本發(fā)明公開(kāi)了一種基于大數(shù)據(jù)與機(jī)器學(xué)習(xí)的虛擬機(jī)安全防護(hù)方法，屬于安全防護(hù)領(lǐng)域，首先從虛擬機(jī)的虛擬磁盤內(nèi)提取NTFS文件系統(tǒng)里面的普通文件和瀏覽器文件；接著識(shí)別普通文件中的惡意特征，將識(shí)別的惡意特征與惡意文件特征庫(kù)中的特征進(jìn)行比對(duì)，判斷該文件是否為惡意文件，若為惡意文件則進(jìn)行清理，否則提取所述瀏覽器文件中的網(wǎng)址，利用建立的機(jī)器學(xué)習(xí)模型判斷所述網(wǎng)址是否為惡意網(wǎng)址，若為惡意網(wǎng)址，則進(jìn)行清理，否則結(jié)束整個(gè)流程；本發(fā)明融會(huì)貫通了惡意網(wǎng)址、惡意軟件和注冊(cè)表信息，將電子取證與虛擬機(jī)系統(tǒng)的安全相結(jié)合成一套完整的系統(tǒng)，識(shí)別率更高。

技術(shù)領(lǐng)域

本發(fā)明涉及虛擬機(jī)安全防護(hù)領(lǐng)域，具體涉及一種基于大數(shù)據(jù)與機(jī)器學(xué)習(xí)的虛擬機(jī)安全防護(hù)方法及系統(tǒng)。

背景技術(shù)

近年來(lái)，全球頻現(xiàn)重大安全事件，2013年曝光的“棱鏡門”事件、“RSA后門”事件、2017年爆發(fā)的新型“蠕蟲式”勒索軟件WannaCry等更是引起各界對(duì)信息安全的廣泛關(guān)注。網(wǎng)絡(luò)攻擊從最初的自發(fā)式、分散式的攻擊轉(zhuǎn)向?qū)I(yè)化的有組織行為，呈現(xiàn)出攻擊工具專業(yè)化、目的商業(yè)化、行為組織化的特點(diǎn)。隨著獲利成為網(wǎng)絡(luò)攻擊活動(dòng)的核心，許多信息網(wǎng)絡(luò)漏洞和攻擊工具被不法分子和組織商品化，以此來(lái)牟取暴利，從而使信息安全威脅的范圍加速擴(kuò)散。個(gè)人信息及敏感信息泄露的信息安全事件，可能引發(fā)嚴(yán)重的網(wǎng)絡(luò)詐騙、電信詐騙、財(cái)務(wù)勒索等犯罪案件，并最終導(dǎo)致嚴(yán)重的經(jīng)濟(jì)損失；而政府機(jī)構(gòu)、工業(yè)控制系統(tǒng)、互聯(lián)網(wǎng)服務(wù)器遭受攻擊破壞、發(fā)生重大安全事件，將導(dǎo)致能源、交通、通信、金融等基礎(chǔ)設(shè)施癱瘓，造成災(zāi)難性后果，嚴(yán)重危害國(guó)家經(jīng)濟(jì)安全和公共利益。全球整體網(wǎng)絡(luò)安全形勢(shì)不容樂(lè)觀，國(guó)際間網(wǎng)絡(luò)空間競(jìng)爭(zhēng)形勢(shì)日益緊張。

在一個(gè)多元化的社會(huì)，科技競(jìng)爭(zhēng)走在各個(gè)國(guó)家的最前沿。因?yàn)橛辛司W(wǎng)絡(luò)人們的生活變得豐富多彩了起來(lái)。正因?yàn)樵絹?lái)越多的人使用網(wǎng)絡(luò)，一些大大小小的弊端也隨之而來(lái)。人們?yōu)榱诉@些大大小小的毛病不影響計(jì)算機(jī)本身所帶有的系統(tǒng)。發(fā)明了一種虛擬的計(jì)算機(jī)系統(tǒng)。這種軟件的產(chǎn)生具有重大的意義，虛擬機(jī)的產(chǎn)生使其或多或少順應(yīng)了這一潮流。隨著虛擬環(huán)境快速的成為當(dāng)時(shí)的虛擬流行化與合并物理的服務(wù)器及其操作系統(tǒng)的重要工具。

目前很多用戶基于種種原因，比如資源占用等方面的考慮，疏于在虛擬機(jī)中安裝安全軟件，導(dǎo)致在虛擬機(jī)中存在的安全風(fēng)險(xiǎn)變大。在虛擬機(jī)的宿主機(jī)中，很多安全公司的產(chǎn)品，如360安全衛(wèi)士，騰訊電腦管家等，在個(gè)人PC安全方面忽略了對(duì)用戶虛擬機(jī)的安全檢查。

發(fā)明內(nèi)容

本發(fā)明的目的在于：提供一種基于大數(shù)據(jù)與機(jī)器學(xué)習(xí)的虛擬機(jī)安全防護(hù)方法及系統(tǒng)，解決了目前的安全防護(hù)系統(tǒng)無(wú)法對(duì)虛擬機(jī)進(jìn)行有效的安全防護(hù)的技術(shù)問(wèn)題。

本發(fā)明采用的技術(shù)方案如下：

一種基于大數(shù)據(jù)與機(jī)器學(xué)習(xí)的虛擬機(jī)安全防護(hù)方法，包括以下步驟：

步驟1：從虛擬機(jī)的虛擬磁盤內(nèi)提取NTFS文件系統(tǒng)里面的普通文件和瀏覽器文件；

步驟2：識(shí)別普通文件中的惡意特征，將識(shí)別的惡意特征與惡意文件特征庫(kù)中的特征進(jìn)行比對(duì)，判斷該文件是否為惡意文件，若為惡意文件則進(jìn)行清理并跳轉(zhuǎn)至步驟3，否則直接跳轉(zhuǎn)至步驟3；

步驟3：提取所述瀏覽器文件中的網(wǎng)址，利用構(gòu)建的機(jī)器學(xué)習(xí)模型判斷所述網(wǎng)址是否為惡意網(wǎng)址，若為惡意網(wǎng)址，則清理所述惡意網(wǎng)址并結(jié)束流程，否則直接結(jié)束流程。

進(jìn)一步的，所述步驟1中，NTFS文件系統(tǒng)里的普通文件包括exe文件和office文件。

進(jìn)一步的，所述步驟1中，NTFS文件系統(tǒng)里的普通文件和瀏覽器文件的獲取步驟如下：

步驟11：獲取所述虛擬機(jī)的虛擬磁盤句柄并初始化所述磁盤句柄；

步驟12：利用所述磁盤句柄獲取所述NTFS文件系統(tǒng)里的起始扇區(qū)并獲得所述NTFS文件系統(tǒng)里的MTF文件記錄表；

步驟13：遍歷所述MTF文件記錄表中的文件記錄號(hào)；