惡意軟件動(dòng)態(tài)行為分析系統(tǒng)的預(yù)警方法及裝置制造方法
【專利摘要】本發(fā)明提供了一種惡意軟件動(dòng)態(tài)行為分析系統(tǒng)的預(yù)警方法及裝置�,其中所述方法包括:統(tǒng)計(jì)惡意軟件動(dòng)態(tài)行為分析系統(tǒng)在過去一段時(shí)間內(nèi)對(duì)惡意軟件樣本的處理信息,學(xué)習(xí)惡意軟件動(dòng)態(tài)行為分析系統(tǒng)對(duì)惡意軟件樣本的處理規(guī)律��;獲取惡意軟件動(dòng)態(tài)行為分析系統(tǒng)對(duì)惡意軟件樣本的當(dāng)前處理狀態(tài)��,并在當(dāng)前處理狀態(tài)與所述處理規(guī)律不匹配時(shí)發(fā)出預(yù)警����。本發(fā)明能夠及時(shí)發(fā)現(xiàn)系統(tǒng)中的異常并進(jìn)行告警。
【專利說明】惡意軟件動(dòng)態(tài)行為分析系統(tǒng)的預(yù)警方法及裝置
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及網(wǎng)絡(luò)安全【技術(shù)領(lǐng)域】��,具體涉及一種惡意軟件動(dòng)態(tài)行為分析系統(tǒng)的預(yù)警 方法及裝置����。
【背景技術(shù)】
[0002] 惡意軟件動(dòng)態(tài)行為分析系統(tǒng)�����,是將惡意軟件置于虛擬機(jī)環(huán)境中來運(yùn)行�,對(duì)其運(yùn)行 期間的動(dòng)態(tài)行為進(jìn)行監(jiān)控和分析的一套系統(tǒng)�����,該系統(tǒng)的輸入為惡意軟件的樣本���,輸出為針 對(duì)該樣本的動(dòng)態(tài)行為分析報(bào)告�����。該系統(tǒng)通常包括有中央調(diào)度服務(wù)器和多個(gè)分布式虛擬機(jī) 處理節(jié)點(diǎn)�����。其中�����,中央調(diào)度服務(wù)器是用于存儲(chǔ)����、調(diào)度待處理的樣本的服務(wù)器�,分布式虛擬機(jī) 處理節(jié)點(diǎn)是指系統(tǒng)中用于處理惡意軟件樣本的處理節(jié)點(diǎn),該節(jié)點(diǎn)可以通過掛載的方式注冊 到系統(tǒng)中�,這樣就能從中央調(diào)度服務(wù)器獲取惡意軟件樣本進(jìn)行處理。目前來說�,虛擬化平臺(tái) 通常都有針對(duì)虛擬機(jī)的監(jiān)控,包括CPU (Central Processing Unit�����,中央處理器)占用率以 及是否宕機(jī)等信息�����,這些措施雖然能夠提供對(duì)虛擬機(jī)本身的完整監(jiān)控����,但是對(duì)于惡意軟件 動(dòng)態(tài)行為分析系統(tǒng)來說,它做不到在上層的系統(tǒng)層面對(duì)系統(tǒng)運(yùn)行狀況做監(jiān)控和預(yù)警�,例如, 在某些情況下�����,虛擬機(jī)中運(yùn)行的惡意軟件樣本會(huì)破壞虛擬機(jī)的軟件環(huán)境���,例如對(duì)網(wǎng)絡(luò)通信 的干擾等�����,這些可能會(huì)導(dǎo)致我們惡意軟件行為分析系統(tǒng)的通信中斷�,但是不造成虛擬機(jī)CPU 占用率過高或者宕機(jī),在這種情況下���,虛擬機(jī)平臺(tái)自有的監(jiān)控系統(tǒng)會(huì)提示虛擬機(jī)運(yùn)行狀況 良好��,但是上層系統(tǒng)的處理流程已經(jīng)出現(xiàn)阻塞等問題�����,最常見的就是處理樣本超時(shí)�����,此時(shí)就 需要依賴監(jiān)控預(yù)警系統(tǒng)來給出相應(yīng)的反饋和后續(xù)處理動(dòng)作(如同一個(gè)虛擬機(jī)連續(xù)多個(gè)樣本 出現(xiàn)超時(shí)��,則停用該虛擬機(jī))����。
[0003] 惡意軟件動(dòng)態(tài)行為分析系統(tǒng)的異常監(jiān)測和預(yù)警,是指對(duì)系統(tǒng)運(yùn)行狀態(tài)進(jìn)行監(jiān)控���, 對(duì)出現(xiàn)的異常情況發(fā)出警報(bào)��,具體的警報(bào)形式有多種多樣�,例如可以通過文字提示或電子 郵件通知等方式進(jìn)行警示�。
[0004] 對(duì)于通常的流轉(zhuǎn)業(yè)務(wù)系統(tǒng)而言���,處理環(huán)節(jié)一般會(huì)有很多個(gè)��。為保證整體業(yè)務(wù)流水 線正常工作��,就要求各個(gè)環(huán)節(jié)都能正常運(yùn)轉(zhuǎn)���,一旦出現(xiàn)問題需要能夠盡快被發(fā)現(xiàn),并盡可能 的自動(dòng)恢復(fù)��,恢復(fù)不了的則通過人工干預(yù)�����。因此����,需要對(duì)整體流程和各個(gè)子環(huán)節(jié)進(jìn)行狀態(tài)監(jiān) 控以便發(fā)現(xiàn)問題���,通常需要在系統(tǒng)層面,以及需要監(jiān)控的子環(huán)節(jié)層面部署相應(yīng)的監(jiān)控機(jī)制����, 以此達(dá)到預(yù)警目的。
[0005] 惡意軟件動(dòng)態(tài)行為分析系統(tǒng)在其運(yùn)行過程中�,由于涉及到將惡意軟件樣本放到虛 擬機(jī)環(huán)境中運(yùn)行抓取其日志記錄解析最終得出分析報(bào)告。對(duì)于系統(tǒng)運(yùn)行狀態(tài)的監(jiān)測���,通常 是事先在可能出現(xiàn)問題的環(huán)節(jié)部署如日志記錄����、狀態(tài)監(jiān)控等功能���,來發(fā)現(xiàn)系統(tǒng)中出現(xiàn)的異 堂 巾����。
[0006] 可以看出�����,傳統(tǒng)的預(yù)警方法需要事先把可能出現(xiàn)問題的環(huán)節(jié)都想到,才能在最大 程度上防止漏掉監(jiān)控點(diǎn)����。事實(shí)上,事先把所有可能出問題的環(huán)節(jié)都考慮到是比較困難的�����,而 在所有的點(diǎn)上部署監(jiān)控也不現(xiàn)實(shí)��,因此很容易遺漏掉某些監(jiān)控點(diǎn)��,導(dǎo)致系統(tǒng)在實(shí)際運(yùn)行中 出現(xiàn)問題而不能及時(shí)發(fā)現(xiàn)異常����,從而導(dǎo)致跟進(jìn)和修復(fù)的整體周期變長�����,對(duì)整體業(yè)務(wù)會(huì)產(chǎn)生 較大的影響����。
【發(fā)明內(nèi)容】
[0007] 有鑒于此,本發(fā)明的目的是提供一種惡意軟件動(dòng)態(tài)行為分析系統(tǒng)的預(yù)警方法及裝 置�,能夠及時(shí)發(fā)現(xiàn)系統(tǒng)中的異常并進(jìn)行告警。
[0008] 為解決上述技術(shù)問題,本發(fā)明提供方案如下:
[0009] -種惡意軟件動(dòng)態(tài)行為分析系統(tǒng)的預(yù)警方法�,包括:
[0010] 統(tǒng)計(jì)惡意軟件動(dòng)態(tài)行為分析系統(tǒng)在過去一段時(shí)間內(nèi)對(duì)惡意軟件樣本的處理信息, 學(xué)習(xí)惡意軟件動(dòng)態(tài)行為分析系統(tǒng)對(duì)惡意軟件樣本的處理規(guī)律����;
[0011] 獲取惡意軟件動(dòng)態(tài)行為分析系統(tǒng)對(duì)惡意軟件樣本的當(dāng)前處理狀態(tài),并在當(dāng)前處理 狀態(tài)與所述處理規(guī)律不匹配時(shí)發(fā)出預(yù)警�����。
[0012] 進(jìn)一步的�����,上述方案中��,所述處理信息包括各個(gè)節(jié)點(diǎn)忙閑狀態(tài)的轉(zhuǎn)換時(shí)長以及針 對(duì)單個(gè)樣本的處理時(shí)長�;所述處理規(guī)律包括各個(gè)節(jié)點(diǎn)在所述過去一段時(shí)間內(nèi)的忙閑狀態(tài)的 平均轉(zhuǎn)換時(shí)長以及針對(duì)單個(gè)樣本的平均處理時(shí)長。
[0013] 進(jìn)一步的�,上述方案中,所述獲取惡意軟件動(dòng)態(tài)行為分析系統(tǒng)的當(dāng)前處理狀態(tài)�����,并 在當(dāng)前處理狀態(tài)與所述處理規(guī)律不匹配時(shí)發(fā)出預(yù)警包括 :
[0014] 獲取惡意軟件動(dòng)態(tài)行為分析系統(tǒng)中各個(gè)節(jié)點(diǎn)��,在預(yù)定長度的時(shí)間周期內(nèi)的忙閑狀 態(tài)的轉(zhuǎn)換時(shí)長和針對(duì)單個(gè)樣本的處理時(shí)長;
[0015] 若當(dāng)前時(shí)間周期內(nèi)的忙閑狀態(tài)的轉(zhuǎn)換時(shí)長與所述平均轉(zhuǎn)換時(shí)長之間的差值大于 預(yù)設(shè)第一門限�����,或者��,當(dāng)前時(shí)間周期內(nèi)針對(duì)單個(gè)樣本的處理時(shí)長與所述平均處理時(shí)長之間 的差值大于預(yù)設(shè)第二門限����,則產(chǎn)生對(duì)應(yīng)節(jié)點(diǎn)的節(jié)點(diǎn)告警信息。
[0016] 進(jìn)一步的�,上述方案中,還包括:
[0017] 若針對(duì)一節(jié)點(diǎn)連續(xù)產(chǎn)生所述節(jié)點(diǎn)告警信息的次數(shù)達(dá)到預(yù)定第一閾值����,則發(fā)出系統(tǒng) 管理警報(bào),并停止對(duì)應(yīng)節(jié)點(diǎn)對(duì)惡意軟件樣本的處理�����。
[0018] 進(jìn)一步的���,上述方案中��,所述處理信息還包括:惡意軟件樣本的處理數(shù)量�,所述處 理規(guī)律還包括:預(yù)定長度的時(shí)間周期內(nèi)惡意軟件樣本的處理數(shù)量的參考平均值。
[0019] 進(jìn)一步的��,上述方案中��,所述獲取惡意軟件動(dòng)態(tài)行為分析系統(tǒng)的當(dāng)前處理狀態(tài)�,并 在當(dāng)前處理狀態(tài)與所述處理規(guī)律不匹配時(shí)發(fā)出預(yù)警還包括:
[0020] 獲取惡意軟件動(dòng)態(tài)行為分析系統(tǒng)在當(dāng)前時(shí)間周期內(nèi)的樣本處理總數(shù)量的平均 值;
[0021] 在當(dāng)前時(shí)間周期內(nèi)的樣本處理總數(shù)量的平均值與所述參考平均值之間的差值大 于預(yù)設(shè)第三門限時(shí)��,發(fā)出系統(tǒng)告警信息�。
[0022] 進(jìn)一步的,上述方案中���,所述獲取惡意軟件動(dòng)態(tài)行為分析系統(tǒng)的當(dāng)前處理狀態(tài)����,并 在當(dāng)前處理狀態(tài)與所述處理規(guī)律不匹配時(shí)發(fā)出預(yù)警還包括:
[0023] 若連續(xù)發(fā)出所述系統(tǒng)告警信息的次數(shù)達(dá)到預(yù)定第二閾值�����,發(fā)出系統(tǒng)管理警報(bào)�����。
[0024] 進(jìn)一步的���,上述方案中���,進(jìn)一步在系統(tǒng)中的節(jié)點(diǎn)數(shù)量保持不變�����、且產(chǎn)生所述節(jié)點(diǎn)告 警信息的節(jié)點(diǎn)數(shù)量低于預(yù)設(shè)第三閾值�、以及在當(dāng)前時(shí)間周期內(nèi)的樣本處理總數(shù)量的平均值 與所述參考平均值之間的差值大于預(yù)設(shè)第三門限時(shí)�,發(fā)出所述系統(tǒng)告警信息。
[0025] 本發(fā)明實(shí)施例還提供了一種惡意軟件動(dòng)態(tài)行為分析系統(tǒng)的預(yù)警裝置�����,包括:
[0026] 統(tǒng)計(jì)學(xué)習(xí)模塊�,用于統(tǒng)計(jì)惡意軟件動(dòng)態(tài)行為分析系統(tǒng)在過去一段時(shí)間內(nèi)對(duì)惡意軟 件樣本的處理信息,學(xué)習(xí)惡意軟件動(dòng)態(tài)行為分析系統(tǒng)對(duì)惡意軟件樣本的處理規(guī)律����;
[0027] 告警處理模塊��,用于獲取惡意軟件動(dòng)態(tài)行為分析系統(tǒng)對(duì)惡意軟件樣本的當(dāng)前處理 狀態(tài)�,并在當(dāng)前處理狀態(tài)與所述處理規(guī)律不匹配時(shí)發(fā)出預(yù)警。
[0028] 進(jìn)一步的����,上述方案中�,所述處理信息包括各個(gè)節(jié)點(diǎn)忙閑狀態(tài)的轉(zhuǎn)換時(shí)長以及針 對(duì)單個(gè)樣本的處理時(shí)長���;所述處理規(guī)律包括各個(gè)節(jié)點(diǎn)在所述過去一段時(shí)間內(nèi)的忙閑狀態(tài)的 平均轉(zhuǎn)換時(shí)長以及針對(duì)單個(gè)樣本的平均處理時(shí)長�����。
[0029] 進(jìn)一步的���,上述方案中,所述告警處理模塊包括:
[0030] 第一獲取單元��,用于獲取惡意軟件動(dòng)態(tài)行為分析系統(tǒng)中各個(gè)節(jié)點(diǎn)�,在預(yù)定長度的 時(shí)間周期內(nèi)的忙閑狀態(tài)的轉(zhuǎn)換時(shí)長和針對(duì)單個(gè)樣本的處理時(shí)長;
[0031] 第一告警單元����,用于若當(dāng)前時(shí)間周期內(nèi)的忙閑狀態(tài)的轉(zhuǎn)換時(shí)長與所述平均轉(zhuǎn)換時(shí) 長之間的差值大于預(yù)設(shè)第一門限,或者�����,當(dāng)前時(shí)間周期內(nèi)針對(duì)單個(gè)樣本的處理時(shí)長與所述 平均處理時(shí)長之間的差值大于預(yù)設(shè)第二門限���,則產(chǎn)生對(duì)應(yīng)節(jié)點(diǎn)的節(jié)點(diǎn)告警信息���。
[0032] 進(jìn)一步的���,上述方案中,所述告警處理模塊還包括:
[0033] 第二告警單元��,用于若針對(duì)一節(jié)點(diǎn)連續(xù)產(chǎn)生所述節(jié)點(diǎn)告警信息的次數(shù)達(dá)到預(yù)定第 一閾值����,則發(fā)出系統(tǒng)管理警報(bào),并停止對(duì)應(yīng)節(jié)點(diǎn)對(duì)惡意軟件樣本的處理��。
[0034] 進(jìn)一步的����,上述方案中,所述處理信息還包括:惡意軟件樣本的處理數(shù)量���,所述處 理規(guī)律還包括:預(yù)定長度的時(shí)間周期內(nèi)惡意軟件樣本的處理數(shù)量的參考平均值���。
[0035] 進(jìn)一步的�����,上述方案中,所述告警處理模塊還包括:
[0036] 第二獲取單元�,用于獲取惡意軟件動(dòng)態(tài)行為分析系統(tǒng)在當(dāng)前時(shí)間周期內(nèi)的樣本處 理總數(shù)量的平均值;
[0037] 第三告警單元�,用于在當(dāng)前時(shí)間周期內(nèi)的樣本處理總數(shù)量的平均值與所述參考平 均值之間的差值大于預(yù)設(shè)第三門限時(shí),發(fā)出系統(tǒng)告警信息�。
[0038] 進(jìn)一步的,上述方案中��,所述告警處理模塊還包括:
[0039] 第四告警單元���,用于若連續(xù)發(fā)出所述系統(tǒng)告警信息的次數(shù)達(dá)到預(yù)定第二閾值���,發(fā) 出系統(tǒng)管理警報(bào)。
[0040] 進(jìn)一步的����,上述方案中,所述第三告警單元�,進(jìn)一步用于在系統(tǒng)中的節(jié)點(diǎn)數(shù)量保持 不變、且產(chǎn)生所述節(jié)點(diǎn)告警信息的節(jié)點(diǎn)數(shù)量低于預(yù)設(shè)第三閾值����、以及在當(dāng)前時(shí)間周期內(nèi)的 樣本處理總數(shù)量的平均值與所述參考平均值之間的差值大于預(yù)設(shè)第三門限時(shí)�����,發(fā)出所述系 統(tǒng)告警信息�����。
[0041] 從以上所述可以看出�����,本發(fā)明提供的惡意軟件動(dòng)態(tài)行為分析系統(tǒng)的預(yù)警方法及裝 置��,基于過去一段時(shí)間內(nèi)的系統(tǒng)及節(jié)點(diǎn)運(yùn)行指標(biāo)�����,對(duì)當(dāng)前系統(tǒng)及節(jié)點(diǎn)的運(yùn)行情況進(jìn)行監(jiān)測�����, 將系統(tǒng)狀態(tài)的監(jiān)測由固定指標(biāo)變?yōu)閯?dòng)態(tài)學(xué)習(xí)的可變指標(biāo)����,使得監(jiān)測更靈活,監(jiān)測結(jié)果更為 準(zhǔn)確�����。并且��,本發(fā)明實(shí)施例基于各個(gè)節(jié)點(diǎn)的歷史記錄對(duì)節(jié)點(diǎn)進(jìn)行監(jiān)測����,提高了監(jiān)測準(zhǔn)確性��, 從而能夠及時(shí)發(fā)現(xiàn)異常的處理節(jié)點(diǎn)��,及時(shí)發(fā)布警告�����,并能夠禁用該節(jié)點(diǎn)以避免異常影響的 擴(kuò)大��。
【專利附圖】
【附圖說明】
[0042] 圖1為本發(fā)明實(shí)施例所述系統(tǒng)的結(jié)構(gòu)示意圖����;
[0043] 圖2為本發(fā)明實(shí)施例提供異常監(jiān)測和預(yù)警方法的流程示意圖;
[0044] 圖3為本發(fā)明實(shí)施例提供異常監(jiān)測和預(yù)警裝置的結(jié)構(gòu)示意圖����;
[0045] 圖4為本發(fā)明實(shí)施例中的節(jié)點(diǎn)異常監(jiān)測和預(yù)警方法的一個(gè)示例示意圖��。
【具體實(shí)施方式】
[0046] 為使本發(fā)明的目的�、技術(shù)方案和優(yōu)點(diǎn)更加清楚�����,下面將結(jié)合附圖及具體實(shí)施例對(duì) 本發(fā)明進(jìn)行詳細(xì)描述�����。
[0047] 本發(fā)明實(shí)施例提供了一種惡意軟件動(dòng)態(tài)行為分析系統(tǒng)的預(yù)警方法及裝置�����,能夠及 時(shí)發(fā)現(xiàn)系統(tǒng)中的異常并進(jìn)行告警��,減小異常情況對(duì)系統(tǒng)的不利影響�。
[0048] 本發(fā)明實(shí)施例提供異常監(jiān)測和預(yù)警方法,應(yīng)用于一惡意軟件動(dòng)態(tài)行為分析系統(tǒng) 中�����,如圖1所示�����,該系統(tǒng)包括用于存儲(chǔ)及調(diào)度待處理的惡意軟件樣本13的中央調(diào)度服務(wù)器 11、多個(gè)用于從中央調(diào)度服務(wù)器獲取惡意軟件樣本進(jìn)行處理的分布式虛擬機(jī)處理節(jié)點(diǎn)12���。 多個(gè)節(jié)點(diǎn)12通過掛載的方式注冊到系統(tǒng)中��,從中央調(diào)度服務(wù)器11處獲取惡意軟件樣本進(jìn) 行處理。該系統(tǒng)的運(yùn)行方式如下:
[0049] 1)惡意軟件樣本13進(jìn)入中央調(diào)度服務(wù)器11之后��,首先被中央調(diào)度服務(wù)器11存儲(chǔ) 起來��,并且中央調(diào)度服務(wù)器11還可以對(duì)樣本的類型進(jìn)行標(biāo)示�����,以便于各個(gè)虛擬機(jī)處理節(jié)點(diǎn) 12根據(jù)類型獲取其需要處理的樣本進(jìn)而進(jìn)行處理��;
[0050] 2)各個(gè)虛擬機(jī)處理節(jié)點(diǎn)12 (VM Server)向中央調(diào)度服務(wù)器11周期性地發(fā)送自身 狀態(tài)信息�,且該過程不能停止,類似于"心跳"維持�����,來通知中央調(diào)度服務(wù)器11本節(jié)點(diǎn)是處 于活動(dòng)狀態(tài)的�;
[0051] 3)虛擬機(jī)機(jī)節(jié)點(diǎn)12根據(jù)自身性能��,定時(shí)向中央調(diào)度服務(wù)器11申請(qǐng)任務(wù)沖央調(diào) 度服務(wù)器11驗(yàn)證后即將需要分析的樣本任務(wù)發(fā)送給虛擬機(jī)處理節(jié)點(diǎn)12 ;
[0052] 4)由于各個(gè)虛擬機(jī)處理節(jié)點(diǎn)12的性能可能不同��,所以在中央調(diào)度服務(wù)器11對(duì)各 個(gè)虛擬機(jī)處理節(jié)點(diǎn)12的狀態(tài)信息進(jìn)行記錄��,以供后續(xù)分析時(shí)用���。
[0053] 本發(fā)明實(shí)施例提供的異常監(jiān)測和預(yù)警方法,應(yīng)用于圖1所示系統(tǒng)����,請(qǐng)參照?qǐng)D2,該 方法包括:
[0054] 步驟21,統(tǒng)計(jì)惡意軟件動(dòng)態(tài)行為分析系統(tǒng)在過去一段時(shí)間內(nèi)對(duì)惡意軟件樣本的處 理信息�����,學(xué)習(xí)惡意軟件動(dòng)態(tài)行為分析系統(tǒng)對(duì)惡意軟件樣本的處理規(guī)律�����。
[0055] 步驟22,獲取惡意軟件動(dòng)態(tài)行為分析系統(tǒng)對(duì)惡意軟件樣本的當(dāng)前處理狀態(tài)���,并在 當(dāng)前處理狀態(tài)與所述處理規(guī)律不匹配時(shí)發(fā)出預(yù)警�。
[0056] 作為一種優(yōu)選實(shí)施方式�����,本實(shí)施例可以針對(duì)系統(tǒng)中的每個(gè)節(jié)點(diǎn),分別統(tǒng)計(jì)學(xué)習(xí)其 對(duì)惡意軟件樣本的處理規(guī)律�,進(jìn)而判斷該節(jié)點(diǎn)的當(dāng)前處理狀態(tài)是否與處理規(guī)律相匹配,若 不匹配��,則產(chǎn)生預(yù)警�����。此時(shí)����,上述步驟21中����,所述處理信息包括各個(gè)節(jié)點(diǎn)忙閑狀態(tài)的轉(zhuǎn)換時(shí) 長以及針對(duì)單個(gè)樣本的處理時(shí)長;所述處理規(guī)律包括各個(gè)節(jié)點(diǎn)在所述過去一段時(shí)間內(nèi)的忙 閑狀態(tài)的平均轉(zhuǎn)換時(shí)長以及針對(duì)單個(gè)樣本的平均處理時(shí)長�����。上述步驟22則具體包括: [0057] 獲取惡意軟件動(dòng)態(tài)行為分析系統(tǒng)中各個(gè)節(jié)點(diǎn)���,在預(yù)定長度的時(shí)間周期內(nèi)的忙閑狀 態(tài)的轉(zhuǎn)換時(shí)長和針對(duì)單個(gè)樣本的處理時(shí)長����;
[0058] 若當(dāng)前時(shí)間周期內(nèi)的忙閑狀態(tài)的轉(zhuǎn)換時(shí)長與所述平均轉(zhuǎn)換時(shí)長之間的差值大于 預(yù)設(shè)第一門限,或者��,當(dāng)前時(shí)間周期內(nèi)針對(duì)單個(gè)樣本的處理時(shí)長與所述平均處理時(shí)長之間 的差值大于預(yù)設(shè)第二門限����,則產(chǎn)生對(duì)應(yīng)節(jié)點(diǎn)的節(jié)點(diǎn)告警信息,以提示管理人員節(jié)點(diǎn)可能發(fā) 生異常情況����。
[0059] 更進(jìn)一步的,若針對(duì)一節(jié)點(diǎn)連續(xù)產(chǎn)生所述節(jié)點(diǎn)告警信息的次數(shù)達(dá)到預(yù)定第一閾 值����,則發(fā)出系統(tǒng)管理警報(bào),并停止對(duì)應(yīng)節(jié)點(diǎn)對(duì)惡意軟件樣本的處理����。
[0060] 作為又一種優(yōu)選實(shí)施方式,本實(shí)施例可以針對(duì)系統(tǒng)整體��,統(tǒng)計(jì)學(xué)習(xí)整個(gè)系統(tǒng)對(duì)惡 意軟件樣本的處理規(guī)律����,進(jìn)而判斷該系統(tǒng)的當(dāng)前處理狀態(tài)是否與處理規(guī)律相匹配��,若不匹 配�,則產(chǎn)生預(yù)警����。此時(shí),上述步驟21中����,所述處理信息包括:惡意軟件樣本的處理數(shù)量,所述 處理規(guī)律包括:預(yù)定長度的時(shí)間周期內(nèi)惡意軟件樣本的處理數(shù)量的參考平均值����。上述步驟 22則具體包括:
[0061] 獲取惡意軟件動(dòng)態(tài)行為分析系統(tǒng)在當(dāng)前時(shí)間周期內(nèi)的樣本處理總數(shù)量的平均 值;
[0062] 在當(dāng)前時(shí)間周期內(nèi)的樣本處理總數(shù)量的平均值與所述參考平均值之間的差值大 于預(yù)設(shè)第三門限時(shí)�,發(fā)出系統(tǒng)告警信息���,用以提示管理人員當(dāng)前系統(tǒng)可能存在異常情況�???慮到系統(tǒng)中的節(jié)點(diǎn)狀態(tài),本發(fā)明實(shí)施例可以在系統(tǒng)中的節(jié)點(diǎn)數(shù)量保持不變��、且產(chǎn)生所述節(jié) 點(diǎn)告警信息的節(jié)點(diǎn)數(shù)量低于預(yù)設(shè)第三閾值�、以及在當(dāng)前時(shí)間周期內(nèi)的樣本處理總數(shù)量的平 均值與所述參考平均值之間的差值大于預(yù)設(shè)第三門限時(shí)����,發(fā)出所述系統(tǒng)告警信息�����。
[0063] 更進(jìn)一步的���,若連續(xù)發(fā)出所述系統(tǒng)告警信息的次數(shù)達(dá)到預(yù)定第二閾值��,發(fā)出系統(tǒng) 管理警報(bào)�,從而可以提示管理人員在必要情況下人工處理異常情況等�。
[0064] 上述各個(gè)門限及閾值,可以根據(jù)系統(tǒng)實(shí)際運(yùn)行情況以及監(jiān)控需求進(jìn)行設(shè)置�。例如, 在希望盡可能預(yù)警到各種異常情況時(shí)���,可以將上述門限值設(shè)的較?����?��;反之�,若希望預(yù)警誤報(bào) 情況較少時(shí)���,則可以將上述門限值設(shè)置的較大����。又例如��,可以根據(jù)系統(tǒng)以往運(yùn)行過程中的異 常情況時(shí)系統(tǒng)整體及節(jié)點(diǎn)的處理信息記錄�,對(duì)門限及閾值進(jìn)行調(diào)整,使其判斷結(jié)果與歷史 記錄相匹配���。
[0065] 基于上述方法�,本實(shí)施例還提供了一種惡意軟件動(dòng)態(tài)行為分析系統(tǒng)的預(yù)警裝置��, 這里��,所述系統(tǒng)包括用于存儲(chǔ)及調(diào)度待處理的惡意軟件樣本的中央調(diào)度服務(wù)器�����、多個(gè)用于 從中央調(diào)度服務(wù)器獲取惡意軟件樣本進(jìn)行處理的分布式虛擬機(jī)處理節(jié)點(diǎn)����,如圖3所示,所 述裝置包括:
[0066] 統(tǒng)計(jì)學(xué)習(xí)模塊�,用于統(tǒng)計(jì)惡意軟件動(dòng)態(tài)行為分析系統(tǒng)在過去一段時(shí)間內(nèi)對(duì)惡意軟 件樣本的處理信息,學(xué)習(xí)惡意軟件動(dòng)態(tài)行為分析系統(tǒng)對(duì)惡意軟件樣本的處理規(guī)律����;
[0067] 告警處理模塊,用于獲取惡意軟件動(dòng)態(tài)行為分析系統(tǒng)對(duì)惡意軟件樣本的當(dāng)前處理 狀態(tài)�����,并在當(dāng)前處理狀態(tài)與所述處理規(guī)律不匹配時(shí)發(fā)出預(yù)警�。
[0068] 具體的,所述處理信息包括各個(gè)節(jié)點(diǎn)忙閑狀態(tài)的轉(zhuǎn)換時(shí)長以及針對(duì)單個(gè)樣本的處 理時(shí)長����;所述處理規(guī)律包括各個(gè)節(jié)點(diǎn)在所述過去一段時(shí)間內(nèi)的忙閑狀態(tài)的平均轉(zhuǎn)換時(shí)長以 及針對(duì)單個(gè)樣本的平均處理時(shí)長。此時(shí)�����,所述告警處理模塊包括:
[0069] 第一獲取單元����,用于獲取惡意軟件動(dòng)態(tài)行為分析系統(tǒng)中各個(gè)節(jié)點(diǎn),在預(yù)定長度的 時(shí)間周期內(nèi)的忙閑狀態(tài)的轉(zhuǎn)換時(shí)長和針對(duì)單個(gè)樣本的處理時(shí)長;
[0070] 第一告警單元����,用于若當(dāng)前時(shí)間周期內(nèi)的忙閑狀態(tài)的轉(zhuǎn)換時(shí)長與所述平均轉(zhuǎn)換時(shí) 長之間的差值大于預(yù)設(shè)第一門限,或者�,當(dāng)前時(shí)間周期內(nèi)針對(duì)單個(gè)樣本的處理時(shí)長與所述 平均處理時(shí)長之間的差值大于預(yù)設(shè)第二門限,則產(chǎn)生對(duì)應(yīng)節(jié)點(diǎn)的節(jié)點(diǎn)告警信息�����。
[0071] 進(jìn)一步的�,所述告警處理模塊還包括:
[0072] 第二告警單元,用于若針對(duì)一節(jié)點(diǎn)連續(xù)產(chǎn)生所述節(jié)點(diǎn)告警信息的次數(shù)達(dá)到預(yù)定第 一閾值����,則發(fā)出系統(tǒng)管理警報(bào),并停止對(duì)應(yīng)節(jié)點(diǎn)對(duì)惡意軟件樣本的處理���。
[0073] 具體的��,所述處理信息還包括:惡意軟件樣本的處理數(shù)量�,所述處理規(guī)律還包括: 預(yù)定長度的時(shí)間周期內(nèi)惡意軟件樣本的處理數(shù)量的參考平均值��。此時(shí)�,所述告警處理模塊 還包括:
[0074] 第二獲取單元,用于獲取惡意軟件動(dòng)態(tài)行為分析系統(tǒng)在當(dāng)前時(shí)間周期內(nèi)的樣本處 理總數(shù)量的平均值���;
[0075] 第三告警單元�����,用于在當(dāng)前時(shí)間周期內(nèi)的樣本處理總數(shù)量的平均值與所述參考平 均值之間的差值大于預(yù)設(shè)第三門限時(shí)�����,發(fā)出系統(tǒng)告警信息�。
[0076] 更進(jìn)一步的�,所述第三告警單元,還可以用于在系統(tǒng)中的節(jié)點(diǎn)數(shù)量保持不變�、且產(chǎn) 生所述節(jié)點(diǎn)告警信息的節(jié)點(diǎn)數(shù)量低于預(yù)設(shè)第三閾值、以及在當(dāng)前時(shí)間周期內(nèi)的樣本處理總 數(shù)量的平均值與所述參考平均值之間的差值大于預(yù)設(shè)第三門限時(shí)�,發(fā)出所述系統(tǒng)告警信 息。
[0077] 更進(jìn)一步的��,所述告警處理模塊還包括:
[0078] 第四告警單元�����,用于若連續(xù)發(fā)出所述系統(tǒng)告警信息的次數(shù)達(dá)到預(yù)定第二閾值�����,發(fā) 出系統(tǒng)管理警報(bào)。
[0079] 從以上所述可以看出��,本發(fā)明實(shí)施例通過對(duì)惡意軟件動(dòng)態(tài)行為分析系統(tǒng)的分布式 架構(gòu)中的任務(wù)處理狀態(tài)進(jìn)行監(jiān)測����,在結(jié)果層面,對(duì)系統(tǒng)整體的處理量和處理狀態(tài)進(jìn)行一段 時(shí)間的學(xué)習(xí)總結(jié)出相應(yīng)的處理規(guī)律���,包括處理效率(針對(duì)單個(gè)樣本的處理時(shí)長)��、處理量�����、工 作狀態(tài)轉(zhuǎn)換規(guī)律(忙閑狀態(tài)的平均轉(zhuǎn)換時(shí)長)等��,在后續(xù)根據(jù)系統(tǒng)的當(dāng)前處理狀態(tài)可以及時(shí) 發(fā)現(xiàn)系統(tǒng)整體的處理異常并發(fā)出預(yù)警��;并且�����,本實(shí)施例還可以對(duì)分布式系統(tǒng)中的每個(gè)處理 節(jié)點(diǎn)的處理規(guī)律進(jìn)行周期性的學(xué)習(xí)及監(jiān)測�����,針對(duì)每個(gè)節(jié)點(diǎn)��,通過匯總一段時(shí)間內(nèi)該節(jié)點(diǎn)的 處理情況獲得其規(guī)律�����,從而可以對(duì)該節(jié)點(diǎn)的當(dāng)前處理狀態(tài)做出判斷�,能夠及時(shí)發(fā)現(xiàn)異常的 處理節(jié)點(diǎn)��,及時(shí)發(fā)布警告��,并能夠禁用該節(jié)點(diǎn)以避免影響的擴(kuò)大��。
[0080] 下面再結(jié)合一個(gè)更為具體的示例���,對(duì)本發(fā)明實(shí)施例作進(jìn)一步的說明���。
[0081] 請(qǐng)參照?qǐng)D4,該示例給出了節(jié)點(diǎn)異常監(jiān)測的流程。在該示例中�����,考慮到各個(gè)虛擬機(jī) 節(jié)點(diǎn)的性能可能存在差異,因此在對(duì)其狀態(tài)進(jìn)行異常監(jiān)測時(shí)���,根據(jù)各個(gè)虛擬機(jī)處理節(jié)點(diǎn)的 歷史狀態(tài)數(shù)據(jù)來分析其性能���、效率等信息,這些信息可以從中央調(diào)度服務(wù)器的數(shù)據(jù)庫中檢 索到�����,監(jiān)測過程包括:
[0082] 步驟41����,檢索一段時(shí)間內(nèi)各個(gè)虛擬機(jī)處理節(jié)點(diǎn)的狀態(tài)變化及處理效率等信息。
[0083] 通常�,所述的一段時(shí)間可以根據(jù)具體情況來調(diào)整,例如��,對(duì)現(xiàn)有系統(tǒng)����,可以設(shè)置為 一周時(shí)間。這里�����,狀態(tài)變化可以是指節(jié)點(diǎn)忙閑狀態(tài)轉(zhuǎn)換的信息,例如�����,節(jié)點(diǎn)發(fā)生一次由忙碌 狀態(tài)至空閑狀態(tài)所需的時(shí)間��;處理效率可以用節(jié)點(diǎn)對(duì)單個(gè)樣本的處理時(shí)長來表征�。
[0084] 步驟42����,分析檢索到的數(shù)據(jù),得出一個(gè)狀態(tài)變化及處理效率的監(jiān)測基準(zhǔn)值��。
[0085] 這里����,以過去一段時(shí)間為基礎(chǔ),得到狀態(tài)變化的基準(zhǔn)值����,例如從忙碌狀態(tài)轉(zhuǎn)換到空 閑狀態(tài)的平均耗時(shí)等,以及���,得到處理效率基準(zhǔn)值����,例如處理一個(gè)樣本的平均時(shí)長等。
[0086] 步驟43,對(duì)虛擬機(jī)處理節(jié)點(diǎn)的當(dāng)前運(yùn)行情況進(jìn)行監(jiān)測�����,若超過上述基準(zhǔn)值達(dá)到某 個(gè)預(yù)設(shè)門限���,則發(fā)出節(jié)點(diǎn)警報(bào)并進(jìn)行記錄����。
[0087] 步驟44,如果連續(xù)三次發(fā)出針對(duì)某個(gè)虛擬機(jī)處理節(jié)點(diǎn)的警報(bào)����,則向中央調(diào)度服務(wù) 器發(fā)出通知,以便所述中央調(diào)度服務(wù)器停止該虛擬機(jī)處理服務(wù)器���,并發(fā)出對(duì)應(yīng)的系統(tǒng)警報(bào)����, 以提示對(duì)應(yīng)節(jié)點(diǎn)可能存在異常情況需要人工處理�����。
[0088] 步驟45,判斷是否需要退出監(jiān)測流程,例如��,若事先設(shè)置了監(jiān)測周期�,則在監(jiān)測周 期結(jié)束時(shí)可以結(jié)束流程,若監(jiān)測周期尚未結(jié)束���,則返回步驟43,繼續(xù)監(jiān)測節(jié)點(diǎn)的運(yùn)行情況��。
[0089] 在對(duì)節(jié)點(diǎn)進(jìn)行上述監(jiān)測的同時(shí)�����,本示例還可以針對(duì)系統(tǒng)整體運(yùn)行情況進(jìn)行異常監(jiān) 測和預(yù)警。本示例中����,系統(tǒng)整體運(yùn)行情況的監(jiān)測及異常的前提是,該系統(tǒng)中的分布式虛擬機(jī) 節(jié)點(diǎn)沒有增加或者減少��,并且系統(tǒng)中節(jié)點(diǎn)警報(bào)涉及的節(jié)點(diǎn)數(shù)量沒有超出預(yù)設(shè)閾值(例如���,該 閥值可以按照總體虛擬機(jī)節(jié)點(diǎn)數(shù)量的10%來定)����,在上述前提下,該示例在按照以下方式進(jìn) 行系統(tǒng)監(jiān)測:
[0090] 首先��,采集系統(tǒng)前一段時(shí)間周期(可以按照周為單位)的處理數(shù)據(jù)�,包括樣本處理 完成總數(shù)(或者是成功處理樣本數(shù)量)等,并可以按照更短的時(shí)間間隔���,對(duì)前一段時(shí)間周期 內(nèi)的各個(gè)時(shí)間間隔內(nèi)的處理數(shù)據(jù)進(jìn)行分段統(tǒng)計(jì)��,例如:
[0091] 1)以周為一個(gè)時(shí)間周期�,統(tǒng)計(jì)各個(gè)時(shí)間間隔(每天)內(nèi)的樣本處理數(shù)量���;
[0092] 2)甚至����,還可以對(duì)每天的數(shù)據(jù)進(jìn)行細(xì)分����,按照小時(shí)段(S卩,一天分成24個(gè)時(shí)間段) 統(tǒng)計(jì)得到每個(gè)小時(shí)的處理數(shù)量����;
[0093] 然后�����,根據(jù)上述的統(tǒng)計(jì)結(jié)果��,監(jiān)測系統(tǒng)當(dāng)前的運(yùn)行狀態(tài)�����,例如���,如果發(fā)生當(dāng)前時(shí)間 間隔內(nèi)的處理數(shù)量與統(tǒng)計(jì)得到的處理數(shù)量之間差異大于某個(gè)門限的情況,且該情況連續(xù)發(fā) 生次數(shù)達(dá)到預(yù)定次數(shù)�����,此時(shí)發(fā)出系統(tǒng)管理警報(bào)�����。例如����,連續(xù)3個(gè)小時(shí)內(nèi)的處理數(shù)據(jù)量明顯大 于上述統(tǒng)計(jì)數(shù)據(jù)的20%以上��,此時(shí)發(fā)出系統(tǒng)管理警報(bào)。
[0094] 綜上����,本發(fā)明實(shí)施例基于過去一段時(shí)間內(nèi)的系統(tǒng)及節(jié)點(diǎn)運(yùn)行指標(biāo),對(duì)當(dāng)前系統(tǒng)及 節(jié)點(diǎn)的運(yùn)行情況進(jìn)行監(jiān)測���,將系統(tǒng)狀態(tài)的監(jiān)測由固定指標(biāo)變?yōu)閯?dòng)態(tài)學(xué)習(xí)的可變指標(biāo)�����,使得 監(jiān)測更靈活�,監(jiān)測結(jié)果更為準(zhǔn)確�。并且,本發(fā)明實(shí)施例對(duì)于分布式的虛擬機(jī)處理節(jié)點(diǎn)的監(jiān) 測���,則會(huì)根據(jù)節(jié)點(diǎn)本身的性能來考量�����,從而監(jiān)測準(zhǔn)確性更高��。
[0095] 值得注意的是����,本發(fā)明中所述的第一門限中的"第一"僅是作為定語,是為了對(duì)所 修飾的詞語作區(qū)分���,并不起任何順序限定作用���,相應(yīng)地,其他類似描述也是為了對(duì)所修飾的 詞語作區(qū)分�,不起任何順序限定作用。
[0096] 此說明書中所描述的許多功能部件都被稱為模塊��,以便更加特別地強(qiáng)調(diào)其實(shí)現(xiàn)方 式的獨(dú)立性���。
[0097] 本發(fā)明實(shí)施例中����,模塊可以用軟件實(shí)現(xiàn)�����,以便由各種類型的處理器執(zhí)行����。舉例來 說�,一個(gè)標(biāo)識(shí)的可執(zhí)行代碼模塊可以包括計(jì)算機(jī)指令的一個(gè)或多個(gè)物理或者邏輯塊���,舉例 來說,其可以被構(gòu)建為對(duì)象���、過程或函數(shù)�。盡管如此��,所標(biāo)識(shí)模塊的可執(zhí)行代碼無需物理地 位于一起����,而是可以包括存儲(chǔ)在不同位里上的不同的指令,當(dāng)這些指令邏輯上結(jié)合在一起 時(shí)���,其構(gòu)成模塊并且實(shí)現(xiàn)該模塊的規(guī)定目的�����。
[0098] 實(shí)際上�,可執(zhí)行代碼模塊可以是單條指令或者是許多條指令��,并且甚至可以分布 在多個(gè)不同的代碼段上����,分布在不同程序當(dāng)中�,以及跨越多個(gè)存儲(chǔ)器設(shè)備分布�。同樣地,操 作數(shù)據(jù)可以在模塊內(nèi)被識(shí)別�,并且可以依照任何適當(dāng)?shù)男问綄?shí)現(xiàn)并且被組織在任何適當(dāng)類 型的數(shù)據(jù)結(jié)構(gòu)內(nèi)。所述操作數(shù)據(jù)可以作為單個(gè)數(shù)據(jù)集被收集�����,或者可以分布在不同位置上 (包括在不同存儲(chǔ)設(shè)備上)�,并且至少部分地可以僅作為電子信號(hào)存在于系統(tǒng)或網(wǎng)絡(luò)上。
[0099] 在模塊可以利用軟件實(shí)現(xiàn)時(shí)�����,考慮到現(xiàn)有硬件工藝的水平��,所以可以以軟件實(shí)現(xiàn) 的模塊�����,在不考慮成本的情況下,本領(lǐng)域技術(shù)人員都可以搭建對(duì)應(yīng)的硬件電路來實(shí)現(xiàn)對(duì)應(yīng) 的功能,所述硬件電路包括常規(guī)的超大規(guī)模集成(VLSI)電路或者門陣列以及諸如邏輯芯 片����、晶體管之類的現(xiàn)有半導(dǎo)體或者是其它分立的元件��。模塊還可以用可編程硬件設(shè)備����,諸如 現(xiàn)場可編程門陣列����、可編程陣列邏輯、可編程邏輯設(shè)備等實(shí)現(xiàn)����。
[0100] 以上所述僅是本發(fā)明的實(shí)施方式,應(yīng)當(dāng)指出���,對(duì)于本【技術(shù)領(lǐng)域】的普通技術(shù)人員來 說�����,在不脫離本發(fā)明原理的前提下����,還可以作出若干改進(jìn)和潤飾��,這些改進(jìn)和潤飾也應(yīng)視為 本發(fā)明的保護(hù)范圍����。
【權(quán)利要求】
1. 一種惡意軟件動(dòng)態(tài)行為分析系統(tǒng)的預(yù)警方法���,其特征在于,所述方法包括: 統(tǒng)計(jì)惡意軟件動(dòng)態(tài)行為分析系統(tǒng)在過去一段時(shí)間內(nèi)對(duì)惡意軟件樣本的處理信息���,學(xué)習(xí) 惡意軟件動(dòng)態(tài)行為分析系統(tǒng)對(duì)惡意軟件樣本的處理規(guī)律�; 獲取惡意軟件動(dòng)態(tài)行為分析系統(tǒng)對(duì)惡意軟件樣本的當(dāng)前處理狀態(tài)�����,并在當(dāng)前處理狀態(tài) 與所述處理規(guī)律不匹配時(shí)發(fā)出預(yù)警���。
2. 如權(quán)利要求1所述的方法���,其特征在于,所述處理信息包括各個(gè)節(jié)點(diǎn)忙閑狀態(tài)的轉(zhuǎn) 換時(shí)長以及針對(duì)單個(gè)樣本的處理時(shí)長�����;所述處理規(guī)律包括各個(gè)節(jié)點(diǎn)在所述過去一段時(shí)間內(nèi) 的忙閑狀態(tài)的平均轉(zhuǎn)換時(shí)長以及針對(duì)單個(gè)樣本的平均處理時(shí)長��。
3. 如權(quán)利要求2所述的方法,其特征在于���,所述獲取惡意軟件動(dòng)態(tài)行為分析系統(tǒng)的當(dāng) 前處理狀態(tài)�,并在當(dāng)前處理狀態(tài)與所述處理規(guī)律不匹配時(shí)發(fā)出預(yù)警包括: 獲取惡意軟件動(dòng)態(tài)行為分析系統(tǒng)中各個(gè)節(jié)點(diǎn)�����,在預(yù)定長度的時(shí)間周期內(nèi)的忙閑狀態(tài)的 轉(zhuǎn)換時(shí)長和針對(duì)單個(gè)樣本的處理時(shí)長���; 若當(dāng)前時(shí)間周期內(nèi)的忙閑狀態(tài)的轉(zhuǎn)換時(shí)長與所述平均轉(zhuǎn)換時(shí)長之間的差值大于預(yù)設(shè) 第一門限,或者�����,當(dāng)前時(shí)間周期內(nèi)針對(duì)單個(gè)樣本的處理時(shí)長與所述平均處理時(shí)長之間的差 值大于預(yù)設(shè)第二門限���,則產(chǎn)生對(duì)應(yīng)節(jié)點(diǎn)的節(jié)點(diǎn)告警信息���。
4. 如權(quán)利要求3所述的方法,其特征在于�,還包括: 若針對(duì)一節(jié)點(diǎn)連續(xù)產(chǎn)生所述節(jié)點(diǎn)告警信息的次數(shù)達(dá)到預(yù)定第一閾值,則發(fā)出系統(tǒng)管理 警報(bào)�,并停止對(duì)應(yīng)節(jié)點(diǎn)對(duì)惡意軟件樣本的處理。
5. 如權(quán)利要求3所述的方法,其特征在于����,所述處理信息還包括:惡意軟件樣本的處理 數(shù)量,所述處理規(guī)律還包括:預(yù)定長度的時(shí)間周期內(nèi)惡意軟件樣本的處理數(shù)量的參考平均 值�����。
6. 如權(quán)利要求5所述的方法���,其特征在于�,所述獲取惡意軟件動(dòng)態(tài)行為分析系統(tǒng)的當(dāng) 前處理狀態(tài)���,并在當(dāng)前處理狀態(tài)與所述處理規(guī)律不匹配時(shí)發(fā)出預(yù)警還包括 : 獲取惡意軟件動(dòng)態(tài)行為分析系統(tǒng)在當(dāng)前時(shí)間周期內(nèi)的樣本處理總數(shù)量的平均值��; 在當(dāng)前時(shí)間周期內(nèi)的樣本處理總數(shù)量的平均值與所述參考平均值之間的差值大于預(yù) 設(shè)第三門限時(shí)���,發(fā)出系統(tǒng)告警信息。
7. 如權(quán)利要求6所述的方法��,其特征在于��,所述獲取惡意軟件動(dòng)態(tài)行為分析系統(tǒng)的當(dāng) 前處理狀態(tài)�����,并在當(dāng)前處理狀態(tài)與所述處理規(guī)律不匹配時(shí)發(fā)出預(yù)警還包括 : 若連續(xù)發(fā)出所述系統(tǒng)告警信息的次數(shù)達(dá)到預(yù)定第二閾值,發(fā)出系統(tǒng)管理警報(bào)����。
8. 如權(quán)利要求6所述的方法,其特征在于����,進(jìn)一步在系統(tǒng)中的節(jié)點(diǎn)數(shù)量保持不變���、且 產(chǎn)生所述節(jié)點(diǎn)告警信息的節(jié)點(diǎn)數(shù)量低于預(yù)設(shè)第三閾值��、以及在當(dāng)前時(shí)間周期內(nèi)的樣本處理 總數(shù)量的平均值與所述參考平均值之間的差值大于預(yù)設(shè)第三門限時(shí)��,發(fā)出所述系統(tǒng)告警信 息��。
9. 一種惡意軟件動(dòng)態(tài)行為分析系統(tǒng)的預(yù)警裝置�����,其特征在于�,所述裝置包括: 統(tǒng)計(jì)學(xué)習(xí)模塊����,用于統(tǒng)計(jì)惡意軟件動(dòng)態(tài)行為分析系統(tǒng)在過去一段時(shí)間內(nèi)對(duì)惡意軟件樣 本的處理信息����,學(xué)習(xí)惡意軟件動(dòng)態(tài)行為分析系統(tǒng)對(duì)惡意軟件樣本的處理規(guī)律���; 告警處理模塊����,用于獲取惡意軟件動(dòng)態(tài)行為分析系統(tǒng)對(duì)惡意軟件樣本的當(dāng)前處理狀 態(tài)�����,并在當(dāng)前處理狀態(tài)與所述處理規(guī)律不匹配時(shí)發(fā)出預(yù)警�。
10. 如權(quán)利要求9所述的裝置,其特征在于��,所述處理信息包括各個(gè)節(jié)點(diǎn)忙閑狀態(tài)的轉(zhuǎn) 換時(shí)長以及針對(duì)單個(gè)樣本的處理時(shí)長�����;所述處理規(guī)律包括各個(gè)節(jié)點(diǎn)在所述過去一段時(shí)間內(nèi) 的忙閑狀態(tài)的平均轉(zhuǎn)換時(shí)長以及針對(duì)單個(gè)樣本的平均處理時(shí)長��。
11. 如權(quán)利要求10所述的裝置���,其特征在于���,所述告警處理模塊包括: 第一獲取單元���,用于獲取惡意軟件動(dòng)態(tài)行為分析系統(tǒng)中各個(gè)節(jié)點(diǎn),在預(yù)定長度的時(shí)間 周期內(nèi)的忙閑狀態(tài)的轉(zhuǎn)換時(shí)長和針對(duì)單個(gè)樣本的處理時(shí)長���; 第一告警單元����,用于若當(dāng)前時(shí)間周期內(nèi)的忙閑狀態(tài)的轉(zhuǎn)換時(shí)長與所述平均轉(zhuǎn)換時(shí)長之 間的差值大于預(yù)設(shè)第一門限���,或者,當(dāng)前時(shí)間周期內(nèi)針對(duì)單個(gè)樣本的處理時(shí)長與所述平均 處理時(shí)長之間的差值大于預(yù)設(shè)第二門限��,則產(chǎn)生對(duì)應(yīng)節(jié)點(diǎn)的節(jié)點(diǎn)告警信息��。
12. 如權(quán)利要求11所述的裝置�,其特征在于,所述告警處理模塊還包括: 第二告警單元����,用于若針對(duì)一節(jié)點(diǎn)連續(xù)產(chǎn)生所述節(jié)點(diǎn)告警信息的次數(shù)達(dá)到預(yù)定第一閾 值�����,則發(fā)出系統(tǒng)管理警報(bào)����,并停止對(duì)應(yīng)節(jié)點(diǎn)對(duì)惡意軟件樣本的處理�����。
13. 如權(quán)利要求11所述的裝置�,其特征在于,所述處理信息還包括:惡意軟件樣本的處 理數(shù)量���,所述處理規(guī)律還包括:預(yù)定長度的時(shí)間周期內(nèi)惡意軟件樣本的處理數(shù)量的參考平 均值�。
14. 如權(quán)利要求13所述的裝置�����,其特征在于��,所述告警處理模塊還包括: 第二獲取單元�����,用于獲取惡意軟件動(dòng)態(tài)行為分析系統(tǒng)在當(dāng)前時(shí)間周期內(nèi)的樣本處理總 數(shù)量的平均值; 第三告警單元�,用于在當(dāng)前時(shí)間周期內(nèi)的樣本處理總數(shù)量的平均值與所述參考平均值 之間的差值大于預(yù)設(shè)第三門限時(shí),發(fā)出系統(tǒng)告警信息�����。
15. 如權(quán)利要求14所述的裝置���,其特征在于�����,所述告警處理模塊還包括: 第四告警單元�����,用于若連續(xù)發(fā)出所述系統(tǒng)告警信息的次數(shù)達(dá)到預(yù)定第二閾值���,發(fā)出系 統(tǒng)管理警報(bào)�。
16. 如權(quán)利要求14所述的裝置,其特征在于��,所述第三告警單元���,進(jìn)一步用于在系統(tǒng)中 的節(jié)點(diǎn)數(shù)量保持不變��、且產(chǎn)生所述節(jié)點(diǎn)告警信息的節(jié)點(diǎn)數(shù)量低于預(yù)設(shè)第三閾值�、以及在當(dāng) 前時(shí)間周期內(nèi)的樣本處理總數(shù)量的平均值與所述參考平均值之間的差值大于預(yù)設(shè)第三門 限時(shí),發(fā)出所述系統(tǒng)告警信息���。
【文檔編號(hào)】G06F21/56GK104123494SQ201310146238
【公開日】2014年10月29日 申請(qǐng)日期:2013年4月24日 優(yōu)先權(quán)日:2013年4月24日
【發(fā)明者】鄒義鵬, 焦國強(qiáng), 陳勇, 張楠 申請(qǐng)人:貝殼網(wǎng)際(北京)安全技術(shù)有限公司, 北京金山網(wǎng)絡(luò)科技有限公司, 北京金山安全軟件有限公司, 珠海市君天電子科技有限公司, 可牛網(wǎng)絡(luò)技術(shù)(北京)有限公司