[发明专利]恶意软件动态行为分析系统的预警方法及装置

说明书

技术领域

本发明涉及网络安全技术领域，具体涉及一种恶意软件动态行为分析系统的预警方法及装置。

背景技术

恶意软件动态行为分析系统，是将恶意软件置于虚拟机环境中来运行，对其运行期间的动态行为进行监控和分析的一套系统，该系统的输入为恶意软件的样本，输出为针对该样本的动态行为分析报告。该系统通常包括有中央调度服务器和多个分布式虚拟机处理节点。其中，中央调度服务器是用于存储、调度待处理的样本的服务器，分布式虚拟机处理节点是指系统中用于处理恶意软件样本的处理节点，该节点可以通过挂载的方式注册到系统中，这样就能从中央调度服务器获取恶意软件样本进行处理。目前来说，虚拟化平台通常都有针对虚拟机的监控，包括CPU（Central Processing Unit，中央处理器）占用率以及是否宕机等信息，这些措施虽然能够提供对虚拟机本身的完整监控，但是对于恶意软件动态行为分析系统来说，它做不到在上层的系统层面对系统运行状况做监控和预警，例如，在某些情况下，虚拟机中运行的恶意软件样本会破坏虚拟机的软件环境，例如对网络通信的干扰等，这些可能会导致我们恶意软件行为分析系统的通信中断，但是不造成虚拟机CPU占用率过高或者宕机，在这种情况下，虚拟机平台自有的监控系统会提示虚拟机运行状况良好，但是上层系统的处理流程已经出现阻塞等问题，最常见的就是处理样本超时，此时就需要依赖监控预警系统来给出相应的反馈和后续处理动作（如同一个虚拟机连续多个样本出现超时，则停用该虚拟机）。

恶意软件动态行为分析系统的异常监测和预警，是指对系统运行状态进行监控，对出现的异常情况发出警报，具体的警报形式有多种多样，例如可以通过文字提示或电子邮件通知等方式进行警示。

对于通常的流转业务系统而言，处理环节一般会有很多个。为保证整体业务流水线正常工作，就要求各个环节都能正常运转，一旦出现问题需要能够尽快被发现，并尽可能的自动恢复，恢复不了的则通过人工干预。因此，需要对整体流程和各个子环节进行状态监控以便发现问题，通常需要在系统层面，以及需要监控的子环节层面部署相应的监控机制，以此达到预警目的。

恶意软件动态行为分析系统在其运行过程中，由于涉及到将恶意软件样本放到虚拟机环境中运行抓取其日志记录解析最终得出分析报告。对于系统运行状态的监测，通常是事先在可能出现问题的环节部署如日志记录、状态监控等功能，来发现系统中出现的异常。

可以看出，传统的预警方法需要事先把可能出现问题的环节都想到，才能在最大程度上防止漏掉监控点。事实上，事先把所有可能出问题的环节都考虑到是比较困难的，而在所有的点上部署监控也不现实，因此很容易遗漏掉某些监控点，导致系统在实际运行中出现问题而不能及时发现异常，从而导致跟进和修复的整体周期变长，对整体业务会产生较大的影响。

发明内容

有鉴于此，本发明的目的是提供一种恶意软件动态行为分析系统的预警方法及装置，能够及时发现系统中的异常并进行告警。

为解决上述技术问题，本发明提供方案如下：

一种恶意软件动态行为分析系统的预警方法，包括：

统计恶意软件动态行为分析系统在过去一段时间内对恶意软件样本的处理信息，学习恶意软件动态行为分析系统对恶意软件样本的处理规律；

获取恶意软件动态行为分析系统对恶意软件样本的当前处理状态，并在当前处理状态与所述处理规律不匹配时发出预警。

进一步的，上述方案中，所述处理信息包括各个节点忙闲状态的转换时长以及针对单个样本的处理时长；所述处理规律包括各个节点在所述过去一段时间内的忙闲状态的平均转换时长以及针对单个样本的平均处理时长。

进一步的，上述方案中，所述获取恶意软件动态行为分析系统的当前处理状态，并在当前处理状态与所述处理规律不匹配时发出预警包括：

获取恶意软件动态行为分析系统中各个节点，在预定长度的时间周期内的忙闲状态的转换时长和针对单个样本的处理时长；

若当前时间周期内的忙闲状态的转换时长与所述平均转换时长之间的差值大于预设第一门限，或者，当前时间周期内针对单个样本的处理时长与所述平均处理时长之间的差值大于预设第二门限，则产生对应节点的节点告警信息。

进一步的，上述方案中，还包括：

若针对一节点连续产生所述节点告警信息的次数达到预定第一阈值，则发出系统管理警报，并停止对应节点对恶意软件样本的处理。

进一步的，上述方案中，所述处理信息还包括：恶意软件样本的处理数量，所述处理规律还包括：预定长度的时间周期内恶意软件样本的处理数量的参考平均值。