根據各用戶終端發送的用戶感知病毒報告判斷用戶終端是否感染惡意代碼，並確定惡意代碼的危害等級；各用戶終端所發送的用戶感知病毒報告包括各用戶終端自身所感知到的節點症狀集合；雲伺服器為節點症狀集合中的各節點症狀賦予不同的權值，權值越大表示感染惡意代碼的可能性越大，並根據加權後的節點症狀集合判斷用戶終端是否感染惡意代碼。鑑於主機配置不同對症狀的影響，本發明進一步根據節點的綜合個體特徵值對以上權值作出相應調整。相比現有技術，本發明具有用戶直觀、全面可行、靈活性高的優點。
【專利說明】—種用於雲安全系統的用戶感知病毒報告分析方法
【技術領域】
[0001]本發明涉及一種用於雲安全系統的用戶感知病毒報告分析方法，屬於分布式計算、信息安全、計算機網絡和計算機軟體的交叉技術應用領域。
【背景技術】
[0002]網絡病毒包括計算機病毒、網絡蠕蟲、後門木馬、間諜件等，網絡優秀的資源共享和通信功能為網絡病毒的傳播、感染和破壞提供了天然溫床。通過網絡特別是網際網路及其應用系統傳播的網絡病毒、波及範圍大、覆蓋面廣，在短時間內就可以造成網絡擁塞甚至癱瘓、共享資源丟失、機密信息失竊，從而造成巨大的損失。
[0003]新型的雲安全(Cloud Security)反病毒系統通過網狀的大規模終端對網絡中軟、硬體異常行為進行監測，實時獲取網際網路中蠕蟲與木馬等惡意代碼的最新信息，自動傳送到伺服器端進行分析和處理，再將惡意代碼解決方案迅速分發到每一個網絡終端。這意味著反病毒系統不再僅僅依靠本地硬碟中的病毒庫來識別和查殺各種惡意代碼(特別是未知惡意代碼)，而是依靠龐大的網絡服務，將整個網際網路聯合成為一個巨大的協同「殺毒軟體」，實時採集、分析以及處理惡意代碼，實現「參與者越多，每個參與者就越安全，整個網際網路就會更安全」的目標。瑞星、趨勢科技、卡巴斯基、McAFee、SYMANTEC、江民科技、PANDA、金山、360等都推出了各自的雲安全系統。
[0004]顯然，對海量用戶提供的海量病毒報告分類、分析與匯總是雲安全系統的主要任務。趨勢雲安全系統每天收集到2.5億個病毒報告；卡巴斯基全功能雲安全系統在用戶「知情並同意(Awareness & Approval) 」的情況下在線收集、分析(Online Real timeCollecting & Analysing)數以萬計的網絡終端提交的可疑病毒報告；瑞星雲安全的核心「瑞星卡卡6.0」每天收集8?10萬個木馬病毒報告，並對病毒進行分類和特徵提取。
[0005]海量病毒報告的分類、分析與匯總為雲安全系統帶來了巨大的負載。為了解決這種問題，趨勢雲安全系統通過在全球建立了 5大雲計算(Cloud computing)數據中心,使用幾萬臺伺服器來完成對病毒報告的收集與分析。
[0006]在目前雲安全系統中，雲伺服器會收到來自各個用戶終端節點的病毒報告。當雲伺服器收到大批來自不同用戶感知後匯報的病毒報告時，按照何種方法來對這些病毒報告進行分析成為影響整個系統提高抵禦網絡病毒能力的一個關鍵點。

【發明內容】

[0007]本發明所要解決的技術問題在於克服現有技術不足，針對網際網路或內聯網的網絡計算環境，提供一種用於雲安全系統的用戶感知病毒報告分析方法，根據用戶所感知的病毒感染症狀判別用戶終端是否感染惡意代碼。
[0008]一種用於雲安全系統的用戶感知病毒報告分析方法，雲伺服器根據各用戶終端發送的用戶感知病毒報告判斷用戶終端是否感染惡意代碼，並確定惡意代碼的危害等級；所述各用戶終端所發送的用戶感知病毒報告包括各用戶終端自身所感知到的節點症狀集合；雲伺服器為節點症狀集合中的各節點症狀賦予不同的權值，權值越大表示感染惡意代碼的可能性越大，並根據加權後的節點症狀集合判斷用戶終端是否感染惡意代碼。
[0009]考慮到主機配置不同對症狀的影響，為了更準確地判定用戶終端是否感染惡意代碼，本發明進一步地採用以下技術方案:
[0010]所述用戶感知病毒報告還包括各用戶終端自身的節點個體特徵值，所述節點個體特徵值通過對節點的多個性能參數進行歸一化計算得到；雲伺服器為節點症狀集合中的各節點症狀賦予不同的權值後，還根據節點的綜合個體特徵值對所述權值進行調整，所述節點的綜合個體特徵值通過對節點個體特徵值進行加權求和得到；具體調整方法如下:如節點的綜合個體特徵值在預設的節點綜合個體特徵標準值範圍內，則不對權值進行調整；如高於所述節點綜合個體特徵標準值範圍的上限，則調高所述權值；如低於所述所述節點綜合個體特徵標準值範圍的下限，則調低所述權值。
[0011]優選地，雲伺服器為節點症狀集合中的各節點症狀賦予四個不同的權值，採用字母A-D由高到低表示,具體如下:
[0012]權值為A的節點症狀:反病毒軟體被禁用或無法正常安裝、反覆彈出不明對話框、自行發送大量數據包、系統無端播放歌曲和無名聲音、圖標或程序無法刪除、反覆打開各種網頁、用戶無法進入安全模式、無法正常運行註冊表、自行發送大量未知郵件；
[0013]權值為B的節點症狀:帳號被盜、大量文件被破壞、軟碟機和/或光碟機無故讀個不停、硬碟空間被大量佔用、無操作時硬碟指示燈頻閃、系統出現藍屏、軟體報錯或無法使用；權值為C的節點症狀:系統響應緩慢或無故重啟、系統中出現有可疑文件、系統中有可疑服務或進程、默認主頁被修改且無法還原、收藏夾出現非用戶添加的網站；
[0014]權值為D的節點症狀:中央處理器使用率較高、內存使用率較高、網絡速度過慢、打開或隱藏窗口速度明顯下降、開機或關機時提示錯誤信息。
[0015]進一步地，所述根據加權後的節點症狀集合判斷用戶終端是否感染惡意代碼，具體按照以下方法:加權後的節點症狀集合符合以下條件之一，則判斷相應的用戶終端感染惡意代碼:①含有兩個權值為A的節點症狀；②含有一個權值為A的節點症狀和一個權值為B的節點症狀含一個權值為A的節點症狀和2個權值為C的節點症狀；④含一個權值為A的節點症狀，I個權值為C的節點症狀和3個權值為D的節點症狀；?含一個權值為A的節點症狀和4個權值為D的節點症狀；⑥含3個權值為B的節點症狀；⑦含有2個權值為B的節點症狀和2個權值為C的節點症狀；⑧含I個權值為B的節點症狀和4個權值為D的節點症狀；⑨含I個權值為B的節點症狀，I個權值為C的節點症狀和3個權值為D的節點症狀；(?含2個權值為的C節點症狀和4個權值為D的節點症狀。
[0016]進一步地，本發明的用戶感知病毒報告分析方法還包括:雲伺服器根據感染惡意代碼的用戶終端在系統總的用戶終端中所佔比例發出相應的系統警報。
[0017]相比現有技術，本發明方法具有以下有益效果:
[0018](I)用戶直觀:本發明基於用戶可以感知得到的終端節點不同類型的症狀列表來判斷病毒爆發情況，對用戶來說簡單、直觀。
[0019](2)全面可行:本發明總結了共計26種節點症狀，基本涵蓋了目前病毒對節點造成的所有用戶可感知的症狀，以此作為分析病毒的依據是比較全面可行的。
[0020](3)靈活性高:本發明鑑於主機配置不同對症狀的影響，對以上基本權值標準還應作了靈活處理，具有較高的靈活性。
【具體實施方式】
[0021]本發明將用戶感知的不同病毒感染症狀分為不同的權值，設計疑似感染惡意代碼判別標準，同時鑑於主機配置不同對症狀的影響，對以上權值標準作出相應調整，最後按照監控的病毒報告，設置三個等級的系統警報，從而提高系統的處理效率。
[0022]為了便於公眾理解本發明技術方案，下面以一個具體實施例來對本發明進行詳細說明。
[0023]雲安全系統要求用戶終端節點向伺服器主動發送病毒報告，以快速的獲取病毒傳播和感染情況。本【具體實施方式】中，用戶終端節點所發送的用戶感知病毒報告(Maliciouscode report, MCR)被定義為以下的3元組:
[0024]MCR=(Identity, Attributes, Signs)(I)
[0025]式(I)中的Identity為節點標識，Attributes為節點的個體特徵集，Signs為用戶觀察到的節點症狀集。
[0026]提交病毒報告的用戶終端個體特徵集Attributes為:
[0027]Attributes= {a」 a2, a3,...，a」...，am}(2)
[0028]式(2)中的Bi (i=l, 2,......，m)為節點個體特徵值，通過將包括中央處理器性
能、內存容量、作業系統類型等在內的節點性能參數經歸一化計算得到。m為所選取的節點個體特徵(性能參數)總數。
[0029]由節點個體特徵集Attributes進一步加權計算得到節點綜合個體特徵值az。由於終端性能中最重要的部分是中央處理器性能和內存容量，因此設定表徵中央處理器性能的個體特徵值(設為S1)的權為O1，表徵內存容量的個體特徵值(設為a2)的權為ω2，除此之外的其他性能參數的個體特徵值(設為a3, a4,..., Bi,..., am)的權總和為ω 3，ω ^ ω 2+ ω 3=1。用戶終端的節點綜合個體特徵值az計算式為:
【權利要求】
1.一種用於雲安全系統的用戶感知病毒報告分析方法，雲伺服器根據各用戶終端發送的用戶感知病毒報告判斷用戶終端是否感染惡意代碼，並確定惡意代碼的危害等級；其特徵在於，所述各用戶終端所發送的用戶感知病毒報告包括各用戶終端自身所感知到的節點症狀集合；雲伺服器為節點症狀集合中的各節點症狀賦予不同的權值，權值越大表示感染惡意代碼的可能性越大，並根據加權後的節點症狀集合判斷用戶終端是否感染惡意代碼。
2.如權利要求1所述用於雲安全系統的用戶感知病毒報告分析方法，其特徵在於，所述用戶感知病毒報告還包括各用戶終端自身的節點個體特徵值，所述節點個體特徵值通過對節點的多個性能參數進行歸一化計算得到；雲伺服器為節點症狀集合中的各節點症狀賦予不同的權值後，還根據節點的綜合個體特徵值對所述權值進行調整，所述節點的綜合個體特徵值通過對節點個體特徵值進行加權求和得到；具體調整方法如下:如節點的綜合個體特徵值在預設的節點綜合個體特徵標準值範圍內，則不對權值進行調整；如高於所述節點綜合個體特徵標準值範圍的上限，則調高所述權值；如低於所述所述節點綜合個體特徵標準值範圍的下限，則調低所述權值。
3.如權利要求2所述用於雲安全系統的用戶感知病毒報告分析方法,其特徵在於，雲伺服器為節點症狀集合中的各節點症狀賦予四個不同的權值，採用字母A-D由高到低表示，具體如下: 權值為A的節點症狀:反病毒軟體被禁用或無法正常安裝、反覆彈出不明對話框、自行發送大量數據包、系統無端播放歌曲和無名聲音、圖標或程序無法刪除、反覆打開各種網頁、用戶無法進入安全模式、無法正常運行註冊表、自行發送大量未知郵件； 權值為B的節點症狀:帳 號被盜、大量文件被破壞、軟碟機和/或光碟機無故讀個不停、硬碟空間被大量佔用、無操作時硬碟指示燈頻閃、系統出現藍屏、軟體報錯或無法使用；權值為C的節點症狀:系統響應緩慢或無故重啟、系統中出現有可疑文件、系統中有可疑服務或進程、默認主頁被修改且無法還原、收藏夾出現非用戶添加的網站； 權值為D的節點症狀:中央處理器使用率較高、內存使用率較高、網絡速度過慢、打開或隱藏窗口速度明顯下降、開機或關機時提示錯誤信息。
4.如權利要求3所述用於雲安全系統的用戶感知病毒報告分析方法，其特徵在於，所述根據加權後的節點症狀集合判斷用戶終端是否感染惡意代碼，具體按照以下方法:加權後的節點症狀集合符合以下條件之一，則判斷相應的用戶終端感染惡意代碼:①含有兩個權值為A的節點症狀；②含有一個權值為A的節點症狀和一個權值為B的節點症狀；③含一個權值為A的節點症狀和2個權值為C的節點症狀含一個權值為A的節點症狀，I個權值為C的節點症狀和3個權值為D的節點症狀；?含一個權值為A的節點症狀和4個權值為D的節點症狀；⑥含3個權值為B的節點症狀；⑦含有2個權值為B的節點症狀和2個權值為C的節點症狀御含I個權值為B的節點症狀和4個權值為D的節點症狀；⑨含I個權值為B的節點症狀，I個權值為C的節點症狀和3個權值為D的節點症狀；(?含2個權值為的C節點症狀和4個權值為D的節點症狀。
5.如權利要求4所述用於雲安全系統的用戶感知病毒報告分析方法,其特徵在於,該方法還包括:雲伺服器根據感染惡意代碼的用戶終端在系統總的用戶終端中所佔比例發出相應的系統警報。
6.如權利要求5所述用於雲安全系統的用戶感知病毒報告分析方法,其特徵在於，所述系統警報根據安全級別由低到高設置為黃、橙、紅三個等級。
7.如權利要求6所述用於雲安全系統的用戶感知病毒報告分析方法,其特徵在於，感染惡意代碼的用戶終端在系統總的用戶終端中所佔比例大於O且小於等於0.1，系統警報等級為黃；感染惡意代碼的用戶終端在系統總的用戶終端中所佔比例大於0.1且小於等於0.7，系統警報等級為橙；感染惡意代碼的用戶終端在系統總的用戶終端中所佔比例大於0.7且小於I，系統警報等級為紅。
8.如權利要求2所述用於雲安全系統的用戶感知病毒報告分析方法，其特徵在於，所述多個節點性能參數包括節點的中央處理器性能和內存容量。
【文檔編號】G06F21/56GK103544438SQ201310452351
【公開日】2014年1月29日 申請日期:2013年9月27日 優先權日:2013年9月27日
【發明者】徐小龍, 徐佳, 李千目, 孫雁飛, 王新珩, 李玲娟, 畢朝國, 陳丹偉, 邱國霞, 楊寶傑 申請人:南京郵電大學