[发明专利]一种基于KNN的虚拟平台威胁行为分析方法及系统

说明书

本发明公开了一种基于KNN的虚拟平台威胁行为分析方法及系统，属于网络安全领域，首先提取虚拟平台中的内存数据；再对所述内存数据进行分析，得到威胁源数据；最后利用K‑邻近算法对所述威胁源数据的威胁软件进行识别，若不存在威胁软件，则结束算法；若存在威胁软件，则利用线索数据库完成所述威胁软件的行为还原后，结束算法；本发明可以基于VMware Vshpere虚拟平台外部进行线索数据的收集，不会在虚拟平台内部产生线索覆盖，也不会被威胁软件欺骗；同时通过K‑邻近算法对威胁线索进行全自动化分析，提高了威胁行为的分析效率。

技术领域

本发明涉及网络安全领域，具体涉及一种基于KNN的虚拟平台威胁行为分析方法及系统。

背景技术

现有的虚拟平台威胁分析主要基于两种虚拟平台，一种是VMware Workstation版本，该平台针对个人PC机企业应用数量有限，2011年,文献“虚拟计算取证技术研究”提出基于虚拟机VMware WorkStation的内存文件信息抽取的方法；另一种是bochs等这类在国内企业服务器不常用的虚拟平台，2011，文献“基于虚拟机的关键信息提取与分析”利用bochs虚拟机仿真技术完成虚拟机证据数据的提取和分析，研究过程中对开源虚拟机bochs进行二次开发，通过对虚拟机运行过程中的指令与数据进行捕获、识别，分析系统模块的调用关系、内存读写关系等信息。国内目前企业、政府等虚拟机平台多构建于服务器上，而与此相适应的VMware Vshpere等服务器虚拟平台还没有较多的研究。

现有的威胁行为分析技术主要采用在虚拟平台内部安装软件，并由分析技术人员进行手动分析的方法，该方法首先会因为软件的安装造成部分线索数据的覆盖和被部分具有反取证技术软件的欺骗，同时手动分析效率较低。

发明内容

本发明的目的在于：提供一种基于KNN的虚拟平台威胁行为分析方法及系统，解决了目前的威胁行为分析技术由于在虚拟平台内部进行软件安装，造成部分线索数据被覆盖和被部分具有反证技术软件欺骗的技术问题。

本发明采用的技术方案如下：

一种基于KNN的虚拟平台威胁行为分析方法，包括以下步骤：

步骤1：提取虚拟平台中的内存数据；

步骤2：对所述内存数据进行分析，得到威胁源数据；

步骤3：利用K-邻近算法对所述威胁源数据的威胁软件进行识别，若不存在威胁软件，则结束算法；若存在威胁软件，则利用线索数据库完成所述威胁软件的行为还原后，结束算法。

进一步的，所述步骤1具体为：

步骤101：利用Vcenter组件登陆虚拟平台的管理服务器；

步骤102：Vcenter组件通过所述管理服务器暂停虚拟机，并下载扩展名为VSMM的虚拟机文件，即内存数据。

进一步的，所述步骤2具体为：

步骤201：遍历所述内存数据，确定所述内存数据中线索数据的类型；

步骤202：根据所述线索数据的类型在内存中的储存结构获取线索结构体数据；

步骤203：利用所述线索结构体数据，获取威胁源数据。

进一步的，所述步骤3中，利用K-邻近算法对威胁软件进行识别包括训练过程和识别过程；

训练过程具体为：

步骤301：将已有的威胁软件和正常软件分别运行于虚拟平台上；