一种基于旁路监听的云数据病毒探测方法及系统技术方案

本发明专利技术公开了一种基于旁路监听的云数据病毒探测方法及系统，包括：从物理网络设备获取迁移数据，判别迁移数据并取得整体镜像，依据整体镜像分别提取其中的进程镜像、磁盘文件；基于病毒库解析、扫描并比对所述进程镜像、磁盘文件，分析检测出病毒文件。解决现有技术中采用直接植入方式进行检测，不通过网络进行连接，潜在的破坏了云数据中心的安全性及稳定性的问题。

Method and system for detecting cloud data virus based on bypass monitoring

The invention discloses a cloud data bypass monitoring virus detection method and system based on migration includes: acquiring data from the physical network equipment, and achieve the overall image discriminant migration data, based on the overall image, the process of image were extracted from the disk file; the virus database analysis, and compared the process of image scanning, disk file based on the analysis of detection of the virus file. The utility model solves the problem that the prior art adopts the method of direct implantation to detect, and does not connect through the network, which can potentially destroy the security and stability of the cloud data center.

【技术实现步骤摘要】

本专利技术涉及计算机软件检测
，更具体地涉及一种基于旁路监听的云数据病毒探测方法及系统。
技术介绍
云数据中心在数据爆炸的今天得到了广泛的应用。作为虚拟化系统，其病毒探测方法仍然局限于传统的无代理及轻代理模式。但对作为互联网基石的云数据中心而言，其业务稳定性是非常重要的。现有技术中，无代理及轻代理模式的应用，对云数据中心的数据安全均需要在现有系统中接入模块，采用直接植入方式进行检测，并不需要通过网络进行连接，这潜在的破坏了现有系统的稳定性。
技术实现思路
为了解决上述技术问题，提供了根据本专利技术的一种基于旁路监听的云数据病毒探测方法及系统。根据本专利技术的第一方面，一种基于旁路监听的云数据病毒探测方法。该系统包括：从物理网络设备获取迁移数据，判别迁移数据并取得整体镜像，依据整体镜像分别提取其中的进程镜像、磁盘文件；基于病毒库解析、扫描并比对所述进程镜像、磁盘文件，分析检测出病毒文件。优选的，所述方法包括：从所述迁移数据中获取原始报文，基于原始数据报文进行TCP报文重组成为原始TCP数据流，判定是否需要进行解密，若需要解密，则使用用户配置的解密用信息进行解密。优选的，所述判别迁移数据类型并取得整体镜像，包括：解析所述迁移数据消息类型，根据消息类型解析相应字段，并提取数据字段。优选的，所述依据整体镜像分别提取其中的进程镜像、磁盘文件，包括：基于所述迁移数据提取内存整体镜像，找到目标镜像中系统内核的进程列表入口，解析出进程镜像页表，导出内存进程镜像。优选的，所述依据整体镜像分别提取其中的进程镜像、磁盘文件，包括：基于所述迁移数据提取磁盘整体镜像，解析磁盘分区表，依据探测到的分区格式查找文件分配表，并基于文件分配表导出磁盘文件。优选的，所述方法还包括：接收用户配置信息，并对所述病毒文件进行告警提示，所述用户配置信息包括解密用信息、告警用信息。根据本专利技术的第二方面，提供一种基于旁路监听的云数据病毒探测系统，包括：数据解析模块，用于从物理网络设备获取迁移数据，判别迁移数据类型并取得整体镜像，依据整体镜像分别提取其中的进程镜像、磁盘文件；分析模块，用于基于病毒库样本解析、扫描并比对所述进程镜像、磁盘文件，分析检测出病毒文件。优选的，所述系统还包括：解密模块，用于从所述迁移数据中获取原始报文，基于原始数据报文进行TCP报文重组成为原始TCP数据流，判定是否需要进行解密，若需要解密，则使用用户配置的解密用信息进行解密。优选的，所述数据解析模块包括：解析子模块，用于解析所述迁移数据消息类型，根据消息类型解析相应字段，并提取数据字段。优选的，所述数据解析模块包括：第一提取子模块，用于基于所述迁移数据提取内存整体镜像，找到目标镜像中系统内核的进程列表入口，解析出进程镜像页表，导出内存进程镜像。优选的，所述数据解析模块包括：第二提取子模块，用于基于所述迁移数据提取磁盘整体镜像，解析磁盘分区表，依据探测到的分区格式查找文件分配表，并基于文件分配表导出磁盘文件。优选的，所述系统还包括：提示模块，用于接收用户配置信息，并对所述病毒文件进行告警提示，所述用户配置信息包括解密用信息、告警用信息。通过使用本专利技术的方法及系统，利用虚拟化云数据中心中的虚拟机迁移数据流，在没有影响现有数据中心业务的情况下，通过分光等操作，获取数据流量，探测分析云数据中心中的文件，通过旁路在数据中心环境下进行病毒检测并发送告警，解决了平衡云数据中心的安全性及稳定性的问题。附图说明为了更清楚地说明本专利技术的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为根据本专利技术实施例的基于旁路监听的云数据病毒探测方法的流程图；图2为根据本专利技术实施例的基于旁路监听的云数据病毒探测系统的框图。具体实施方式下面参照附图对本专利技术的优选实施例进行详细说明，在描述过程中省略了对于本专利技术来说是不必要的细节和功能，以防止对本专利技术的理解造成混淆。虽然附图中显示了示例性实施例，然而应当理解，可以以各种形式实现本专利技术而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本专利技术的范围完整的传达给本领域的技术人员。云数据中心为了平衡资源占用，会不定期的触发虚拟机迁移，将虚拟机从一台实体设备迁移到另一台实体设备。在迁移过程中，一定会迁移的内容包括：当前虚拟机的内存镜像；可能会迁移的内容包括：当前虚拟机的磁盘。本专利技术实施例通过旁路监听其迁移数据，探测分析出迁移数据中的病毒文件。图1为根据本专利技术实施例的基于旁路监听的云数据病毒探测方法的流程图。如图1所示，方法包括如下步骤：S110，从物理网络设备获取迁移数据中原始的数据报文。根据数据报文的协议类型进行分类，目前所见的全部迁移均基于TCP，因此舍弃全部非TCP的协议。S120，基于原始的数据报文进行TCP报文重组为原始TCP数据流。基于原始的数据报文，对TCP数据报文进行重组，使之变成原始发送方发送的顺序，重组为原始TCP数据流。S130，判定迁移数据是否需要解密，若需要解密，使用用户配置信息进行解密，若不需要解密，则执行步骤S140。从迁移数据中获取原始数据报文，基于原始数据报文进行TCP报文重组成为原始TCP数据流，首先判定是否需要解密，若协议为加密协议，则通过用户配置的解密用信息解开协议，若不需要解密，则直接对迁移数据进行判别。S140，判别迁移数据类型取得消息内容。对迁移数据类型进行判定，解析迁移数据消息类型，根据消息类型解析相应字段，并提取数据字段的消息内容，包括虚拟机的名称、迁移过程信息等，如正在迁移的虚拟机名称。消息类型包括是否为迁移请求，及是否包括内存镜像、硬盘镜像。S150，依据迁移数据解析出迁移虚拟机的磁盘、内存镜像，并对其磁盘镜像、内存镜像进行分析，提取进程镜像、磁盘文件。如果迁移数据是内存镜像，则基于迁移数据的内存数据流中提取内存整体镜像，内存镜像是指内存的完整dump，同一个内容可能存在不同区域，将各个区域完整提取，如同计算机中内存存储的信息一样。然后，判别提取后的内存镜像的操作系统类型，找到目标镜像中系统内核的进程列表入口，解析出进程镜像（相同进程整理）页表，导出内存进程镜像。该导出方法现有技术可以实现，具有大量开源实现如Volatility。从迁移数据中提取内存镜像，其输入为经过整理的报文，输出是正在运行的进程的分别的镜像。如果迁移数据是磁盘镜像，则基于迁移数据的磁盘镜像数据流中提取磁盘整体镜像，磁盘镜像是指磁盘的完整dump，如同计算机中磁盘存储的信息一样。从迁移数据协议中获取传输的虚拟机磁盘镜像的类型，如vmware的磁盘镜像vmdk；再解析该磁盘镜像格式，从中提取出磁盘的原始二进制数据。然后，依据磁盘的原始二进制数据，解析磁盘分区表，依据探测到的分区格式查找文件分配表，并基于文件分配表导出磁盘文件，其中包括磁盘文件路径及磁盘文件。该导出方法现有大量开源实现，如linux系统内核即可完成该项工作。从迁移数据中提取磁盘镜像，其输入为经过整理的报文，输出是磁盘文件路径及磁盘文件。S160，基于病毒库样本解析、扫描并比对进程镜像本文档来自技高网...

【技术保护点】
一种基于旁路监听的云数据病毒探测方法，其特征在于，包括：从物理网络设备获取迁移数据，判别迁移数据并取得整体镜像，依据整体镜像分别提取其中的进程镜像、磁盘文件；基于病毒库解析、扫描并比对所述进程镜像、磁盘文件，分析检测出病毒文件。

【技术特征摘要】
1.一种基于旁路监听的云数据病毒探测方法，其特征在于，包括：从物理网络设备获取迁移数据，判别迁移数据并取得整体镜像，依据整体镜像分别提取其中的进程镜像、磁盘文件；基于病毒库解析、扫描并比对所述进程镜像、磁盘文件，分析检测出病毒文件。2.根据权利要求1所述的方法，其特征在于，包括：从所述迁移数据中获取原始报文，基于原始数据报文进行TCP报文重组成为原始TCP数据流，判定是否需要进行解密，若需要解密，则使用用户配置的解密用信息进行解密。3.根据权利要求1所述的方法，其特征在于，所述判别迁移数据类型并取得整体镜像，包括：解析所述迁移数据消息类型，根据消息类型解析相应字段，并提取数据字段。4.根据权利要求1所述的方法，其特征在于，所述依据整体镜像分别提取其中的进程镜像、磁盘文件，包括：基于所述迁移数据提取内存整体镜像，找到目标镜像中系统内核的进程列表入口，解析出进程镜像页表，导出内存进程镜像。5.根据权利要求1所述的方法，其特征在于，所述依据整体镜像分别提取其中的进程镜像、磁盘文件，包括：基于所述迁移数据提取磁盘整体镜像，解析磁盘分区表，依据探测到的分区格式查找文件分配表，并基于文件分配表导出磁盘文件。6.根据权利要求1或2所述的方法，其特征在于，还包括：接收用户配置信息，并对所述病毒文件进行告警提示，所述用户配置信息包括解密用信息、告警用信息。7.一种基于旁路监听的...

【专利技术属性】
技术研发人员：李林哲，张栗伟，关墨辰，
申请(专利权)人：北京安天电子设备有限公司，
类型：发明
国别省市：北京;11