[发明专利]一种云平台恶意行为检测系统及其方法

说明书

技术领域

本发明涉及恶意行为检测领域，尤其涉及一种云平台恶意行为检测系统及其方法，具有高效和可扩展性的优势。

背景技术

恶意行为是指计算机系统的硬件、软件及其系统中的数据受到恶意代码攻击而遭到破坏、更改和泄露的行为。随着互联网的飞速发展，在方便社会的同时，各种计算机恶意程序也不断出现。木马、蠕虫、服务器漏洞攻击、远程溢出和Web漏洞攻击等各种恶意网络攻击行为不断涌现，给用户造成了极大的威胁。如何对这些恶意行为进行检测是信息安全中的重大课题，有着很重要的意义。

传统的恶意行为检测技术基于恶意代码特征，即从恶意程序中提取恶意代码特征，形成恶意代码特征库的方式来识别恶意行为。这种方式实现较为简单，但有一定的局限性。首先，客户端系统的计算能力、存储能力都是有限的，这在一定程度上限制了恶意行为识别的能力；而且，由于恶意行为的复杂性和多样性，单一的检测系统或方法容易出现误报和漏报的情况；另外，恶意代码特征库的更新频率不能得到保障。

发明内容

本发明的目的就在于克服现有技术存在的缺点和不足，针对程序恶意行为和网络恶意行为，提供一种云平台恶意行为检测系统及其方法，实现对恶意行为的识别。

实现本发明目的技术方案是：

本发明通过对程序恶意行为和网络恶意行为进行详细的研究，通过以下方式实现对恶意行为的检测：

1、在云端通过多种扫描引擎构成的扫描器，对可疑程序进行精确扫描，判断是否具有恶意行为；并根据扫描结果，将程序信息摘要实时快速更新到第1恶意程序库和第1可信程序库；同时根据客户端的环境信息实时下发第2恶意程序库和第2可信程序库的更新到目标客户端，供目标客户端检测程序恶意行为时使用。

2、目标客户端通过行为探针提取程序信息摘要，通过客户端的第2行为检测器，结合客户端的第2恶意程序库和第2可信程序库，判断是否具有恶意行为；对于无法判断的可疑程序，则提交给云端的检测器进行进一步深入地处理。

3、对于网络恶意行为，目标客户端有第2网络攻击模式库和第2网络检测器，云端有第1网络攻击模式库和第1网络检测器；利用云端的计算能力可以在客户端对可疑流量无法识别的情况下提供可靠的识别。同时根据客户端的环境信息实时下发第2网络攻击模式库的更新到目标客户端，供目标客户端检测网络恶意行为时使用。

一、一种云平台恶意行为检测系统（简称系统）

本系统包括云端和目标客户端；其中云端包括第1行为检测器、第1网络检测器、扫描器、模式筛选器、第1恶意程序库、第1可信程序库和第1网络攻击模式库；其中目标客户端包括第2行为检测器、第2网络检测器、行为探针、网络探针、第2恶意程序库、第2可信程序库和第2网络攻击模式库；

其交互关系是：

第2行为检测器分别与行为探针、第2恶意程序库、第2可信程序库和第1行为检测器进行交互，实现在目标客户端上对程序恶意行为的提取、识别和响应；

第2网络检测器分别与网络探针、第2网络攻击模式库和第1网络检测器进行交互，实现在目标客户端上对网络恶意行为的提取、识别和响应；

第1行为检测器分别与第1恶意程序库、第1可信程序库、扫描器和第2行为检测器进行交互，实现在云端对恶意程序行为的提取、识别和响应；

第1网络检测器分别与第1网络攻击模式库和第2网络检测器进行交互，实现在云端上对恶意网络攻击行为的提取、识别和响应；

模式筛选器分别与第1恶意程序库、第1可信程序库、第1网络攻击模式库、第2恶意程序库、第2可信程序库和第2网络攻击模式库进行交互，实现对目标客户端的信息收集和对检测规则的下发。

二、一种云平台恶意行为检测方法（简称方法）

本方法的研究思路是在云端通过多种扫描引擎构成的扫描器，对可疑程序进行精确扫描，判断是否具有恶意行为；并根据扫描结果，将程序信息摘要实时快速更新到第1恶意程序库和第1可信程序库。同时根据客户端的环境信息实时下发第2恶意程序库和第2可信程序库的更新到目标客户端，供目标客户端检测程序恶意行为时使用。

对于网络恶意行为，对于网络恶意行为，目标客户端有第2网络攻击模式库和第2网络检测器，云端有第1网络攻击模式库和第1网络检测器；利用云端的计算能力可以在客户端对可疑流量无法识别的情况下提供可靠的识别；同时根据客户端的环境信息实时下发第2网络攻击模式库的更新到目标客户端，供目标客户端检测网络恶意行为时使用。

具体地说，本方法包括如下步骤：