某企业私有云病毒查杀平台建设与实现

《某企业私有云病毒查杀平台建设与实现》由会员上传分享，免费在线阅读，更多相关内容在学术论文-天天文库。

分类号：TP309单位代码：10183研究生学号：2015534068密级：公开吉林大学硕士学位论文（专业学位）某企业私有云病毒查杀平台建设与实现Theestablishmentandimplementationofaprivatecloudviruskillingplatformforanenterprise作者姓名：王作成类别：工程硕士领域（方向）：计算机技术指导教师：秦贵和教授培养单位：计算机科学与技术学院2018年4月 某企业私有云病毒查杀平台建设与实现Theestablishmentandimplementationofaprivatecloudviruskillingplatformforanenterprise作者姓名：王作成领域（方向）：计算机技术指导教师：秦贵和教授类别：工程硕士答辩日期：2018年5月22日 未经本论文作者的书面授权依法收存和保管本论文书，面版本、电子版本的任何单位和个人，均不得对本论文的全部或部分内容进行任何形式的复制、修改、发行、出租、改编等有碍作者著作权的商业性使用（但纯学术性使用不在此限）。否则。，应承担侵权的法律责任吉林大学硕士学位论文原创性声明本人郑重声明：所呈交学位论文，是本人在指导教师的指导下，独立进行研宄工作所取得的成果。除文中己经注明引用的内容外，本论文不包含任何其他个人或集体己经发表或撰写过的作品成果。对本文的研宄做出重要贡献的个人和集体，均己在文中以明确方式标明。本人完全意识到本声明的法律结果由本人承担。ｔ学位论文作者签名：日期：年Ｓ月日 摘要摘要某企业私有云病毒查杀平台建设与实现随着网络的发展，互联网已经逐渐成为人们生活中不可或缺的重要依靠，但信息安全的问题也随之越来越严峻。当前基于传统的杀毒软件，普遍利用病毒特征码静态匹配的病毒查杀技术，病毒查杀主要取决于病毒特征库是否有匹配病毒规则的基础扫描文件库，查杀效果具有一定的局限性。随着反病毒技术的日益发展，这种病毒查杀模式已无法满足飞速发展的网络计算机病毒的多样化、恶意攻击复杂性的查杀预防要求。为此，安全领域急需快速、准确、有效的安全查杀技术和解决方案，来提高整个网络的安全性。随着新技术的不断发展，云安全走进了人们的生活，对广大网络用户来说，云安全技术将会给生活带来全新的变化。云安全技术是紧随着云计算、云存储技术之后出现的，成为计算机网络时代杀毒软件查杀木马和病毒的最好选择。云安全的出现大大提高了反病毒的效率，从技术上缩短了和病毒对抗的时间，很大程度上还降低了样本收集的时间，为分析和处理样本以及升级病毒数据提供了可靠保证。云安全技术不仅可以反病毒，还向人们传达出一种反病毒的理念，同时它还是一个具有互联网性质的安全防御体系。云安全技术，改变以往的被动杀毒，变成主动防御，可以在最短的时间内迅速拦截病毒，并且快速寻找病毒样本，然后针对出现的恶意威胁进行快速地分析和处理，使得杀毒的整个过程智能化，这样就大大提高了反病毒的效率。总之，云安全技术不仅是传统杀毒软件技术的有效强化和补充，也是应对各类安全风险的有效预防手段。本文的主要工作包括：（1）介绍某企业的网络安全现状，重点介绍网络中病毒感染渠道多，病毒类型复杂，以及现阶段病毒防治情况的分析。（2）介绍某企业网络面临的主要安全威胁，以及私有云平台的建设思路及需求性分析。（3）针对企业独特的网络结构，研究病毒样本的信息收集、黑白名单库的扩充、多引擎查杀检测、行为检测分析等多方面内容，实现通过采集大量客户端I 摘要的软件异常行为，来获取可疑软件行为信息，再把这些信息发送到服务端进行自动分析和处理，最后把分析出来的木马和病毒特征等信息发送到每一个客户端，对木马和病毒进行查杀的目的。（4）介绍私有云平台的组织架构，对设计的各个模块分别进行分析；结合平台的设计要求，综合安全性、处理速度等方面考虑，合理部署软硬件环境；给出样本文件和可信软件认证鉴定的服务及流程。关键词：信息安全计算机病毒云安全技术病毒查杀II AbstractAbstractTheestablishmentandimplementationofaprivatecloudviruskillingplatformforanenterpriseWiththedevelopmentoftheInternet,theInternethasbecomeanindispensableandindispensablepartofpeople'slife,buttheproblemofinformationsecurityisbecomingmoreandmoreserious.Currentbasedonthetraditionalantivirussoftware,widespreaduseofviruskillingvirussignaturestaticmatchingtechnology,viruskillingmainlydependsonthecharacteristicsofthelibrarytoseeifthereisthebasisofmatchingrulesofvirusscandocuments,killingeffecthascertainlimitations.Withthedevelopmentofanti-virustechnology,thisvirusdetectionmodecannotmeetthedemandsoftherapiddevelopmentofnetworkcomputervirusandthecomplexityofmaliciousattack.Forthisreason,thesecurityfieldisinurgentneedoffast,accurateandeffectivesecuritycheckandkilltechnologyandsolution,toimprovethesecurityofthewholenetwork.Withthecontinuousdevelopmentofnewtechnologies,cloudsecurityhasenteredpeople'slife,andcloudsecuritytechnologywillbringawholenewchangetothelifeofInternetusers.Cloudsecuritytechnologyiscloselyfollowedbycloudcomputingandcloudstoragetechnology.ItisthebestchoiceforkillingTrojanandvirusincomputernetworkera.Theemergenceofcloudsecurityhasgreatlyimprovedtheefficiencyoftheanti-virus,technicallytoshortenthetimeoftheagainstviruses,largelyalsoreducesthetimeofsamplecollection,sampleforanalysisandprocessingandupgradethevirusdataprovidesareliableguarantee.Cloudsecuritytechnologycannotonlybeanti-virus,butalsocommunicateananti-virusconcepttopeople,anditisalsoasecuritydefensesystemwithInternetnature.Cloudsecuritytechnology,changetheformerpassiveantivirus,intoactivedefense,canintheshortestpossibletimetointerceptthevirusquickly,andlookingforvirussamplesquickly,andthenagainstmaliciousthreatsquicklyanalysisandprocessing,makethewholeprocessofIII Abstractantivirusintelligence,thusgreatlyimprovingtheefficiencyoftheanti-virus.Inaword,cloudsecuritytechnologyisnotonlyaneffectivereinforcementandsupplementoftraditionalanti-virussoftwaretechnology,butalsoaneffectivemeanstopreventallkindsofsecurityrisks.Themainworkofthispaperincludes:(1)introducethecurrentsituationofthenetworksecurityofanenterprise,mainlyintroducetheviralinfectionchannelsinthenetwork,thecomplexityofthevirustype,andtheanalysisofthecurrentsituationofviruscontrol.(2)introducethemainsecuritythreatstothenetworkofanenterprise,aswellastheconstructionthinkinganddemandanalysisoftheprivatecloudplatform.(3)inviewoftheenterpriseuniquenetworkstructure,theresearchsamplesofinformationcollection,blackandwhitelistlibraryexpansion,enginemorekillingmanyaspectssuchasdetection,behavioranalysis,theimplementationbycollectingalargenumberofabnormalbehavior,clientsoftwaretogetsuspiciousbehaviorinformationofsoftware,andthensendtheseinformationtotheserverforautomaticanalysisandprocessing,finally,theanalysisofcharacteristicsoftrojansandvirusessuchasinformationissenttoeveryclient,forthepurposeofkillingtheTrojanandvirus.(4)introducetheorganizationalstructureoftheprivatecloudplatform,andanalyzethevariousmodulesofthedesign;Consideringthedesignrequirementsoftheplatform,comprehensivesecurity,processingspeedandotheraspects,thesoftwareandhardwareenvironmentshouldbedeployedreasonably;Providetheserviceandprocessofsamplefileandtrustedsoftwareauthentication.Keywords:informationsecuritycomputervirusCloudsecuritytechnologyVirusscanIV 目录目录第一章引言.............................................11.1课题背景..........................................11.2云安全病毒防治技术国内外研究现状.................11.2.1趋势科技云安全..............................21.2.2瑞星云安全..................................21.3某企业网络安全现状及病毒防治情况.................31.3.1网络安全现状................................31.3.2计算机病毒感染及防治情况....................51.4本论文章节安排...................................81.5本章小结.........................................9第二章私有云病毒查杀平台建设需求性分析................102.1某企业网络面临的主要安全威胁....................102.1.1计算机病毒感染威胁.........................102.1.2计算机系统漏洞威胁.........................112.1.3计算机网络攻击威胁.........................112.2私有云病毒查杀平台建设需求......................122.2.1需求分析...................................122.2.2私有云建设思路.............................132.3本章小结........................................15第三章私有云病毒查杀平台研究内容及技术特点............163.1PE文件简介......................................163.2私有云病毒查杀平台研究内容......................17I 目录3.3病毒样本文件鉴定的技术特点和难点................223.3.1病毒样本文件鉴定的技术特点.................223.3.2病毒样本文件鉴定的技术难点.................223.3.3黑白名单与多引擎分析系统的关系和特点.......233.4本章小结........................................23第四章私有云病毒查杀云平台的组织结构及部署要求........244.1系统组织架构....................................244.2模块介绍........................................254.2.1可疑文件数据捕获终端.......................254.2.2文件收集存储库.............................254.2.3黑白名单文件库.............................264.2.4多引擎处理系统.............................264.3服务及流程......................................274.3.1文件鉴定和查杀.............................274.3.2软件可信认证...............................294.4部署需求........................................304.4.1软件环境....................................304.4.2硬件环境...................................304.4.3调用接口...................................314.5本章小结........................................36第五章私有云病毒查杀平台的功能展示....................375.1PE文件统计信息展示区............................375.2可疑样本信息展示区..............................375.3黑白名单统计展示区..............................38II 目录第六章工作总结与展望..................................40参考文献................................................41致谢................................................45III 第1章绪论第1章绪论1.1课题背景随着计算机病毒技术的不断更新发展，病毒种类越来越复杂，入侵方式也越[1]来越多样，病毒隐藏技术也越来越高深。目前，某企业网络病毒感染情况猖獗，全网中90%以上的终端、服务器均感染过病毒，个别终端甚至出现病毒木马循环感染扩散的情况，传统的杀毒软件只能做到主动防御或者被动查杀，对于复杂的病毒不能彻底清除，也不能精准定位感染源头。同时，面对APT类的高等级病毒木马入侵攻击事件，现有的技术手段不能全方位检测查杀，对入侵风险的分析和研判能力偏弱，缺乏有效的发现和处置能力。结合当前某企业网络中病毒和可疑程序种类复杂、感染扩散速度快、查杀效率不高等特点，引入私有云病毒查杀平台，全面实现对病毒样本和可疑程序的收集上报、分析排查和跟踪取证溯源能力，加强应对APT类攻击和渗透行为的能力，提高对未知计算机病毒的防御、分析和检测能力，从而更好的解决病毒和可疑程序可能带来的威胁及损失。所研究的私有云病毒查杀平台从各子网络终端收集文件信息，通过黑白名单库和多引擎查杀的检测，分析梳理网络中的可信文件、恶意病毒和可疑程序，对于可疑程序继续行为分析检测和人工分析处理，力争彻底查杀解决计算机病毒带来的一系列问题，将病毒可能造成的损失降到最低，从而建立相对安全的网络环境。1.2云安全病毒防治技术国内外研究现状目前，国内的信息安全公司纷纷推出云安全病毒防治技术产品，趋势科技、瑞星、奇虎360、启明星辰、江民科技等多家安全公司都投入研究开发了相应产品，并给出解决方案，提高了病毒木马、恶意代码入侵防范能力。介绍几款典型的云安全产品针对病毒防治的发展历程及其主要技术特点。1 第1章绪论1.2.1趋势科技云安全2004年，趋势科技为解决病毒快速增长的问题，开始了“云”的使用；2008年，为了保护用户账户信息不受非法分子的攻击窃取，采用云安全技术，并发布了趋势科技云安全1.0；2011年，趋势科技发布云安全5.0，即采用先进的网络层虚拟补丁技术，对资源调度方法进行全面的优化，最大限度的阻止病毒对系统漏洞的攻击，从而有效的降低了补丁维护的成本和不可预见的安全风险。趋势科技云安全5.0为保护云的安全，采取以下四个方面的措施，并形成解决方案。虚拟化构架下的无代理安全性：为了保护各企业内部应用系统、核心数据、关键服务的安全性，提出“云的防护盾”技术，并与云平台虚拟环境进行无代理的动态集成，以此避免病毒木马、系统漏洞，黑客攻击等行为对企业造成直接的危害。云平台数据保护：采用“云中保险箱”技术，为使企业可以安全放心的在云端进行数据交换和存储，采用秘钥与策略双重管理机制来保护用户的个人隐私和[2]敏感数据，从而避免被非法盗取和利用。移动设备无边界安全访问：为有效防护互联网上的移动终端、智能手机、智能手环等移动设备免受病毒的攻击威胁，在互联网线上开放无边界数据访问平台，可随时查看移动设备的安全性。云计算安全威胁管理：通过海量的云计算体系，为云计算安全威胁管理平台[2]提供灵活的数据查询、报表输出、日志审计、策略管理等功能。据了解，趋势科技除了针对虚拟化和移动终端的安全防护之外，2016年趋势科技又推出云终端设备的安全管理，主要包括智能手机、智能家电的管理，目前已支持市场上大部分的手机系统平台。除此之外，趋势科技还计划集中力量对云应用和数据安全方面做大量的预防整治工作。1.2.2瑞星云安全2005年，瑞星疫情监测网正式启动，瑞星云安全概念初见雏形；2 第1章绪论2007年，瑞星客户端将杀毒扫描结果上传至中心服务器，中心服务器进过分析处理，形成分析报告并反馈给用户。这是瑞星云安全系统发展进步的一个重要的实质性阶段。2008年，瑞星云安全大力发展，并初见成效，不仅初步成功搭建了瑞星云安全系统，而且先后推出瑞星“云安全1.0”和“云安全2.0”系统，实现了木马病毒的全面、实时、精准、有效的监控和查杀，并在此基础上，增加了对挂马网站的拦截、监控，甚至封杀等功能2012年，我国信息安全领域第一个商品化的“私有云”平台问世，瑞星公开发布“专属5S服务·尊享‘私有云’安全”，该平台采用黑白名单技术、身份标识技术、优化的密码防护技术及动态资源合理分配技术等全方位的进行系统防护。瑞星企业专属“私有云”技术：依赖现有的IT设施单独构建，并提供专属的云应用和云服务。其主要有两个功能：一，安装瑞星云客户端，对客户端进行即可获取瑞星认证过的各类安全应用软件、程序，便于分发、监控和管理。二，提供定制的专属瑞星云安全服务，本地无需存放病毒库，减少对系统内存、资源占用的同时，可快速、及时、准确的进行病毒扫描和防护。智能动态资源分配技术：细化了瑞星病毒特征库，优化了杀毒引擎核心技术，改进了存储和加载方式，在使用客户端查杀病毒时，不需像传统杀毒软件那样在系统内存中加载病毒库，而是采用高负荷的CPU运算方式，按需加载，降低资[3]源占用率，实现轻便快速进行病毒查杀。1.3某企业网络安全现状及病毒防治情况1.3.1网络安全现状某企业网络遍布全国各省市，拥有300余个网络节点，各节点均分级部署大量的主机、服务器、网络设备和安全设备，联网设备20000台左右，并承载大型工程60余个。网络节点的建设部署具有地域广、距离远、分布分散等特点，对病毒防治工作的人力投入、技术支撑达不到统一的标准，单靠人工干预不能有效解决当前的日益发展的安全威胁。3 第1章绪论企业网络中系统结构复杂，由于不同部门承载着不同的业务，使用的应用系统不尽相同，为保证企业内部业务正常运转，常常需要通过数据的传输交互共享来实现，同时也给病毒传播提供了所需环境，造成企业内部病毒无法彻底查杀。网络中主要的应用系统及特点如下：1．业务系统全网业务系统复杂，其中一部分业务系统不断电持续运行，而且没有系统备份，还有部分业务系统存在设备老化，配置低,没有专人维护等特点。为不影响业务系统的性能指标，确保业务的正常运转，这些系统终端未进行任何病毒防治措施，一旦感染病毒极易造成病毒的传播、扩散，这些系统也逐渐成为病毒感染的重灾区，考虑到整个网络环境，存在重大安全隐患。2．邮件系统为提高办公效率，网络中部署有电子邮件、腾讯通等即时消息传递系统，在方便信息资源共享，增加各部门交流沟通的同时，也给网络中的病毒传播提供了适当的平台。在邮件系统的使用过程中，逐渐开始出现大量的垃圾邮件及携带病毒的邮件，给整个网络环境带来相当大的安全风险。3．传输系统用于业务数据的传输交互系统，保证业务数据传输过程中的私密性、安全性和可靠性，部分功能类似于邮件系统的消息传递。传输系统使用千兆网络进行传输，多用于各节点之间的信息传递，对于大文件的传输更加方便，但保证业务的同时也给病毒的传播打开了更加便捷的通道，已成为病毒传播扩散的主要途径。4．安全系统目前，企业网络中部署有大量的网络安全设备，并初步形成安全体系。网络各节点、边界、终端均按要求分级部署指定的安全防护系统，如防火墙、防病毒系统、IDS行为检测系统、漏洞扫描系统、内网监管系统、APT检测系统、态势预警系统、流量回溯行为检测系统等，用来监测全网的信息安全，但大部分安全系统仅支持发现告警功能，对已检测到的安全事件进行自动处理分析方面还很薄弱，仍需更加完善的安全监管机制。5．办公系统在用办公电脑主要安装WINDOWS、LINUX、中标麒麟等操作系统，其中使用WINDOWS操作系统的用户占95%以上，并且绝大部分安装的盗版非授权4 第1章绪论系统版本，并且版本不统一。据统计winxp以下版本仍占三分之一左右，这些版本操作系统漏洞补丁已不再更新，存在严重的安全威胁。因各部门承载业务不同，办公系统也不尽相同。部分业务系统、业务软件由各部门自主研发，使用运行前未经过审核，只经过内部机构的审核，并未经过权威安全机构的鉴定。这些系统、软件可能并未经过安全加固，软件研发漏洞不可避免，同样存在安全威胁。部分公共软件，诸如OFFICE、阅读器、浏览器等也多使用盗版，获取渠道主要来自互联网，下载安装程序时可能已经携带有病毒木马程序，在软件安装过程中，病毒木马随即强行入侵用户电脑终端，从而造成一系列病毒感染的情况。1.3.2计算机病毒感染及防治情况1．病毒类型及危害近年来，计算机病毒的发展从简单到复杂，病毒程序的编写已逐渐开始使用更高级的编辑语言，并应用复杂、先进的加密、解密和隐藏算法，演变的越来越完善，病毒传播速度快、范围广，破坏力大，破坏性强，甚至可以直接攻击杀毒[4]软件。综合某企业网络中计算机病毒本身的技术特点、本质属性、攻击目标、传播方式等方面，将网络内的病毒大致分为以下几种类型。（1）传统病毒传统计算机病毒主要通过感染Windows操作系统的*.exe和*.dll文件等可执行程序进行传播，计算机感染该病毒后可能使系统内存无故被大量占用，导致电脑变慢。（2）宏病毒宏病毒（Macro）是脚本病毒中的一种，该类病毒的共同特点是感染保存编辑的Office文档，寄存在文档或模板的宏中，当再次打开文档时，宏病毒随即被释放，进行传播。（3）恶意脚本恶意脚本（Script）是指那些主要以破坏为目的程序。普遍使用脚本语言进行编写，并通过网页传播的计算机病毒。通常包括HTML脚本、批处理脚本、VB、JS脚本等。5 第1章绪论（4）木马程序木马（Trojan）程序，通常简称为木马，恶意代码等。一般情况下，感染木马后，可长期潜伏，而用户无任何感知，黑客通过远程控制技术来收集泄露用户个人信息，具有攻击性行为。（5）蠕虫病毒蠕虫（Worm）病毒是一种通过网络传播的病毒，一般不需要附着到宿主程序，主要利用1434端口的缓冲区漏洞和电子邮件的方式进行传播，具有阻塞网络的特点。（6）破坏性程序破坏性程序通常具有美观的图标来吸引用户点击，用户点击后，病毒会自动进行删除文件、格式化硬盘等操作，直接破坏用户计算机系统。纯粹的开机型计算机病毒也属于破坏性程序，开机即被感染，如：“Stoned3（米开朗基罗）”、“DiskKiller”、“HeadEleven”等。企业网络中计算机病毒感染情况严重，不仅影响个人电脑的正常办公，对网络数据的传输也带来不同程度的影响，严重阻碍了业务的正常运行，根据企业内部人士反映的情况，将网络中的计算机病毒的主要危害总结以下两点：传染性病毒危害：这类病毒一般不具有攻击性，其中普通病毒、恶意脚本和破坏性程序一般情况下属于该类病毒。网络中的一些病毒在运行时占用大量系统内存，并消耗内存，干扰系统运行，致使系统运行缓慢，此类病毒大部分具有自我复制繁衍能力，又常常难以根除,经常发现计算机未运行多少程序，而系统却被占用了不少内存，可初步判断是感染了此类病毒；一些病毒在运行时，破坏硬盘引导区信息，使电脑无法启动，硬盘分区丢失，感染此类病毒的计算机在读取了软盘后，再也无法启动，而且用其它的系统启动盘也无法进入，这种情况很有[5]可能是中了引导区病毒所致。攻击性病毒危害：攻击性病毒的攻击目标包括文件、磁盘、内存、CMOS、网站等，并且攻击方法有很多种，主要有删除、篡改、窃取、替换内容、假冒文件、丢失数据等手段。这些病毒攻击主要用来窃取用户隐私、机密文件、账号信息等，以获取政治、经济利益为目的，一旦这些信息被攻击失窃，将给网络中的用户带来难以估量的损失。2．病毒防治措施6 第1章绪论某企业内部网络中部署了一套江民网络版防病毒系统，整个系统主要由江民管理平台、江民控制中心和江民客户端三个子系统组成，各子系统之间相互协作，分工明确。江民网络版防病毒系统采用先进的分布式体系结构（图1），采用B/S（浏览器/服务器）模式进行全网病毒的监控管理，直接通过浏览器即可访问，具有良好的可移植性，操作更加方便、快捷；采用C/S（客户端/服务器）模式用[7]于本地病毒查杀和通讯，该模式在通讯方面更加稳定。控制中心管理平台（B/S）客户端（C/S）客户端（C/S）客户端（C/S）图1江民网络版防病毒系统分布式体系结构江民网络版防病毒系统主要基于病毒特征码静态匹配方式查杀病毒。系统控制中心采取了多项先进的病毒处理技术，智能升级功能保证了病毒库版本的同步更新，方便用户使用，具有功能强大，简单性强等特点。江民防病毒系统自我保护的能力强，可有效对系统进程进行保护，防止病毒、恶意程序强制关闭杀毒软件进程，同时可对自身的安装程序和安装目录实施全面防护，有效防止感染病毒终端安装的江民杀毒软件被病毒强行下线。对于已经感染病毒的计算机，安装江民杀毒软件网络版客户端，也可高效的查杀病毒带来的一系列问题。江民网络版防病毒系统采用组策略管理机制，同一网络的计算机可有管理员进行统一管理、维护。系统具备完善的病毒查杀信息统计功能，可自定义时间段、病毒类型、感染部门等方式查询统计，对同一网络中的流行病毒、感染情况进行统计，并生成图表形式的分析报告，有助于管理员灵活的制定适合本网络的安全策略。目前，全网的杀毒情况较好，网络中绝大多数已知病毒均可查杀，对未知病毒也有一定的查杀效果。7 第1章绪论图2江民网络版防病毒系统管理平台江民网络版防病毒系统虽使用情况良好，但仍存在一定的局限性，其自带的杀毒引擎中病毒库文件有待扩充，对于一些顽固性病毒、宏病毒查杀效果有待继续加强，系统存在较高资源占用率，特别是针对不同办公系统的兼容性方面还需进一步改进。1.4本论文章节安排第一章引言，主要介绍国内外云安全病毒防治技术研究现状，对某企业的网络安全现状以及计算机病毒感染情况和防治措施进行了归纳总结；第二章针对某企业网络面临的主要安全威胁及案例分析，提出私有云病毒查杀平台建设需求及建设思路；第三章介绍私有云病毒查杀平台研究的内容及主要技术特点；第四章介绍私有云病毒查杀平台的组织架构、模块介绍、服务流程及部署需求等；第五章介绍私有云病毒查杀平台功能测试情况；第六章工作总结与工作展望。8 第1章绪论1.5本章小结本章给出了论文课题背景，国内外云安全病毒防治技术研究现状，概括总结了某企业网络安全现状，网络环境中的病毒感染情况、危害和防毒防治措施等，并对论文的章节安排作以介绍，为论文的后续撰写打下基础。9 第2章私有云病毒查杀平台建设需求性分析第2章私有云病毒查杀平台建设需求性分析2.1某企业网络面临的主要安全威胁目前，某企业网络中的数据文件交互主要依靠通信传输系统和U盘、光盘拷贝等手段，且通信端口没有很好的管控措施，致使病毒感染情况比较严重，病毒感染扩散已成为全网的主要安全威胁，部分具有攻击行为的病毒可利用网络中各系统漏洞实施攻击，极易造成安全隐患。网络中还可能存在的安全威胁有网络攻击威胁，如APT攻击、DDOS攻击等。2.1.1计算机病毒感染威胁计算机病毒是指能够破坏计算机数据，引起计算机故障，影响计算机系统的[8]正常使用的程序代码。某企业网络中，计算机系统遭受病毒感染和破坏的情况不容乐观。从安全系统的监测结果分析，网络中的计算机病毒呈现出异常活跃的状态。由于个别网络中部分终端尚未安装杀毒软件，一旦感染病毒，不能彻底清除查杀，长此以往，极易造成严重威胁及损失。[9]“永恒之蓝”病毒感染事件：2017年5月12日，全球爆发了一起“永恒之蓝”病毒感染事件。我国被感染的计算机数量达到数千台次，影响范围覆盖当前几乎所有版本的WINDOWS操作系统，感染范围遍布各个领域。据报道，此次席卷全球网络的计算机病毒利用泄露的NSA黑客数字武器库中“永恒之蓝”工具，制作了一种蠕虫类病毒，该病毒通过扫描电脑上TCP445端口（ServerMessageBlock/SMB）,采用蠕虫病毒方式进行传播，攻击计算机并加密上面存储的文件，最后要求以比特币的形式勒索赎金，造成巨大影响。某企业网络中，网内一台计算机访问了可疑的网站，将该病毒带入内网，病毒加密了系统中的重要文件，并弹出对话框，勒索比特币，同时尝试攻击网内其他计算机，所幸监控检测及时，并立即采取断网处理，才未造成严重影响。10 第2章私有云病毒查杀平台建设需求性分析2.1.2计算机系统漏洞威胁系统漏洞（Systemvulnerabilities）是指计算机操作系统和应用软件在设计上不可避免的会存在一定的缺陷或错误，黑客采用先进的入侵技术，利用植入木马、病毒等手段来攻击和控制用户计算机，窃取用户的数据文件及个人信息，甚至破[10]坏整个系统。[11]冲击波病毒利用RPC漏洞攻击事件:该病毒主要利用Windows的远程过程调用协议（RPC）漏洞进行传播的，只要是计算机上开启了RPC服务且没有打安全补丁，就可能受到该病毒的攻击。冲击波蠕虫病毒及其变种利用此漏洞感染了全球50多万台计算机。当病毒运行时，利用IP扫描技术不停地寻找网络中安装有Windows2000和WindowsXP操作系统的计算机，一旦发现目标计算机，就会利用DCOMRPC缓冲区漏洞实施攻击。如果攻击成功，可导致目标计算机系统出现操作异常、不停重启等状况，严重时甚至使整个系统崩溃。由此可见，如果系统、应用软件存在漏洞，而未能及时修补，被攻击造成的后果难以估量。某企业网络中，计算机、服务器大多安装非正版的操作系统，安装使用的应用软件也都没有经过权威机构的鉴定和认证，经漏洞扫描系统检测，结果显示网内系统漏洞很多，存在安全隐患。2.1.3计算机网络攻击威胁网络攻击指攻击者利用网络存在的漏洞和安全缺陷，对网络系统的硬件、软件及其系统中的数据发起的破坏攻击。随着信息技术的快速发展，目前的网络攻击自动化程度高、攻击速度快，攻击者使用的工具越来越复杂，发现安全漏洞的效率越来越快，防火墙渗透率越来越高，对基础设施形成的威胁越来越大。APT攻击：AdvancedPersistentThreat，即高级可持续性攻击，是指将众多入侵渗透攻击技术进行整合而实现的一种隐秘性的攻击手法，可以在很长一段时间内逐步完成突破、渗透、窃听、偷取数据等任务，力图窃取有价值的信息，甚[12]至破坏整个网络系统。其体现出两方面的特点——“针对性”和“持久性”。RSASecurID窃取攻击：2011年3月，EMC公司下属的RSA公司遭遇APT攻击，公司关键技术及客户资料全部被窃取。攻击者给RSA母公司EMC的411 第2章私有云病毒查杀平台建设需求性分析名员工发送了两组恶意邮件，其中一位员工将其从垃圾邮件中取出来阅读，就被APT中植入的0day漏洞命中，导致该员工的电脑被植入木马，自动从服务器中下载指令执行任务，紧接着渗透到更高权位的相关人士电脑，使得更多的服务器管理员电脑被黑，当RSA发现服务器已被入侵时，攻击方立即撤离，并加密、[14]压缩所有的窃取资料传送至远程服务器，随后清除入侵痕迹。DDOS攻击：DistributedDenialofService，即分布式拒绝服务攻击，指利用客户/服务器技术，联合多个计算机作为攻击平台，对一个或多个目标发起DDOS攻击，从而成倍地增加DOS攻击的威力。通常，攻击者会使用偷窃来的帐号将DDOS主控制程序安装在一台计算机上，并在指定时间内，主控制程序将大量的[15]代理程序推送到网络中的其他计算机上，实现所有计算机共同攻击。2016年6月，一家普通的珠宝在线销售网站遭到了黑客的攻击，调查时发现，该珠宝店的销售网站遭遇到DDOS攻击，每秒钟发送大约35000次的HTTP请求(垃圾请求)，导致该网站无法再提供正常的服务。安全研究人员曾试图阻止此次攻击事件，相反却进一步提升了发送垃圾请求的频率，达到了每秒超过50000次的HTTP请求。安全研究人员通过抓取攻击流量数据包分析后发现，所有的垃圾请求，全部来源于监控摄像头，超过25000个网络摄像头共同组成了僵[16]尸网络，并发起DDOS攻击，是目前为止最大的闭路电视摄像头僵尸网络。现阶段，某企业虽在网络各节点部署多种安全设备，由于APT攻击和DDOS攻击都采用先进的黑客技术，潜伏时间久，隐蔽性极强，攻击手段多，以某企业现有的安全防御检测系统和技术力量，不能排除受到APT攻击和DDOS攻击的可能性。2.2私有云病毒查杀平台建设需求2.2.1需求分析结合某企业网络安全现状，已在网络各结点中心部署了一套江民网络版防病毒系统，用于本地查杀清除普通病毒、控制病毒的扩散。鉴于网络复杂性，终端、服务器、网络设备、安全设备数量庞大、设备类型多样，业务需求各异，对数据入口难以把控，同时频繁进行文件传输、数据交互，无法避免新型病毒和可疑程12 第2章私有云病毒查杀平台建设需求性分析序随数据文件带入网络中，可能出现一段时间内防病毒系统对于新型特种木马、病毒无法彻底查杀的情况，给网络带来严重的安全威胁。1．防病毒情况分析某企业网络内部署的防病毒系统都基于终端安装客户端模式进行病毒查杀，采取分布式部署模式，各防病毒中心信息收集依靠本地客户端杀毒情况的上报，具有一定的局限性，并且本地引擎中的病毒库文件较小，造成了一些顽固性病毒，宏病毒查杀性能比较低。全网终端处理业务工作系统复杂，未添加可信的程序可能被误杀，部分业务系统存在未安装防病毒软件的情况，可能造成病毒的扩散感染威胁。现阶段的防病毒系统的病毒库主要依靠防病毒公司提供，公司主要通过互联网上的病毒更新信息升级最新一个时间段的病毒库特征，没有依赖于某企业网络内病毒感染的情况，制作专杀工具的手段，无法针对性的做到专毒专杀。2．病毒源头挖掘提取分析目前，网络内对于病毒感染情况等安全威胁追根溯源的过程中，没有自动采集原始威胁文件的手段。发现安全威胁事件时，如需提取原始文件进行进一步的分析研判时，需通过文件传输或远程桌面的方式将原始文件传输拷贝到本地进行分析研判，时效性差，且极易造成病毒感染和网络攻击的直接扩散。3．系统运行情况分析网络中业务系统复杂，部分系统不断电持续运行，且没有备份。经过调研，由于这些设备安装防病毒软件可能导致业务系统运行中断，影响业务运行可能造成更大的影响，所以这些业务系统未采取任何防病毒措施，一旦这些系统被感染病毒，可能存在通过业务出口将病毒带入其他网络的情况，具有严重的安全威胁和隐患。2.2.2私有云建设思路云安全融合并行处理、网格计算、未知病毒行为判断等新兴技术理念，是网络时代信息安全的最新体现，云安全通过海量的客户端监测网络中软件的异常行为，来获取网络中木马、恶意程序的最新信息，并把收集的信息自动传送到Server端进行自动分析处理，最后再将病毒和木马的分析处理结果形成解决方案分发到13 第2章私有云病毒查杀平台建设需求性分析[17]每一个客户端。结合企业的网络安全现状，根据开发需求，私有云病毒查杀平台总体设计实现目的如下:1．全面提升网络中病毒、木马的检测、分析能力；2．提高全网病毒感染等安全事件的溯源手段，加强提取分析原始文件的能力；3．实现网络中业务系统免杀申请和可疑程序在线判证能力；4．加强发现、检测APT类等攻击和渗透行为的能力，提高对未知计算机病毒的防御、分析和检测能力。综合考虑企业的网络环境、需求分析、目标实现等方面，从不影响现实业务为出发点进行私有云的定制建设，开发设计适合企业级的私有云病毒查杀平台，用以快速、准确、有效应对网络中出现的病毒威胁，开发设计可对原始文件进行自动筛查提取、分析研判的系统，以判定文件是否携带危害性高，可感染扩散的新型病毒、木马、恶意程序，从而快速有效的预防病毒的传播。系统的整体框架如图3:病毒检测私有云客户端库生成和扩充黑白名单服务器PE文件存储服务器防火墙多引擎服务器文件分析服务器人工分析处理图3整体设计框架图14 第2章私有云病毒查杀平台建设需求性分析2.3本章小结本章主要介绍了某企业网络中可能面临的主要安全威胁，并例举案例说明这些安全威胁可能造成的严重影响，并简要阐述私有云病毒查杀平台的建设需求和思路。15 第3章私有云病毒查杀平台研究内容及技术特点第3章私有云病毒查杀平台研究内容及技术特点拟设计的私有云病毒查杀平台为数据文件的上报提供一套完整的安全解决方案，上报的数据文件格式为PE文件格式。私有云平台的基本流程是从客户端扫描收集PE文件，上报至文件存储服务器，存储服务器将待扫描文件夹下的PE文件推送至黑白名单库系统、多引擎扫描系统和沙箱分析系统进行分析检测，并形成分析结果。如检测结果可确定为威胁或安全的，将其进行汇总，并扩充至黑白名单库，以减少下次相同文件检测的系统压力；如检测结果不可定性是否安全，将其推送至人工分析系统进行人工分析处理，并再次形成分析结果，鉴定为安全的PE文件扩充至白名单库中，鉴定为病毒及有威胁的PE文件扩充至黑名单库中，鉴定结果仍不可判定的PE文件存于文件存储服务器中的灰名单文件夹中，等待下一次的分析研判。最后将上述所有的分析结果上报至私有云病毒查杀平台，并为防病毒系统病毒库的升级提供具有网内病毒特征升级包，从而为计算机客户端的病毒扫描和鉴定提供服务。3.1PE文件简介PE文件的全称PortableExecutable，是微软Win32环境可移植可执行文件(如exe、dll、vxd、sys和vdm等)的标准文件格式。PE格式衍生于早期建立在VAX(R)VMS(R)上的COFF(CommonObjectFileFormat)文件格式。Portable是指对于不同的Windows版本和不同的CPU类型上PE文件的格式是一样的，而CPU不一样，CPU指令的二进制编码是不一样的。只是文件中各种东西的布局是一[18]样的。事实上，判断一个文件是不是PE文件，与其扩展名是无关的，PE文件可以是任何扩展名。Windows系统在区分可执行文件和非可执行文件时，调用计算机语法中的LoadLibrary进行文件名的传递，系统在判断一个文件是否拥有合法动态库时，就涉及到PE文件结构了。PE文件的结构是：从起始位置开始，依次是DOS头、NT头、节表以及具体的节。当一个PE文件被加载到内存中以后，称之为“映象”（image），一般来说，PE文件在硬盘上和在内存里是不完全一样的，16 第3章私有云病毒查杀平台研究内容及技术特点被加载到内存以后其占用的虚拟地址空间要比在硬盘上占用的空间大一些，这是因为各个节在硬盘上是连续的，而在内存中是按页对齐的。3.2私有云病毒查杀平台研究内容1．PE文件样本信息收集某企业整个网络中已部署有一套江民网络版防病毒系统，拟部署的系统依托杀毒软件客户端为探针，利用“爬虫”技术，从最底层的主机开始收集、提取信息，并可覆盖至全网络，以PE文件的格式上报整理，并统一存储于系统的PE存储服务器，如发现大面积感染病毒的情况，方便追根溯源。杀毒软件客户端是指安装了江民杀毒软件的笔记本、台式机、服务器等，杀毒软件会对客户端进行病毒检测及安全保护。客户端通过本地病毒特征库和私有云端两者配合进行病毒检测。客户端会将符合PE规则的PE文件上报至PE文件存储服务器。2．黑白名单库电脑系统里，很多软件开发时，凡是涉及控制方面都应用到黑白名单规则，诸如操作系统、防火墙、邮件系统、应用软件等。黑名单规则启用后，被列入到黑白名单的用户、IP地址、IP包、邮件、病毒等，根据规则的设定进行过滤。白名单与黑名单呈对应关系，通过有效性和安全性给消费终端下发名单控制命令。随着信息技术的发展，黑白名单扩展策略也逐渐在市场被应用，借鉴黑白名单扩展策略的安全技术、智能技术也随之出现，并越发成熟。黑白名单技术作为众多安全问题解决方案的一个研究领域，主要是通过各种有效的手段，创建并维护一个黑白名单列表，通过设置防护系统的权限、用户、规则、策略等表中的项，在使用其他的防护手段之前，先一步对网络中的数据信[19]息进行有效的过滤甄别，从而规避绝大部分网络攻击行为。拟设计的平台创建起始黑白名单库，白名单是经过权威专业机构鉴定并确认为无危险的样本，包括正版操作系统程序、系统文件、驱动文件、官方认证的安全软件等；黑名单是已经鉴定为有威胁的对象，包括收集的病毒样本、恶意程序，以及终端上报的可疑样本经过鉴定后确认为病毒的。通过私有云平台对程序、文件的扫描处理，比对PE文件HASH值，包括17 第3章私有云病毒查杀平台研究内容及技术特点SHA1值和MD5值，并与原始黑白名单库中的SHA1值和MD5值分别进行比较，将扫描的PE文件检测结果增量扩充至黑白名单库中，人工分析检测的判定结果也可扩充至黑白名单库，从而减轻系统下一次收集分析PE文件的压力。3．多引擎查杀多引擎查杀体系是整个系统架构的核心组成部分。针对从终端上报至PE样本存储服务器的样本文件，定期启动定时任务，自动对上报的PE样本进行扫描、鉴定和分析，并对扫描所产生的日志进行自动分析和处理，根据扫描结果把样本分成染毒样本、可疑样本及可信样本进行存储，同时对于确定感染病毒的样本提取样本的Hash值（包括MD5、SHA1值），生成待上报私有云端的特定信息，最后把这些特定信息自动上传至黑白名单服务器。某企业网络中，业务系统数据传输交互数量巨大，单靠一种引擎扫描提取信息进行查杀检测效率不高，且容错率低。根据网络特点，有针对性的引入多种引擎共同扫描鉴定，并支持多线程处理，目前已引入江民引擎、卡巴斯基引擎和比特梵德BitDefender（BD）引擎，后续还会加入1-2个引擎，进行全方位、全面性的扫描和鉴定，力求使扫描和鉴定出的PE样本结果更加精确。目前，已引入的三大杀毒引擎各有优势，并形成优势互补。卡巴斯基杀毒引擎：目前拥有最全的病毒特征库的一款杀毒软件，具有反恶意软件保护，实时防御计算机病毒和网络威胁。采用漏洞入侵防护技术，控制包含漏洞的可执行文件的启动，分析可执行文件的恶意行为，判断并识别可执行程序与恶意程序的相似之处，进而限制包含漏洞应用程序特定运行方式。卡巴斯基是全球是唯一一家拥有自己的白名单实验室的防病毒软件供应商，卡巴斯基安全技术，启用应用程序信任模式，使用卡巴斯基的白名单服务信息来限制运行于计算机上的非法恶意程序。卡巴斯基杀毒软件通过自动检测和清除恶意威胁保护用户计算机，并提供基于“云安全”技术的卡巴斯基安全网络，对新生威胁提供全[21]方位安全、实时的防护。BD杀毒引擎：凭借防病毒，防火墙，防垃圾邮件，防间谍软件，网络内容过滤等多种安全管理工具，为各大规模的企业和个人用户提供领先的计算机病毒防护服务。BD改进了病毒扫描和ActiveVirusControl(活动病毒控制)。此外，BD还提供了主动防护、系统维护和备份功能等众多安全解决方案。BD最重要的功能就是ActiveVirusControl和使用模式功能。ActiveVirusControl可以监测正在18 第3章私有云病毒查杀平台研究内容及技术特点运行的各类应用程序，并为用户提供可删除病毒代码的先进启发式技术，方便用户量身定制一套适合自身需求的安全解决方案。最新版本的BD带有自动更新的[22]体系架构，性能稳定，方便灵活、直观易用的配置向导是BD的一大亮点。江民杀毒引擎：可有效查杀超过40万种的已知计算机木马、病毒、后门程序等恶意代码以及大部分未知病毒。江民主要采用三大杀毒技术，一是具有自我保护反病毒对抗技术，越来越多的病毒不仅对杀毒软件免疫，而且还可攻击杀毒软件，关闭杀毒软件的服务进程。江民杀毒引擎采用窗口保护和进程保护技术，可有效阻止病毒目前所有已知的破坏手段，从系统底层保护自身安全，确保了杀毒软件自身的安全性。二是具有强大的启发式扫描、虚拟机脱壳技术：进过测试表明，在不开启主动防御和特征码监控的情况下，能够启发扫描80％以上的未知病毒。增强虚拟机脱壳技术，能够对各类主流加壳病毒进行脱壳处理。三是具有双核引擎优化技术，全面优化了基于双核和多核的处理器，同时启用多线程，，对电脑中的文件、数据、程序进行全方位病毒扫描时，大幅提升了扫描速度。多引擎分析系统从对样本的扫描、鉴定和处理，结果处理分析，到最后的特征信息生成处理及上报，都是由系统自动完成的，无需人工进行干预和处理，减少了人工处理的繁琐，同时也避免了人为分析中导致的不确定性。多引擎系统对PE文件鉴定的具体操作流程（图4）：19 第3章私有云病毒查杀平台研究内容及技术特点获取待扫描的PE文件列表有文件列表文件列表移动文件至工作目录多引擎扫描有扫描日志扫描日志分析并处理扫描日志归类整理存放样本生成黑名单SQL语句上报黑白名单库存放结束图4多引擎扫描和鉴定流程图（1）文件解包，将需要或者可以解包的文件进行解包操作。（2）验证文件数字签名，具有有效签名的文件将被归类为可信文件。（3）验证文件是否加壳，带壳文件单独处理。（4）获取文件信息（文件版本、文件说明、产品名称、产品版本等信息），带有微软公司、各厂商（内部合作厂家）等信息的文件进行单独处理。（5）多引擎扫描步骤“归类整理存放样本”分离的文件，病毒文件入黑名单，未报毒文件单独存放等待预定周期后重复扫描，重复三次后，将未报毒文件加入可信文件列表。（6）对可信文件列表中的文件信息进行再次分析，针对带有外挂、游戏等信息的，不给予加入可信文件中。4．行为分析检测[23]样本行为自动分析系统主要是依赖于江民虚拟沙盒、DataScan引擎、数据分析程序等等，让一个样本在虚拟沙盒中运行起来，然后记录和分析其行为的一套系统，其价值在于被检测、攻击，以致攻击者的行为能够被发现、分析和研究。通俗来说就是虚拟蜜罐检测，采用沙箱行为检测技术。行为分析检测技术不20 第3章私有云病毒查杀平台研究内容及技术特点完全依赖特征库进行分析，处理能力要求较高。样本行为自动分析系统对于多引擎查杀鉴定，不能及时做出分析判断的可疑程序、文件数据，即灰名单程序文件，通过沙箱进行行为分析，对灰名单所有PE文件进行安全等级的评分，并给出判定结果。对于安全等级达到上限标准以上的判定安全的PE文件，列入白名单中；对于安全等级在下限标准以下的判定为威胁文件，列入黑名单中；对于安全等级在上限和下限标准之间的判断为不可定性文件，列入灰名单中，并等待进一步的分析研判。5．人工分析机制样本行为自动分析系统判断为不可定性的PE文件（灰名单文件），人为需要进行进一步的分析判断，以确定其安全威胁程度，并给出最终判定结论，以确保全网的安全。对分析人员专业技能要求很高，需要有较高的病毒分析能力，有丰富的反病毒、分析病毒的经验，熟悉各种分析工具。对于一些特殊的样本，需要人工进行分析，提取特征等操作，为了安全，一般都是在虚拟机中完成。使用到的工具有：PEID（PE文件结构查看工具。可以查看PE文件的结构信息、查看PE文件有没有加壳（并显示壳名）、内附自动脱壳脚本）ImportREC（PE程序脱壳后，输入表的修复工具）Ollydbg（动态反汇编调试分析工具，当前常用版本为1.10。一般作为手动脱壳、程序动态反汇编调试分析使用）IDA（静态反汇编逆向分析工具，可以逆向反汇编几乎所有程序的代码）网页脚本解密工具（包括decoder、FreShow、malzilla、MDecoder、MScaner对加密的网页脚本进行解密的工具）UltraEdit（文件编辑工具。支持十六进制、ANSI、UNICOD、UTF-8等编码格式的文件编辑）ProcessExplorer（进程查看器。可查看进程、DLL模块、线程、网络连接、句柄、文件信息、进程权限、内存字符串等）监视工具集（磁盘监视工具：Diskmon.exe、文件监视工具：Filemon.exe、进程监视工具：Procmon.exe、注册表监视工具：Regmon.exe、通信监视工具：Tcpview.exe等）封包抓取工具（网内抓取数据的工具，如WPEPRO、Wireshark等）Autoruns（注册表启动项查看工具）21 第3章私有云病毒查杀平台研究内容及技术特点Wsyscheck、GMER、IceSword（驱动级的系统信息查看工具，如查看：进程、线程、模块、服务、注册表、启动项、磁盘文件等）MD5全文校验器（文件的MD5校验工具，检测文件完整性）VMware（虚拟机，分析病毒时需要用到的运行环境，恢复系统速度快，方便反复构建纯净的运行环境）DOCVIEW（OffVis宏模块查看工具，用于分析宏病毒）3.3病毒样本文件鉴定的技术特点和难点3.3.1病毒样本文件鉴定的技术特点私有云安全最大的特点是实现了计算机资源的高效整合与快速处理病毒的能力，体现在防病毒的互联网化。这种互联网化首先是集中管理和服务上实现互联，大幅提升反病毒的处理效率；其次是信息的互联，通过大量客户端上报的病毒日志信息，形成解决方案，并实现资源共享。PE文件鉴定的核心是利用多引擎扫描文件，鉴定结果取决于多引擎的优劣。目前，多引擎扫描集成了江民、卡巴斯基、BD扫描引擎，对PE病毒文件的识别率高、鉴定准确，可进行有效的鉴定判断。3.3.2病毒样本文件鉴定的技术难点随着技术的更新发展，PE病毒文件在反查杀方面，也有了很大的进步，多态变形病毒、加壳型病毒、复合型病毒越来越多，要求能够快速、准确、有效的分析和处理收集上报的病毒信息。病毒样本文件的鉴定过程是比较复杂的，不仅需要拥有专业的反病毒技术和经验，还需具备一定的对程序未知行为判断的能力，随时掌握虚拟机脱壳、人工智能等一些先进的反病毒技术和网络安全技术。一般杀毒软件对此类病毒，往往束手无策，目前设计的多引擎扫描及分析系统，集成了启发式、虚拟机、沙盒等多种文件鉴定扫描技术，可有效识别PE文件中的病毒文件。22 第3章私有云病毒查杀平台研究内容及技术特点3.3.3黑白名单与多引擎分析系统的关系和特点黑白名单和多引擎分析系统是相互协作的关系，部署多引擎分析系统主要为了对可疑样本进行鉴定，同时为黑白名单提供更新，为杀毒软件扫描客户端提供服务。1、黑白名单特点及优势（1）检测精确黑白名单是基于文件哈希值生成的，所以具有唯一性，即每个文件对应一个哈希值。这样就保证了检测的精确性，即只要在库里的文件都可以确定是否安全。（2）检测效率高使用黑白名单对文件进行检测，少去了传统引擎对文件的深度分析，可节省防病毒软件分析所需的时间，其检测效率有了很大提高。（3）在线检测云端引擎可以为多个平台和客户端提供检测接口，用来检测文件的安全性。（4）维护方便黑白名单中仅存储文件的哈希值，便于黑白名单后期的增加、修改、删除等维护工作。2、多引擎分析系统的主要目的（1）样本的分析及再次分析对终端上报的可疑样本可以进行多次分析和处理，黑白名单库和多引擎系统的特征库是不断更新的，对尚未认证的PE文件需要重复多次检测，从而使结果更加准确无误。（2）扩充黑白名单库对于确定为病毒的样本特征信息加入黑名单库，扩充和升级黑名单库，对于确定为无危险的样本特征信息加入白名单，扩充和升级白名单库，为云引擎的扫描和查杀提供更加精确的服务。3.4本章小结本章介绍了平台的主要研究方向，也是平台研究的重点内容，并对相关技术做了分析论述，综合梳理病毒文件鉴定技术的特点、难点。23 第4章私有云病毒查杀平台的组织结构及部署要求第4章私有云病毒查杀云平台的组织结构及部署要求4.1系统组织架构系统组织架构从组成上主要包括可疑文件数据捕获终端、文件收集存储库、黑白名单文件库和多引擎处理系统，如图5所示。1．可疑文件数据捕获终端。由杀毒软件客户端在线捕获、人工上传（主动邮件上传、网页上传）两种方式完成。2．文件收集存储库。用于保存所有系统收集的样本文件，并按样本文件的处理结果分类存储。3．黑白名单文件库。对客户端云鉴定上传的可疑文件进行实时鉴定工作，具备对多引擎处理系统鉴定出来的黑、白两类文件分类入库；对具备签名的软件包信息进行验证，并存储签名相关信息及文件特征，作为软件可信认证的辅助信息。4．多引擎处理系统。通过云端服务器，使用杀毒软件多引擎和人工鉴定两种方式进行可疑文件的处理。24 第4章私有云病毒查杀平台的组织结构及部署要求图5系统组织架构图4.2模块介绍4.2.1可疑文件数据捕获终端可疑文件数据捕获终端有以下两种捕获终端类型：1．杀毒软件客户端：以客户端为探针，利用爬虫技术，在线捕获各个子网中的文件数据；2．人工上传：用户主动发邮件上传和网页上传两种方式完成文件数据的上报。4.2.2文件收集存储库用于存储所有样本文件，未处理的样本文件存储于待检测文件夹，为多引擎处理系统提供样本文件。已处理的样本文件按处理结果分类存储，分别建立已知25 第4章私有云病毒查杀平台的组织结构及部署要求病毒文件夹、安全样本文件夹、仍需检测文件夹等。4.2.3黑白名单文件库黑白名单文件库由以下三部分组成：1.负载均衡系统解决大流量访问时造成的入口压力。采用HAProxy+Keepalived双机方案；2.Nginx调度处理服务系统（1）向客户端发起可疑文件上传的指令，协助客户端把文件上传到可疑文件库。（2）提供文件鉴定功能，把终端捕获的可疑文件与黑白名单库文件进行匹配，鉴定其黑白属性。（3）发起可疑文件多引擎自动分析处理指令。3.存储数据库集群存储收集的黑白名单文件，提供云鉴定依据。采用MemCache数据库缓存+Mysql一主多从，读写分离的方案，用MemCache作为数据库缓存，在减轻读取数据库压力方面效果显著，用LVS+Keepalived作为从数据库的负载均衡器，读写通过程序上实现分离，前后台业务逻辑分离，针对后台的查询全部转到从数据库上，当有大量的查询业务时，也不至于严重影响整个数据库业务系统的访问速度。4.2.4多引擎处理系统整个系统会通过Nginx调度处理服务系统的指令，从可疑文件库里面进行文件下载，然后经过多引擎调度系统来调度多引擎查杀和人工分析流程，完成文件的鉴定，并将结果写入黑白名单文件库。多引擎处理系统有以下三个部分组成：1．多引擎调度系统：（1）定时遍历Nginx调度处理服务系统下发的扫描指令。（2）监测待扫描文件已上传到可疑文件库的数量。（3）对已经存在可疑文件库的文件发起多引擎扫描任务，扫描任务将由多26 第4章私有云病毒查杀平台的组织结构及部署要求引擎自动分析系统来处理。2．多引擎自动分析系统：多引擎自动分析系统是一套分布式的病毒检测集群系统，是多引擎处理系统的核心部分。主要是采用多款杀毒软件的互补性，调用各杀毒引擎对提交的可疑文件进行查杀处理，提高病毒检测率。自动分析检测系统规则标准：（1）只要有一款杀毒引擎报此可疑文件为病毒，即判断此可疑；（2）文件为病毒类文件，加入黑名单文件库；（3）如果所有杀毒软件均对样本文件不报病毒，则转入人工处理。3．人工分析：对于多引擎自动分析系统无法确认的可疑文件，转入人工手动分析判别处理。图6多引擎处理系统架构图4.3服务及流程4.3.1文件鉴定和查杀1．提供文件的鉴定功能，通过黑白名单文件库，多引擎查杀和人工分析对27 第4章私有云病毒查杀平台的组织结构及部署要求文件的黑白属性进行定性。2．整体流程，如图7所示。图7文件鉴定和查杀流程图3．流程调用描述（1）客户端发送一个未知文件鉴定请求；（2）Nginx服务器端从黑白名单文件库进行匹配查找；（3）黑白名单文件库返回结果；（4）已查到文件安全属性，直接将结果返回给客户端；（5）未查到安全属性，要求客户端上报可疑文件；（6）服务器端同时下发扫描指令请求；（7）客户端上报可疑文件到可疑文件库；（8）多引擎自动分析系统从可疑文件库复制要进行扫描的可疑文件；（9）启动多引擎扫描任务进行可疑文件扫描，并返回扫描结果；（10）多引擎扫描结果存在定型为黑，将结果加入黑白名单文件库；（11）所有多引擎扫描结果都为白，则转入人工分析；（12）人工分析对文件进行具体分析，并将最终的定型结果加入到黑白名单文件库；（13）客户端异步请求获取最终鉴定结果。28 第4章私有云病毒查杀平台的组织结构及部署要求4.3.2软件可信认证1．对软件安装包及包里面所有文件的签名、特征逐一进行验证，确保签名是来自软件原厂商，包本身和包里面的所有文件特征是存在于黑白名单文件库里面。2．整体流程，如图8所示。图8软件可信认证流程图3．流程调用描述（1）客户端提交软件包鉴定请求；（2）Nginx服务器接收请求之后，从黑白名单文件库里面的软件可信信息库进行匹配；（3）已查到签名和特征信息，直接返回结果；（4）未查到相关信息，要求客户端上传软件安装包；（5）客户端上传软件安装包到软件包解析引擎；（6）解析引擎对软件包本身和所有文件进行签名认证；（7）将获得签名认证的信息入到软件可信信息库；（8）未得到签名信息的文件将启用多引擎处理系统进行多引擎文件查杀和29 第4章私有云病毒查杀平台的组织结构及部署要求人工分析；（9）获取最后的处理结果，并加入到黑白名单库。4.4部署需求4.4.1软件环境[24]①负载均衡层：CentOS+HAProxy+Keepalived系统追求高稳定性，安装社区企业版CentOS操作系统，采取HAProxy+Keepalived实现Web服务器负载均衡，以主主模式配置两台服务器，并且实现互为备份。[25]②WEB服务器层：CentOS+Nginx+PHPNginx作为一款高性能的HTTP和反向代理服务器，与PHP的组合实现WEB服务器层的配置管理，来取代传统的Apache+PHP组合，会获得多方面性能的提升。Nginx不仅属于开源软件，成本低廉，安装配置简单，而且对系统资源、内存等方面消耗少，运行稳定。[26]③文件服务器层：CentOS+DRBD+Heartbeat+NFSHeartbeat用来增强DRBD的可用性，当单节点故障时，自动切换到备份节点，解决服务器之间因镜像块设备故障而引起的存储复制问题。④数据库层：CentOS+MemCache+MysqlMemCache是一套分布式的高速缓存系统，用以提升网站的访问速度，分担数据库的压力。⑤多引擎处理层：CentOS+GCC+杀毒引擎GCC是一种编程语言编译器，现已支持多种语言。4.4.2硬件环境负载均衡层：使用2台服务器进行搭建。随着某企业业务量的增多，用户访问量和数据流量相应增长，如果采用单一的服务器设备，其处理能力和计算强度无法承担高峰时段的业务量，因此采用双机高可用方案HAProxy+Keepalived实现负载均衡。30 第4章私有云病毒查杀平台的组织结构及部署要求WEB服务器层：使用4台服务器进行集群。理论上单台的NginxWeb服务器抗并发能力在三万之内，但不能由于保证访问量过大造成的处理速度缓慢。这里系统采用服务器集群的方式，水平扩展，进一步提高的Web的负载能力，实现并发的分流功能，从而降低购买超级服务器的费用，完全依靠常用服务器的集群功能来实现大访问量的处理速度问题。文件服务器层：使用2台服务器进行搭建。主要用于存放客户端上传的样本文件，用来给多引擎查杀和需人工干预时提供分析样本，配置方式使用DRBD+Heartbeat+NFS高可用文件服务器，一种基于软件的、无共享、复制的存储解决方案，方便后期维护。DRBD+Heartbeat+NFS的部署模式具有实时性和透明性，当应用对磁盘的数据进行修改时，复制立即发生，并存储在不同的服务器上，不存在因为单点故障，丢失样本文件的情况，从而可以有效保证样本文件数据的完整性和一致性。数据库层：整个架构使用6台服务器进行配置。采用一主多从，主从读写分离，从服务器集群负载均衡，MemCache数据库作为缓存层；一主多从可以实现数据库数据的多个备份，防止数据丢失，主从读写分离将读和写分开，提高数据库写入和查询的访问速度，从数据库做负载均衡主要是对WEB服务器进行数据库访问的流量分离，防止数据库访问量过大，导致连接超时或者宕机，MemCache可以缓存已经查询的结果，避免同一个请求多次访问数据库，提高数据库查询和结果返回速度。多引擎处理层：使用4台服务器进行配置。采用分布式的部署方式，每台服务器上面都安装3个杀毒引擎模块，支持以后的水平扩展，通过LVS负载均衡实现多引擎服务器的负载平衡。4.4.3调用接口调用接口预期提供查询，插入，更新，删除四个交互方式，如需更多的接口，可日后通过协商进行定义，目前已提供的查询接口协议，插入，更新，删除因涉及到权限和安全原因，需要进行协商再提供接口，各接口定义请参考下面。1．黑白名单数据查询协议31 第4章私有云病毒查杀平台的组织结构及部署要求表1请求格式：HTTPPOST参数类型长度(字节)描述取值规则keyString必填32用户名和密码user|passwd生进行md5运算成的md5值产生的，到时统一由云平台提供actionString必填查询数据的操固定值作类型，固定值为selectsha1String必填单个40要查询的sha1如值（sha1支持单da39a3ee5e6b4个和批量查询，b0d3255bfef95批量查询的情601890afd8070况，sha1值以竖9线“|”作为分隔符）表2返回值：JSON格式参数类型长度（字节）描述取值规则sha1String40sha1值与查询接口输入的参数相同statusInt安全属性:根据实际查询1-未知到的结果返回2-安全3-不安全示例：单个sha1查询的情况地址：https://系统IP地址/POST参数：key=488951ca588258607f726f2e477ad152&action=select&sha1=da39a3ee5e6b4b0d3255bfef95601890afd80709返回值：json格式{"sha1":"da39a3ee5e6b4b0d3255bfef95601890afd80709","status":"2"}示例：批量查询sha1的情况地址：https://系统IP地址/32 第4章私有云病毒查杀平台的组织结构及部署要求POST参数：key=488951ca588258607f726f2e477ad152&action=select&sha1=da39a3ee5e6b4b0d3255bfef95601890afd80709|704cb779a9a1dd939731b0c19e424ad5eb507b0e返回值：json格式[{"sha1":"da39a3ee5e6b4b0d3255bfef95601890afd80709","status":"2"},{"sha1":"704cb779a9a1dd939731b0c19e424ad5eb507b0e","status":"2"}]2．黑白名单数据插入协议表3请求格式：HTTPPOST参数类型长度(字节)描述取值规则keyString32用户名和密码user|passwd生进行md5运算成的md5值产生的actionString必选插入数据的操固定值作类型，固定值为insertsha1String必选40要插入的sha1如值，批量插入请da39a3ee5e6b4使用竖线(|)隔开b0d3255bfef95601890afd80709statusInt必选1安全属性:如21-未知2-安全3-不安全表4返回值参数类型长度（字节）描述取值规则sha1String40sha1值与查询接口输入的参数相同statusInt插入结果:根据实际查询0-失败到的结果返回1-成功2-已存在示例：单个sha1插入的情况地址：https://系统IP地址/POST参数：key=488951ca588258607f726f2e477ad152&action=insert&sha1=da39a3ee5e6b4b0d33 第4章私有云病毒查杀平台的组织结构及部署要求3255bfef95601890afd80709返回值：json格式{"sha1":"da39a3ee5e6b4b0d3255bfef95601890afd80709","status":"1"}示例：批量插入sha1的情况地址：https://系统IP地址/POST参数：key=488951ca588258607f726f2e477ad152&action=insert&sha1=da39a3ee5e6b4b0d3255bfef95601890afd80709|704cb779a9a1dd939731b0c19e424ad5eb507b0e返回值：json格式[{"sha1":"da39a3ee5e6b4b0d3255bfef95601890afd80709","status":"1"},{"sha1":"704cb779a9a1dd939731b0c19e424ad5eb507b0e","status":"1"}]3．黑白名单数据更新协议表5请求格式：HTTPPOST参数类型长度(字节)描述取值规则keyString32用户名和密码user|passwd生进行md5运算成的md5值产生的actionString必选更新数据的操固定值作类型，固定值为updatesha1String必选40要更新的sha1如值，批量插入请da39a3ee5e6b4使用竖线(|)隔开b0d3255bfef95601890afd80709statusInt必选1安全属性:如31-未知2-安全3-不安全34 第4章私有云病毒查杀平台的组织结构及部署要求表6返回值参数类型长度（字节）描述取值规则sha1String40sha1值与查询接口输入的参数相同statusInt更新结果:根据实际查询0-失败到的结果返回1-成功示例：单个sha1更新的情况地址：https://系统IP地址/POST参数：key=488951ca588258607f726f2e477ad152&action=update&sha1=da39a3ee5e6b4b0d3255bfef95601890afd80709返回值：json格式{"sha1":"da39a3ee5e6b4b0d3255bfef95601890afd80709","status":"1"}示例：批量更新sha1的情况地址：https://系统IP地址/POST参数：key=488951ca588258607f726f2e477ad152&action=update&sha1=da39a3ee5e6b4b0d3255bfef95601890afd80709|704cb779a9a1dd939731b0c19e424ad5eb507b0e返回值：json格式[{"sha1":"da39a3ee5e6b4b0d3255bfef95601890afd80709","status":"1"},{"sha1":"704cb779a9a1dd939731b0c19e424ad5eb507b0e","status":"1"}]4．黑白名单数据删除协议表7请求格式：HTTPPOST参数类型长度(字节)描述取值规则keyString32用户名和密码进user|passwd生成行md5运算产生的md5值的actionString必选删除数据的操作固定值类型，固定值为deletesha1String必选40要删除的sha1值，如批量删除请使用da39a3ee5e6b4b0竖线(|)隔开开d3255bfef95601890afd8070935 第4章私有云病毒查杀平台的组织结构及部署要求表8返回值参数类型长度（字节）描述取值规则sha1String40sha1值与查询接口输入的参数相同statusInt删除结果:根据实际查询到0-失败的结果返回1-成功示例：单个sha1删除的情况地址：https://系统IP地址/POST参数：key=488951ca588258607f726f2e477ad152&action=delete&sha1=da39a3ee5e6b4b0d3255bfef95601890afd80709返回值：json格式{"sha1":"da39a3ee5e6b4b0d3255bfef95601890afd80709","status":"1"}示例：批量删除sha1的情况地址：https://系统IP地址/POST参数：key=488951ca588258607f726f2e477ad152&action=delete&sha1=da39a3ee5e6b4b0d3255bfef95601890afd80709|704cb779a9a1dd939731b0c19e424ad5eb507b0e返回值：json格式[{"sha1":"da39a3ee5e6b4b0d3255bfef95601890afd80709","status":"1"},{"sha1":"704cb779a9a1dd939731b0c19e424ad5eb507b0e","status":"1"}]4.5本章小结本章主要介绍系统的组织结构，分模块介绍系统的组织架构，重点介绍私有云平台软硬件的部署环境、文件处理的服务及流程，并对接口调用情况作出分析阐述。36 第5章私有云病毒查杀平台功能展示第5章私有云病毒查杀平台的功能展示5.1PE文件统计信息展示区私有云病毒查杀平台的可视化管理界面采用B/S架构，输入用户名、口令即可登录管理维护界面，对终端收集的PE样本文件信息进行统一展示，如图9所示，支持按照时间段、IP地址段、文件名、文件SHA1和文件类型等多种方式进行查询。通过验证，上报的信息详细准确，文件信息以列表的形式展示，包含采集信息的终端IP、文件名、文件类型、文件路径等信息，如遇重大安全事件，方便追根溯源。图9PE文件统计信息展示图5.2可疑样本信息展示区经过多引擎和黑白名单库扫描后，不能确定为病毒或安全的文件，统一以可疑样本文件信息展示，可疑样本的统计可以按照时间段和IP地址段的方式进行查询。可疑样本的展示方式和PE样本文件的展示方式一致，可清晰显示可疑样本的来源、位置等。37 第5章私有云病毒查杀平台功能展示图10可疑样本信息展示图5.3黑白名单统计展示区黑白名单的信息统计可灵活显示黑名单信息列表和白名单信息列表，黑名单信息可直接显示文件名及病毒类型。黑名单信息采集后，提供给防病毒公司进行病毒库的更新，做到专毒专杀，对于难以根除的病毒，通过制作专杀工具进行疑难病毒的全网查杀处理。目前,某企业已经收集PE文件总数为1096万个。其中已经鉴定为可信文件的有103万个，占总数的9.40%，并定性为白名单文件。已经鉴定为病毒文件的有225.6万个，占总数的20.58%，并定性为黑名单文件。其余的为可疑文件或者尚未定性的文件，等待下一次定期任务对其重新执行扫描，并配合人工分析进行鉴定。图11黑白名单信息展示图38 第5章私有云病毒查杀平台功能展示5.4本章小结本章简单展示了平台的统计查询界面及功能，并总结了目前收集到的PE文件的扫描鉴定情况。39 第6章工作总结与展望第6章工作总结与展望1．工作总结本课题的研究内容来源于工作实际，结合某企业特殊的网络安全环境提出的一种可行性的私有云建设方案，并实施私有云病毒查杀平台的研制开发。本人全程参与该项目的整个建设过程，从前期调研、建设方案的拟制到平台的建设、系统的试运行、功能测试等方面都投入大量心血。（1）研究了云安全的发展现状，参考了相关的文献书籍，对私有云的整体架构、私有云的优缺点及研究价值有了一定的认识和了解；（2）结合真实的网络安全环境和网络中计算机病毒的特点，提出私有云概念下的病毒查杀平台来解决企业网络面临的主要威胁；（3）在研制设计的基础上，对项目开发建设过程中研究的主要技术指标、系统组成、部署需求和注意事项进行了深入的探索，基本完成了预期的目标任务。2．工作展望私有云病毒查杀平台目前处于试运行阶段，部分功能指标尚未达到预期效果，经企业各部门查杀病毒情况反映，杀毒效果有了初步的提高。该平台仍存在一定的局限性，主要由于黑白名单原始文件库有待继续扩充，还需增加1-2个杀毒引擎来完善多引擎系统，从而增强杀毒效果，人工分析方面需要进行专业知识培训，达到自主分析鉴定能力。私有云病毒查杀平台项目由企业和国内防病毒安全厂商共同开发完成，建设方案的可行性得到过业内专家的认可，随着平台不断的调试完善，其计算机病毒查杀能力必会大幅提升。采用云安全模式杀毒相较于传统杀毒软件优势明显，当前国内外防病毒厂商纷纷推出云安全杀毒产品的研制开发，并给出解决方案，云端杀毒通过提高病毒木马、恶意代码的检测分析能力来增强病毒的查杀效果。40 参考文献参考文献[1]徐迎迎,高飞,尚锋影,朱君礼.新的云安全解决方案及其关键技术[J].华中科技大学学报(自然科学版),2012,40(S1):74-78.[2]郭凤珍.趋势科技“云计算安全·高端CIO峰会”召开[J].中国教育信息化,2011(17):91.[3]深度应用瑞星“云安全”技术——瑞星2010版新品彻底解决三大业界难题[J].IT经理世界,2009(22):43.[4]肖英,邹福泰.计算机病毒及其发展趋势[J].计算机工程,2011,37(11):149-151.[5]黄倩春,陈月峰.计算机病毒的感染原理及其危害与防范[J].网络与信息,2008(01):30-32.[6]QiLinLi,ZongQuZhao,JunFengWang.ResearchofComputerVirusDetectionTechnologyBasedontheVirtualizationPlatform[J].AppliedMechanicsandMaterials,2014,2789(441).[7]江民杀毒软件KV网络版2006[N].中国计算机报,2006-03-27(C15).[8]杨天识.恶意代码研究[J].信息网络安全,2007(03):19-23.[9]李潇,刘俊奇,范明翔.WannaCry勒索病毒预防及应对策略研究[J].电脑知识与技术,2017,13(19):19-20.[10]熊江.计算机系统漏洞与安全防范技术研究[J].电脑知识与技术,2016,12(13):55-56.[11]洪亮.由“冲击波”病毒谈WindowsRPC/DCOM漏洞[J].扬州教育学院学报,2004(03):66-68.[12]糜旗,朱杰,徐超,宗俊珺.基于APT网络攻击的技术研究[J].计算机与现代化,2014(10):92-94+122.[13]XiyinLiang,YongzhenPei,YunfeiLv.Modelingthestatedependentimpulsecontrolforcomputerviruspropagationundermediacoverage[J].PhysicaA:StatisticalMechanicsanditsApplications,2018,491.[14]冯谷,曹宛恬.从RSASecurID泄密看新一代网络攻击方式[A].中国通信41 参考文献学会普及与教育工作委员会.2012年电力通信管理暨智能电网通信技术论坛论文集[C].中国通信学会普及与教育工作委员会:,2013:4.[15]周丽丽,韦晓麟.DDOS攻击原理及对策研究[J].电子测试,2017(13):63-64.[16]焦仃.盘点2016年最严重的DDoS攻击事件[J].计算机与网络,2016,42(24):48-50.[17]余娟娟.浅析“云安全”技术[J].计算机安全,2011(09):39-44.[18]程艳芬,翟海波,钟辉.PE文件格式解析[J].交通与计算机,2003(05):109-112.[19]“黑白名单”机制优化邮件传输[J].中国计算机用户,2007(23):8.[20]ChenquanGan,XiaofanYang,WanpingLiu,QingyiZhu.Apropagationmodelofcomputerviruswithnonlinearvaccinationprobability[J].CommunicationsinNonlinearScienceandNumericalSimulation,2014,19(1).[21]王蕊.卡巴斯基实验室推出工业网络安全解决方案[J].计算机与网络,2016,42(14):51.[22]BitDefender推出邮件服务器反病毒产品[J].中国信息安全,2010(07):79.[23]记者向杰.江民科技首创“沙盒”杀毒技术[N].科技日报,2008-10-15(009).[24]刘锴.利用HAProxy实现选课系统Web负载均衡[J].电脑知识与技术,2011,7(01):35-36.[25]左欣.基于PHP+Nginx高负载查询打印系统的构建——以高等教育自学考试通知单打印系统为例[J].贵州师范学院学报,2015,31(06):22-26.[26]王鹤,孙晓艳.Heartbeat与Drbd在大容量OLT中的应用[J].现代电子技术,2012,35(24):131-133+137.[27]赵峡策.基于Nginx和Memcache的负载均衡集群架构设计[J].电子技术与软件工程,2014(05):39-40.[28]冯钢.基于GCC的嵌入式系统编译器研究与开发[D].浙江大学,2004.[29]CongJin,Shu‐WeiJin,Hua‐YongTan.Computerviruspropagationmodelbasedonboundedrationalityevolutionarygametheory[J].Securityand42 参考文献CommunicationNetworks,2013,6(2).[30]王亚运,赵娜,曾维,杨晓孜.“私有云”——基于云安全的WEB安全解决方案[J].数字技术与应用,2013(11):178-179.43 作者简介及研究生期间获得的科研成果作者简介及研究生期间获得的科研成果作者简介：王作成，男，出生于1987年6月，汉族，辽宁大连人，硕士研究生，2015年9月至今就读于吉林大学计算机科学与技术学院，主要研究方向为计算机技术。44 致谢致谢对于参加过工作的我来说，特别珍惜学习深造的在校时光。在攻读硕士研究生期间，我的导师秦贵和教授为我提供了舒适的学习环境和科研平台，不仅让我可以专注的接触新领域、学习新知识，同时在思想上、认识上也给予我谆谆教诲，激励我奋勇前进。在秦老师的悉心指导下，本论文即将完成，谨此向我的导师致以衷心的感谢和崇高的敬意！秦老师渊博的知识、严谨的治学态度和精益求精的工作作风留给我深刻的印象，使我受益匪浅，并将成为我今后追求新知、努力工作的导向。真诚感谢单位领导给我这次能力提升的机会，感谢同事们在工作中对我的理解、体谅和帮助，感谢参与该项目研究的同事和北京江民新科技术有限公司的项目组成员，在共同开发合作项目期间，正是全体参与人员的通力合作、相互配合，加班加点，才能顺利按期完成任务。最后，向我的父母、爱人致谢，今天的成绩离不开他们的大力支持和默默付出，感谢他们对我的理解和鼓励。45