[发明专利]一种用于云安全系统的用户感知病毒报告分析方法

说明书

技术领域

本发明涉及一种用于云安全系统的用户感知病毒报告分析方法，属于分布式计算、信息安全、计算机网络和计算机软件的交叉技术应用领域。

背景技术

网络病毒包括计算机病毒、网络蠕虫、后门木马、间谍件等，网络优秀的资源共享和通信功能为网络病毒的传播、感染和破坏提供了天然温床。通过网络特别是互联网及其应用系统传播的网络病毒、波及范围大、覆盖面广，在短时间内就可以造成网络拥塞甚至瘫痪、共享资源丢失、机密信息失窃，从而造成巨大的损失。

新型的云安全（Cloud Security）反病毒系统通过网状的大规模终端对网络中软、硬件异常行为进行监测，实时获取互联网中蠕虫与木马等恶意代码的最新信息，自动传送到服务器端进行分析和处理，再将恶意代码解决方案迅速分发到每一个网络终端。这意味着反病毒系统不再仅仅依靠本地硬盘中的病毒库来识别和查杀各种恶意代码（特别是未知恶意代码），而是依靠庞大的网络服务，将整个互联网联合成为一个巨大的协同“杀毒软件”，实时采集、分析以及处理恶意代码，实现“参与者越多，每个参与者就越安全，整个互联网就会更安全”的目标。瑞星、趋势科技、卡巴斯基、McAFee、SYMANTEC、江民科技、PANDA、金山、360等都推出了各自的云安全系统。

显然，对海量用户提供的海量病毒报告分类、分析与汇总是云安全系统的主要任务。趋势云安全系统每天收集到2.5亿个病毒报告；卡巴斯基全功能云安全系统在用户“知情并同意(Awareness & Approval)”的情况下在线收集、分析（Online Real time Collecting & Analysing）数以万计的网络终端提交的可疑病毒报告；瑞星云安全的核心“瑞星卡卡6.0”每天收集8～10万个木马病毒报告，并对病毒进行分类和特征提取。

海量病毒报告的分类、分析与汇总为云安全系统带来了巨大的负载。为了解决这种问题，趋势云安全系统通过在全球建立了5大云计算（Cloud computing）数据中心，使用几万台服务器来完成对病毒报告的收集与分析。

在目前云安全系统中，云服务器会收到来自各个用户终端节点的病毒报告。当云服务器收到大批来自不同用户感知后汇报的病毒报告时，按照何种方法来对这些病毒报告进行分析成为影响整个系统提高抵御网络病毒能力的一个关键点。

发明内容

本发明所要解决的技术问题在于克服现有技术不足，针对互联网或内联网的网络计算环境，提供一种用于云安全系统的用户感知病毒报告分析方法，根据用户所感知的病毒感染症状判别用户终端是否感染恶意代码。

一种用于云安全系统的用户感知病毒报告分析方法，云服务器根据各用户终端发送的用户感知病毒报告判断用户终端是否感染恶意代码，并确定恶意代码的危害等级；所述各用户终端所发送的用户感知病毒报告包括各用户终端自身所感知到的节点症状集合；云服务器为节点症状集合中的各节点症状赋予不同的权值，权值越大表示感染恶意代码的可能性越大，并根据加权后的节点症状集合判断用户终端是否感染恶意代码。

考虑到主机配置不同对症状的影响，为了更准确地判定用户终端是否感染恶意代码，本发明进一步地采用以下技术方案：

所述用户感知病毒报告还包括各用户终端自身的节点个体特征值，所述节点个体特征值通过对节点的多个性能参数进行归一化计算得到；云服务器为节点症状集合中的各节点症状赋予不同的权值后，还根据节点的综合个体特征值对所述权值进行调整，所述节点的综合个体特征值通过对节点个体特征值进行加权求和得到；具体调整方法如下：如节点的综合个体特征值在预设的节点综合个体特征标准值范围内，则不对权值进行调整；如高于所述节点综合个体特征标准值范围的上限，则调高所述权值；如低于所述所述节点综合个体特征标准值范围的下限，则调低所述权值。

优选地，云服务器为节点症状集合中的各节点症状赋予四个不同的权值，采用字母A-D由高到低表示，具体如下：

权值为A的节点症状：反病毒软件被禁用或无法正常安装、反复弹出不明对话框、自行发送大量数据包、系统无端播放歌曲和无名声音、图标或程序无法删除、反复打开各种网页、用户无法进入安全模式、无法正常运行注册表、自行发送大量未知邮件；

权值为B的节点症状：帐号被盗、大量文件被破坏、软驱和/或光驱无故读个不停、硬盘空间被大量占用、无操作时硬盘指示灯频闪、系统出现蓝屏、软件报错或无法使用；权值为C的节点症状：系统响应缓慢或无故重启、系统中出现有可疑文件、系统中有可疑服务或进程、默认主页被修改且无法还原、收藏夹出现非用户添加的网站；