监控恶意程序的方法和监控平台
阅读:1029发布:2020-06-15
专利汇可以提供监控恶意程序的方法和监控平台专利检索,专利查询,专利分析的服务。并且本 发明 实施例 公开了一种监控恶意程序的方法和监控平台。其中一种监控恶意程序的方法,可包括:接收主机上报的疑似病毒文件的监控信息,其中上述主机安装或存储或运行了上述疑似病毒文件,上述监控信息包括:时间戳、主机标识和上述疑似病毒文件的标识;统计在第一时段内上报了上述疑似病毒文件的监控信息的主机数量;若统计出的上述主机数量超过第一 阈值 ,发布上述疑似病毒文件爆发的告警信息。本发明实施例方案有利于提高 计算机病毒 疫情爆发的预警能 力 。,下面是监控恶意程序的方法和监控平台专利的具体信息内容。
1.一种监控恶意程序的方法,其特征在于,包括:
接收主机上报的疑似病毒文件的监控信息,其中,所述主机安装或存储或运行了所述疑似病毒文件,所述监控信息包括:时间戳、主机标识和所述疑似病毒文件的标识;
统计在第一时段内上报了所述疑似病毒文件的监控信息的主机数量;
若统计出的所述主机数量超过第一阈值,发布所述疑似病毒文件爆发的告警信息。
2.根据权利要求1所述的方法,其特征在于,
所述第一阈值等于m1*X1,其中,所述m1为所述第一时段之前相邻的N个时段内上报了所述疑似病毒文件的监控信息的主机数量的平均值,所述X2大于1且小于2,所述N个时段和所述第一时段的时长相同;
或者,
所述第一阈值等于m2*X2,其中,所述m2为所述第一时段之前相邻的N个时段中的第n1个时段内上报了所述疑似病毒文件的监控信息的主机数量,其中,所述第n1个时段内上报了所述疑似病毒文件的监控信息的主机数量,大于所述N个时段中其它任何一个时段内上报了所述疑似病毒文件的监控信息的主机数量,其中,所述X2大于1且小于2,所述N个时段中的每个时段和所述第一时段的时长相同。
3.根据权利要求2所述的方法,其特征在于,
所述N个时段的总时长小于或等于所述疑似病毒文件生命周期的10%,
或者,所述N个时段的总时长小于或等于所述疑似病毒文件的活跃期的10%,或者,所述N个时段的总时长小于或等于所述疑似病毒文件的潜伏期的10%。
4.根据权利要求2或3所述的方法,其特征在于,
所述第一时段的时长为24小时。
5.根据权利要求2或3所述的方法,其特征在于,
所述X1大于1.29且小于2;
和/或,所述X2大于1.29且小于2。
6.根据权利要求1至3任一项所述的方法,其特征在于,
所述发布所述疑似病毒文件爆发的告警信息,包括:
根据配置的告警脚本文件生成所述疑似病毒文件爆发的告警信息;
向指定地址发送所述告警信息,其中,所述告警信息携带所述疑似病毒文件的标识和/或统计出的所述主机数量。
7.根据权利要求1至3任一项所述的方法,其特征在于,
所述发布所述疑似病毒文件爆发的告警信息之前还包括:判断在第一时段内是否已经发布过所述疑似病毒文件爆发的告警信息,若否,则执行所述发布所述疑似病毒文件爆发的告警信息的步骤。
8.一种监控平台,其特征在于,包括:
接收单元,用于接收主机上报的疑似病毒文件的监控信息,其中,所述主机安装或存储或运行了所述疑似病毒文件,所述监控信息包括:时间戳、主机标识和所述疑似病毒文件的标识;
统计单元,用于统计在第一时段内上报了所述疑似病毒文件的监控信息的主机数量;
发布单元,用于若所述统计单元统计出的主机数量超过第一阈值,则发布所述疑似病毒文件爆发的告警信息。
9.根据权利要求8所述的监控平台,其特征在于,
所述发布单元具体用于,若统计单元统计出的所述主机数量超过第一阈值,根据配置的告警脚本文件生成所述疑似病毒文件爆发的告警信息;向指定地址发送所述告警信息,其中,所述告警信息携带所述疑似病毒文件的标识和/或统计出的所述主机数量。
10.根据权利要求9或8任一项所述的监控平台,其特征在于,
发布单元具体用于,若统计单元统计出的所述主机数量超过第一阈值,且在所述第一时段内还未发布过所述疑似病毒文件爆发的告警信息,则发布所述疑似病毒文件爆发的告警信息。
监控恶意程序的方法和监控平台
技术领域
[0001] 本发明涉及网络技术领域,具体涉及监控恶意程序的方法和监控平台。 背景技术
[0002] 计算机病毒不但本身具有破坏性,更有害的是具有传染性,一旦病毒被复制或产生变种,其速度之快通常令人难以预防。病毒可能导致中毒计算机系统的正常程序无法运行、系统资源被大量消耗、文件被删除或受到其它不同程度的损坏。
[0003] 目前,在云计算系统等计算机系统中,通常是通过开源软件工具监控虚拟化基础设施,并自动发现、监控和管理软件服务等。实践发现,现有技术至少存在以下技术问题:现有监控技术大多针对于性能或软件的监控,目前还无法实现针对病毒疫情发作情况的监控,而这就使得有效防范计算机病毒的变得难以实现。
发明内容
[0005] 本发明实施例一方面提供一种监控恶意程序的方法,可包括:
[0006] 接收主机上报的疑似病毒文件的监控信息,其中,所述主机安装或存储或运行了所述疑似病毒文件,所述监控信息包括:时间戳、主机标识和所述疑似病毒文件的标识; [0007] 统计在第一时段内上报了所述疑似病毒文件的监控信息的主机数量; [0008] 若统计出的所述主机数量超过第一阈值,发布所述疑似病毒文件爆发的告警信息。
[0009] 本发明实施例另一方面提供一种监控平台,可包括:
[0010] 接收单元,用于接收主机上报的疑似病毒文件的监控信息,其中,所述主机安装或存储或运行了所述疑似病毒文件,所述监控信息包括:时间戳、主机 标识和所述疑似病毒文件的标识;
[0011] 统计单元,用于统计在第一时段内上报了所述疑似病毒文件的监控信息的主机数量;
[0012] 发布单元,用于若所述统计单元统计出的主机数量超过第一阈值,则发布所述疑似病毒文件爆发的告警信息。
[0013] 由上可见,本发明实施例方案中,通过接收主机上报的疑似病毒文件的监控信息,其中,监控信息包括时间戳、主机标识和疑似病毒文件的标识;主机安装或存储或运行了疑似病毒文件,统计在第一时段内上报了疑似病毒文件的监控信息的主机数量;若统计出的主机数量超过第一阈值,发布疑似病毒文件爆发的告警信息。由于对疑似病毒文件在主机中的扩散情况进行监控,统计在某时段上报疑似病毒文件的监控信息的主机数量超过警戒阈值时,发布疑似病毒文件爆发的告警信息,因此,可及时的根据疑似病毒文件的扩散情况进行爆发告警,有利于提高计算机病毒疫情爆发的预警能力。附图说明
[0014] 为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0015] 图1是本发明实施例提供一种监控恶意程序的方法的流程示意图; [0016] 图2是本发明实施例提供一种网络系统架构示意图;
[0017] 图3是本发明实施例提供的一种监控平台的示意图;
[0018] 图4是本发明实施例提供的另一种监控平台的示意图;
[0019] 图5是本发明实施例提供的一种安全防护系统的示意图。
具体实施方式
[0020] 本发明实施例提供一种监控恶意程序的方法和监控平台,以期提高计算机病毒疫情发作情况的预警能力。
[0021] 为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施 例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
[0022] 以下分别进行详细说明。
[0023] 本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例例如能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
[0024] 本发明监控恶意程序的方法的一个实施例,方法可包括:接收主机上报的疑似病毒文件的监控信息,该主机安装或存储或运行了该疑似病毒文件,监控信息包括时间戳、主机标识和该疑似病毒文件的标识;统计在第一时段内上报了该疑似病毒文件的监控信息的主机数量;若统计出的主机数量超过第一阈值,发布该疑似病毒文件爆发的告警信息。 [0025] 参见图1,本发明实施例提供的一种监控恶意程序的方法可包括: [0026] 101、监控平台接收主机上报的疑似病毒文件的监控信息;
[0027] 其中,上述主机安装或存储或运行了上述疑似病毒文件,上述监控信息包括时间戳、主机标识和上述疑似病毒文件的标识。
[0028] 在本发明的一些实施例中,监控平台可监控疑似病毒文件在一个或多个指定域内的主机中的扩展情况。例如,某一个云计算域内安装或存储或运行了上述疑似病毒文件的主机均,可主动或在监控平台指令下,周期性或非周期性的上报的疑似病毒文件的监控信息。
[0029] 102、监控平台统计在第一时段内上报了上述疑似病毒文件的监控信息的主机数量。
[0030] 在本发明一些实施例中,第一时段的时长可为24小时、48小时、7天或12小时或根据实际需要设定的其它时长。
[0031] 在本发明一些实施例中,监控平台每接收到一个主机上报的疑似病毒文件的监控信息,可生成一条监控记录,并可将监控记录存储到数据库中,每条监控记录可包括时间戳、主机标识和上述疑似病毒文件的标识等信息。
[0032] 可以理解,对于在同一主机在同一时段内上报的针对同一个疑似病毒文件的监控信息,监控平台可只生成一条监控记录。当然也可针对每个主机上报的上述疑似病毒文件的每条监控信息,分别生成一条监控记录,之后将时段相同且包含相同主机标识和上述疑似病毒文件的标识的监控记录合并为一条监控记录。
[0033] 103、监控平台若统计出的主机数量超过第一阈值,发布上述疑似病毒文件爆发的告警信息。
[0034] 其中,第一阈值可以是个针对上述疑似病毒文件的经验值,或者也可以是通过历史数据得到的值。
[0035] 在本发明的一些实施例中,第一阈值例如等于m1*X1,其中,上述m1为上述第一时段之前相邻的N个时段内上报了上述疑似病毒文件的监控信息的主机数量的平均值,上述X2大于1且小于2,上述N个时段中的每个时段和上述第一时段的时长相同。其中,上述X1也可以是个针对上述疑似病毒文件的经验值,或者也可以是通过历史数据得到的值。例如,上述X1可大于1.29且小于2,当然X1亦可取其它值。
[0036] 在本发明的另一些实施例中,第一阈值等于m2*X2,其中,上述m2为上述第一时段之前相邻的N个时段中的第n1个时段内上报了上述疑似病毒文件的监控信息的主机数量,其中,上述第n1个时段内上报了上述疑似病毒文件的监控信息的主机数量,大于上述N个时段中其它任何一个时段内上报了上述疑似病毒文件的监控信息的主机数量,其中,上述X2大于1且小于2,上述N个时段中的每个时段和第一时段的时长相同。其中,上述X2也可以是个针对上述疑似病毒文件的经验值,或者也可以是通过历史数据得到的值。例如,上述X2可大于1.29且小于2,当然X2亦可取其它值。
[0037] 在本发明的一些实施例中,上述N个时段的总时长例如小于或等于上述疑似病毒文件生命周期的10%或其它比例。例如,假设上述疑似病毒文件生命周期为200天,每个时段的时长为1天,那么N的取值可小于等于20天,例如N的取值范围为3~10天甚至为6~8天。或者,上述N个时段的总时长小于或等于上述疑似病毒文件的活跃期的10%或其它比例,或者,所述N个时段的总时长小于或等于上述疑似病毒文件的潜伏期的10%或其它比例。
[0038] 当然,上述N也可以是个针对上述疑似病毒文件的经验值,或者也可以是通过历史数据得到的值。
[0039] 在本发明的一些实施例中,监控平台可实时的判断统计出的主机数量是否超过第一阈值,或者也可在设定时间点(可根据实际需要来设定该时间点)判断统计出的主机数量是否超过第一阈值。例如,每当将监控数据写入数据库时可判断统计的主机数量是否超过第一阈值,当然亦可其它任意时刻判断统计出的主机数量是否超过第一阈值。 [0040] 在本发明的一些实施例中,发布上述疑似病毒文件爆发的告警信息具体可包括:根据配置的告警脚本文件生成上述疑似病毒文件爆发的告警信息;向指定地址发送上述告警信息,其中,上述告警信息可携带上述疑似病毒文件的标识和/或统计出的主机数量。 [0041] 举例来说,监控平台例如可向网管设备或指定邮箱或指定通讯号(如手机号或QQ等即时通讯号码)发送上述告警信息。假设,监控平台向网管设备发送告警信息,则网管设备可进行相应的应急处理,由于疑似病毒文件可能即将爆发或已经爆发了,因此及时的应急处理有利于降低损失。
[0042] 在本发明的一些实施例中,监控平台发布上述疑似病毒文件爆发的告警信息之前,还可判断其在第一时段内是否已经发布过了上述疑似病毒文件爆发的告警信息,若否,监控平台发布上述疑似病毒文件爆发的告警信息,若其在第一时段内已经发布过了上述疑似病毒文件爆发的告警信息,则监控平台在第一时段内可不再发布上述疑似病毒文件爆发的告警信息,以避免重复发布的情况出现。进一步的,监控平台在每次发布针对某个疑似病毒文件爆发的告警信息之后,可记录发布日志,其中,发布日志例如可包括:发布时段和疑似病毒文 件标识,当然还可进一步包括当时统计出的主机数量等信息。后续监控平台便可根据发布日志判断在当前时段是否已经发布过上述疑似病毒文件爆发的告警信息。 [0043] 其中,监控平台部署位置可根据场景需要来确定,监控平台例如可部署在网管设备中,或其它设备中或者也可独立部署。监控平台与其监控的主机之间可进行直接或间接通信。
[0044] 可以看出,本实施例的方案中,通过接收主机上报的疑似病毒文件的监控信息,其中,监控信息包括时间戳、主机标识和疑似病毒文件的标识;主机安装或存储或运行了疑似病毒文件,统计在第一时段内上报了疑似病毒文件的监控信息的主机数量;若统计出的主机数量超过第一阈值,发布疑似病毒文件爆发的告警信息。由于对疑似病毒文件在主机中的扩散情况进行监控,统计在某时段上报疑似病毒文件的监控信息的主机数量超过警戒阈值时,发布疑似病毒文件爆发的告警信息,因此,可及时的根据疑似病毒文件的扩散情况进行爆发告警,有利于提高计算机病毒疫情爆发的预警能力。
[0045] 进一步的,若参考疑似病毒文件的生命周期或活跃期或潜伏期来确定警戒阈值,这样有利于更准确的监控疑似病毒文件的扩散情况,有利于更加及时的根据疑似病毒文件的扩散情况进行爆发告警,进而有利于进一步提高计算机病毒疫情爆发的预警能力。 [0046] 为便于更好的理解和实施本发明实施例上述方案,下面再举例一些应用场景来进行说明。
[0047] 参见图2,图2为本发明实施例提供的一种网络系统架构示意图。 [0048] 其中,监控平台210通过网络和若干台主机通信连接,监控平台210和网管设备220通信连接。
[0049] 举例一
[0050] 假设疑似病毒文件F1的生命周期为150天,当天之前的5天上报了疑似病毒文件F1的监控信息的主机数量分别为b1、b2、b3、b4和b5,警戒阈值S1(如第一阈值)例如设定为,当天之前的5天上报了疑似病毒文件F1的监控信息的主 机数量的平均值*A%(即: )。安装或存储或运行了上述疑似病毒文件的主机均,可主动或在监控平台指令下,周期性或非周期性的向监控平台210上报的疑似病毒文件F1的监控信息。其中,上述A%可大于1.29且小于2或者亦可取其它值。
[0051] 监控平台210接收主机上报的疑似病毒文件F1的监控信息,统计在当天内上报了疑似病毒文件F1的监控信息的主机数量。其中,监控平台210每接收到一个主机上报的疑似病毒文件F1的监控信息,可生成一条监控记录,并可将监控记录存储到数据库中,每条监控记录可包括时间戳、主机标识和疑似病毒文件F1的标识等信息。可以理解,对于在同一主机在同一时段内上报的针对疑似病毒文件F1的监控信息,监控平台可只生成一条监控记录。当然也可针对每个主机上报的疑似病毒文件F1的每条监控信息,分别生成一条监控记录,之后将时段相同且包含相同主机标识和疑似病毒文件F1的标识的监控记录合并为一条监控记录。
[0052] 监控平台210若统计出的当天内上报了疑似病毒文件F1的监控信息的主机数量超过警戒阈值S1,则监控平台210可向网管设备220发布疑似病毒文件F1爆发的告警信息,其中,告警信息可携带疑似病毒文件F1的标识和/或统计出的主机数量。网管设备220可进行相应的应急处理,由于疑似病毒文件F1可能即将爆发或已经爆发了,因此及时的应急处理有利于降低损失。
[0053] 在本发明的一些实施例中,监控平台210发布疑似病毒文件F1爆发的告警信息之前,还可判断其在当天是否已经发布过了疑似病毒文件F1爆发的告警信息,若否,监控平台210发布疑似病毒文件F1爆发的告警信息,若其在当天已经发布过疑似病毒文件F1爆发的告警信息,则监控平台在当天可不再发布上述疑似病毒文件爆发的告警信息,以避免重复发布的情况出现。进一步的,监控平台210在每次发布针对某个疑似病毒文件爆发的告警信息之后,可记录发布日志,发布日志例如可包括:发布时段和疑似病毒文件标识,还可包括当时统计出的主机数量等信息。后续监控平台210便可根据发布日志判断在当前时段是否已经发布过上述疑似病毒文件爆发的告警信息。
[0054] 举例二
[0055] 假设疑似病毒文件F2的生命周期为100天,当天之前的7天上报了疑似病毒文件F2的监控信息的主机数量分别为b1、b2、b3、b4、b5、b6和b7,警戒阈值S2(如第一阈值)例如设定为,当天之前的7天上报了疑似病毒文件F2的监控信息的主机数量的最大值*B%,假设,b1、b2、b3、b4、b5、b6和b7中最大的是b4,那么S2=B%*b4。安装或存储或运行了上述疑似病毒文件的主机均,可主动或在监控平台指令下,周期性或非周期性的向监控平台210上报的疑似病毒文件F2的监控信息。
[0056] 监控平台210接收主机上报的疑似病毒文件F2的监控信息,统计在当天内上报了疑似病毒文件F2的监控信息的主机数量。其中,监控平台210每接收到一个主机上报的疑似病毒文件F2的监控信息,可生成一条监控记录,并可将监控记录存储到数据库中,每条监控记录可包括时间戳、主机标识和疑似病毒文件F2的标识等信息。可以理解,对于在同一主机在同一时段内上报的针对疑似病毒文件F2的监控信息,监控平台可只生成一条监控记录。当然也可针对每个主机上报的疑似病毒文件F2的每条监控信息,分别生成一条监控记录,之后将时段相同且包含相同主机标识和疑似病毒文件F2的标识的监控记录合并为一条监控记录。
[0057] 监控平台210若统计出的当天内上报了疑似病毒文件F2的监控信息的主机数量超过警戒阈值S2,则监控平台210可向网管设备220发布疑似病毒文件F2爆发的告警信息,其中,告警信息可携带疑似病毒文件F1的标识和/或统计出的主机数量。网管设备220可进行相应的应急处理,由于疑似病毒文件F2可能即将爆发或已经爆发了,因此及时的应急处理有利于降低损失。监控平台210还可向指定通讯号(如手机号或QQ等即时通讯号码)发送疑似病毒文件F2爆发的告警信息。
[0058] 可以理解的是,上述场景仅为举例,在实际应用中,可根据场景不同进行适应性变化方式。
[0059] 为便于更好的实施本发明实施例的上述方案,下面还提供用于实施方式方案的相关装置。
[0060] 参见图3,本发明还提供一种监控平台300,可包括:
[0061] 接收单元310、统计单元320和发布单元330。
[0062] 其中,接收单元310,用于接收主机上报的疑似病毒文件的监控信息。 [0063] 其中,上述主机安装或存储或运行了上述疑似病毒文件,上述监控信息包括时间戳、主机标识和上述疑似病毒文件的标识。
[0064] 在本发明的一些实施例中,监控平台300可监控疑似病毒文件在一个或多个指定域内的主机中的扩展情况。例如,某一个云计算域内安装或存储或运行了上述疑似病毒文件的主机均,可主动或在监控平台指令下,周期性或非周期性的上报的疑似病毒文件的监控信息。
[0065] 统计单元320,用于统计在第一时段内上报了上述疑似病毒文件的监控信息的主机数量。
[0066] 在本发明一些实施例中,第一时段的时长可为24小时、48小时、7天或12小时或根据实际需要设定的其它时长。
[0067] 在本发明一些实施例中,接收单元310每接收到一个主机上报的疑似病毒文件的监控信息,统计单元320可生成一条监控记录,并可将监控记录存储到数据库中,每条监控记录可包括时间戳、主机标识和上述疑似病毒文件的标识等信息。
[0068] 可以理解,对于在同一主机在同一时段内上报的针对同一个疑似病毒文件的监控信息,统计单元320可只生成一条监控记录。当然也可针对每个主机上报的上述疑似病毒文件的每条监控信息,统计单元320生成一条监控记录,之后统计单元320将时段相同且包含相同主机标识和上述疑似病毒文件的标识的监控记录合并为一条监控记录。 [0069] 发布单元330,用于若统计单元320统计出的主机数量超过第一阈值,发布上述疑似病毒文件爆发的告警信息。
[0070] 其中,第一阈值可以是个针对上述疑似病毒文件的经验值,或者也可以是通过历史数据得到的值。
[0071] 在本发明的一些实施例中,第一阈值例如等于m1*X1,其中,上述m1为上述第一时段之前相邻的N个时段内上报了上述疑似病毒文件的监控信息的 主机数量的平均值,上述X2大于1且小于2,上述N个时段和上述第一时段的时长相同。其中,上述X1也可以是个针对上述疑似病毒文件的经验值,或者也可以是通过历史数据得到的值。例如,上述X1可大于1.29且小于2,当然X1亦可取其它值。
[0072] 在本发明的另一些实施例中,第一阈值等于m2*X2,其中,上述m2为上述第一时段之前相邻的N个时段中的第n1个时段内上报了上述疑似病毒文件的监控信息的主机数量,其中,上述第n1个时段内上报了上述疑似病毒文件的监控信息的主机数量,大于上述N个时段中其它任何一个时段内上报了上述疑似病毒文件的监控信息的主机数量,其中,上述X2大于1且小于2,上述N个时段和第一时段的时长相同。其中,上述X2也可以是个针对上述疑似病毒文件的经验值,或者也可以是通过历史数据得到的值。例如,上述X2可大于1.29且小于2,当然X2亦可取其它值。
[0073] 在本发明的一些实施例中,上述N个时段的总时长例如小于或等于上述疑似病毒文件生命周期的10%或其它比例。例如,假设上述疑似病毒文件生命周期为200天,每个时段的时长为1天,那么N的取值可小于等于20天,例如N的取值范围为3~10天甚至为6~8天。或者,上述N个时段的总时长小于或等于上述疑似病毒文件的活跃期的10%或其它比例,或者,上述N个时段的总时长小于或等于上述疑似病毒文件的潜伏期的10%或其它比例。
[0074] 当然,上述N也可以是个针对上述疑似病毒文件的经验值,或者也可以是通过历史数据得到的值。
[0075] 在本发明的一些实施例中,发布单元330可实时的判断统计出的主机数量是否超过第一阈值,或者也可在设定时间点(可根据实际需要来设定该时间点)判断统计出的主机数量是否超过第一阈值。
[0076] 在本发明的一些实施例中,发布单元330具体用于,若统计单元320统计出的上述主机数量超过第一阈值,且在第一时段内还未发布过上述疑似病毒文件爆发的告警信息,则发布上述疑似病毒文件爆发的告警信息。若发布单元330在第一时段内是否已经发布过了上述疑似病毒文件爆发的告警信息,则发布单元330在第一时段内可不再发布上述疑似病毒文件爆发的告警信息,以避免重 复发布的情况出现。进一步的,发布单元330在每次发布针对某个疑似病毒文件爆发的告警信息之后,可记录发布日志,发布日志例如可包括:发布时段和疑似病毒文件标识,还可包括当时统计出的主机数量等信息,后续,发布单元330便可根据发布日志判断在当前时段是否已经发布过上述疑似病毒文件爆发的告警信息。
[0077] 在本发明的一些实施例中,发布单元330可具体用于,若统计单元320统计出的上述主机数量超过第一阈值,根据配置的告警脚本文件生成上述疑似病毒文件爆发的告警信息;向指定地址发送上述告警信息,其中,上述告警报文携带上述疑似病毒文件的标识和/或统计出的上述主机数量。举例来说,发布单元330例如可向网管设备或指定邮箱或指定通讯号(如手机号或QQ等即时通讯号码等)发送上述告警信息。假设,发布单元330向网管设备发送了告警信息,则网管设备可进行相应的应急处理,由于疑似病毒文件可能即将爆发或已经爆发了,因此及时的应急处理有利于降低损失。
[0078] 可以理解的是,本实施例的监控平台300的各功能模块的功能可根据上述方法实施例中的方法具体实现,其具体实现过程可以参照上述方法实施例的相关描述,此处不再赘述。
[0079] 可以看出,本实施例的方案中,监控平台300通过接收主机上报的疑似病毒文件的监控信息,其中,监控信息包括时间戳、主机标识和疑似病毒文件的标识;主机安装或存储或运行了疑似病毒文件,统计在第一时段内上报了疑似病毒文件的监控信息的主机数量;若统计出的主机数量超过第一阈值,发布疑似病毒文件爆发的告警信息。由于监控平台300对疑似病毒文件在主机中的扩散情况进行监控,统计在某时段上报疑似病毒文件的监控信息的主机数量超过警戒阈值时,发布疑似病毒文件爆发的告警信息,因此可及时的根据疑似病毒文件的扩散情况进行爆发告警,有利于提高计算机病毒疫情爆发的预警能力。 [0080] 进一步的,若参考疑似病毒文件的生命周期或活跃期或潜伏期来确定警戒阈值,这样有利于更准确的监控疑似病毒文件的扩散情况,有利于更加及时的根据疑似病毒文件的扩散情况进行爆发告警,进而有利于进一步提高计算机病毒疫情爆发的预警能力。 [0081] 参见图4,本发明还提供一种监控平台400,可包括:
[0082] 处理器410、存储器420、输入装置430和输出装置440。监控平台400中的处理器410的数量可以一个或多个,图4中以一个处理器为例。在本发明的一些实施例中,处理器
410、存储器420、输入装置430和输出装置440可通过总线或其它方式连接,其中,图4中以通过总线连接为例。
410、存储器420、输入装置430和输出装置440可通过总线或其它方式连接,其中,图4中以通过总线连接为例。
[0083] 其中,处理器410执行如下步骤:
[0084] 接收主机上报的疑似病毒文件的监控信息,其中,上述主机安装或存储或运行了上述疑似病毒文件,上述监控信息包括时间戳、主机标识和上述疑似病毒文件的标识,统计在第一时段内上报了上述疑似病毒文件的监控信息的主机数量;若统计出的主机数量超过第一阈值,发布上述疑似病毒文件爆发的告警信息。
[0085] 在本发明一些实施例中,第一时段的时长可为24小时、48小时、7天或12小时或根据实际需要设定的其它时长。
[0086] 在本发明一些实施例中,处理器410每接收到一个主机上报的疑似病毒文件的监控信息,可生成一条监控记录,并可将监控记录存储到数据库中,每条监控记录可包括时间戳、主机标识和上述疑似病毒文件的标识等信息。可以理解的是,对于在同一主机在同一时段内上报的针对同一个疑似病毒文件的监控信息,处理器410可只生成一条监控记录。当然也可针对每个主机上报的上述疑似病毒文件的每条监控信息,处理器410生成一条监控记录,之后将时段相同且包含相同主机标识和上述疑似病毒文件的标识的监控记录合并为一条监控记录。
[0087] 其中,第一阈值可以是个针对上述疑似病毒文件的经验值,或者也可以是通过历史数据得到的值。
[0088] 在本发明的一些实施例中,第一阈值例如等于m1*X1,其中,上述m1为上述第一时段之前相邻的N个时段内上报了上述疑似病毒文件的监控信息的主机数量的平均值,上述X2大于1且小于2,上述N个时段和上述第一时段的时长相同。其中,上述X1也可以是个针对上述疑似病毒文件的经验值,或者也可以是通过历史数据得到的值。例如,上述X1可大于1.29且小于2,当然X1亦 可取其它值。
[0089] 在本发明的另一些实施例中,第一阈值等于m2*X2,其中,上述m2为上述第一时段之前相邻的N个时段中的第n1个时段内上报了上述疑似病毒文件的监控信息的主机数量,其中,上述第n1个时段内上报了上述疑似病毒文件的监控信息的主机数量,大于上述N个时段中其它任何一个时段内上报了上述疑似病毒文件的监控信息的主机数量,其中,上述X2大于1且小于2,上述N个时段和第一时段的时长相同。其中,上述X2也可以是个针对上述疑似病毒文件的经验值,或者也可以是通过历史数据得到的值。例如,上述X2可大于1.29且小于2,当然X2亦可取其它值。
[0090] 在本发明的一些实施例中,上述N个时段的总时长例如小于或等于上述疑似病毒文件生命周期的10%或其它比例。例如,假设上述疑似病毒文件生命周期为200天,每个时段的时长为1天,那么N的取值可小于等于20天,例如N的取值范围为3~10天甚至为6~8天。或者,上述N个时段的总时长小于或等于上述疑似病毒文件的活跃期的10%或其它比例,或者,上述N个时段的总时长小于或等于上述疑似病毒文件的潜伏期的10%或其它比例。
[0091] 当然,上述N也可以是个针对上述疑似病毒文件的经验值,或者也可以是通过历史数据得到的值。
[0092] 在本发明的一些实施例中,处理器410可实时的判断统计出的主机数量是否超过第一阈值,或者也可在设定时间点(可根据实际需要来设定该时间点)判断统计出的主机数量是否超过第一阈值。
[0093] 在本发明的一些实施例中,若统计出的上述主机数量超过第一阈值,且在第一时段内还未发布过上述疑似病毒文件爆发的告警信息,则处理器410发布上述疑似病毒文件爆发的告警信息。若处理器410在第一时段内已经发布过了上述疑似病毒文件爆发的告警信息,则在第一时段内可不再发布上述疑似病毒文件爆发的告警信息,以避免重复发布的情况出现。进一步的,处理器410在每次发布针对某个疑似病毒文件爆发的告警信息之后,可记录发布日志并存储到存储器420中,发布日志例如可包括:发布时段和疑似病毒文件标识,还可包括当时统计出的主机数量等信息,后续,处理器410便可根据发布日志判断 在当前时段是否已经发布过上述疑似病毒文件爆发的告警信息。
[0094] 在本发明的一些实施例中,若统计出的上述主机数量超过第一阈值,处理器410可根据配置的告警脚本文件生成上述疑似病毒文件爆发的告警信息;向指定地址发送上述告警信息,其中,上述告警报文携带上述疑似病毒文件的标识和/或统计出的上述主机数量。举例来说,处理器410例如可向网管设备或指定邮箱或指定通讯号(如手机号或QQ等即时通讯号码等)发送上述告警信息。假设,处理器410向网管设备发送了告警信息,则网管设备可进行相应的应急处理,由于疑似病毒文件可能即将爆发或已经爆发了,因此及时的应急处理有利于降低损失。
[0095] 可以理解的是,本实施例的监控平台400的各功能模块的功能可根据上述方法实施例中的方法具体实现,其具体实现过程可以参照上述方法实施例的相关描述,此处不再赘述。
[0096] 可以看出,本实施例的技术方案中,监控平台400包括:处理器410、存储器420、输入装置430和输出装置440,其中处理器410通过接收主机上报的疑似病毒文件的监控信息,其中,监控信息包括时间戳、主机标识和疑似病毒文件的标识;主机安装或存储或运行了疑似病毒文件,统计在第一时段内上报了疑似病毒文件的监控信息的主机数量;若统计出的主机数量超过第一阈值,发布疑似病毒文件爆发的告警信息。由于监控平台300对疑似病毒文件在主机中的扩散情况进行监控,统计在某时段上报疑似病毒文件的监控信息的主机数量超过警戒阈值时,发布疑似病毒文件爆发的告警信息,因此可及时的根据疑似病毒文件的扩散情况进行爆发告警,有利于提高计算机病毒疫情爆发的预警能力。 [0097] 进一步的,若参考疑似病毒文件的生命周期或活跃期或潜伏期来确定警戒阈值,这样有利于更准确的监控疑似病毒文件的扩散情况,有利于更加及时的根据疑似病毒文件的扩散情况进行爆发告警,进而有利于进一步提高计算机病毒疫情爆发的预警能力。 [0098] 参见图5,本发明实施例还提供的一种安全防护系统,可包括:
[0099] 监控平台510和网管设备520。
[0100] 其中,监控平台510用于,接收主机上报的疑似病毒文件的监控信息,其中,上述主机安装或存储或运行了上述疑似病毒文件,上述监控信息包括时间戳、主机标识和上述疑似病毒文件的标识,统计在第一时段内上报了上述疑似病毒文件的监控信息的主机数量,若统计出的主机数量超过第一阈值,向网管设备520发布上述疑似病毒文件爆发的告警信息。
[0101] 网管设备520,用于在接收到监控平台510发布的疑似病毒文件爆发的告警信息后,按照预设的与该疑似病毒文件对应的应急处理策略进行应急处理。
[0102] 在本发明一些实施例中,第一时段的时长可为24小时、48小时、7天或12小时或根据实际需要设定的其它时长。
[0103] 在本发明一些实施例中,监控平台510每接收到一个主机上报的疑似病毒文件的监控信息,可生成一条监控记录,并可将监控记录存储到数据库中,每条监控记录可包括时间戳、主机标识和上述疑似病毒文件的标识等信息。可以理解的是,对于在同一主机在同一时段内上报的针对同一个疑似病毒文件的监控信息,监控平台510可只生成一条监控记录。当然也可针对每个主机上报的上述疑似病毒文件的每条监控信息,分别生成一条监控记录,之后将时段相同且包含相同主机标识和上述疑似病毒文件的标识的监控记录合并为一条监控记录。
[0104] 其中,第一阈值可以是个针对上述疑似病毒文件的经验值,或者也可以是通过历史数据得到的值。
[0105] 在本发明的一些实施例中,第一阈值例如等于m1*X1,其中,上述m1为上述第一时段之前相邻的N个时段内上报了上述疑似病毒文件的监控信息的主机数量的平均值,上述X2大于1且小于2,上述N个时段中的每个时段和上述第一时段的时长相同。其中,上述X1也可以是个针对上述疑似病毒文件的经验值,或者也可以是通过历史数据得到的值。例如,上述X1可大于1.29且小于2,当然X1亦可取其它值。
[0106] 在本发明的另一些实施例中,第一阈值等于m2*X2,其中,上述m2为上述第一时段之前相邻的N个时段中的第n1个时段内上报了上述疑似病毒文件的监控信息的主机数量,其中,上述第n1个时段内上报了上述疑似病毒文件的 监控信息的主机数量,大于上述N个时段中其它任何一个时段内上报了上述疑似病毒文件的监控信息的主机数量,其中,上述X2大于1且小于2,上述N个时段中的每个时段和第一时段的时长相同。其中,上述X2也可以是个针对上述疑似病毒文件的经验值,或者也可以是通过历史数据得到的值。例如,上述X2可大于1.29且小于2,当然X2亦可取其它值。
[0107] 在本发明的一些实施例中,上述N个时段的总时长例如小于或等于上述疑似病毒文件生命周期的10%或其它比例。例如,假设上述疑似病毒文件生命周期为200天,每个时段的时长为1天,那么N的取值可小于等于20天,例如N的取值范围为3~10天甚至为6~8天。或者,上述N个时段的总时长小于或等于上述疑似病毒文件的活跃期的10%或其它比例,或者,所述N个时段的总时长小于或等于上述疑似病毒文件的潜伏期的10%或其它比例。
[0108] 当然,上述N也可以是个针对上述疑似病毒文件的经验值,或者也可以是通过历史数据得到的值。
[0109] 在本发明的一些实施例中,监控平台510可实时的判断统计出的主机数量是否超过第一阈值,或者也可在设定时间点(可根据实际需要来设定该时间点)判断统计出的主机数量是否超过第一阈值。
[0110] 在本发明的一些实施例中,监控平台510可根据配置的告警脚本文件生成上述疑似病毒文件爆发的告警信息;向指定地址发送上述告警信息,其中,上述告警信息可携带上述疑似病毒文件的标识和/或统计出的主机数量。
[0111] 在本发明的一些实施例中,监控平台510发布上述疑似病毒文件爆发的告警信息之前,还可判断其在第一时段内是否已发布过了上述疑似病毒文件爆发的告警信息,若否,监控平台510发布上述疑似病毒文件爆发的告警信息,若其在第一时段内已经发布过了上述疑似病毒文件爆发的告警信息,则监控平台510在第一时段内可不再发布上述疑似病毒文件爆发的告警信息,以避免重复发布的情况出现。
[0112] 进一步的,监控平台510在每次发布针对某个疑似病毒文件爆发的告警信息之后,可记录发布日志,其中,发布日志例如可包括:发布时段和疑似病毒文件标识,当然还可进一步包括当时统计出的主机数量等信息。后续监控平台 510便可根据发布日志判断在当前时段是否已经发布过上述疑似病毒文件爆发的告警信息。
[0113] 其中,监控平台510部署位置可根据场景需要来确定,监控平台例如可部署在网管设备520中,或其它设备中或者也可独立部署。监控平台510与其监控的主机之间可进行直接或间接通信。
[0114] 本发明实施例还提供一种计算机存储介质,其中,该计算机存储介质可存储有程序,该程序执行时包括上述方法实施例中记载的监控恶意程序的方法的部分或全部步骤。 [0115] 需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
[0116] 在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
[0117] 综上,本发明实施例的方案中,监控平台通过接收主机上报的疑似病毒文件的监控信息,其中,监控信息包括时间戳、主机标识和疑似病毒文件的标识;主机安装或存储或运行了疑似病毒文件,统计在第一时段内上报了疑似病毒文件的监控信息的主机数量;若统计出的主机数量超过第一阈值,发布疑似病毒文件爆发的告警信息。由于对疑似病毒文件在主机中的扩散情况进行监控,统计在某时段上报疑似病毒文件的监控信息的主机数量超过警戒阈值时,发布疑似病毒文件爆发的告警信息,因此,可及时的根据疑似病毒文件的扩散情况进行爆发告警,有利于提高计算机病毒疫情爆发的预警能力。
[0118] 进一步的,若参考疑似病毒文件的生命周期或活跃期或潜伏期来确定警戒阈值,这样有利于更准确的监控疑似病毒文件的扩散情况,有利于更加及时的根据疑似病毒文件的扩散情况进行爆发告警,进而有利于进一步提高计算机病毒疫情爆发的预警能力。 [0119] 在本申请所提供的几个实施例中,应该理解到,所揭露的装置,可通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如所述单 元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性或其它的形式。
[0120] 所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
[0121] 另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
[0122] 所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
[0123] 以上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
| 标题 | 发布/更新时间 | 阅读量 |
|---|---|---|
| 一种基于云计算的计算机病毒识别方法及系统 | 2020-05-17 | 272 |
| 病毒文件识别方法和装置 | 2020-05-16 | 364 |
| 一种城市运营管理中心系统 | 2020-05-17 | 840 |
| 一种检测方法、终端、服务器及计算机存储介质 | 2020-05-08 | 314 |
| 用于电子商务的移动目标防御方法及系统 | 2020-05-13 | 424 |
| 一种实时多人脸的检测及跟踪方法 | 2020-05-12 | 422 |
| 一种基于改进后的计算机病毒的入侵检测系统 | 2020-05-08 | 840 |
| 一种基于规划业务的多源数据融合展示装置 | 2020-05-12 | 408 |
| 防入侵设备与防入侵系统 | 2020-05-15 | 109 |
| 一种网闸开关报警电路 | 2020-05-16 | 136 |
高效检索全球专利专利汇是专利免费检索,专利查询,专利分析-国家发明专利查询检索分析平台,是提供专利分析,专利查询,专利检索等数据服务功能的知识产权数据服务商。
我们的产品包含105个国家的1.26亿组数据,免费查、免费专利分析。
分析报告
专利汇分析报告产品可以对行业情报数据进行梳理分析,涉及维度包括行业专利基本状况分析、地域分析、技术分析、发明人分析、申请人分析、专利权人分析、失效分析、核心专利分析、法律分析、研发重点分析、企业专利处境分析、技术处境分析、专利寿命分析、企业定位分析、引证分析等超过60个分析角度,系统通过AI智能系统对图表进行解读,只需1分钟,一键生成行业专利分析报告。
计算机病毒热门专利
QQ群二维码
意见反馈
意见反馈