恶意软件动态行为分析系统的预警方法及装置.pdf

摘要
申请专利号：	CN201310146238.0	申请日：	2013.04.24
公开号：	CN104123494A	公开日：	2014.10.29
当前法律状态：	授权	有效性：	有权
法律详情：	授权\|\|\|实质审查的生效 IPC(主分类):G06F 21/56申请日:20130424\|\|\|公开
IPC分类号：	G06F21/56(2013.01)I	主分类号：	G06F21/56
申请人：	贝壳网际（北京）安全技术有限公司; 北京金山网络科技有限公司; 北京金山安全软件有限公司; 珠海市君天电子科技有限公司; 可牛网络技术（北京）有限公司
发明人：	邹义鹏; 焦国强; 陈勇; 张楠
地址：	100041 北京市石景山区八大处高科技园区西井路3号3号楼1100A房间
优先权：
专利代理机构：	北京银龙知识产权代理有限公司 11243	代理人：	许静;黄灿
PDF下载：	PDF下载

内容摘要

本发明提供了一种恶意软件动态行为分析系统的预警方法及装置，其中所述方法包括：统计恶意软件动态行为分析系统在过去一段时间内对恶意软件样本的处理信息，学习恶意软件动态行为分析系统对恶意软件样本的处理规律；获取恶意软件动态行为分析系统对恶意软件样本的当前处理状态，并在当前处理状态与所述处理规律不匹配时发出预警。本发明能够及时发现系统中的异常并进行告警。

权利要求书

1.  一种恶意软件动态行为分析系统的预警方法，其特征在于，所述方法包括：
统计恶意软件动态行为分析系统在过去一段时间内对恶意软件样本的处理信息，学习恶意软件动态行为分析系统对恶意软件样本的处理规律；
获取恶意软件动态行为分析系统对恶意软件样本的当前处理状态，并在当前处理状态与所述处理规律不匹配时发出预警。

2.  如权利要求1所述的方法，其特征在于，所述处理信息包括各个节点忙闲状态的转换时长以及针对单个样本的处理时长；所述处理规律包括各个节点在所述过去一段时间内的忙闲状态的平均转换时长以及针对单个样本的平均处理时长。

3.  如权利要求2所述的方法，其特征在于，所述获取恶意软件动态行为分析系统的当前处理状态，并在当前处理状态与所述处理规律不匹配时发出预警包括：
获取恶意软件动态行为分析系统中各个节点，在预定长度的时间周期内的忙闲状态的转换时长和针对单个样本的处理时长；
若当前时间周期内的忙闲状态的转换时长与所述平均转换时长之间的差值大于预设第一门限，或者，当前时间周期内针对单个样本的处理时长与所述平均处理时长之间的差值大于预设第二门限，则产生对应节点的节点告警信息。

4.  如权利要求3所述的方法，其特征在于，还包括：
若针对一节点连续产生所述节点告警信息的次数达到预定第一阈值，则发出系统管理警报，并停止对应节点对恶意软件样本的处理。

5.  如权利要求3所述的方法，其特征在于，所述处理信息还包括：恶意软件样本的处理数量，所述处理规律还包括：预定长度的时间周期内恶意软件样本的处理数量的参考平均值。

6.  如权利要求5所述的方法，其特征在于，所述获取恶意软件动态行为分析系统的当前处理状态，并在当前处理状态与所述处理规律不匹配时发出预警还包括：
获取恶意软件动态行为分析系统在当前时间周期内的样本处理总数量的平均值；
在当前时间周期内的样本处理总数量的平均值与所述参考平均值之间的差值大于预设第三门限时，发出系统告警信息。

7.  如权利要求6所述的方法，其特征在于，所述获取恶意软件动态行为分析系统的当前处理状态，并在当前处理状态与所述处理规律不匹配时发出预警还包括：
若连续发出所述系统告警信息的次数达到预定第二阈值，发出系统管理警报。

8.  如权利要求6所述的方法，其特征在于，进一步在系统中的节点数量保持不变、且产生所述节点告警信息的节点数量低于预设第三阈值、以及在当前时间周期内的样本处理总数量的平均值与所述参考平均值之间的差值大于预设第三门限时，发出所述系统告警信息。

9.  一种恶意软件动态行为分析系统的预警装置，其特征在于，所述装置包括：
统计学习模块，用于统计恶意软件动态行为分析系统在过去一段时间内对恶意软件样本的处理信息，学习恶意软件动态行为分析系统对恶意软件样本的处理规律；
告警处理模块，用于获取恶意软件动态行为分析系统对恶意软件样本的当前处理状态，并在当前处理状态与所述处理规律不匹配时发出预警。

10.  如权利要求9所述的装置，其特征在于，所述处理信息包括各个节点忙闲状态的转换时长以及针对单个样本的处理时长；所述处理规律包括各个节点在所述过去一段时间内的忙闲状态的平均转换时长以及针对单个样本的平均处理时长。

11.  如权利要求10所述的装置，其特征在于，所述告警处理模块包括：
第一获取单元，用于获取恶意软件动态行为分析系统中各个节点，在预定长度的时间周期内的忙闲状态的转换时长和针对单个样本的处理时长；
第一告警单元，用于若当前时间周期内的忙闲状态的转换时长与所述平均转换时长之间的差值大于预设第一门限，或者，当前时间周期内针对单个样本的处理时长与所述平均处理时长之间的差值大于预设第二门限，则产生对应节点的节点告警信息。

12.  如权利要求11所述的装置，其特征在于，所述告警处理模块还包括：
第二告警单元，用于若针对一节点连续产生所述节点告警信息的次数达到预定第一阈值，则发出系统管理警报，并停止对应节点对恶意软件样本的处理。

13.  如权利要求11所述的装置，其特征在于，所述处理信息还包括：恶意软件样本的处理数量，所述处理规律还包括：预定长度的时间周期内恶意软件样本的处理数量的参考平均值。

14.  如权利要求13所述的装置，其特征在于，所述告警处理模块还包括：
第二获取单元，用于获取恶意软件动态行为分析系统在当前时间周期内的样本处理总数量的平均值；
第三告警单元，用于在当前时间周期内的样本处理总数量的平均值与所述参考平均值之间的差值大于预设第三门限时，发出系统告警信息。

15.  如权利要求14所述的装置，其特征在于，所述告警处理模块还包括：
第四告警单元，用于若连续发出所述系统告警信息的次数达到预定第二阈值，发出系统管理警报。

16.  如权利要求14所述的装置，其特征在于，所述第三告警单元，进一步用于在系统中的节点数量保持不变、且产生所述节点告警信息的节点数量低于预设第三阈值、以及在当前时间周期内的样本处理总数量的平均值与所述参考平均值之间的差值大于预设第三门限时，发出所述系统告警信息。

说明书

恶意软件动态行为分析系统的预警方法及装置
技术领域
本发明涉及网络安全技术领域，具体涉及一种恶意软件动态行为分析系统的预警方法及装置。
背景技术
恶意软件动态行为分析系统，是将恶意软件置于虚拟机环境中来运行，对其运行期间的动态行为进行监控和分析的一套系统，该系统的输入为恶意软件的样本，输出为针对该样本的动态行为分析报告。该系统通常包括有中央调度服务器和多个分布式虚拟机处理节点。其中，中央调度服务器是用于存储、调度待处理的样本的服务器，分布式虚拟机处理节点是指系统中用于处理恶意软件样本的处理节点，该节点可以通过挂载的方式注册到系统中，这样就能从中央调度服务器获取恶意软件样本进行处理。目前来说，虚拟化平台通常都有针对虚拟机的监控，包括CPU（Central Processing Unit，中央处理器）占用率以及是否宕机等信息，这些措施虽然能够提供对虚拟机本身的完整监控，但是对于恶意软件动态行为分析系统来说，它做不到在上层的系统层面对系统运行状况做监控和预警，例如，在某些情况下，虚拟机中运行的恶意软件样本会破坏虚拟机的软件环境，例如对网络通信的干扰等，这些可能会导致我们恶意软件行为分析系统的通信中断，但是不造成虚拟机CPU占用率过高或者宕机，在这种情况下，虚拟机平台自有的监控系统会提示虚拟机运行状况良好，但是上层系统的处理流程已经出现阻塞等问题，最常见的就是处理样本超时，此时就需要依赖监控预警系统来给出相应的反馈和后续处理动作（如同一个虚拟机连续多个样本出现超时，则停用该虚拟机）。
恶意软件动态行为分析系统的异常监测和预警，是指对系统运行状态进行监控，对出现的异常情况发出警报，具体的警报形式有多种多样，例如可以通过文字提示或电子邮件通知等方式进行警示。
对于通常的流转业务系统而言，处理环节一般会有很多个。为保证整体业务流水线正常工作，就要求各个环节都能正常运转，一旦出现问题需要能够尽快被发现，并尽可能的自动恢复，恢复不了的则通过人工干预。因此，需要对整体流程和各个子环节进行状态监控以便发现问题，通常需要在系统层面，以及需要监控的子环节层面部署相应的监控机制，以此达到预警目的。
恶意软件动态行为分析系统在其运行过程中，由于涉及到将恶意软件样本放到虚拟机环境中运行抓取其日志记录解析最终得出分析报告。对于系统运行状态的监测，通常是事先在可能出现问题的环节部署如日志记录、状态监控等功能，来发现系统中出现的异常。
可以看出，传统的预警方法需要事先把可能出现问题的环节都想到，才能在最大程度上防止漏掉监控点。事实上，事先把所有可能出问题的环节都考虑到是比较困难的，而在所有的点上部署监控也不现实，因此很容易遗漏掉某些监控点，导致系统在实际运行中出现问题而不能及时发现异常，从而导致跟进和修复的整体周期变长，对整体业务会产生较大的影响。
发明内容
有鉴于此，本发明的目的是提供一种恶意软件动态行为分析系统的预警方法及装置，能够及时发现系统中的异常并进行告警。
为解决上述技术问题，本发明提供方案如下：
一种恶意软件动态行为分析系统的预警方法，包括：
统计恶意软件动态行为分析系统在过去一段时间内对恶意软件样本的处理信息，学习恶意软件动态行为分析系统对恶意软件样本的处理规律；
获取恶意软件动态行为分析系统对恶意软件样本的当前处理状态，并在当前处理状态与所述处理规律不匹配时发出预警。
进一步的，上述方案中，所述处理信息包括各个节点忙闲状态的转换时长以及针对单个样本的处理时长；所述处理规律包括各个节点在所述过去一段时间内的忙闲状态的平均转换时长以及针对单个样本的平均处理时长。
进一步的，上述方案中，所述获取恶意软件动态行为分析系统的当前处理状态，并在当前处理状态与所述处理规律不匹配时发出预警包括：
获取恶意软件动态行为分析系统中各个节点，在预定长度的时间周期内的忙闲状态的转换时长和针对单个样本的处理时长；
若当前时间周期内的忙闲状态的转换时长与所述平均转换时长之间的差值大于预设第一门限，或者，当前时间周期内针对单个样本的处理时长与所述平均处理时长之间的差值大于预设第二门限，则产生对应节点的节点告警信息。
进一步的，上述方案中，还包括：
若针对一节点连续产生所述节点告警信息的次数达到预定第一阈值，则发出系统管理警报，并停止对应节点对恶意软件样本的处理。
进一步的，上述方案中，所述处理信息还包括：恶意软件样本的处理数量，所述处理规律还包括：预定长度的时间周期内恶意软件样本的处理数量的参考平均值。
进一步的，上述方案中，所述获取恶意软件动态行为分析系统的当前处理状态，并在当前处理状态与所述处理规律不匹配时发出预警还包括：
获取恶意软件动态行为分析系统在当前时间周期内的样本处理总数量的平均值；
在当前时间周期内的样本处理总数量的平均值与所述参考平均值之间的差值大于预设第三门限时，发出系统告警信息。
进一步的，上述方案中，所述获取恶意软件动态行为分析系统的当前处理状态，并在当前处理状态与所述处理规律不匹配时发出预警还包括：
若连续发出所述系统告警信息的次数达到预定第二阈值，发出系统管理警报。
进一步的，上述方案中，进一步在系统中的节点数量保持不变、且产生所述节点告警信息的节点数量低于预设第三阈值、以及在当前时间周期内的样本处理总数量的平均值与所述参考平均值之间的差值大于预设第三门限时，发出所述系统告警信息。
本发明实施例还提供了一种恶意软件动态行为分析系统的预警装置，包括：
统计学习模块，用于统计恶意软件动态行为分析系统在过去一段时间内对恶意软件样本的处理信息，学习恶意软件动态行为分析系统对恶意软件样本的处理规律；
告警处理模块，用于获取恶意软件动态行为分析系统对恶意软件样本的当前处理状态，并在当前处理状态与所述处理规律不匹配时发出预警。
进一步的，上述方案中，所述处理信息包括各个节点忙闲状态的转换时长以及针对单个样本的处理时长；所述处理规律包括各个节点在所述过去一段时间内的忙闲状态的平均转换时长以及针对单个样本的平均处理时长。
进一步的，上述方案中，所述告警处理模块包括：
第一获取单元，用于获取恶意软件动态行为分析系统中各个节点，在预定长度的时间周期内的忙闲状态的转换时长和针对单个样本的处理时长；
第一告警单元，用于若当前时间周期内的忙闲状态的转换时长与所述平均转换时长之间的差值大于预设第一门限，或者，当前时间周期内针对单个样本的处理时长与所述平均处理时长之间的差值大于预设第二门限，则产生对应节点的节点告警信息。
进一步的，上述方案中，所述告警处理模块还包括：
第二告警单元，用于若针对一节点连续产生所述节点告警信息的次数达到预定第一阈值，则发出系统管理警报，并停止对应节点对恶意软件样本的处理。
进一步的，上述方案中，所述处理信息还包括：恶意软件样本的处理数量，所述处理规律还包括：预定长度的时间周期内恶意软件样本的处理数量的参考平均值。
进一步的，上述方案中，所述告警处理模块还包括：
第二获取单元，用于获取恶意软件动态行为分析系统在当前时间周期内的样本处理总数量的平均值；
第三告警单元，用于在当前时间周期内的样本处理总数量的平均值与所述参考平均值之间的差值大于预设第三门限时，发出系统告警信息。
进一步的，上述方案中，所述告警处理模块还包括：
第四告警单元，用于若连续发出所述系统告警信息的次数达到预定第二阈值，发出系统管理警报。
进一步的，上述方案中，所述第三告警单元，进一步用于在系统中的节点数量保持不变、且产生所述节点告警信息的节点数量低于预设第三阈值、以及在当前时间周期内的样本处理总数量的平均值与所述参考平均值之间的差值大于预设第三门限时，发出所述系统告警信息。
从以上所述可以看出，本发明提供的恶意软件动态行为分析系统的预警方法及装置，基于过去一段时间内的系统及节点运行指标，对当前系统及节点的运行情况进行监测，将系统状态的监测由固定指标变为动态学习的可变指标，使得监测更灵活，监测结果更为准确。并且，本发明实施例基于各个节点的历史记录对节点进行监测，提高了监测准确性，从而能够及时发现异常的处理节点，及时发布警告，并能够禁用该节点以避免异常影响的扩大。
附图说明
图1为本发明实施例所述系统的结构示意图；
图2为本发明实施例提供异常监测和预警方法的流程示意图；
图3为本发明实施例提供异常监测和预警装置的结构示意图；
图4为本发明实施例中的节点异常监测和预警方法的一个示例示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚，下面将结合附图及具体实施例对本发明进行详细描述。
本发明实施例提供了一种恶意软件动态行为分析系统的预警方法及装置，能够及时发现系统中的异常并进行告警，减小异常情况对系统的不利影响。
本发明实施例提供异常监测和预警方法，应用于一恶意软件动态行为分析系统中，如图1所示，该系统包括用于存储及调度待处理的恶意软件样本13的中央调度服务器11、多个用于从中央调度服务器获取恶意软件样本进行处理的分布式虚拟机处理节点12。多个节点12通过挂载的方式注册到系统中，从中央调度服务器11处获取恶意软件样本进行处理。该系统的运行方式如下：
1)恶意软件样本13进入中央调度服务器11之后，首先被中央调度服务器11存储起来，并且中央调度服务器11还可以对样本的类型进行标示，以便于各个虚拟机处理节点12根据类型获取其需要处理的样本进而进行处理；
2)各个虚拟机处理节点12（VM Server）向中央调度服务器11周期性地发送自身状态信息，且该过程不能停止，类似于“心跳”维持，来通知中央调度服务器11本节点是处于活动状态的；
3)虚拟机机节点12根据自身性能，定时向中央调度服务器11申请任务；中央调度服务器11验证后即将需要分析的样本任务发送给虚拟机处理节点12；
4)由于各个虚拟机处理节点12的性能可能不同，所以在中央调度服务器11对各个虚拟机处理节点12的状态信息进行记录，以供后续分析时用。
本发明实施例提供的异常监测和预警方法，应用于图1所示系统，请参照图2，该方法包括：
步骤21，统计恶意软件动态行为分析系统在过去一段时间内对恶意软件样本的处理信息，学习恶意软件动态行为分析系统对恶意软件样本的处理规律。
步骤22，获取恶意软件动态行为分析系统对恶意软件样本的当前处理状态，并在当前处理状态与所述处理规律不匹配时发出预警。
作为一种优选实施方式，本实施例可以针对系统中的每个节点，分别统计学习其对恶意软件样本的处理规律，进而判断该节点的当前处理状态是否与处理规律相匹配，若不匹配，则产生预警。此时，上述步骤21中，所述处理信息包括各个节点忙闲状态的转换时长以及针对单个样本的处理时长；所述处理规律包括各个节点在所述过去一段时间内的忙闲状态的平均转换时长以及针对单个样本的平均处理时长。上述步骤22则具体包括：
获取恶意软件动态行为分析系统中各个节点，在预定长度的时间周期内的忙闲状态的转换时长和针对单个样本的处理时长；
若当前时间周期内的忙闲状态的转换时长与所述平均转换时长之间的差值大于预设第一门限，或者，当前时间周期内针对单个样本的处理时长与所述平均处理时长之间的差值大于预设第二门限，则产生对应节点的节点告警信息，以提示管理人员节点可能发生异常情况。
更进一步的，若针对一节点连续产生所述节点告警信息的次数达到预定第一阈值，则发出系统管理警报，并停止对应节点对恶意软件样本的处理。
作为又一种优选实施方式，本实施例可以针对系统整体，统计学习整个系统对恶意软件样本的处理规律，进而判断该系统的当前处理状态是否与处理规律相匹配，若不匹配，则产生预警。此时，上述步骤21中，所述处理信息包括：恶意软件样本的处理数量，所述处理规律包括：预定长度的时间周期内恶意软件样本的处理数量的参考平均值。上述步骤22则具体包括：
获取恶意软件动态行为分析系统在当前时间周期内的样本处理总数量的平均值；
在当前时间周期内的样本处理总数量的平均值与所述参考平均值之间的差值大于预设第三门限时，发出系统告警信息，用以提示管理人员当前系统可能存在异常情况。考虑到系统中的节点状态，本发明实施例可以在系统中的节点数量保持不变、且产生所述节点告警信息的节点数量低于预设第三阈值、以及在当前时间周期内的样本处理总数量的平均值与所述参考平均值之间的差值大于预设第三门限时，发出所述系统告警信息。
更进一步的，若连续发出所述系统告警信息的次数达到预定第二阈值，发出系统管理警报，从而可以提示管理人员在必要情况下人工处理异常情况等。
上述各个门限及阈值，可以根据系统实际运行情况以及监控需求进行设置。例如，在希望尽可能预警到各种异常情况时，可以将上述门限值设的较小；反之，若希望预警误报情况较少时，则可以将上述门限值设置的较大。又例如，可以根据系统以往运行过程中的异常情况时系统整体及节点的处理信息记录，对门限及阈值进行调整，使其判断结果与历史记录相匹配。
基于上述方法，本实施例还提供了一种恶意软件动态行为分析系统的预警装置，这里，所述系统包括用于存储及调度待处理的恶意软件样本的中央调度服务器、多个用于从中央调度服务器获取恶意软件样本进行处理的分布式虚拟机处理节点，如图3所示，所述装置包括：
统计学习模块，用于统计恶意软件动态行为分析系统在过去一段时间内对恶意软件样本的处理信息，学习恶意软件动态行为分析系统对恶意软件样本的处理规律；
告警处理模块，用于获取恶意软件动态行为分析系统对恶意软件样本的当前处理状态，并在当前处理状态与所述处理规律不匹配时发出预警。
具体的，所述处理信息包括各个节点忙闲状态的转换时长以及针对单个样本的处理时长；所述处理规律包括各个节点在所述过去一段时间内的忙闲状态的平均转换时长以及针对单个样本的平均处理时长。此时，所述告警处理模块包括：
第一获取单元，用于获取恶意软件动态行为分析系统中各个节点，在预定长度的时间周期内的忙闲状态的转换时长和针对单个样本的处理时长；
第一告警单元，用于若当前时间周期内的忙闲状态的转换时长与所述平均转换时长之间的差值大于预设第一门限，或者，当前时间周期内针对单个样本的处理时长与所述平均处理时长之间的差值大于预设第二门限，则产生对应节点的节点告警信息。
进一步的，所述告警处理模块还包括：
第二告警单元，用于若针对一节点连续产生所述节点告警信息的次数达到预定第一阈值，则发出系统管理警报，并停止对应节点对恶意软件样本的处理。
具体的，所述处理信息还包括：恶意软件样本的处理数量，所述处理规律还包括：预定长度的时间周期内恶意软件样本的处理数量的参考平均值。此时，所述告警处理模块还包括：
第二获取单元，用于获取恶意软件动态行为分析系统在当前时间周期内的样本处理总数量的平均值；
第三告警单元，用于在当前时间周期内的样本处理总数量的平均值与所述参考平均值之间的差值大于预设第三门限时，发出系统告警信息。
更进一步的，所述第三告警单元，还可以用于在系统中的节点数量保持不变、且产生所述节点告警信息的节点数量低于预设第三阈值、以及在当前时间周期内的样本处理总数量的平均值与所述参考平均值之间的差值大于预设第三门限时，发出所述系统告警信息。
更进一步的，所述告警处理模块还包括：
第四告警单元，用于若连续发出所述系统告警信息的次数达到预定第二阈值，发出系统管理警报。
从以上所述可以看出，本发明实施例通过对恶意软件动态行为分析系统的分布式架构中的任务处理状态进行监测，在结果层面，对系统整体的处理量和处理状态进行一段时间的学习总结出相应的处理规律，包括处理效率（针对单个样本的处理时长）、处理量、工作状态转换规律（忙闲状态的平均转换时长）等，在后续根据系统的当前处理状态可以及时发现系统整体的处理异常并发出预警；并且，本实施例还可以对分布式系统中的每个处理节点的处理规律进行周期性的学习及监测，针对每个节点，通过汇总一段时间内该节点的处理情况获得其规律，从而可以对该节点的当前处理状态做出判断，能够及时发现异常的处理节点，及时发布警告，并能够禁用该节点以避免影响的扩大。
下面再结合一个更为具体的示例，对本发明实施例作进一步的说明。
请参照图4，该示例给出了节点异常监测的流程。在该示例中，考虑到各个虚拟机节点的性能可能存在差异，因此在对其状态进行异常监测时，根据各个虚拟机处理节点的历史状态数据来分析其性能、效率等信息，这些信息可以从中央调度服务器的数据库中检索到，监测过程包括：
步骤41，检索一段时间内各个虚拟机处理节点的状态变化及处理效率等信息。
通常，所述的一段时间可以根据具体情况来调整，例如，对现有系统，可以设置为一周时间。这里，状态变化可以是指节点忙闲状态转换的信息，例如，节点发生一次由忙碌状态至空闲状态所需的时间；处理效率可以用节点对单个样本的处理时长来表征。
步骤42，分析检索到的数据，得出一个状态变化及处理效率的监测基准值。
这里，以过去一段时间为基础，得到状态变化的基准值，例如从忙碌状态转换到空闲状态的平均耗时等，以及，得到处理效率基准值，例如处理一个样本的平均时长等。
步骤43，对虚拟机处理节点的当前运行情况进行监测，若超过上述基准值达到某个预设门限，则发出节点警报并进行记录。
步骤44，如果连续三次发出针对某个虚拟机处理节点的警报，则向中央调度服务器发出通知，以便所述中央调度服务器停止该虚拟机处理服务器，并发出对应的系统警报，以提示对应节点可能存在异常情况需要人工处理。
步骤45，判断是否需要退出监测流程，例如，若事先设置了监测周期，则在监测周期结束时可以结束流程，若监测周期尚未结束，则返回步骤43，继续监测节点的运行情况。
在对节点进行上述监测的同时，本示例还可以针对系统整体运行情况进行异常监测和预警。本示例中，系统整体运行情况的监测及异常的前提是，该系统中的分布式虚拟机节点没有增加或者减少，并且系统中节点警报涉及的节点数量没有超出预设阈值（例如，该阀值可以按照总体虚拟机节点数量的10%来定），在上述前提下，该示例在按照以下方式进行系统监测：
首先，采集系统前一段时间周期（可以按照周为单位）的处理数据，包括样本处理完成总数（或者是成功处理样本数量）等，并可以按照更短的时间间隔，对前一段时间周期内的各个时间间隔内的处理数据进行分段统计，例如：
1）以周为一个时间周期，统计各个时间间隔（每天）内的样本处理数量；
2）甚至，还可以对每天的数据进行细分，按照小时段（即，一天分成24个时间段）统计得到每个小时的处理数量；
然后，根据上述的统计结果，监测系统当前的运行状态，例如，如果发生当前时间间隔内的处理数量与统计得到的处理数量之间差异大于某个门限的情况，且该情况连续发生次数达到预定次数，此时发出系统管理警报。例如，连续3个小时内的处理数据量明显大于上述统计数据的20%以上，此时发出系统管理警报。
综上，本发明实施例基于过去一段时间内的系统及节点运行指标，对当前系统及节点的运行情况进行监测，将系统状态的监测由固定指标变为动态学习的可变指标，使得监测更灵活，监测结果更为准确。并且，本发明实施例对于分布式的虚拟机处理节点的监测，则会根据节点本身的性能来考量，从而监测准确性更高。
值得注意的是，本发明中所述的第一门限中的“第一”仅是作为定语，是为了对所修饰的词语作区分，并不起任何顺序限定作用，相应地，其他类似描述也是为了对所修饰的词语作区分，不起任何顺序限定作用。
此说明书中所描述的许多功能部件都被称为模块，以便更加特别地强调其实现方式的独立性。
本发明实施例中，模块可以用软件实现，以便由各种类型的处理器执行。举例来说，一个标识的可执行代码模块可以包括计算机指令的一个或多个物理或者逻辑块，举例来说，其可以被构建为对象、过程或函数。尽管如此，所标识模块的可执行代码无需物理地位于一起，而是可以包括存储在不同位里上的不同的指令，当这些指令逻辑上结合在一起时，其构成模块并且实现该模块的规定目的。
实际上，可执行代码模块可以是单条指令或者是许多条指令，并且甚至可以分布在多个不同的代码段上，分布在不同程序当中，以及跨越多个存储器设备分布。同样地，操作数据可以在模块内被识别，并且可以依照任何适当的形式实现并且被组织在任何适当类型的数据结构内。所述操作数据可以作为单个数据集被收集，或者可以分布在不同位置上（包括在不同存储设备上），并且至少部分地可以仅作为电子信号存在于系统或网络上。
在模块可以利用软件实现时，考虑到现有硬件工艺的水平，所以可以以软件实现的模块，在不考虑成本的情况下，本领域技术人员都可以搭建对应的硬件电路来实现对应的功能，所述硬件电路包括常规的超大规模集成（VLSI）电路或者门阵列以及诸如逻辑芯片、晶体管之类的现有半导体或者是其它分立的元件。模块还可以用可编程硬件设备，诸如现场可编程门阵列、可编程阵列逻辑、可编程逻辑设备等实现。
以上所述仅是本发明的实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以作出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

资源描述

《恶意软件动态行为分析系统的预警方法及装置.pdf》由会员分享，可在线阅读，更多相关《恶意软件动态行为分析系统的预警方法及装置.pdf（13页珍藏版）》请在专利查询网上搜索。

1、10申请公布号CN104123494A43申请公布日20141029CN104123494A21申请号201310146238022申请日20130424G06F21/5620130171申请人贝壳网际（北京）安全技术有限公司地址100041北京市石景山区八大处高科技园区西井路3号3号楼1100A房间申请人北京金山网络科技有限公司北京金山安全软件有限公司珠海市君天电子科技有限公司可牛网络技术（北京）有限公司72发明人邹义鹏焦国强陈勇张楠74专利代理机构北京银龙知识产权代理有限公司11243代理人许静黄灿54发明名称恶意软件动态行为分析系统的预警方法及装置57摘要本发明提供了一种恶意软件动态行为。

2、分析系统的预警方法及装置，其中所述方法包括统计恶意软件动态行为分析系统在过去一段时间内对恶意软件样本的处理信息，学习恶意软件动态行为分析系统对恶意软件样本的处理规律；获取恶意软件动态行为分析系统对恶意软件样本的当前处理状态，并在当前处理状态与所述处理规律不匹配时发出预警。本发明能够及时发现系统中的异常并进行告警。51INTCL权利要求书2页说明书8页附图2页19中华人民共和国国家知识产权局12发明专利申请权利要求书2页说明书8页附图2页10申请公布号CN104123494ACN104123494A1/2页21一种恶意软件动态行为分析系统的预警方法，其特征在于，所述方法包括统计恶意软件动态行为分。

3、析系统在过去一段时间内对恶意软件样本的处理信息，学习恶意软件动态行为分析系统对恶意软件样本的处理规律；获取恶意软件动态行为分析系统对恶意软件样本的当前处理状态，并在当前处理状态与所述处理规律不匹配时发出预警。2如权利要求1所述的方法，其特征在于，所述处理信息包括各个节点忙闲状态的转换时长以及针对单个样本的处理时长；所述处理规律包括各个节点在所述过去一段时间内的忙闲状态的平均转换时长以及针对单个样本的平均处理时长。3如权利要求2所述的方法，其特征在于，所述获取恶意软件动态行为分析系统的当前处理状态，并在当前处理状态与所述处理规律不匹配时发出预警包括获取恶意软件动态行为分析系统中各个节点，在预定长。

4、度的时间周期内的忙闲状态的转换时长和针对单个样本的处理时长；若当前时间周期内的忙闲状态的转换时长与所述平均转换时长之间的差值大于预设第一门限，或者，当前时间周期内针对单个样本的处理时长与所述平均处理时长之间的差值大于预设第二门限，则产生对应节点的节点告警信息。4如权利要求3所述的方法，其特征在于，还包括若针对一节点连续产生所述节点告警信息的次数达到预定第一阈值，则发出系统管理警报，并停止对应节点对恶意软件样本的处理。5如权利要求3所述的方法，其特征在于，所述处理信息还包括恶意软件样本的处理数量，所述处理规律还包括预定长度的时间周期内恶意软件样本的处理数量的参考平均值。6如权利要求5所述的方法，。

5、其特征在于，所述获取恶意软件动态行为分析系统的当前处理状态，并在当前处理状态与所述处理规律不匹配时发出预警还包括获取恶意软件动态行为分析系统在当前时间周期内的样本处理总数量的平均值；在当前时间周期内的样本处理总数量的平均值与所述参考平均值之间的差值大于预设第三门限时，发出系统告警信息。7如权利要求6所述的方法，其特征在于，所述获取恶意软件动态行为分析系统的当前处理状态，并在当前处理状态与所述处理规律不匹配时发出预警还包括若连续发出所述系统告警信息的次数达到预定第二阈值，发出系统管理警报。8如权利要求6所述的方法，其特征在于，进一步在系统中的节点数量保持不变、且产生所述节点告警信息的节点数量低于。

6、预设第三阈值、以及在当前时间周期内的样本处理总数量的平均值与所述参考平均值之间的差值大于预设第三门限时，发出所述系统告警信息。9一种恶意软件动态行为分析系统的预警装置，其特征在于，所述装置包括统计学习模块，用于统计恶意软件动态行为分析系统在过去一段时间内对恶意软件样本的处理信息，学习恶意软件动态行为分析系统对恶意软件样本的处理规律；告警处理模块，用于获取恶意软件动态行为分析系统对恶意软件样本的当前处理状态，并在当前处理状态与所述处理规律不匹配时发出预警。10如权利要求9所述的装置，其特征在于，所述处理信息包括各个节点忙闲状态的转权利要求书CN104123494A2/2页3换时长以及针对单个样本。

7、的处理时长；所述处理规律包括各个节点在所述过去一段时间内的忙闲状态的平均转换时长以及针对单个样本的平均处理时长。11如权利要求10所述的装置，其特征在于，所述告警处理模块包括第一获取单元，用于获取恶意软件动态行为分析系统中各个节点，在预定长度的时间周期内的忙闲状态的转换时长和针对单个样本的处理时长；第一告警单元，用于若当前时间周期内的忙闲状态的转换时长与所述平均转换时长之间的差值大于预设第一门限，或者，当前时间周期内针对单个样本的处理时长与所述平均处理时长之间的差值大于预设第二门限，则产生对应节点的节点告警信息。12如权利要求11所述的装置，其特征在于，所述告警处理模块还包括第二告警单元，用于。

8、若针对一节点连续产生所述节点告警信息的次数达到预定第一阈值，则发出系统管理警报，并停止对应节点对恶意软件样本的处理。13如权利要求11所述的装置，其特征在于，所述处理信息还包括恶意软件样本的处理数量，所述处理规律还包括预定长度的时间周期内恶意软件样本的处理数量的参考平均值。14如权利要求13所述的装置，其特征在于，所述告警处理模块还包括第二获取单元，用于获取恶意软件动态行为分析系统在当前时间周期内的样本处理总数量的平均值；第三告警单元，用于在当前时间周期内的样本处理总数量的平均值与所述参考平均值之间的差值大于预设第三门限时，发出系统告警信息。15如权利要求14所述的装置，其特征在于，所述告警处。

9、理模块还包括第四告警单元，用于若连续发出所述系统告警信息的次数达到预定第二阈值，发出系统管理警报。16如权利要求14所述的装置，其特征在于，所述第三告警单元，进一步用于在系统中的节点数量保持不变、且产生所述节点告警信息的节点数量低于预设第三阈值、以及在当前时间周期内的样本处理总数量的平均值与所述参考平均值之间的差值大于预设第三门限时，发出所述系统告警信息。权利要求书CN104123494A1/8页4恶意软件动态行为分析系统的预警方法及装置技术领域0001本发明涉及网络安全技术领域，具体涉及一种恶意软件动态行为分析系统的预警方法及装置。背景技术0002恶意软件动态行为分析系统，是将恶意软件置于虚。

10、拟机环境中来运行，对其运行期间的动态行为进行监控和分析的一套系统，该系统的输入为恶意软件的样本，输出为针对该样本的动态行为分析报告。该系统通常包括有中央调度服务器和多个分布式虚拟机处理节点。其中，中央调度服务器是用于存储、调度待处理的样本的服务器，分布式虚拟机处理节点是指系统中用于处理恶意软件样本的处理节点，该节点可以通过挂载的方式注册到系统中，这样就能从中央调度服务器获取恶意软件样本进行处理。目前来说，虚拟化平台通常都有针对虚拟机的监控，包括CPU（CENTRALPROCESSINGUNIT，中央处理器）占用率以及是否宕机等信息，这些措施虽然能够提供对虚拟机本身的完整监控，但是对于恶意软件动。

11、态行为分析系统来说，它做不到在上层的系统层面对系统运行状况做监控和预警，例如，在某些情况下，虚拟机中运行的恶意软件样本会破坏虚拟机的软件环境，例如对网络通信的干扰等，这些可能会导致我们恶意软件行为分析系统的通信中断，但是不造成虚拟机CPU占用率过高或者宕机，在这种情况下，虚拟机平台自有的监控系统会提示虚拟机运行状况良好，但是上层系统的处理流程已经出现阻塞等问题，最常见的就是处理样本超时，此时就需要依赖监控预警系统来给出相应的反馈和后续处理动作（如同一个虚拟机连续多个样本出现超时，则停用该虚拟机）。0003恶意软件动态行为分析系统的异常监测和预警，是指对系统运行状态进行监控，对出现的异常情况发出。

12、警报，具体的警报形式有多种多样，例如可以通过文字提示或电子邮件通知等方式进行警示。0004对于通常的流转业务系统而言，处理环节一般会有很多个。为保证整体业务流水线正常工作，就要求各个环节都能正常运转，一旦出现问题需要能够尽快被发现，并尽可能的自动恢复，恢复不了的则通过人工干预。因此，需要对整体流程和各个子环节进行状态监控以便发现问题，通常需要在系统层面，以及需要监控的子环节层面部署相应的监控机制，以此达到预警目的。0005恶意软件动态行为分析系统在其运行过程中，由于涉及到将恶意软件样本放到虚拟机环境中运行抓取其日志记录解析最终得出分析报告。对于系统运行状态的监测，通常是事先在可能出现问题的环节。

13、部署如日志记录、状态监控等功能，来发现系统中出现的异常。0006可以看出，传统的预警方法需要事先把可能出现问题的环节都想到，才能在最大程度上防止漏掉监控点。事实上，事先把所有可能出问题的环节都考虑到是比较困难的，而在所有的点上部署监控也不现实，因此很容易遗漏掉某些监控点，导致系统在实际运行中出现问题而不能及时发现异常，从而导致跟进和修复的整体周期变长，对整体业务会产生说明书CN104123494A2/8页5较大的影响。发明内容0007有鉴于此，本发明的目的是提供一种恶意软件动态行为分析系统的预警方法及装置，能够及时发现系统中的异常并进行告警。0008为解决上述技术问题，本发明提供方案如下000。

14、9一种恶意软件动态行为分析系统的预警方法，包括0010统计恶意软件动态行为分析系统在过去一段时间内对恶意软件样本的处理信息，学习恶意软件动态行为分析系统对恶意软件样本的处理规律；0011获取恶意软件动态行为分析系统对恶意软件样本的当前处理状态，并在当前处理状态与所述处理规律不匹配时发出预警。0012进一步的，上述方案中，所述处理信息包括各个节点忙闲状态的转换时长以及针对单个样本的处理时长；所述处理规律包括各个节点在所述过去一段时间内的忙闲状态的平均转换时长以及针对单个样本的平均处理时长。0013进一步的，上述方案中，所述获取恶意软件动态行为分析系统的当前处理状态，并在当前处理状态与所述处理规律。

15、不匹配时发出预警包括0014获取恶意软件动态行为分析系统中各个节点，在预定长度的时间周期内的忙闲状态的转换时长和针对单个样本的处理时长；0015若当前时间周期内的忙闲状态的转换时长与所述平均转换时长之间的差值大于预设第一门限，或者，当前时间周期内针对单个样本的处理时长与所述平均处理时长之间的差值大于预设第二门限，则产生对应节点的节点告警信息。0016进一步的，上述方案中，还包括0017若针对一节点连续产生所述节点告警信息的次数达到预定第一阈值，则发出系统管理警报，并停止对应节点对恶意软件样本的处理。0018进一步的，上述方案中，所述处理信息还包括恶意软件样本的处理数量，所述处理规律还包括预定长。

16、度的时间周期内恶意软件样本的处理数量的参考平均值。0019进一步的，上述方案中，所述获取恶意软件动态行为分析系统的当前处理状态，并在当前处理状态与所述处理规律不匹配时发出预警还包括0020获取恶意软件动态行为分析系统在当前时间周期内的样本处理总数量的平均值；0021在当前时间周期内的样本处理总数量的平均值与所述参考平均值之间的差值大于预设第三门限时，发出系统告警信息。0022进一步的，上述方案中，所述获取恶意软件动态行为分析系统的当前处理状态，并在当前处理状态与所述处理规律不匹配时发出预警还包括0023若连续发出所述系统告警信息的次数达到预定第二阈值，发出系统管理警报。0024进一步的，上述方。

17、案中，进一步在系统中的节点数量保持不变、且产生所述节点告警信息的节点数量低于预设第三阈值、以及在当前时间周期内的样本处理总数量的平均值与所述参考平均值之间的差值大于预设第三门限时，发出所述系统告警信息。0025本发明实施例还提供了一种恶意软件动态行为分析系统的预警装置，包括说明书CN104123494A3/8页60026统计学习模块，用于统计恶意软件动态行为分析系统在过去一段时间内对恶意软件样本的处理信息，学习恶意软件动态行为分析系统对恶意软件样本的处理规律；0027告警处理模块，用于获取恶意软件动态行为分析系统对恶意软件样本的当前处理状态，并在当前处理状态与所述处理规律不匹配时发出预警。00。

18、28进一步的，上述方案中，所述处理信息包括各个节点忙闲状态的转换时长以及针对单个样本的处理时长；所述处理规律包括各个节点在所述过去一段时间内的忙闲状态的平均转换时长以及针对单个样本的平均处理时长。0029进一步的，上述方案中，所述告警处理模块包括0030第一获取单元，用于获取恶意软件动态行为分析系统中各个节点，在预定长度的时间周期内的忙闲状态的转换时长和针对单个样本的处理时长；0031第一告警单元，用于若当前时间周期内的忙闲状态的转换时长与所述平均转换时长之间的差值大于预设第一门限，或者，当前时间周期内针对单个样本的处理时长与所述平均处理时长之间的差值大于预设第二门限，则产生对应节点的节点告警。

19、信息。0032进一步的，上述方案中，所述告警处理模块还包括0033第二告警单元，用于若针对一节点连续产生所述节点告警信息的次数达到预定第一阈值，则发出系统管理警报，并停止对应节点对恶意软件样本的处理。0034进一步的，上述方案中，所述处理信息还包括恶意软件样本的处理数量，所述处理规律还包括预定长度的时间周期内恶意软件样本的处理数量的参考平均值。0035进一步的，上述方案中，所述告警处理模块还包括0036第二获取单元，用于获取恶意软件动态行为分析系统在当前时间周期内的样本处理总数量的平均值；0037第三告警单元，用于在当前时间周期内的样本处理总数量的平均值与所述参考平均值之间的差值大于预设第三门。

20、限时，发出系统告警信息。0038进一步的，上述方案中，所述告警处理模块还包括0039第四告警单元，用于若连续发出所述系统告警信息的次数达到预定第二阈值，发出系统管理警报。0040进一步的，上述方案中，所述第三告警单元，进一步用于在系统中的节点数量保持不变、且产生所述节点告警信息的节点数量低于预设第三阈值、以及在当前时间周期内的样本处理总数量的平均值与所述参考平均值之间的差值大于预设第三门限时，发出所述系统告警信息。0041从以上所述可以看出，本发明提供的恶意软件动态行为分析系统的预警方法及装置，基于过去一段时间内的系统及节点运行指标，对当前系统及节点的运行情况进行监测，将系统状态的监测由固定指。

21、标变为动态学习的可变指标，使得监测更灵活，监测结果更为准确。并且，本发明实施例基于各个节点的历史记录对节点进行监测，提高了监测准确性，从而能够及时发现异常的处理节点，及时发布警告，并能够禁用该节点以避免异常影响的扩大。附图说明0042图1为本发明实施例所述系统的结构示意图；说明书CN104123494A4/8页70043图2为本发明实施例提供异常监测和预警方法的流程示意图；0044图3为本发明实施例提供异常监测和预警装置的结构示意图；0045图4为本发明实施例中的节点异常监测和预警方法的一个示例示意图。具体实施方式0046为使本发明的目的、技术方案和优点更加清楚，下面将结合附图及具体实施例对本。

22、发明进行详细描述。0047本发明实施例提供了一种恶意软件动态行为分析系统的预警方法及装置，能够及时发现系统中的异常并进行告警，减小异常情况对系统的不利影响。0048本发明实施例提供异常监测和预警方法，应用于一恶意软件动态行为分析系统中，如图1所示，该系统包括用于存储及调度待处理的恶意软件样本13的中央调度服务器11、多个用于从中央调度服务器获取恶意软件样本进行处理的分布式虚拟机处理节点12。多个节点12通过挂载的方式注册到系统中，从中央调度服务器11处获取恶意软件样本进行处理。该系统的运行方式如下00491恶意软件样本13进入中央调度服务器11之后，首先被中央调度服务器11存储起来，并且中央调。

23、度服务器11还可以对样本的类型进行标示，以便于各个虚拟机处理节点12根据类型获取其需要处理的样本进而进行处理；00502各个虚拟机处理节点12（VMSERVER）向中央调度服务器11周期性地发送自身状态信息，且该过程不能停止，类似于“心跳”维持，来通知中央调度服务器11本节点是处于活动状态的；00513虚拟机机节点12根据自身性能，定时向中央调度服务器11申请任务；中央调度服务器11验证后即将需要分析的样本任务发送给虚拟机处理节点12；00524由于各个虚拟机处理节点12的性能可能不同，所以在中央调度服务器11对各个虚拟机处理节点12的状态信息进行记录，以供后续分析时用。0053本发明实施例提。

24、供的异常监测和预警方法，应用于图1所示系统，请参照图2，该方法包括0054步骤21，统计恶意软件动态行为分析系统在过去一段时间内对恶意软件样本的处理信息，学习恶意软件动态行为分析系统对恶意软件样本的处理规律。0055步骤22，获取恶意软件动态行为分析系统对恶意软件样本的当前处理状态，并在当前处理状态与所述处理规律不匹配时发出预警。0056作为一种优选实施方式，本实施例可以针对系统中的每个节点，分别统计学习其对恶意软件样本的处理规律，进而判断该节点的当前处理状态是否与处理规律相匹配，若不匹配，则产生预警。此时，上述步骤21中，所述处理信息包括各个节点忙闲状态的转换时长以及针对单个样本的处理时长；。

25、所述处理规律包括各个节点在所述过去一段时间内的忙闲状态的平均转换时长以及针对单个样本的平均处理时长。上述步骤22则具体包括0057获取恶意软件动态行为分析系统中各个节点，在预定长度的时间周期内的忙闲状态的转换时长和针对单个样本的处理时长；0058若当前时间周期内的忙闲状态的转换时长与所述平均转换时长之间的差值大于预设第一门限，或者，当前时间周期内针对单个样本的处理时长与所述平均处理时长之间说明书CN104123494A5/8页8的差值大于预设第二门限，则产生对应节点的节点告警信息，以提示管理人员节点可能发生异常情况。0059更进一步的，若针对一节点连续产生所述节点告警信息的次数达到预定第一阈值。

26、，则发出系统管理警报，并停止对应节点对恶意软件样本的处理。0060作为又一种优选实施方式，本实施例可以针对系统整体，统计学习整个系统对恶意软件样本的处理规律，进而判断该系统的当前处理状态是否与处理规律相匹配，若不匹配，则产生预警。此时，上述步骤21中，所述处理信息包括恶意软件样本的处理数量，所述处理规律包括预定长度的时间周期内恶意软件样本的处理数量的参考平均值。上述步骤22则具体包括0061获取恶意软件动态行为分析系统在当前时间周期内的样本处理总数量的平均值；0062在当前时间周期内的样本处理总数量的平均值与所述参考平均值之间的差值大于预设第三门限时，发出系统告警信息，用以提示管理人员当前系统。

27、可能存在异常情况。考虑到系统中的节点状态，本发明实施例可以在系统中的节点数量保持不变、且产生所述节点告警信息的节点数量低于预设第三阈值、以及在当前时间周期内的样本处理总数量的平均值与所述参考平均值之间的差值大于预设第三门限时，发出所述系统告警信息。0063更进一步的，若连续发出所述系统告警信息的次数达到预定第二阈值，发出系统管理警报，从而可以提示管理人员在必要情况下人工处理异常情况等。0064上述各个门限及阈值，可以根据系统实际运行情况以及监控需求进行设置。例如，在希望尽可能预警到各种异常情况时，可以将上述门限值设的较小；反之，若希望预警误报情况较少时，则可以将上述门限值设置的较大。又例如，可。

28、以根据系统以往运行过程中的异常情况时系统整体及节点的处理信息记录，对门限及阈值进行调整，使其判断结果与历史记录相匹配。0065基于上述方法，本实施例还提供了一种恶意软件动态行为分析系统的预警装置，这里，所述系统包括用于存储及调度待处理的恶意软件样本的中央调度服务器、多个用于从中央调度服务器获取恶意软件样本进行处理的分布式虚拟机处理节点，如图3所示，所述装置包括0066统计学习模块，用于统计恶意软件动态行为分析系统在过去一段时间内对恶意软件样本的处理信息，学习恶意软件动态行为分析系统对恶意软件样本的处理规律；0067告警处理模块，用于获取恶意软件动态行为分析系统对恶意软件样本的当前处理状态，并在。

29、当前处理状态与所述处理规律不匹配时发出预警。0068具体的，所述处理信息包括各个节点忙闲状态的转换时长以及针对单个样本的处理时长；所述处理规律包括各个节点在所述过去一段时间内的忙闲状态的平均转换时长以及针对单个样本的平均处理时长。此时，所述告警处理模块包括0069第一获取单元，用于获取恶意软件动态行为分析系统中各个节点，在预定长度的时间周期内的忙闲状态的转换时长和针对单个样本的处理时长；0070第一告警单元，用于若当前时间周期内的忙闲状态的转换时长与所述平均转换时长之间的差值大于预设第一门限，或者，当前时间周期内针对单个样本的处理时长与所述平均处理时长之间的差值大于预设第二门限，则产生对应节点。

30、的节点告警信息。说明书CN104123494A6/8页90071进一步的，所述告警处理模块还包括0072第二告警单元，用于若针对一节点连续产生所述节点告警信息的次数达到预定第一阈值，则发出系统管理警报，并停止对应节点对恶意软件样本的处理。0073具体的，所述处理信息还包括恶意软件样本的处理数量，所述处理规律还包括预定长度的时间周期内恶意软件样本的处理数量的参考平均值。此时，所述告警处理模块还包括0074第二获取单元，用于获取恶意软件动态行为分析系统在当前时间周期内的样本处理总数量的平均值；0075第三告警单元，用于在当前时间周期内的样本处理总数量的平均值与所述参考平均值之间的差值大于预设第三门。

31、限时，发出系统告警信息。0076更进一步的，所述第三告警单元，还可以用于在系统中的节点数量保持不变、且产生所述节点告警信息的节点数量低于预设第三阈值、以及在当前时间周期内的样本处理总数量的平均值与所述参考平均值之间的差值大于预设第三门限时，发出所述系统告警信息。0077更进一步的，所述告警处理模块还包括0078第四告警单元，用于若连续发出所述系统告警信息的次数达到预定第二阈值，发出系统管理警报。0079从以上所述可以看出，本发明实施例通过对恶意软件动态行为分析系统的分布式架构中的任务处理状态进行监测，在结果层面，对系统整体的处理量和处理状态进行一段时间的学习总结出相应的处理规律，包括处理效率（。

32、针对单个样本的处理时长）、处理量、工作状态转换规律（忙闲状态的平均转换时长）等，在后续根据系统的当前处理状态可以及时发现系统整体的处理异常并发出预警；并且，本实施例还可以对分布式系统中的每个处理节点的处理规律进行周期性的学习及监测，针对每个节点，通过汇总一段时间内该节点的处理情况获得其规律，从而可以对该节点的当前处理状态做出判断，能够及时发现异常的处理节点，及时发布警告，并能够禁用该节点以避免影响的扩大。0080下面再结合一个更为具体的示例，对本发明实施例作进一步的说明。0081请参照图4，该示例给出了节点异常监测的流程。在该示例中，考虑到各个虚拟机节点的性能可能存在差异，因此在对其状态进行异。

33、常监测时，根据各个虚拟机处理节点的历史状态数据来分析其性能、效率等信息，这些信息可以从中央调度服务器的数据库中检索到，监测过程包括0082步骤41，检索一段时间内各个虚拟机处理节点的状态变化及处理效率等信息。0083通常，所述的一段时间可以根据具体情况来调整，例如，对现有系统，可以设置为一周时间。这里，状态变化可以是指节点忙闲状态转换的信息，例如，节点发生一次由忙碌状态至空闲状态所需的时间；处理效率可以用节点对单个样本的处理时长来表征。0084步骤42，分析检索到的数据，得出一个状态变化及处理效率的监测基准值。0085这里，以过去一段时间为基础，得到状态变化的基准值，例如从忙碌状态转换到空闲状。

34、态的平均耗时等，以及，得到处理效率基准值，例如处理一个样本的平均时长等。0086步骤43，对虚拟机处理节点的当前运行情况进行监测，若超过上述基准值达到某个预设门限，则发出节点警报并进行记录。说明书CN104123494A7/8页100087步骤44，如果连续三次发出针对某个虚拟机处理节点的警报，则向中央调度服务器发出通知，以便所述中央调度服务器停止该虚拟机处理服务器，并发出对应的系统警报，以提示对应节点可能存在异常情况需要人工处理。0088步骤45，判断是否需要退出监测流程，例如，若事先设置了监测周期，则在监测周期结束时可以结束流程，若监测周期尚未结束，则返回步骤43，继续监测节点的运行情况。。

35、0089在对节点进行上述监测的同时，本示例还可以针对系统整体运行情况进行异常监测和预警。本示例中，系统整体运行情况的监测及异常的前提是，该系统中的分布式虚拟机节点没有增加或者减少，并且系统中节点警报涉及的节点数量没有超出预设阈值（例如，该阀值可以按照总体虚拟机节点数量的10来定），在上述前提下，该示例在按照以下方式进行系统监测0090首先，采集系统前一段时间周期（可以按照周为单位）的处理数据，包括样本处理完成总数（或者是成功处理样本数量）等，并可以按照更短的时间间隔，对前一段时间周期内的各个时间间隔内的处理数据进行分段统计，例如00911）以周为一个时间周期，统计各个时间间隔（每天）内的样本处。

36、理数量；00922）甚至，还可以对每天的数据进行细分，按照小时段（即，一天分成24个时间段）统计得到每个小时的处理数量；0093然后，根据上述的统计结果，监测系统当前的运行状态，例如，如果发生当前时间间隔内的处理数量与统计得到的处理数量之间差异大于某个门限的情况，且该情况连续发生次数达到预定次数，此时发出系统管理警报。例如，连续3个小时内的处理数据量明显大于上述统计数据的20以上，此时发出系统管理警报。0094综上，本发明实施例基于过去一段时间内的系统及节点运行指标，对当前系统及节点的运行情况进行监测，将系统状态的监测由固定指标变为动态学习的可变指标，使得监测更灵活，监测结果更为准确。并且，本。

37、发明实施例对于分布式的虚拟机处理节点的监测，则会根据节点本身的性能来考量，从而监测准确性更高。0095值得注意的是，本发明中所述的第一门限中的“第一”仅是作为定语，是为了对所修饰的词语作区分，并不起任何顺序限定作用，相应地，其他类似描述也是为了对所修饰的词语作区分，不起任何顺序限定作用。0096此说明书中所描述的许多功能部件都被称为模块，以便更加特别地强调其实现方式的独立性。0097本发明实施例中，模块可以用软件实现，以便由各种类型的处理器执行。举例来说，一个标识的可执行代码模块可以包括计算机指令的一个或多个物理或者逻辑块，举例来说，其可以被构建为对象、过程或函数。尽管如此，所标识模块的可执行。

38、代码无需物理地位于一起，而是可以包括存储在不同位里上的不同的指令，当这些指令逻辑上结合在一起时，其构成模块并且实现该模块的规定目的。0098实际上，可执行代码模块可以是单条指令或者是许多条指令，并且甚至可以分布在多个不同的代码段上，分布在不同程序当中，以及跨越多个存储器设备分布。同样地，操作数据可以在模块内被识别，并且可以依照任何适当的形式实现并且被组织在任何适当类型的数据结构内。所述操作数据可以作为单个数据集被收集，或者可以分布在不同位置上（包括在不同存储设备上），并且至少部分地可以仅作为电子信号存在于系统或网络上。说明书CN104123494A108/8页110099在模块可以利用软件实现。

39、时，考虑到现有硬件工艺的水平，所以可以以软件实现的模块，在不考虑成本的情况下，本领域技术人员都可以搭建对应的硬件电路来实现对应的功能，所述硬件电路包括常规的超大规模集成（VLSI）电路或者门阵列以及诸如逻辑芯片、晶体管之类的现有半导体或者是其它分立的元件。模块还可以用可编程硬件设备，诸如现场可编程门阵列、可编程阵列逻辑、可编程逻辑设备等实现。0100以上所述仅是本发明的实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以作出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。说明书CN104123494A111/2页12图1图2图3说明书附图CN104123494A122/2页13图4说明书附图CN104123494A13。

展开阅读全文