[发明专利]一种基于大数据与机器学习的虚拟机安全防护方法及系统

说明书

本发明公开了一种基于大数据与机器学习的虚拟机安全防护方法，属于安全防护领域，首先从虚拟机的虚拟磁盘内提取NTFS文件系统里面的普通文件和浏览器文件；接着识别普通文件中的恶意特征，将识别的恶意特征与恶意文件特征库中的特征进行比对，判断该文件是否为恶意文件，若为恶意文件则进行清理，否则提取所述浏览器文件中的网址，利用建立的机器学习模型判断所述网址是否为恶意网址，若为恶意网址，则进行清理，否则结束整个流程；本发明融会贯通了恶意网址、恶意软件和注册表信息，将电子取证与虚拟机系统的安全相结合成一套完整的系统，识别率更高。

技术领域

本发明涉及虚拟机安全防护领域，具体涉及一种基于大数据与机器学习的虚拟机安全防护方法及系统。

背景技术

近年来，全球频现重大安全事件，2013年曝光的“棱镜门”事件、“RSA后门”事件、2017年爆发的新型“蠕虫式”勒索软件WannaCry等更是引起各界对信息安全的广泛关注。网络攻击从最初的自发式、分散式的攻击转向专业化的有组织行为，呈现出攻击工具专业化、目的商业化、行为组织化的特点。随着获利成为网络攻击活动的核心，许多信息网络漏洞和攻击工具被不法分子和组织商品化，以此来牟取暴利，从而使信息安全威胁的范围加速扩散。个人信息及敏感信息泄露的信息安全事件，可能引发严重的网络诈骗、电信诈骗、财务勒索等犯罪案件，并最终导致严重的经济损失；而政府机构、工业控制系统、互联网服务器遭受攻击破坏、发生重大安全事件，将导致能源、交通、通信、金融等基础设施瘫痪，造成灾难性后果，严重危害国家经济安全和公共利益。全球整体网络安全形势不容乐观，国际间网络空间竞争形势日益紧张。

在一个多元化的社会，科技竞争走在各个国家的最前沿。因为有了网络人们的生活变得丰富多彩了起来。正因为越来越多的人使用网络，一些大大小小的弊端也随之而来。人们为了这些大大小小的毛病不影响计算机本身所带有的系统。发明了一种虚拟的计算机系统。这种软件的产生具有重大的意义，虚拟机的产生使其或多或少顺应了这一潮流。随着虚拟环境快速的成为当时的虚拟流行化与合并物理的服务器及其操作系统的重要工具。

目前很多用户基于种种原因，比如资源占用等方面的考虑，疏于在虚拟机中安装安全软件，导致在虚拟机中存在的安全风险变大。在虚拟机的宿主机中，很多安全公司的产品，如360安全卫士，腾讯电脑管家等，在个人PC安全方面忽略了对用户虚拟机的安全检查。

发明内容

本发明的目的在于：提供一种基于大数据与机器学习的虚拟机安全防护方法及系统，解决了目前的安全防护系统无法对虚拟机进行有效的安全防护的技术问题。

本发明采用的技术方案如下：

一种基于大数据与机器学习的虚拟机安全防护方法，包括以下步骤：

步骤1：从虚拟机的虚拟磁盘内提取NTFS文件系统里面的普通文件和浏览器文件；

步骤2：识别普通文件中的恶意特征，将识别的恶意特征与恶意文件特征库中的特征进行比对，判断该文件是否为恶意文件，若为恶意文件则进行清理并跳转至步骤3，否则直接跳转至步骤3；

步骤3：提取所述浏览器文件中的网址，利用构建的机器学习模型判断所述网址是否为恶意网址，若为恶意网址，则清理所述恶意网址并结束流程，否则直接结束流程。

进一步的，所述步骤1中，NTFS文件系统里的普通文件包括exe文件和office文件。

进一步的，所述步骤1中，NTFS文件系统里的普通文件和浏览器文件的获取步骤如下：

步骤11：获取所述虚拟机的虚拟磁盘句柄并初始化所述磁盘句柄；

步骤12：利用所述磁盘句柄获取所述NTFS文件系统里的起始扇区并获得所述NTFS文件系统里的MTF文件记录表；

步骤13：遍历所述MTF文件记录表中的文件记录号；