[发明专利]基于P2P动态云的恶意软件检测系统及方法

说明书

本发明涉及一种基于P2P动态云的恶意软件检测系统及方法，包括单台固态云服务器、多台动态云服务器和多台分布式终端，动态云服务器之间构成P2P网络，固态云服务器和动态云服务器之间构成C/S网络，动态云服务器和分布式终端构成C/S网络，分布式终端用于网络中软件行为的异常监测，获取异常行为特征，并上传给动态云服务器；动态云服务器用于对异常行为特征进行分析，并将分析结果反馈给分布式终端或上传给固态云服务器；固态云服务器用于对动态云服务器上传的异常行为特征进行进一步分析，并将分析结果通过动态云服务器反馈给分布式终端。它旨在减轻云服务器负荷、提高客户端请求的响应速度和提高未知恶意软件的检测精度。

技术领域

本发明涉及恶意软件检测领域，特别涉及一种基于P2P动态云的恶意软件检测系统及方法。

背景技术

随着信息化的飞速发展，网络逐渐成为人们交流的主要途径。然而网络在传播一些先进工具与技术的同时，恶意软件也开始出现，几乎所有的网民计算机都在不知情的情况下被恶意软件侵入过，恶意软件已经逐渐成为网络的主要威胁。

2014年12月25日，美国迈克菲公司发布《2014年第三季度迈克菲威胁报告》报告显示在第三季度，迈克菲实验室每分钟检测到的新威胁数量超过307个，换而言之，每秒超过5个。本季度，移动恶意软件样本数量增长16％，总体恶意软件年同比激增76％；2014年勒索软件样本数量已高于往年各期总和，带数字签名的传统恶意软件增加了50％，样本数量超过150万个，垃圾邮件数目增长了125％；金山毒霸安全实验室发布报告指出，2014年针对恶意软件的漏检数目超过了新增恶意软件数目的23％，“漏检”的问题对中国网民造成的年经济损失超过了30个亿；国外知名信息安全厂商BitDefender公布的恶意软件排行榜中，P2P类型软件的投诉率高居榜首，不完全统计，96％以上的P2P用户遭受过恶意软件攻击，互联网世界已经处于一种极度高危的状态。控制恶意软件在P2P网络中的传播已经成为网络安全研究的一个重要课题，特别是针对P2P网络中未知恶意软件快速准确的检测，一直是研究的难题。目前基于恶意软件的行为特征分析的方法在恶意软件检测方面取得了比较好的效果，但由于恶意软件行为特征和P2P网络数据具有极高的相似性，将该方法应用到P2P网络中恶意软件的检测中，存在较高的检测误差。

云安全(Cloud Security)是网络时代信息安全的最新体现，它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念，通过网状的大量客户端对网络中软件行为的异常监测，获取互联网中木马、恶意程序的最新信息，传送到Server端进行自动分析和处理，再把病毒和木马的解决方案分发到每一个客户端。“云安全”利用互联网的传输及计算功能，将原来放在客户端的分析计算能力转移到了服务器端，虽然，很大程度上弥补了传统病毒查杀机制的不足，但也大大增加了云服务器的工作负荷，导致客户端请求的响应速度慢。

发明内容

本发明的目的是针对现有技术存在的不足，在现有云安全和分布式检测技术的研究基础上，结合恶意软件的行为特性，提出一种基于P2P动态云的恶意软件检测系统及方法，通过固态云服务器完成传统云服务器功能，P2P动态云服务器作为固态云服务器和客户端的纽带，负责对客户端的请求进行筛选，需求快速解决方案，达到缓解固态云工作负荷，提高客户端响应速度的目的，同时采用固态云和动态云二次分析的方法提高了检测精度。

本发明的目的是采用下述方案实现的：一种基于P2P动态云的恶意软件检测系统，包括单台固态云服务器、若干动态云服务器和若干分布式终端，若干动态云服务器之间构成P2P网络，单台固态云服务器和若干动态云服务器之间构成C/S网络，其中，固态云服务器作为服务器端，动态云服务器作为客户端，若干动态云服务器和分布式终端构成C/S网络，其中，动态云服务器作为服务器端，分布式终端作为客户端；所述分布式终端用于网络中软件行为的异常监测，获取异常行为特征，并上传给动态云服务器；所述动态云服务器用于对分布式终端上传的异常行为特征进行分析，并将分析结果反馈给分布式终端或上传给固态云服务器；所述固态云服务器用于对动态云服务器上传的异常行为特征进行进一步分析，并将分析结果通过动态云服务器反馈给分布式终端。