云平台下基于虚拟机技术的异常行为监测分析系统及方法.pdf

本发明公开云平台下基于虚拟机技术的异常行为监测分析系统及方法,属于文件监测分析领域；本发明系统包括文件镜像模块、异常行为监控模块、日志记录模块、异常行为分析模块、预警反馈模块、系统恢复模块；针对云计算虚拟化特征，主要用来解决多用户环境下异常行为监测分析的独立性，提高监测分析的可靠性，同时保障服务器端服务的正常运转，防止用户数据丢失以及侵犯隐私的情况发生。

权利要求书
1.  云平台下基于虚拟机技术的异常行为监测分析系统，其特征是包括文件镜像模块、异常行为监控模块、日志记录模块、异常行为分析模块、预警反馈模块、系统恢复模块；
文件镜像模块负责对于执行的异常行为，提供文件镜像，保护系统中的重要文件；
异常行为监控模块负责对异常行为执行过程的实时监控和异常行为执行序列进行获取；
日志记录模块负责记录异常行为执行的过程，作为后续行为追踪的依据；
异常行为分析模块根据异常行为监控模块获取的信息，对异常行为执行过程中各种对系统存在安全隐患的调用行为进行提取和分析，并依据预定的行为分析检测方法，分析异常行为的恶意信息；
预警反馈模块根据异常行为分析模块的分析结果，利用预定的方法对行为分析的结果进行判决，如果判定所执行的行为为可信行为，则向云服务系统返回行为执行的结果，并提示行为可信，否则，则向云服务系统做出预警提示；
系统恢复模块负责依据日志文件，通过反向执行用户行为，对异常行为的操作进行恢复。

2.  根据权利要求1所述的云平台下基于虚拟机技术的异常行为监测分析系统，其特征是系统中异常行为在执行过程中，对系统中的文件只具有读权限，文件镜像模块通过系统为执行的异常行为创建对应文件的镜像文件，异常行为在对应的镜像文件上具有写权限，当异常行为执行完毕且被系统确认为可信时，镜像文件对源文件进行覆盖。

3.  根据权利要求1或2所述的云平台下基于虚拟机技术的异常行为监测分析系统，其特征是所述异常行为监控模块利用进程监控和系统调用监控对一个或多个进程的系统调用进行监控。

4.  根据权利要求3所述的云平台下基于虚拟机技术的异常行为监测分析系统，其特征是对异常行为的分析包括注册表修改、文件系统破坏、内存区域攻击、系统虚拟环境检测、进程隐藏。

5.  根据权利要求4所述的云平台下基于虚拟机技术的异常行为监测分析系统，其特征是所述对异常行为的分析中注册表修改是指文件关联性修改、与IE配置相关的注册表键值修改及自启动项修改。

6.  根据权利要求4所述的云平台下基于虚拟机技术的异常行为监测分析系统，其特征是所述对异常行为的分析中文件系统破坏是指系统文件的非法读写、多个目录下重复拷贝以及日志文件的非法修改。

7.  根据权利要求1或4所述的云平台下基于虚拟机技术的异常行为监测分析系统，其特征是系统恢复模块对异常行为的操作进行恢复，用系统的源文件覆盖被修改的镜像文件或者丢掉镜像文件完成对文件系统的恢复，同时从外置存储介质中重新调用相应文件对内存区域执行重写操作。

8.  云平台下基于虚拟机技术的异常行为监测分析方法，其特征是利用权利要求1-7任一项所述的系统对异常行为监测分析，使用文件镜像模块对执行的异常行为，提供文件镜像，保护系统中的重要文件；
调用异常行为监控模块对异常行为执行过程的实时监控和异常行为执行序列进行获取；
同时日志记录模块记录异常行为执行的过程，作为后续行为追踪的依据；
利用异常行为分析模块调用异常行为监控模块获取的信息，对异常行为执行过程中各种对系统存在安全隐患的调用行为进行提取和分析，并依据预定的行为分析检测方法，分析异常行为的恶意信息；
使用预警反馈模块根据异常行为分析模块的分析结果，利用预定的方法对行为分析的结果进行判决，如果判定所执行的行为为可信行为，则向云服务系统返回行为执行的结果，并提示行为可信，否则，则向云服务系统做出预警提示；
使用系统恢复模块依据日志文件，通过反向执行用户行为，对异常行为的操作进行恢复。

9.  根据权利要求8所述的云平台下基于虚拟机技术的异常行为监测分析方法，其特征是系统中异常行为在执行过程中，对系统中的文件只具有读权限，文件镜像模块通过系统为执行的异常行为创建对应文件的镜像文件，异常行为在对应的镜像文件上具有写权限，当异常行为执行完毕且被系统确认为可信时，镜像文件对源文件进行覆盖。

10.  根据权利要求8所述的云平台下基于虚拟机技术的异常行为监测分析方法，其特征是对异常行为的操作进行恢复为用系统的源文件覆盖被修改的镜像文件或者丢掉镜像文件完成对文件系统的恢复，同时从外置存储介质中重新调用相应文件对内存区域执行重写操作。

说明书云平台下基于虚拟机技术的异常行为监测分析系统及方法
技术领域
本发明公开云平台下基于虚拟机技术的异常行为监测分析系统及方法,属于文件监测分析领域。
背景技术
云计算是分布式处理（DistributedComputing）、并行处理（ParallelComputillg）和网格计算（GridComputillg）的延续和发展，或者说是这些计算机科学概念的商业实现。它不完全是计算，也不纯粹是存储，而是集计算和存储于一身，将服务器、网络、应用程序以及数据库等各种资源通过互联网为用户提供综合服务的一种理念。伴随着云计算技术及其应用的快速发展，云平台不断涌现，其中云平台允许开发者们或是将写好的程序放在"云"里运行，或是使用"云"里提供的服务，或二者皆是。随着云平台应用的不断扩展，面临着的问题也越来越多，其中云端上用户数据越来越多，我们大量的用户数据已经存储在云端了。我们的电子邮件、文档以及社交网络的用户资料都是如此，而且成千上万的新兴小企业都在依赖云服务，以提高生产效率、降低成本。针对这些海量数据需要保障其安全性，但随着越来越多的数据转向云端，各公司及其用户更容易遭遇黑客袭击，导致数据丢失以及侵犯隐私的问题。本发明提供云平台下基于虚拟机技术的异常行为监测分析系统及方法，针对云计算虚拟化特征，主要用来解决多用户环境下异常行为监测分析的独立性，提高监测分析的可靠性，同时保障服务器端服务的正常运转，防止用户数据丢失以及侵犯隐私的情况发生。
发明内容
本发明针对现有技术中存在的问题，提供云平台下基于虚拟机技术的异常行为监测分析系统及方法，解决多用户环境下异常行为监测分析的独立性，提高监测分析的可靠性，同时保障服务器端服务的正常运转，防止用户数据丢失以及侵犯隐私的情况发生。
本发明提出的具体方案是：
云平台下基于虚拟机技术的异常行为监测分析系统，包括文件镜像模块、异常行为监控模块、日志记录模块、异常行为分析模块、预警反馈模块、系统恢复模块；
文件镜像模块负责对于执行的异常行为，提供文件镜像，保护系统中的重要文件；
异常行为监控模块负责对异常行为执行过程的实时监控和异常行为执行序列进行获取；
日志记录模块负责记录异常行为执行的过程，作为后续行为追踪的依据；
异常行为分析模块根据异常行为监控模块获取的信息，对异常行为执行过程中各种对系统存在安全隐患的调用行为进行提取和分析，并依据预定的行为分析检测方法，分析异常行为的恶意信息；
预警反馈模块根据异常行为分析模块的分析结果，利用预定的方法对行为分析的结果进行判决，如果判定所执行的行为为可信行为，则向云服务系统返回行为执行的结果，并提示行为可信，否则，则向云服务系统做出预警提示；
系统恢复模块负责依据日志文件，通过反向执行用户行为，对异常行为的操作进行恢复。其中执行序列是指异常行为执行过程对系统安全存在隐患的各种系统调用的执行序列。
系统中异常行为在执行过程中，对系统中的文件只具有读权限，文件镜像模块通过系统为执行的异常行为创建对应文件的镜像文件，异常行为在对应的镜像文件上具有写权限，当异常行为执行完毕且被系统确认为可信时，镜像文件对源文件进行覆盖。
所述异常行为监控模块利用进程监控和系统调用监控对一个或多个进程的系统调用进行监控。
对异常行为的分析包括注册表修改、文件系统破坏、内存区域攻击、系统虚拟环境检测、进程隐藏。
所述对异常行为的分析中注册表修改是指文件关联性修改、与IE配置相关的注册表键值修改及自启动项修改。
所述对异常行为的分析中文件系统破坏是指系统文件的非法读写、多个目录下重复拷贝以及日志文件的非法修改。
系统恢复模块对异常行为的操作进行恢复，用系统的源文件覆盖被修改的镜像文件或者丢掉镜像文件完成对文件系统的恢复，同时从外置存储介质中重新调用相应文件对内存区域执行重写操作。
云平台下基于虚拟机技术的异常行为监测分析方法，利用所述的系统对异常行为监测分析，使用文件镜像模块对执行的异常行为，提供文件镜像，保护系统中的重要文件；
调用异常行为监控模块对异常行为执行过程的实时监控和异常行为执行序列进行获取；
同时日志记录模块记录异常行为执行的过程，作为后续行为追踪的依据；
利用异常行为分析模块调用异常行为监控模块获取的信息，对异常行为执行过程中各种对系统存在安全隐患的调用行为进行提取和分析，并依据预定的行为分析检测方法，分析异常行为的恶意信息；
使用预警反馈模块根据异常行为分析模块的分析结果，利用预定的方法对行为分析的结果进行判决，如果判定所执行的行为为可信行为，则向云服务系统返回行为执行的结果，并提示行为可信，否则，则向云服务系统做出预警提示；
使用系统恢复模块依据日志文件，通过反向执行用户行为，对异常行为的操作进行恢复。
系统中异常行为在执行过程中，对系统中的文件只具有读权限，文件镜像模块通过系统为执行的异常行为创建对应文件的镜像文件，异常行为在对应的镜像文件上具有写权限，当异常行为执行完毕且被系统确认为可信时，镜像文件对源文件进行覆盖。
对异常行为的操作进行恢复为用系统的源文件覆盖被修改的镜像文件或者丢掉镜像文件完成对文件系统的恢复，同时从外置存储介质中重新调用相应文件对内存区域执行重写操作。
本发明的有益之处是：本发明系统包括文件镜像模块、异常行为监控模块、日志记录模块、异常行为分析模块、预警反馈模块、系统恢复模块；文件镜像模块负责对于执行的异常行为，提供文件镜像，保护系统中的重要文件；异常行为监控模块负责对异常行为执行过程的实时监控和异常行为执行序列进行获取；日志记录模块负责记录异常行为执行的过程，作为后续行为追踪的依据；异常行为分析模块根据异常行为监控模块获取的信息，对异常行为执行过程中各种对系统存在安全隐患的调用行为进行提取和分析，并依据预定的行为分析检测方法，分析异常行为的恶意信息；预警反馈模块根据异常行为分析模块的分析结果，利用预定的方法对行为分析的结果进行判决，如果判定所执行的行为为可信行为，则向云服务系统返回行为执行的结果，并提示行为可信，否则，则向云服务系统做出预警提示；系统恢复模块负责依据日志文件，通过反向执行用户行为，对异常行为的操作进行恢复，利用本发明系统，针对云计算虚拟化特征，对多用户环境下异常行为监测进行独立性分析，提高监测分析的可靠性，同时保障服务器端服务的正常运转，防止用户数据丢失以及侵犯隐私的情况发生。
附图说明
图1本发明的架构示意图。
具体实施方式
云平台下基于虚拟机技术的异常行为监测分析系统，包括文件镜像模块、异常行为监控模块、日志记录模块、异常行为分析模块、预警反馈模块、系统恢复模块；
文件镜像模块负责对于执行的异常行为，提供文件镜像，保护系统中的重要文件；
异常行为监控模块负责对异常行为执行过程的实时监控和异常行为执行序列进行获取；
日志记录模块负责记录异常行为执行的过程，作为后续行为追踪的依据；
异常行为分析模块根据异常行为监控模块获取的信息，对异常行为执行过程中各种对系统存在安全隐患的调用行为进行提取和分析，并依据预定的行为分析检测方法，分析异常行为的恶意信息；
预警反馈模块根据异常行为分析模块的分析结果，利用预定的方法对行为分析的结果进行判决，如果判定所执行的行为为可信行为，则向云服务系统返回行为执行的结果，并提示行为可信，否则，则向云服务系统做出预警提示；
系统恢复模块负责依据日志文件，通过反向执行用户行为，对异常行为的操作进行恢复。其中执行序列是指异常行为执行过程对系统安全存在隐患的各种系统调用的执行序列。
利用上述系统，结合附图对本发明方法做进一步说明。
如附图所示，虚拟机直接安装在硬件资源层之上，处于操作系统的底层。同时，为了实现对异常行为执行过程的监控和分析，在虚拟机中加载了上述异常行为监测分析系统。异常行为监测分析系统包括文件镜像模块、异常行为监控模块、日志记录模块、异常行为分析模块、预警反馈模块、系统恢复模块。该框架下异常行为监控分析过程如下：
（1）异常行为监测分析系统一旦接收到云服务器系统发送的异常行为，通过预定的在线迁移策略，把异常行为迁移到异常行为监测分析端，同时启动异常行为分析模块，对异常行为的运行过程进行监控分析。如果异常行为，执行过程中存在修改系统内文件的行为，则调用虚拟文件系统生成对应文件的镜像文件；系统中异常行为在执行过程中，对系统中的文件只具有读权限，文件镜像模块通过系统为执行的异常行为创建对应文件的镜像文件，异常行为在对应的镜像文件上具有写权限，当异常行为执行完毕且被系统确认为可信时，镜像文件对源文件进行覆盖。
（2）异常行为监测系统中的异常行为监控模块，监控异常行为的执行过程，并把获取的执行序列同时提交给异常行为分析系统和日志系统；异常行为监控模块可以利用进程监控和系统调用监控对一个或多个进程的系统调用进行监控；
其中对异常行为的分析包括注册表修改、文件系统破坏、内存区域攻击、系统虚拟环境检测、进程隐藏；
注册表修改是指文件关联性修改、与IE配置相关的注册表键值修改及自启动项修改；
文件系统破坏是指系统文件的非法读写、多个目录下重复拷贝以及日志文件的非法修改。
（3）日志记录模块把异常行为的执行序列存入日志文件，并对日志文件实现远程同步备份；
（4）异常行为分析模块对接收到的异常行为执行序列依据预定的行为分析检测方法，分析行为序列的恶意性，并把获得的恶意性信息传送给预警反馈模块；
（5）预警反馈模块依据预定的判断规则对恶意性信息进行评判，并最终确定异常行为的恶意性，如果认为是可信行为，则向云服务器系统返回执行结果，并提示行为可信；否则，同时向云服务器系统返回预警信息和异常行为执行序列中的恶意操作序列，并同时向系统恢复系统发送系统恢复的相关信息。
（6）依据异常行为分析模块的分析结果和预警反馈模块发送的信息，系统恢复模块依据日志文件对系统进行恢复。用系统的源文件覆盖被修改的镜像文件或者丢掉镜像文件完成对文件系统的恢复，同时，异常行为会对内存单元的信息进行修改，从外置存储介质中重新调用相应文件对内存区域执行重写操作。