CN105204973A - 云平台下基于虚拟机技术的异常行为监测分析***及方法 - Google Patents
云平台下基于虚拟机技术的异常行为监测分析***及方法 Download PDFInfo
- Publication number
- CN105204973A CN105204973A CN201510619509.9A CN201510619509A CN105204973A CN 105204973 A CN105204973 A CN 105204973A CN 201510619509 A CN201510619509 A CN 201510619509A CN 105204973 A CN105204973 A CN 105204973A
- Authority
- CN
- China
- Prior art keywords
- abnormal behaviour
- module
- file
- analysis
- monitoring
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Debugging And Monitoring (AREA)
Abstract
本发明公开云平台下基于虚拟机技术的异常行为监测分析***及方法,属于文件监测分析领域;本发明***包括文件镜像模块、异常行为监控模块、日志记录模块、异常行为分析模块、预警反馈模块、***恢复模块;针对云计算虚拟化特征,主要用来解决多用户环境下异常行为监测分析的独立性,提高监测分析的可靠性,同时保障服务器端服务的正常运转,防止用户数据丢失以及侵犯隐私的情况发生。
Description
技术领域
本发明公开云平台下基于虚拟机技术的异常行为监测分析***及方法,属于文件监测分析领域。
背景技术
云计算是分布式处理(DistributedComputing)、并行处理(ParallelComputillg)和网格计算(GridComputillg)的延续和发展,或者说是这些计算机科学概念的商业实现。它不完全是计算,也不纯粹是存储,而是集计算和存储于一身,将服务器、网络、应用程序以及数据库等各种资源通过互联网为用户提供综合服务的一种理念。伴随着云计算技术及其应用的快速发展,云平台不断涌现,其中云平台允许开发者们或是将写好的程序放在"云"里运行,或是使用"云"里提供的服务,或二者皆是。随着云平台应用的不断扩展,面临着的问题也越来越多,其中云端上用户数据越来越多,我们大量的用户数据已经存储在云端了。我们的电子邮件、文档以及社交网络的用户资料都是如此,而且成千上万的新兴小企业都在依赖云服务,以提高生产效率、降低成本。针对这些海量数据需要保障其安全性,但随着越来越多的数据转向云端,各公司及其用户更容易遭遇黑客袭击,导致数据丢失以及侵犯隐私的问题。本发明提供云平台下基于虚拟机技术的异常行为监测分析***及方法,针对云计算虚拟化特征,主要用来解决多用户环境下异常行为监测分析的独立性,提高监测分析的可靠性,同时保障服务器端服务的正常运转,防止用户数据丢失以及侵犯隐私的情况发生。
发明内容
本发明针对现有技术中存在的问题,提供云平台下基于虚拟机技术的异常行为监测分析***及方法,解决多用户环境下异常行为监测分析的独立性,提高监测分析的可靠性,同时保障服务器端服务的正常运转,防止用户数据丢失以及侵犯隐私的情况发生。
本发明提出的具体方案是:
云平台下基于虚拟机技术的异常行为监测分析***,包括文件镜像模块、异常行为监控模块、日志记录模块、异常行为分析模块、预警反馈模块、***恢复模块;
文件镜像模块负责对于执行的异常行为,提供文件镜像,保护***中的重要文件;
异常行为监控模块负责对异常行为执行过程的实时监控和异常行为执行序列进行获取;
日志记录模块负责记录异常行为执行的过程,作为后续行为追踪的依据;
异常行为分析模块根据异常行为监控模块获取的信息,对异常行为执行过程中各种对***存在安全隐患的调用行为进行提取和分析,并依据预定的行为分析检测方法,分析异常行为的恶意信息;
预警反馈模块根据异常行为分析模块的分析结果,利用预定的方法对行为分析的结果进行判决,如果判定所执行的行为为可信行为,则向云服务***返回行为执行的结果,并提示行为可信,否则,则向云服务***做出预警提示;
***恢复模块负责依据日志文件,通过反向执行用户行为,对异常行为的操作进行恢复。其中执行序列是指异常行为执行过程对***安全存在隐患的各种***调用的执行序列。
***中异常行为在执行过程中,对***中的文件只具有读权限,文件镜像模块通过***为执行的异常行为创建对应文件的镜像文件,异常行为在对应的镜像文件上具有写权限,当异常行为执行完毕且被***确认为可信时,镜像文件对源文件进行覆盖。
所述异常行为监控模块利用进程监控和***调用监控对一个或多个进程的***调用进行监控。
对异常行为的分析包括注册表修改、文件***破坏、内存区域攻击、***虚拟环境检测、进程隐藏。
所述对异常行为的分析中注册表修改是指文件关联性修改、与IE配置相关的注册表键值修改及自启动项修改。
所述对异常行为的分析中文件***破坏是指***文件的非法读写、多个目录下重复拷贝以及日志文件的非法修改。
***恢复模块对异常行为的操作进行恢复,用***的源文件覆盖被修改的镜像文件或者丢掉镜像文件完成对文件***的恢复,同时从外置存储介质中重新调用相应文件对内存区域执行重写操作。
云平台下基于虚拟机技术的异常行为监测分析方法,利用所述的***对异常行为监测分析,使用文件镜像模块对执行的异常行为,提供文件镜像,保护***中的重要文件;
调用异常行为监控模块对异常行为执行过程的实时监控和异常行为执行序列进行获取;
同时日志记录模块记录异常行为执行的过程,作为后续行为追踪的依据;
利用异常行为分析模块调用异常行为监控模块获取的信息,对异常行为执行过程中各种对***存在安全隐患的调用行为进行提取和分析,并依据预定的行为分析检测方法,分析异常行为的恶意信息;
使用预警反馈模块根据异常行为分析模块的分析结果,利用预定的方法对行为分析的结果进行判决,如果判定所执行的行为为可信行为,则向云服务***返回行为执行的结果,并提示行为可信,否则,则向云服务***做出预警提示;
使用***恢复模块依据日志文件,通过反向执行用户行为,对异常行为的操作进行恢复。
***中异常行为在执行过程中,对***中的文件只具有读权限,文件镜像模块通过***为执行的异常行为创建对应文件的镜像文件,异常行为在对应的镜像文件上具有写权限,当异常行为执行完毕且被***确认为可信时,镜像文件对源文件进行覆盖。
对异常行为的操作进行恢复为用***的源文件覆盖被修改的镜像文件或者丢掉镜像文件完成对文件***的恢复,同时从外置存储介质中重新调用相应文件对内存区域执行重写操作。
本发明的有益之处是:本发明***包括文件镜像模块、异常行为监控模块、日志记录模块、异常行为分析模块、预警反馈模块、***恢复模块;文件镜像模块负责对于执行的异常行为,提供文件镜像,保护***中的重要文件;异常行为监控模块负责对异常行为执行过程的实时监控和异常行为执行序列进行获取;日志记录模块负责记录异常行为执行的过程,作为后续行为追踪的依据;异常行为分析模块根据异常行为监控模块获取的信息,对异常行为执行过程中各种对***存在安全隐患的调用行为进行提取和分析,并依据预定的行为分析检测方法,分析异常行为的恶意信息;预警反馈模块根据异常行为分析模块的分析结果,利用预定的方法对行为分析的结果进行判决,如果判定所执行的行为为可信行为,则向云服务***返回行为执行的结果,并提示行为可信,否则,则向云服务***做出预警提示;***恢复模块负责依据日志文件,通过反向执行用户行为,对异常行为的操作进行恢复,利用本发明***,针对云计算虚拟化特征,对多用户环境下异常行为监测进行独立性分析,提高监测分析的可靠性,同时保障服务器端服务的正常运转,防止用户数据丢失以及侵犯隐私的情况发生。
附图说明
图1本发明的架构示意图。
具体实施方式
云平台下基于虚拟机技术的异常行为监测分析***,包括文件镜像模块、异常行为监控模块、日志记录模块、异常行为分析模块、预警反馈模块、***恢复模块;
文件镜像模块负责对于执行的异常行为,提供文件镜像,保护***中的重要文件;
异常行为监控模块负责对异常行为执行过程的实时监控和异常行为执行序列进行获取;
日志记录模块负责记录异常行为执行的过程,作为后续行为追踪的依据;
异常行为分析模块根据异常行为监控模块获取的信息,对异常行为执行过程中各种对***存在安全隐患的调用行为进行提取和分析,并依据预定的行为分析检测方法,分析异常行为的恶意信息;
预警反馈模块根据异常行为分析模块的分析结果,利用预定的方法对行为分析的结果进行判决,如果判定所执行的行为为可信行为,则向云服务***返回行为执行的结果,并提示行为可信,否则,则向云服务***做出预警提示;
***恢复模块负责依据日志文件,通过反向执行用户行为,对异常行为的操作进行恢复。其中执行序列是指异常行为执行过程对***安全存在隐患的各种***调用的执行序列。
利用上述***,结合附图对本发明方法做进一步说明。
如附图所示,虚拟机直接安装在硬件资源层之上,处于操作***的底层。同时,为了实现对异常行为执行过程的监控和分析,在虚拟机中加载了上述异常行为监测分析***。异常行为监测分析***包括文件镜像模块、异常行为监控模块、日志记录模块、异常行为分析模块、预警反馈模块、***恢复模块。该框架下异常行为监控分析过程如下:
(1)异常行为监测分析***一旦接收到云服务器***发送的异常行为,通过预定的在线迁移策略,把异常行为迁移到异常行为监测分析端,同时启动异常行为分析模块,对异常行为的运行过程进行监控分析。如果异常行为,执行过程中存在修改***内文件的行为,则调用虚拟文件***生成对应文件的镜像文件;***中异常行为在执行过程中,对***中的文件只具有读权限,文件镜像模块通过***为执行的异常行为创建对应文件的镜像文件,异常行为在对应的镜像文件上具有写权限,当异常行为执行完毕且被***确认为可信时,镜像文件对源文件进行覆盖。
(2)异常行为监测***中的异常行为监控模块,监控异常行为的执行过程,并把获取的执行序列同时提交给异常行为分析***和日志***;异常行为监控模块可以利用进程监控和***调用监控对一个或多个进程的***调用进行监控;
其中对异常行为的分析包括注册表修改、文件***破坏、内存区域攻击、***虚拟环境检测、进程隐藏;
注册表修改是指文件关联性修改、与IE配置相关的注册表键值修改及自启动项修改;
文件***破坏是指***文件的非法读写、多个目录下重复拷贝以及日志文件的非法修改。
(3)日志记录模块把异常行为的执行序列存入日志文件,并对日志文件实现远程同步备份;
(4)异常行为分析模块对接收到的异常行为执行序列依据预定的行为分析检测方法,分析行为序列的恶意性,并把获得的恶意性信息传送给预警反馈模块;
(5)预警反馈模块依据预定的判断规则对恶意性信息进行评判,并最终确定异常行为的恶意性,如果认为是可信行为,则向云服务器***返回执行结果,并提示行为可信;否则,同时向云服务器***返回预警信息和异常行为执行序列中的恶意操作序列,并同时向***恢复***发送***恢复的相关信息。
(6)依据异常行为分析模块的分析结果和预警反馈模块发送的信息,***恢复模块依据日志文件对***进行恢复。用***的源文件覆盖被修改的镜像文件或者丢掉镜像文件完成对文件***的恢复,同时,异常行为会对内存单元的信息进行修改,从外置存储介质中重新调用相应文件对内存区域执行重写操作。
Claims (10)
1.云平台下基于虚拟机技术的异常行为监测分析***,其特征是包括文件镜像模块、异常行为监控模块、日志记录模块、异常行为分析模块、预警反馈模块、***恢复模块;
文件镜像模块负责对于执行的异常行为,提供文件镜像,保护***中的重要文件;
异常行为监控模块负责对异常行为执行过程的实时监控和异常行为执行序列进行获取;
日志记录模块负责记录异常行为执行的过程,作为后续行为追踪的依据;
异常行为分析模块根据异常行为监控模块获取的信息,对异常行为执行过程中各种对***存在安全隐患的调用行为进行提取和分析,并依据预定的行为分析检测方法,分析异常行为的恶意信息;
预警反馈模块根据异常行为分析模块的分析结果,利用预定的方法对行为分析的结果进行判决,如果判定所执行的行为为可信行为,则向云服务***返回行为执行的结果,并提示行为可信,否则,则向云服务***做出预警提示;
***恢复模块负责依据日志文件,通过反向执行用户行为,对异常行为的操作进行恢复。
2.根据权利要求1所述的云平台下基于虚拟机技术的异常行为监测分析***,其特征是***中异常行为在执行过程中,对***中的文件只具有读权限,文件镜像模块通过***为执行的异常行为创建对应文件的镜像文件,异常行为在对应的镜像文件上具有写权限,当异常行为执行完毕且被***确认为可信时,镜像文件对源文件进行覆盖。
3.根据权利要求1或2所述的云平台下基于虚拟机技术的异常行为监测分析***,其特征是所述异常行为监控模块利用进程监控和***调用监控对一个或多个进程的***调用进行监控。
4.根据权利要求3所述的云平台下基于虚拟机技术的异常行为监测分析***,其特征是对异常行为的分析包括注册表修改、文件***破坏、内存区域攻击、***虚拟环境检测、进程隐藏。
5.根据权利要求4所述的云平台下基于虚拟机技术的异常行为监测分析***,其特征是所述对异常行为的分析中注册表修改是指文件关联性修改、与IE配置相关的注册表键值修改及自启动项修改。
6.根据权利要求4所述的云平台下基于虚拟机技术的异常行为监测分析***,其特征是所述对异常行为的分析中文件***破坏是指***文件的非法读写、多个目录下重复拷贝以及日志文件的非法修改。
7.根据权利要求1或4所述的云平台下基于虚拟机技术的异常行为监测分析***,其特征是***恢复模块对异常行为的操作进行恢复,用***的源文件覆盖被修改的镜像文件或者丢掉镜像文件完成对文件***的恢复,同时从外置存储介质中重新调用相应文件对内存区域执行重写操作。
8.云平台下基于虚拟机技术的异常行为监测分析方法,其特征是利用权利要求1-7任一项所述的***对异常行为监测分析,使用文件镜像模块对执行的异常行为,提供文件镜像,保护***中的重要文件;
调用异常行为监控模块对异常行为执行过程的实时监控和异常行为执行序列进行获取;
同时日志记录模块记录异常行为执行的过程,作为后续行为追踪的依据;
利用异常行为分析模块调用异常行为监控模块获取的信息,对异常行为执行过程中各种对***存在安全隐患的调用行为进行提取和分析,并依据预定的行为分析检测方法,分析异常行为的恶意信息;
使用预警反馈模块根据异常行为分析模块的分析结果,利用预定的方法对行为分析的结果进行判决,如果判定所执行的行为为可信行为,则向云服务***返回行为执行的结果,并提示行为可信,否则,则向云服务***做出预警提示;
使用***恢复模块依据日志文件,通过反向执行用户行为,对异常行为的操作进行恢复。
9.根据权利要求8所述的云平台下基于虚拟机技术的异常行为监测分析方法,其特征是***中异常行为在执行过程中,对***中的文件只具有读权限,文件镜像模块通过***为执行的异常行为创建对应文件的镜像文件,异常行为在对应的镜像文件上具有写权限,当异常行为执行完毕且被***确认为可信时,镜像文件对源文件进行覆盖。
10.根据权利要求8所述的云平台下基于虚拟机技术的异常行为监测分析方法,其特征是对异常行为的操作进行恢复为用***的源文件覆盖被修改的镜像文件或者丢掉镜像文件完成对文件***的恢复,同时从外置存储介质中重新调用相应文件对内存区域执行重写操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510619509.9A CN105204973A (zh) | 2015-09-25 | 2015-09-25 | 云平台下基于虚拟机技术的异常行为监测分析***及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510619509.9A CN105204973A (zh) | 2015-09-25 | 2015-09-25 | 云平台下基于虚拟机技术的异常行为监测分析***及方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105204973A true CN105204973A (zh) | 2015-12-30 |
Family
ID=54952667
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510619509.9A Pending CN105204973A (zh) | 2015-09-25 | 2015-09-25 | 云平台下基于虚拟机技术的异常行为监测分析***及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105204973A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105677572A (zh) * | 2016-02-04 | 2016-06-15 | 华中科技大学 | 基于自组织映射模型云软件性能异常错误诊断方法与*** |
| CN108228308A (zh) * | 2016-12-21 | 2018-06-29 | 中国电信股份有限公司 | 虚拟机的监控方法以及装置 |
| CN108875367A (zh) * | 2018-06-13 | 2018-11-23 | 苏州若依玫信息技术有限公司 | 一种基于时序的云计算智能安全*** |
| CN110659147A (zh) * | 2019-08-16 | 2020-01-07 | 苏州浪潮智能科技有限公司 | 一种基于模块自检行为的自修复方法和*** |
| CN110913019A (zh) * | 2019-12-20 | 2020-03-24 | 中国人民解放军战略支援部队信息工程大学 | 一种云服务的安全保护方法及装置 |
| CN111508617A (zh) * | 2020-07-01 | 2020-08-07 | 智博云信息科技(广州)有限公司 | 疫情数据维护方法、装置、计算机设备和可读存储介质 |
| CN112560026A (zh) * | 2020-12-15 | 2021-03-26 | 国网四川省电力公司信息通信公司 | 一种信息***告警智能跟踪分析自愈的实现方法 |
| CN114257495A (zh) * | 2021-11-16 | 2022-03-29 | 国家电网有限公司客户服务中心 | 一种云平台计算节点异常自动处置*** |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101038048B1 (ko) * | 2009-12-21 | 2011-06-01 | 한국인터넷진흥원 | 봇넷 악성행위 실시간 분석 시스템 |
| CN103077352A (zh) * | 2012-12-24 | 2013-05-01 | 重庆远衡科技发展有限公司 | 一种基于云平台的程序行为分析的主动防御方法 |
| CN103839003A (zh) * | 2012-11-22 | 2014-06-04 | 腾讯科技(深圳)有限公司 | 恶意文件检测方法及装置 |
-
2015
- 2015-09-25 CN CN201510619509.9A patent/CN105204973A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101038048B1 (ko) * | 2009-12-21 | 2011-06-01 | 한국인터넷진흥원 | 봇넷 악성행위 실시간 분석 시스템 |
| CN103839003A (zh) * | 2012-11-22 | 2014-06-04 | 腾讯科技(深圳)有限公司 | 恶意文件检测方法及装置 |
| CN103077352A (zh) * | 2012-12-24 | 2013-05-01 | 重庆远衡科技发展有限公司 | 一种基于云平台的程序行为分析的主动防御方法 |
Non-Patent Citations (1)
| Title |
|---|
| 许陆丹: "云平台下基于虚拟机技术的隔离运行模型研究", 《企业技术开发》 * |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105677572A (zh) * | 2016-02-04 | 2016-06-15 | 华中科技大学 | 基于自组织映射模型云软件性能异常错误诊断方法与*** |
| CN105677572B (zh) * | 2016-02-04 | 2018-09-04 | 华中科技大学 | 基于自组织映射模型云软件性能异常错误诊断方法与*** |
| CN108228308A (zh) * | 2016-12-21 | 2018-06-29 | 中国电信股份有限公司 | 虚拟机的监控方法以及装置 |
| CN108875367A (zh) * | 2018-06-13 | 2018-11-23 | 苏州若依玫信息技术有限公司 | 一种基于时序的云计算智能安全*** |
| CN110659147A (zh) * | 2019-08-16 | 2020-01-07 | 苏州浪潮智能科技有限公司 | 一种基于模块自检行为的自修复方法和*** |
| CN110913019A (zh) * | 2019-12-20 | 2020-03-24 | 中国人民解放军战略支援部队信息工程大学 | 一种云服务的安全保护方法及装置 |
| CN111508617A (zh) * | 2020-07-01 | 2020-08-07 | 智博云信息科技(广州)有限公司 | 疫情数据维护方法、装置、计算机设备和可读存储介质 |
| CN111508617B (zh) * | 2020-07-01 | 2020-09-25 | 智博云信息科技(广州)有限公司 | 疫情数据维护方法、装置、计算机设备和可读存储介质 |
| CN112560026A (zh) * | 2020-12-15 | 2021-03-26 | 国网四川省电力公司信息通信公司 | 一种信息***告警智能跟踪分析自愈的实现方法 |
| CN114257495A (zh) * | 2021-11-16 | 2022-03-29 | 国家电网有限公司客户服务中心 | 一种云平台计算节点异常自动处置*** |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105204973A (zh) | 云平台下基于虚拟机技术的异常行为监测分析***及方法 | |
| Khan et al. | Cloud log forensics: Foundations, state of the art, and future directions | |
| Ab Rahman et al. | Forensic-by-design framework for cyber-physical cloud systems | |
| JP6122555B2 (ja) | 危殆化されている秘密鍵を識別するためのシステム及び方法 | |
| Hemdan et al. | An efficient digital forensic model for cybercrimes investigation in cloud computing | |
| JP2019500679A (ja) | ログエントリを匿名化するシステム及び方法 | |
| Duc et al. | Security challenges in IoT development: a software engineering perspective | |
| CN104065651A (zh) | 一种面向云计算的信息流可信保障机制 | |
| US9800590B1 (en) | Systems and methods for threat detection using a software program update profile | |
| US11750652B2 (en) | Generating false data for suspicious users | |
| Jeong et al. | A kernel-based monitoring approach for analyzing malicious behavior on android | |
| CN105184152A (zh) | 一种移动终端数据处理方法 | |
| CN105224358A (zh) | 一种云计算下软件自动打包部署的***及方法 | |
| Zhu et al. | General, efficient, and real-time data compaction strategy for APT forensic analysis | |
| CN115904605A (zh) | 软件防御方法以及相关设备 | |
| Alam et al. | In-cloud malware analysis and detection: State of the art | |
| Chayal et al. | A review on spreading and forensics analysis of windows-based ransomware | |
| CN105354485A (zh) | 一种便携式设备数据处理方法 | |
| Stirparo et al. | In-memory credentials robbery on android phones | |
| CN108139868A (zh) | 用于从高速缓存供应频繁使用的映像片段的***和方法 | |
| Alabi et al. | Toward a data spillage prevention process in Hadoop using data provenance | |
| US10255435B1 (en) | Systems and methods for establishing a reputation for related program files | |
| Alptekin et al. | Trapdroid: Bare-metal android malware behavior analysis framework | |
| Kieseberg et al. | Real-time forensics through endpoint visibility | |
| Al-Sharif | Utilizing program’s execution data for digital forensics |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20151230 |
|
| WD01 | Invention patent application deemed withdrawn after publication |