[发明专利]云平台下基于虚拟机技术的异常行为监测分析系统及方法

说明书

技术领域

本发明公开云平台下基于虚拟机技术的异常行为监测分析系统及方法,属于文件监测分析领域。

背景技术

云计算是分布式处理（DistributedComputing）、并行处理（ParallelComputillg）和网格计算（GridComputillg）的延续和发展，或者说是这些计算机科学概念的商业实现。它不完全是计算，也不纯粹是存储，而是集计算和存储于一身，将服务器、网络、应用程序以及数据库等各种资源通过互联网为用户提供综合服务的一种理念。伴随着云计算技术及其应用的快速发展，云平台不断涌现，其中云平台允许开发者们或是将写好的程序放在云里运行，或是使用云里提供的服务，或二者皆是。随着云平台应用的不断扩展，面临着的问题也越来越多，其中云端上用户数据越来越多，我们大量的用户数据已经存储在云端了。我们的电子邮件、文档以及社交网络的用户资料都是如此，而且成千上万的新兴小企业都在依赖云服务，以提高生产效率、降低成本。针对这些海量数据需要保障其安全性，但随着越来越多的数据转向云端，各公司及其用户更容易遭遇黑客袭击，导致数据丢失以及侵犯隐私的问题。本发明提供云平台下基于虚拟机技术的异常行为监测分析系统及方法，针对云计算虚拟化特征，主要用来解决多用户环境下异常行为监测分析的独立性，提高监测分析的可靠性，同时保障服务器端服务的正常运转，防止用户数据丢失以及侵犯隐私的情况发生。

发明内容

本发明针对现有技术中存在的问题，提供云平台下基于虚拟机技术的异常行为监测分析系统及方法，解决多用户环境下异常行为监测分析的独立性，提高监测分析的可靠性，同时保障服务器端服务的正常运转，防止用户数据丢失以及侵犯隐私的情况发生。

本发明提出的具体方案是：

云平台下基于虚拟机技术的异常行为监测分析系统，包括文件镜像模块、异常行为监控模块、日志记录模块、异常行为分析模块、预警反馈模块、系统恢复模块；

文件镜像模块负责对于执行的异常行为，提供文件镜像，保护系统中的重要文件；

异常行为监控模块负责对异常行为执行过程的实时监控和异常行为执行序列进行获取；

日志记录模块负责记录异常行为执行的过程，作为后续行为追踪的依据；

异常行为分析模块根据异常行为监控模块获取的信息，对异常行为执行过程中各种对系统存在安全隐患的调用行为进行提取和分析，并依据预定的行为分析检测方法，分析异常行为的恶意信息；

预警反馈模块根据异常行为分析模块的分析结果，利用预定的方法对行为分析的结果进行判决，如果判定所执行的行为为可信行为，则向云服务系统返回行为执行的结果，并提示行为可信，否则，则向云服务系统做出预警提示；

系统恢复模块负责依据日志文件，通过反向执行用户行为，对异常行为的操作进行恢复。其中执行序列是指异常行为执行过程对系统安全存在隐患的各种系统调用的执行序列。

系统中异常行为在执行过程中，对系统中的文件只具有读权限，文件镜像模块通过系统为执行的异常行为创建对应文件的镜像文件，异常行为在对应的镜像文件上具有写权限，当异常行为执行完毕且被系统确认为可信时，镜像文件对源文件进行覆盖。

所述异常行为监控模块利用进程监控和系统调用监控对一个或多个进程的系统调用进行监控。

对异常行为的分析包括注册表修改、文件系统破坏、内存区域攻击、系统虚拟环境检测、进程隐藏。

所述对异常行为的分析中注册表修改是指文件关联性修改、与IE配置相关的注册表键值修改及自启动项修改。

所述对异常行为的分析中文件系统破坏是指系统文件的非法读写、多个目录下重复拷贝以及日志文件的非法修改。

系统恢复模块对异常行为的操作进行恢复，用系统的源文件覆盖被修改的镜像文件或者丢掉镜像文件完成对文件系统的恢复，同时从外置存储介质中重新调用相应文件对内存区域执行重写操作。

云平台下基于虚拟机技术的异常行为监测分析方法，利用所述的系统对异常行为监测分析，使用文件镜像模块对执行的异常行为，提供文件镜像，保护系统中的重要文件；

调用异常行为监控模块对异常行为执行过程的实时监控和异常行为执行序列进行获取；

同时日志记录模块记录异常行为执行的过程，作为后续行为追踪的依据；

利用异常行为分析模块调用异常行为监控模块获取的信息，对异常行为执行过程中各种对系统存在安全隐患的调用行为进行提取和分析，并依据预定的行为分析检测方法，分析异常行为的恶意信息；