云安全服务实现系统和云安全服务实现方法与流程

1.本发明属于云安全领域，涉及网络病毒防护技术，具体是云安全服务实现系统和云安全服务实现方法。


背景技术：

2.紧随云计算、云存储之后，云安全也出现了。云安全是网络时代信息安全的最新体现，它融合了并行处理、网格计算等新兴技术和概念，通过网状的大量客户端对网络中软件行为的异常监测，获取互联网中木马、恶意程序的最新信息，传送到server端进行自动分析和处理，再把病毒和木马的解决方案分发到每一个客户端。
3.但目前现有的云安全服务实现系统往往具有以下问题：
4.1、难以及时发现新出现的网络病毒，往往发现新的网络病毒时，病毒已大范围扩散；
5.2、识别网络病毒的准确率低；未考虑到网络传播的病毒往往存在一些共同特征；
6.为此，提出云安全服务实现系统和云安全服务实现方法。


技术实现要素：

7.本发明旨在至少解决现有技术中存在的技术问题之一。为此，本发明提出云安全服务实现系统和云安全服务实现方法，该云安全服务实现系统和云安全服务通过在用户计算机设备中安装云安全探针，实时监控用户接收的文件，并对高速传播的文件使用深度学习技术进行进一步分析；对于疑似病毒的文件，在各个计算机设备中使用提前拦截的方式阻止病毒的进一步扩散；解决了病毒识别准确率的问题以及病毒的大范围扩散问题。
8.为实现上述目的，根据本发明的第一方面的实施例提出云安全服务实现系统，包括云安全客户端、云安全平台、病毒扩散监控模块、病毒检测模块以及病毒防控模块；其中，病毒检测模块包括模型训练单元以及文件判断单元；其中，各个模块之间采用无线和/或电气连接；
9.所述云安全客户端主要用于在用户计算机设备中安装云安全探针；所述云安全探针实时监听用户计算机设备上的安全信息；
10.所述云安全平台主要用于实时接收由病毒扩散监控模块发送的新病毒提醒以及可疑病毒文件；所述云安全平台实时将可疑病毒文件发送至病毒检测模块进行进一步检测；所述云安全平台实时将病毒文件特征码发送至病毒防控模块进行全网防控；
11.其中，病毒扩散监控模块主要用于对具有传播性质的病毒进行监控；
12.所述病毒扩散监控模块对具有传播性质的病毒进行监控包括以下步骤：
13.步骤s1：云安全客户端通过云安全探针实时监控用户计算机设备中新下载的文件，并将新下载文件信息发送至病毒扩散监控模块；所述文件信息包括但不限于文件名、文件大小、文件格式以及文件来源等；
14.步骤s2：病毒扩散监控模块收集所有具有相同文件名、文件大小、文件格式的文
件，并分析所有文件的文件来源；
15.当文件来源形成链式传播效应，并且文件传播速度超出传播速度γ时，病毒扩散监控模块向用户计算机设备请求一份文件副本，并转至步骤s3；所述传播速度阈值γ由实际经验设置；
16.步骤s3：用户计算机设备将文件发送至病毒扩散监控模块，病毒扩散监控模块再将文件发送至云安全平台进行进一步判断；
17.其中，所述病毒检测模块主要用于对文件进行进一步检测；
18.其中，模型训练单元主要用于训练病毒文件识别模型；具体的，所述训练病毒文件识别模型包括以下步骤：
19.步骤p1：收集网络中现有的带有传播性质的木马病毒文件数据集，以及不具备传播性质的文件数据集；将带有传播性质的木马病毒文件数据集标记为集合s，将不具备传播性质的文件数据集标记为集合w；
20.步骤p2：将文件数据集s以及文件数据集w中的文件使用反编译工具进行反编译，得到文件的静态特征；将所述静态特征构筑成文件代码特征向量，将文件代码特征向量标记为x；
21.步骤p3：构筑文件数据集s以及文件数据集w中文件的基础特征向量，所述文件基础特征向量中的特征包括文件传播速度、文件占用计算机设备端口情况、文件修改计算机设备注册表情况以及文件申请计算机设备权限特征等；将文件基础特征向量标记为y；
22.步骤p4：将文件代码特征向量x与文件基础特征向量y合并；将合并后的特征向量标记为z；将特征向量z作为神经网络的输入，文件数据集s中的文件标签记为1,文件数据集w中的文件标签记为0；
23.步骤p5：完成神经网络的训练；获得训练好的病毒文件判断模型；
24.其中，所述文件判断单元主要用于判断由云安全平台发送的文件是否为带有传播性质的病毒文件；
25.所述文件判断单元接收到由云安全平台发送的文件后，使用反编译工具将文件进行反编译，获得文件的静态特征；将所述静态特征构筑成文件代码特征向量；进一步的，构筑文件的基础特征向量，将文件代码特征向量与基础特征向量合并，将合并后的向量作为输入，输入训练好的病毒文件判断模型，获得文件为病毒文件的概率，将概率标记为p；
26.若p》p，则判断文件为病毒文件，发送确认病毒信息至云安全平台；云安全平台将确认病毒信息发送至病毒防控模块；其中p为预设的文件为病毒的概率阈值；
27.所述病毒防控模块主要用于全网防控病毒文件的传播；所述病毒防控模块接收到确认病毒信息后，将对应病毒文件信息发送至未接收到病毒文件的云安全客户端；接收到病毒文件信息的云安全客户端实时监控用户计算机设备接收到的文件，并阻止具有相同文件信息的文件的下载。
28.本发明的第二方面实施例提供了云安全服务实现方法，包括：
29.步骤一：各个用户计算机设备安装云安全客户端，所述云安全客户端包括云安全探针，所述云安全探针实时监测文件的下载；
30.步骤二：病毒扩散监控模块用于对具有传播性质的病毒进行监控，当网络中出现高速扩散的文件时，将文件及文件信息发送至病毒检测模块；
31.步骤三：病毒检测模块用于根据文件静态特征和文件基本特征，使用深度学习网络模型判断文件是否为病毒文件；对于病毒文件，发送确认病毒信息至云安全平台，云安全平台将确认病毒信息发送至病毒防控模块，转至步骤四；
32.步骤四：病毒防控模块接收到确认病毒信息后，对于未接收到病毒文件的用户计算机设备进行防护。
33.与现有技术相比，本发明的有益效果是：
34.1、本发明使用病毒传播速度作为第一次过滤方法，对可疑的文件使用神经网络模型做进一步判断，在提高病毒识别效率的同时提高了病毒识别的准确率；
35.2、本发明通过全网监控的方式，在判断出现病毒文件时，及时在未感染病毒的计算机设备中阻止病毒文件的下载，提高了病毒防护的速度。
附图说明
36.图1为本发明的原理图；
37.图2本发明的流程图。
具体实施方式
38.下面将结合实施例对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。
39.如图1所示，云安全服务实现系统，包括云安全客户端、云安全平台、病毒扩散监控模块、病毒检测模块以及病毒防控模块；其中，病毒检测模块包括模型训练单元以及文件判断单元；
40.所述云安全客户端主要用于在用户计算机设备中安装云安全探针，用以保护用户计算机设备；
41.所述云安全探针实时监听用户计算机设备上的安全信息，所述安全信息包括但不限于计算机重要端口、系统注册表关键位置、文件的下载以及对安装的重要软件的修改情况；
42.进一步的，云安全探针负责将可疑的文件上传至云安全平台，进行进一步分析；同时接收云安全平台返回的判断结果，并对可疑文件进行相应处理；
43.所述云安全平台主要用于通过无线和/或电气连接所有需要云安全服务的云安全客户端，并实时提供云安全建议；所述云安全建议包括但不限于对木马文件进行删除、对修改的关键注册表进行更正以及对一些重要安全软件、组件的更新等；
44.进一步的，所述云安全平台与病毒扩散监控模块以无线和/或电气连接，实时接收由病毒扩散监控模块发送的新病毒提醒以及可疑病毒文件；
45.所述云安全平台与病毒检测模块以无线和/或电气连接，所述云安全平台实时将可疑病毒文件发送至病毒检测模块进行进一步检测；
46.所述云安全平台与病毒防控模块以无线和/或电气连接，所述云安全平台实时将病毒文件特征码发送至病毒防控模块进行全网防控；
47.其中，病毒扩散监控模块主要用于对具有传播性质的病毒进行监控；所述病毒扩散监控模块与所有需要云安全服务的云安全客户端以无线和/或电气连接；
48.所述病毒扩散监控模块对具有传播性质的病毒进行监控包括以下步骤：
49.步骤s1：云安全客户端通过云安全探针实时监控用户计算机设备中新下载的文件，并将新下载文件信息发送至病毒扩散监控模块；所述文件信息包括但不限于文件名、文件大小、文件格式以及文件来源等；
50.步骤s2：病毒扩散监控模块收集所有具有相同文件名、文件大小、文件格式的文件，并分析所有文件的文件来源；
51.当文件来源形成链式传播效应，并且文件传播速度超出传播速度阈值γ时，病毒扩散监控模块向用户计算机设备请求一份文件副本，并转至步骤s3；其中，传播速度阈值γ根据实际经验设置；
52.所述链式传播效应为文件由一个或多个源头发出至用户计算机设备后，用户计算机设备作为新的源头，继续发送至新的用户计算机设备；
53.所述文件传播速度为文件在单位时间内出现在新的用户计算机设备的数量；
54.步骤s3：用户计算机设备将文件发送至病毒扩散监控模块，病毒扩散监控模块再将文件发送至云安全平台进行进一步判断；
55.其中，所述病毒检测模块主要用于对文件进行进一步检测；
56.其中，模型训练单元主要用于训练病毒文件识别模型；具体的，所述训练病毒文件识别模型包括以下步骤：
57.步骤p1：收集网络中现有的带有传播性质的木马病毒文件数据集，以及不具备传播性质的文件数据集；将带有传播性质的木马病毒文件数据集标记为集合s，将不具备传播性质的文件数据集标记为集合w；
58.步骤p2：将文件数据集s以及文件数据集w中的文件使用反编译工具进行反编译，得到文件的静态特征；将所述静态特征构筑成文件代码特征向量，将文件代码特征向量标记为x；所述反编译工具包括jd、exescope以及uncompyle等；
59.步骤p3：构筑文件数据集s以及文件数据集w中文件的基础特征向量，所述文件基础特征向量中的特征包括文件传播速度、文件占用计算机设备端口情况、文件修改计算机设备注册表情况以及文件申请计算机设备权限特征等；将文件基础特征向量标记为y；
60.步骤p4：将文件代码特征向量x与文件基础特征向量y合并；将合并后的特征向量标记为z；将特征向量z作为神经网络的输入，文件数据集s中的文件标签记为1,文件数据集w中的文件标签记为0；所述神经网络可以是bp神经网络以及深度神经网络；
61.步骤p5：完成神经网络的训练；获得训练好的病毒文件判断模型；
62.其中，所述文件判断单元主要用于判断由云安全平台发送的文件是否为带有传播性质的病毒文件；
63.所述文件判断单元接收到由云安全平台发送的文件后，使用反编译工具将文件进行反编译，获得文件的静态特征；将所述静态特征构筑成文件代码特征向量；进一步的，构筑文件的基础特征向量，将文件代码特征向量与基础特征向量合并，将合并后的向量作为输入，输入训练好的病毒文件判断模型，获得文件为病毒文件的概率，将概率标记为p；
64.若p》p，则判断文件为病毒文件，发送确认病毒信息至云安全平台；云安全平台将
确认病毒信息发送至病毒防控模块；其中p为预设的文件为病毒的概率阈值；
65.所述病毒防控模块主要用于全网防控病毒文件的传播；所述病毒防控模块接收到确认病毒信息后，将对应病毒文件信息发送至未接收到病毒文件的云安全客户端；接收到病毒文件信息的云安全客户端实时监控用户计算机设备接收到的文件，并阻止具有相同文件信息的文件的下载。
66.如图2所示，云安全服务实现方法，具体包括以下步骤：
67.步骤一：各个用户计算机设备安装云安全客户端，所述云安全客户端包括云安全探针，所述云安全探针实时监测文件的下载；
68.步骤二：病毒扩散监控模块用于对具有传播性质的病毒进行监控，当网络中出现高速扩散的文件时，将文件及文件信息发送至病毒检测模块；
69.步骤三：病毒检测模块用于根据文件静态特征和文件基本特征，使用深度学习网络模型判断文件是否为病毒文件；对于病毒文件，发送确认病毒信息至云安全平台，云安全平台将确认病毒信息发送至病毒防控模块，转至步骤四；
70.步骤四：病毒防控模块接收到确认病毒信息后，对于未接收到病毒文件的用户计算机设备进行防护。
71.上述公式均是去除量纲取其数值计算，公式是由采集大量数据进行软件模拟得到最接近真实情况的一个公式，公式中的预设参数和预设阈值由本领域的技术人员根据实际情况设定或者大量数据模拟获得。
72.以上实施例仅用以说明本发明的技术方法而非限制，尽管参照较佳实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，可以对本发明的技术方法进行修改或等同替换，而不脱离本发明技术方法的精神和范围。