(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号(10)申请公布号CNCN104123494104123494A(43)申请公布日2014.10.29(21)申请号201310146238.0(22)申请日2013.04.24(71)申请人贝壳网际（北京）安全技术有限公司地址100041北京市石景山区八大处高科技园区西井路3号3号楼1100A房间申请人北京金山网络科技有限公司北京金山安全软件有限公司珠海市君天电子科技有限公司可牛网络技术（北京）有限公司(72)发明人邹义鹏焦国强陈勇张楠(74)专利代理机构北京银龙知识产权代理有限公司11243代理人许静黄灿(51)Int.Cl.G06F21/56(2013.01)权权利要求书2页利要求书2页说明书8页说明书8页附图2页附图2页(54)发明名称恶意软件动态行为分析系统的预警方法及装置(57)摘要本发明提供了一种恶意软件动态行为分析系统的预警方法及装置，其中所述方法包括：统计恶意软件动态行为分析系统在过去一段时间内对恶意软件样本的处理信息，学习恶意软件动态行为分析系统对恶意软件样本的处理规律；获取恶意软件动态行为分析系统对恶意软件样本的当前处理状态，并在当前处理状态与所述处理规律不匹配时发出预警。本发明能够及时发现系统中的异常并进行告警。CN104123494ACN104239ACN104123494A权利要求书1/2页1.一种恶意软件动态行为分析系统的预警方法，其特征在于，所述方法包括：统计恶意软件动态行为分析系统在过去一段时间内对恶意软件样本的处理信息，学习恶意软件动态行为分析系统对恶意软件样本的处理规律；获取恶意软件动态行为分析系统对恶意软件样本的当前处理状态，并在当前处理状态与所述处理规律不匹配时发出预警。2.如权利要求1所述的方法，其特征在于，所述处理信息包括各个节点忙闲状态的转换时长以及针对单个样本的处理时长；所述处理规律包括各个节点在所述过去一段时间内的忙闲状态的平均转换时长以及针对单个样本的平均处理时长。3.如权利要求2所述的方法，其特征在于，所述获取恶意软件动态行为分析系统的当前处理状态，并在当前处理状态与所述处理规律不匹配时发出预警包括：获取恶意软件动态行为分析系统中各个节点，在预定长度的时间周期内的忙闲状态的转换时长和针对单个样本的处理时长；若当前时间周期内的忙闲状态的转换时长与所述平均转换时长之间的差值大于预设第一门限，或者，当前时间周期内针对单个样本的处理时长与所述平均处理时长之间的差值大于预设第二门限，则产生对应节点的节点告警信息。4.如权利要求3所述的方法，其特征在于，还包括：若针对一节点连续产生所述节点告警信息的次数达到预定第一阈值，则发出系统管理警报，并停止对应节点对恶意软件样本的处理。5.如权利要求3所述的方法，其特征在于，所述处理信息还包括：恶意软件样本的处理数量，所述处理规律还包括：预定长度的时间周期内恶意软件样本的处理数量的参考平均值。6.如权利要求5所述的方法，其特征在于，所述获取恶意软件动态行为分析系统的当前处理状态，并在当前处理状态与所述处理规律不匹配时发出预警还包括：获取恶意软件动态行为分析系统在当前时间周期内的样本处理总数量的平均值；在当前时间周期内的样本处理总数量的平均值与所述参考平均值之间的差值大于预设第三门限时，发出系统告警信息。7.如权利要求6所述的方法，其特征在于，所述获取恶意软件动态行为分析系统的当前处理状态，并在当前处理状态与所述处理规律不匹配时发出预警还包括：若连续发出所述系统告警信息的次数达到预定第二阈值，发出系统管理警报。8.如权利要求6所述的方法，其特征在于，进一步在系统中的节点数量保持不变、且产生所述节点告警信息的节点数量低于预设第三阈值、以及在当前时间周期内的样本处理总数量的平均值与所述参考平均值之间的差值大于预设第三门限时，发出所述系统告警信息。9.一种恶意软件动态行为分析系统的预警装置，其特征在于，所述装置包括：统计学习模块，用于统计恶意软件动态行为分析系统在过去一段时间内对恶意软件样本的处理信息，学习恶意软件动态行为分析系统对恶意软件样本的处理规律；告警处理模块，用于获取恶意软件动态行为分析系统对恶意软件样本的当前处理状态，并在当前处理状态与所述处理规律不匹配时发出预警。10.如权利要求9所述的装置，其特征在于，所述处理信息包括各个节点忙闲状态的转2CN104123494A权利要求书2/2页换时长以及针对单个样本的处理时长；所述处理规律包括各个节点在所述过去一段时间内的忙闲状态的平均转换时长以及针对单个样本的平均处理时长。11.如权利要求10所述的装置，其特征在于，所述告警处理模块包括：第一获取单元，用于获取恶意软件动态行为分析系统中各个节点，在预定长度的时间周期内的忙闲状