[发明专利]云平台下基于虚拟机技术的异常行为监测分析系统及方法

权利要求书

1.云平台下基于虚拟机技术的异常行为监测分析系统，其特征是包括文件镜像模块、异常行为监控模块、日志记录模块、异常行为分析模块、预警反馈模块、系统恢复模块；

文件镜像模块负责对于执行的异常行为，提供文件镜像，保护系统中的重要文件；

异常行为监控模块负责对异常行为执行过程的实时监控和异常行为执行序列进行获取；

日志记录模块负责记录异常行为执行的过程，作为后续行为追踪的依据；

异常行为分析模块根据异常行为监控模块获取的信息，对异常行为执行过程中各种对系统存在安全隐患的调用行为进行提取和分析，并依据预定的行为分析检测方法，分析异常行为的恶意信息；

预警反馈模块根据异常行为分析模块的分析结果，利用预定的方法对行为分析的结果进行判决，如果判定所执行的行为为可信行为，则向云服务系统返回行为执行的结果，并提示行为可信，否则，则向云服务系统做出预警提示；

系统恢复模块负责依据日志文件，通过反向执行用户行为，对异常行为的操作进行恢复。

2.根据权利要求1所述的云平台下基于虚拟机技术的异常行为监测分析系统，其特征是系统中异常行为在执行过程中，对系统中的文件只具有读权限，文件镜像模块通过系统为执行的异常行为创建对应文件的镜像文件，异常行为在对应的镜像文件上具有写权限，当异常行为执行完毕且被系统确认为可信时，镜像文件对源文件进行覆盖。

3.根据权利要求1或2所述的云平台下基于虚拟机技术的异常行为监测分析系统，其特征是所述异常行为监控模块利用进程监控和系统调用监控对一个或多个进程的系统调用进行监控。

4.根据权利要求3所述的云平台下基于虚拟机技术的异常行为监测分析系统，其特征是对异常行为的分析包括注册表修改、文件系统破坏、内存区域攻击、系统虚拟环境检测、进程隐藏。

5.根据权利要求4所述的云平台下基于虚拟机技术的异常行为监测分析系统，其特征是所述对异常行为的分析中注册表修改是指文件关联性修改、与IE配置相关的注册表键值修改及自启动项修改。

6.根据权利要求4所述的云平台下基于虚拟机技术的异常行为监测分析系统，其特征是所述对异常行为的分析中文件系统破坏是指系统文件的非法读写、多个目录下重复拷贝以及日志文件的非法修改。

7.根据权利要求1或4所述的云平台下基于虚拟机技术的异常行为监测分析系统，其特征是系统恢复模块对异常行为的操作进行恢复，用系统的源文件覆盖被修改的镜像文件或者丢掉镜像文件完成对文件系统的恢复，同时从外置存储介质中重新调用相应文件对内存区域执行重写操作。

8.云平台下基于虚拟机技术的异常行为监测分析方法，其特征是利用权利要求1-7任一项所述的系统对异常行为监测分析，使用文件镜像模块对执行的异常行为，提供文件镜像，保护系统中的重要文件；

调用异常行为监控模块对异常行为执行过程的实时监控和异常行为执行序列进行获取；

同时日志记录模块记录异常行为执行的过程，作为后续行为追踪的依据；

利用异常行为分析模块调用异常行为监控模块获取的信息，对异常行为执行过程中各种对系统存在安全隐患的调用行为进行提取和分析，并依据预定的行为分析检测方法，分析异常行为的恶意信息；

使用预警反馈模块根据异常行为分析模块的分析结果，利用预定的方法对行为分析的结果进行判决，如果判定所执行的行为为可信行为，则向云服务系统返回行为执行的结果，并提示行为可信，否则，则向云服务系统做出预警提示；

使用系统恢复模块依据日志文件，通过反向执行用户行为，对异常行为的操作进行恢复。

9.根据权利要求8所述的云平台下基于虚拟机技术的异常行为监测分析方法，其特征是系统中异常行为在执行过程中，对系统中的文件只具有读权限，文件镜像模块通过系统为执行的异常行为创建对应文件的镜像文件，异常行为在对应的镜像文件上具有写权限，当异常行为执行完毕且被系统确认为可信时，镜像文件对源文件进行覆盖。

10.根据权利要求8所述的云平台下基于虚拟机技术的异常行为监测分析方法，其特征是对异常行为的操作进行恢复为用系统的源文件覆盖被修改的镜像文件或者丢掉镜像文件完成对文件系统的恢复，同时从外置存储介质中重新调用相应文件对内存区域执行重写操作。