[发明专利]一种基于大数据与机器学习的虚拟机安全防护方法及系统

权利要求书

1.一种基于大数据与机器学习的虚拟机安全防护方法，其特征在于：包括以下步骤：

步骤1：从虚拟机的虚拟磁盘内提取NTFS文件系统里面的普通文件和浏览器文件；

步骤2：识别普通文件中的恶意特征，将识别的恶意特征与恶意文件特征库中的特征进行比对，判断该文件是否为恶意文件，若为恶意文件则进行清理并跳转至步骤3，否则直接跳转至步骤3；

步骤3：提取所述浏览器文件中的网址，利用构建的机器学习模型判断所述网址是否为恶意网址，若为恶意网址，则清理所述恶意网址并结束流程，否则直接结束流程；

所述步骤3中，判断网址是否为恶意网址的具体步骤如下：

步骤31：利用爬虫技术收集大量网站信息，并对网站的网址进行拆分，将拆分后的网址作为训练样本；

步骤32：利用拆分后的网址形成网址线性表，对所述网址线性表采用tf-idf算法进行加权处理，得到网址中各个分词的权重，形成权重线性表；

步骤33：构建机器学习模型，对所述训练样本的权重线性表，采用逻辑回归算法，进行机器学习训练，得到训练后的机器学习模型；

步骤34：将待识别网址进行与步骤31相同的拆分处理和与步骤32中相同的加权处理，得到待识别网址的权重线性表，将待识别网址的权重线性表输入训练后的机器学习模型，得出识别结果。

2.根据权利要求1所述的一种基于大数据与机器学习的虚拟机安全防护方法，其特征在于：所述步骤1中，NTFS文件系统里的普通文件包括exe文件和office文件。

3.根据权利要求2所述的一种基于大数据与机器学习的虚拟机安全防护方法，其特征在于：所述步骤1中，NTFS文件系统里的普通文件和浏览器文件的获取步骤如下：

步骤11：获取所述虚拟机的虚拟磁盘句柄并初始化所述磁盘句柄；

步骤12：利用所述磁盘句柄获取所述NTFS文件系统里的起始扇区并获得所述NTFS文件系统里的MTF文件记录表；

步骤13：遍历所述MTF文件记录表中的文件记录号；

步骤14：利用所述文件记录号进行普通文件和浏览器文件的提取。

4.根据权利要求3所述的一种基于大数据与机器学习的虚拟机安全防护方法，其特征在于：所述步骤14中，NTFS文件系统里的普通文件获取方法为：读取所述文件记录号下文件的H30属性值，利用所述H30属性值判断普通文件的类型，若文件为小型文件，则在该文件的H80属性中提取文件数据；若文件为大型文件，则在该文件的H80属性中提取该文件的数据流地址，利用所述数据流地址提取文件数据。

5.根据权利要求3所述的一种基于大数据与机器学习的虚拟机安全防护方法，其特征在于：所述步骤14中，浏览器文件的获取步骤为：

步骤141：读取所述文件记录号下浏览器文件的H30属性，利用所述H30属性判断该文件记录号下文件路径是否与浏览器对应的路径匹配，若匹配，则跳转至步骤142，否则跳转至步骤13；

步骤142：判断是否取出当前文件记录号下的所有浏览器文件，若是，则跳转至步骤143，否则根据浏览器文件的H80属性找到浏览器文件数据并提取；

步骤143：判断该浏览器文件的属性，若为HA0属性，则提取HA0属性地址，并利用HA0属性地址找到浏览器文件数据并提取；若为H90属性，则遍历H90属性中的H90索引，利用所述H90索引找到浏览器文件数据并提取。

6.根据权利要求2所述的一种基于大数据与机器学习的虚拟机安全防护方法，其特征在于：所述普通文件中还包括注册表文件，所述注册表文件中键值信息用于辅助恶意文件的判断。

7.根据权利要求1所述的一种基于大数据与机器学习的虚拟机安全防护方法，其特征在于：所述步骤2中所述恶意特征包括：

病毒的MD5、SHA1、SHA256独有签名；或

文件反汇编后的代码段特征；或

文件的api流程图的特征；或

Api出现的频率的特征。