技術領域

本發明涉及惡意行為檢測領域，尤其涉及一種云平臺惡意行為檢測系統及其方法，具有高效和可擴展性的優勢。

背景技術

惡意行為是指計算機系統的硬件、軟件及其系統中的數據受到惡意代碼攻擊而遭到破壞、更改和泄露的行為。隨著互聯網的飛速發展，在方便社會的同時，各種計算機惡意程序也不斷出現。木馬、蠕蟲、服務器漏洞攻擊、遠程溢出和Web漏洞攻擊等各種惡意網絡攻擊行為不斷涌現，給用戶造成了極大的威脅。如何對這些惡意行為進行檢測是信息安全中的重大課題，有著很重要的意義。

傳統的惡意行為檢測技術基于惡意代碼特征，即從惡意程序中提取惡意代碼特征，形成惡意代碼特征庫的方式來識別惡意行為。這種方式實現較為簡單，但有一定的局限性。首先，客戶端系統的計算能力、存儲能力都是有限的，這在一定程度上限制了惡意行為識別的能力；而且，由于惡意行為的復雜性和多樣性，單一的檢測系統或方法容易出現誤報和漏報的情況；另外，惡意代碼特征庫的更新頻率不能得到保障。

發明內容

本發明的目的就在于克服現有技術存在的缺點和不足，針對程序惡意行為和網絡惡意行為，提供一種云平臺惡意行為檢測系統及其方法，實現對惡意行為的識別。

實現本發明目的技術方案是：

本發明通過對程序惡意行為和網絡惡意行為進行詳細的研究，通過以下方式實現對惡意行為的檢測：

1、在云端通過多種掃描引擎構成的掃描器，對可疑程序進行精確掃描，判斷是否具有惡意行為；并根據掃描結果，將程序信息摘要實時快速更新到第1惡意程序庫和第1可信程序庫；同時根據客戶端的環境信息實時下發第2惡意程序庫和第2可信程序庫的更新到目標客戶端，供目標客戶端檢測程序惡意行為時使用。

2、目標客戶端通過行為探針提取程序信息摘要，通過客戶端的第2行為檢測器，結合客戶端的第2惡意程序庫和第2可信程序庫，判斷是否具有惡意行為；對于無法判斷的可疑程序，則提交給云端的檢測器進行進一步深入地處理。

3、對于網絡惡意行為，目標客戶端有第2網絡攻擊模式庫和第2網絡檢測器，云端有第1網絡攻擊模式庫和第1網絡檢測器；利用云端的計算能力可以在客戶端對可疑流量無法識別的情況下提供可靠的識別。同時根據客戶端的環境信息實時下發第2網絡攻擊模式庫的更新到目標客戶端，供目標客戶端檢測網絡惡意行為時使用。

一、一種云平臺惡意行為檢測系統（簡稱系統）

本系統包括云端和目標客戶端；其中云端包括第1行為檢測器、第1網絡檢測器、掃描器、模式篩選器、第1惡意程序庫、第1可信程序庫和第1網絡攻擊模式庫；其中目標客戶端包括第2行為檢測器、第2網絡檢測器、行為探針、網絡探針、第2惡意程序庫、第2可信程序庫和第2網絡攻擊模式庫；

其交互關系是：

第2行為檢測器分別與行為探針、第2惡意程序庫、第2可信程序庫和第1行為檢測器進行交互，實現在目標客戶端上對程序惡意行為的提取、識別和響應；

第2網絡檢測器分別與網絡探針、第2網絡攻擊模式庫和第1網絡檢測器進行交互，實現在目標客戶端上對網絡惡意行為的提取、識別和響應；

第1行為檢測器分別與第1惡意程序庫、第1可信程序庫、掃描器和第2行為檢測器進行交互，實現在云端對惡意程序行為的提取、識別和響應；

第1網絡檢測器分別與第1網絡攻擊模式庫和第2網絡檢測器進行交互，實現在云端上對惡意網絡攻擊行為的提取、識別和響應；

模式篩選器分別與第1惡意程序庫、第1可信程序庫、第1網絡攻擊模式庫、第2惡意程序庫、第2可信程序庫和第2網絡攻擊模式庫進行交互，實現對目標客戶端的信息收集和對檢測規則的下發。

二、一種云平臺惡意行為檢測方法（簡稱方法）

本方法的研究思路是在云端通過多種掃描引擎構成的掃描器，對可疑程序進行精確掃描，判斷是否具有惡意行為；并根據掃描結果，將程序信息摘要實時快速更新到第1惡意程序庫和第1可信程序庫。同時根據客戶端的環境信息實時下發第2惡意程序庫和第2可信程序庫的更新到目標客戶端，供目標客戶端檢測程序惡意行為時使用。

對于網絡惡意行為，對于網絡惡意行為，目標客戶端有第2網絡攻擊模式庫和第2網絡檢測器，云端有第1網絡攻擊模式庫和第1網絡檢測器；利用云端的計算能力可以在客戶端對可疑流量無法識別的情況下提供可靠的識別；同時根據客戶端的環境信息實時下發第2網絡攻擊模式庫的更新到目標客戶端，供目標客戶端檢測網絡惡意行為時使用。

具體地說，本方法包括如下步驟：