[发明专利]基于P2P动态云的恶意软件检测系统及方法

权利要求书

1.一种基于P2P动态云的恶意软件检测系统，其特征在于：包括一固态云服务器、若干动态云服务器和若干分布式终端，若干动态云服务器之间构成P2P网络，单台固态云服务器和若干动态云服务器之间构成C/S网络，其中，固态云服务器作为服务器端，动态云服务器作为客户端，若干动态云服务器和分布式终端构成C/S网络，其中，动态云服务器作为服务器端，分布式终端作为客户端；所述分布式终端用于网络中软件行为的异常监测，获取异常行为特征，并上传给动态云服务器；所述动态云服务器用于对分布式终端上传的异常行为特征进行分析，并将分析结果反馈给分布式终端或上传给固态云服务器；所述固态云服务器用于对动态云服务器上传的异常行为特征进行进一步分析，并将分析结果通过动态云服务器反馈给分布式终端；

所述动态云服务器内设有动态云信息处理模块，所述动态云信息处理模块包括聚类模块、统计模块和决策模块，所述聚类模块用于接收分布式终端上传的异常行为特征，通过P2P网络查找出之前有上传类似异常行为特征的记录，然后对相关信息进行收集，并将收集到的相关信息发送给统计模块；所述统计模块用于对收集到的相关信息进行分类统计，并将统计信息发送给决策模块；所述决策模块用于利用决策树对统计信息实现模式分类，将分析结果反馈给分布式终端或上传给固态云服务器。

2.根据权利要求1所述的基于P2P动态云的恶意软件检测系统，其特征在于：所述固态云服务器为传统的云服务器，具有快速分析引擎和庞大的病毒特征库。

3.根据权利要求1所述的基于P2P动态云的恶意软件检测系统，其特征在于：所述动态云服务器配置在网关或ISP服务器，即将动态云服务器程序安装在网关或者ISP服务器上，让网关或者ISP服务器完成动态云服务器所需要完成的功能，动态云服务器是固态云服务器和分布式终端的纽带。

4.一种基于P2P动态云的恶意软件检测方法，其特征在于，包括如下步骤：

1)在可控网络环境下，建立多个节点数为|S|的小型局域网，S表示该局域网的节点集；

2)构建固态云服务器，并在网关或者ISP服务器配置动态云服务器，即将动态云服务器程序安装在网关或者ISP服务器上，让网关或者ISP服务器完成动态云服务器所需要完成的功能，固态云服务器和动态云服务器之间为C/S架构，动态云服务器之间采用P2P架构；

3)通过大量节点对网络中软件行为进行异常监测，获取网络中恶意软件的异常行为特征，上传给动态云服务器；

4)动态云服务器对上传的异常行为特征进行行为分析，如果P2P动态云服务器能够判定此异常行为为恶意软件所致，则直接将分析结果反馈给分布式终端；如果P2P动态云服务器不能够判断此异常行为是否为恶意软件所致，则将此异常行为特征上传给固态云服务器做二次分析；

动态云服务器内设有动态云信息处理模块，所述动态云信息处理模块包括聚类模块、统计模块和决策模块，动态云服务器采用一种聚类-统计-决策的方法对上传的异常行为特征进行行为分析，其步骤为：

S1)当动态云服务器收到分布式终端请求的时候，聚类模块利用P2P网络搜索具有相似性的分布式终端请求，然后对搜索出的数据信息进行收集，并将收集到的数据信息送到统计模块；

S2)统计模块采用分类统计的方式对搜索出的数据信息进行统计，并将统计信息送到决策模块；

S3)决策模块将统计信息作为专家决策的信息元素，进行概率计算，得到感染概率值，将感染概率值与设定阈值进行比较，当感染概率值高于设定阈值的时候，则直接将处理信息反馈给分布式终端；当感染概率值低于设定阈值的时候，则将信息发送给固态云服务器进行进一步判断；

5)固态云服务器通过运行快速分析引擎和病毒特征库比对机制，实现对上传的异常行为特征的二次分析，并将分析结果通过动态云服务器反馈给分布式终端。