一種自動(dòng)化樣本行為采集方法及其裝置�、系統(tǒng)的制作方法
【專利摘要】本發(fā)明實(shí)施例涉及一種自動(dòng)化樣本行為采集方法及其裝置、系統(tǒng)���。所述方法包括:當(dāng)日志收集器接收到待處理樣本時(shí)向任務(wù)分配器申請(qǐng)與所述待處理樣本相同類型的行為采集單元�����;當(dāng)所述任務(wù)分配器返回行為采集單元后����,所述日志收集器觸發(fā)所述行為采集單元處理所述待處理樣本并將行為記錄在日志中��;所述日志收集器在第一預(yù)設(shè)時(shí)間段后從所述行為采集單元中讀取日志�,并通知所述任務(wù)分配器釋放所述行為采集單元。所述裝置與系統(tǒng)用于實(shí)現(xiàn)上述的自動(dòng)化樣本行為采集方法�����。本發(fā)明實(shí)施例可以管理和分配自動(dòng)化樣本行為采集的虛擬化資源�����,從而實(shí)現(xiàn)自動(dòng)化樣本行為采集系統(tǒng)平穩(wěn)運(yùn)行����。
【專利說(shuō)明】
一種自動(dòng)化樣本行為采集方法及其裝置���、系統(tǒng)
技術(shù)領(lǐng)域
[0001]本發(fā)明實(shí)施例涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,尤其涉及一種自動(dòng)化樣本行為采集方法及其裝置���、系統(tǒng)�����。
【背景技術(shù)】
[0002]自動(dòng)化樣本行為采集系統(tǒng)主要用于虛擬局域中資源管理與軟件行為采集�。通常情況下�����,該行為采集系統(tǒng)將行為采集程序與待分析樣本同時(shí)置于可控的運(yùn)行環(huán)境中����,啟動(dòng)待分析樣本和行為采集程序,并收集行為采集程序采集到的行為序列并上傳到相關(guān)系統(tǒng)中進(jìn)行進(jìn)一步分析��。為實(shí)現(xiàn)對(duì)大量樣本的行為采集�,需要對(duì)用于完成行為采集的虛擬化環(huán)境進(jìn)行組織與管理���。
[0003]由于待分析樣本可能屬于惡意樣本����,可能會(huì)破壞行為采集環(huán)境的操作系統(tǒng)和網(wǎng)絡(luò)環(huán)境,因而需要自動(dòng)化樣本行為采集系統(tǒng)能有效地分配樣本行為采集任務(wù)�����,同時(shí)正確的探測(cè)和處理行為采集環(huán)境被破壞的情況�。例如某專利申請(qǐng)公開了一種用于對(duì)惡意樣本行為進(jìn)行自動(dòng)化采集并生成API調(diào)用報(bào)告的系統(tǒng)設(shè)計(jì),通過(guò)應(yīng)用服務(wù)器對(duì)樣本分析任務(wù)進(jìn)行負(fù)載均衡�����。但是上述專利申請(qǐng)沒有考慮惡意樣本可能破壞其所運(yùn)行的客戶操作系統(tǒng)和網(wǎng)絡(luò)環(huán)境的情況�����。如果惡意樣本通過(guò)系統(tǒng)漏洞破壞了客戶操作系統(tǒng)��,此時(shí)將無(wú)法搜集到樣本的任何行為信息��;而若惡意樣本使用ARP攻擊對(duì)相連的網(wǎng)絡(luò)環(huán)境進(jìn)行攻擊可能導(dǎo)致整個(gè)業(yè)務(wù)系統(tǒng)癱瘓�。另外,尚無(wú)專利和文獻(xiàn)提出適合于自動(dòng)化樣本行為采集的虛擬化資源管理和分配策略�����。
【發(fā)明內(nèi)容】
[0004]針對(duì)現(xiàn)有技術(shù)中的缺陷,本發(fā)明實(shí)施例提供一種自動(dòng)化樣本行為采集方法及其裝置�、系統(tǒng),以管理和分配自動(dòng)化樣本行為采集的虛擬化資源管理與分配��,從而實(shí)現(xiàn)自動(dòng)化樣本行為采集系統(tǒng)平穩(wěn)運(yùn)行�����。
[0005]第一方面����,本發(fā)明實(shí)施例提供了一種自動(dòng)化樣本行為采集方法,所述方法包括:
[0006]當(dāng)日志收集器接收到待處理樣本時(shí)向任務(wù)分配器申請(qǐng)與所述待處理樣本相同類型的行為采集單元���;
[0007]當(dāng)所述任務(wù)分配器返回行為采集單元后���,所述日志收集器觸發(fā)所述行為采集單元處理所述待處理樣本并將行為記錄在日志中;
[0008]所述日志收集器在第一預(yù)設(shè)時(shí)間段后從所述行為采集單元中讀取日志���,并通知所述任務(wù)分配器釋放所述行為采集單元�。
[0009]可選地���,所述日志收集器觸發(fā)所述行為采集單元處理所述待處理樣本并將行為記錄在日志中的步驟包括:
[0010]所述行為采集單元在第二預(yù)設(shè)時(shí)間段后所述任務(wù)分配器發(fā)送心跳數(shù)據(jù)包���。
[0011]可選地,當(dāng)所述任務(wù)分配器未在所述第二預(yù)設(shè)時(shí)間段內(nèi)接收到所述行為采集單元發(fā)送的心跳數(shù)據(jù)時(shí)����,所述方法還包括:
[0012]所述日志收集器獲取來(lái)自所述任務(wù)分配器發(fā)送的所述行為采集單元已被破壞的事件的信息。
[0013]可選地��,當(dāng)所述任務(wù)分配器未在所述第二預(yù)設(shè)時(shí)間段內(nèi)接收到所述行為采集單元發(fā)送的心跳數(shù)據(jù)時(shí)�,所述方法還包括:
[0014]所述任務(wù)分配器對(duì)所述行為采集單元進(jìn)行虛擬機(jī)復(fù)原。
[0015]可選地�����,所述任務(wù)分配器返回行為采集單元的步驟包括:
[0016]所述任務(wù)分配器檢查雙狀態(tài)分派鏈表處于忙狀態(tài)還是空閑狀態(tài)�;
[0017]當(dāng)所述雙狀態(tài)分派鏈表處于忙狀態(tài)時(shí),所述任務(wù)分配器將所述采集單元分配給從該雙狀態(tài)分派鏈表中所取出的待處理任務(wù)對(duì)應(yīng)的日志收集器�;
[0018]或者,當(dāng)所述雙狀態(tài)分派鏈表處于空閑狀態(tài)時(shí)�����,所述任務(wù)分配器將該行為采集單元添加到該雙狀態(tài)分派鏈表中���。
[0019]可選地����,所述雙狀態(tài)分派鏈表用于維護(hù)相同類型且正在排隊(duì)的樣本信息以及處于空閑狀態(tài)的行為采集單元,并處于下列兩種狀態(tài)的一種:
[0020]忙狀態(tài)�,此時(shí)所述雙狀態(tài)分派鏈表存儲(chǔ)相同類型的空閑狀態(tài)的至少一個(gè)行為采集單元;
[0021 ]空閑狀態(tài)�����,此時(shí)所述雙狀態(tài)分派鏈表存儲(chǔ)待處理任務(wù)�。
[0022]第二方面,本發(fā)明實(shí)施例還提供了一種自動(dòng)化樣本行為采集裝置����,所述裝置包括日志收集器、任務(wù)分配器��、多個(gè)行為采集單元及對(duì)應(yīng)的雙狀態(tài)分派鏈表��,其中:
[0023]所述日志收集器用于接收待處理樣本向所述任務(wù)分配器申請(qǐng)行為采集單元�,并從行為采集單元讀取日志;
[0024]所述任務(wù)分配器用于為待處理樣本分配行為采集單元���;
[0025]所述雙狀態(tài)分派鏈表用于存儲(chǔ)維護(hù)相同類型且正在排隊(duì)的樣本信息以及處于空閑狀態(tài)的行為采集單元���;
[0026]所述多個(gè)行為采集單元用于處理待處理樣本并記錄行為至日志���。
[0027]可選地�,所述任務(wù)分配器包括心跳數(shù)據(jù)包接收單元,用于在第二預(yù)設(shè)時(shí)間段內(nèi)接收來(lái)自行為采集單元的心跳數(shù)據(jù)包以判斷行為采集單元是否被破壞��。
[0028]可選地�,在心跳數(shù)據(jù)包單元未在所述第二預(yù)設(shè)時(shí)間段內(nèi)接收到行為采集單元發(fā)送的心跳數(shù)據(jù)時(shí),所述任務(wù)分配器還包括復(fù)原單元��,用于根據(jù)該行為采集單元的配置參數(shù)復(fù)原一行為采集單元����。
[0029]第三方面,本發(fā)明實(shí)施例又提供了一種自動(dòng)化樣本行為采集系統(tǒng)���,包括如上文所述的自動(dòng)化樣本行為采集裝置和管理VLAN���,還包括至少一個(gè)服務(wù)器、業(yè)務(wù)VLAN�����,該自動(dòng)化樣本行為采集裝置用于采集所述至少一個(gè)服務(wù)器的樣本數(shù)據(jù),業(yè)務(wù)VLAN傳遞心跳數(shù)據(jù)包探測(cè)行為采集單元的運(yùn)行情況�����。
[0030]由上述技術(shù)方案可知�,本發(fā)明實(shí)施例通過(guò)向任務(wù)分配器申請(qǐng)行為采集單元,然后由任務(wù)分配器根據(jù)雙狀態(tài)分派鏈表的工作狀態(tài)返回為待處理樣本分配行為采集單元;當(dāng)該行為采集單元將待處理樣本處理后���,由日志收集器讀取日志���。本發(fā)明實(shí)施例可以保證自動(dòng)化樣本行為采集系統(tǒng)平穩(wěn)運(yùn)行。
【附圖說(shuō)明】
[0031]通過(guò)參考附圖會(huì)更加清楚的理解本發(fā)明實(shí)施例的特征和優(yōu)點(diǎn)�����,附圖是示意性的而不應(yīng)理解為對(duì)本發(fā)明實(shí)施例進(jìn)行任何限制�����,在附圖中:
[0032]圖1是本發(fā)明實(shí)施例提供的一種自動(dòng)化樣本行為采集方法流程示意圖���;
[0033]圖2是本發(fā)明實(shí)施例提供的雙狀態(tài)分派鏈表狀態(tài)迀移圖��;
[0034]圖3是本發(fā)明實(shí)施例提供的新任務(wù)到來(lái)雙狀態(tài)分派鏈表工作示意圖�����;
[0035]圖4是本發(fā)明實(shí)施例提供的新行為采集單元被釋放后分派鏈表工作示意圖��;
[0036]圖5是本發(fā)明實(shí)施例提供的一種自動(dòng)化樣本行為采集系統(tǒng)結(jié)構(gòu)示意圖���。
【具體實(shí)施方式】
[0037]為使本發(fā)明實(shí)施例的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚��,下面將結(jié)合本發(fā)明實(shí)施例中的附圖���,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚��、完整地描述����,顯然����,所描述的實(shí)施例是本發(fā)明實(shí)施例一部分實(shí)施例,而不是全部的實(shí)施例�����。基于本發(fā)明實(shí)施例中的實(shí)施例��,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例����,都屬于本發(fā)明實(shí)施例保護(hù)的范圍。
[0038]本發(fā)明實(shí)施例提供了一種自動(dòng)化樣本行為采集方法���,如圖1所示��,所述方法包括:
[0039]S100�����、當(dāng)日志收集器接收到待處理樣本時(shí)向任務(wù)分配器申請(qǐng)與所述待處理樣本相同類型的行為采集單元�;
[0040]S200�����、當(dāng)所述任務(wù)分配器返回行為采集單元后��,所述日志收集器觸發(fā)所述行為采集單元處理所述待處理樣本并將行為記錄在日志中����;
[0041]S300����、所述日志收集器在第一預(yù)設(shè)時(shí)間段后從所述行為采集單元中讀取日志��,并通知所述任務(wù)分配器釋放所述行為采集單元����。
[0042]下面結(jié)合實(shí)施例對(duì)本發(fā)明實(shí)施例提供的自動(dòng)化樣本行為采集方法作進(jìn)一步說(shuō)明。
[0043]首先介紹S100���、當(dāng)日志收集器接收到待處理樣本時(shí)向任務(wù)分配器申請(qǐng)與所述待處理樣本相同類型的行為采集單元的步驟。
[0044]本發(fā)明實(shí)施例中日志收集器運(yùn)行在任意一個(gè)服務(wù)器上����,用于接收待處理樣本并在處理待處理樣本結(jié)束后收集該樣本的行為日志。
[0045]需要說(shuō)明的是���,由于該日志收集器的容量是有限的���,當(dāng)所收集的待處理樣本的數(shù)量超過(guò)額定值時(shí),可以通過(guò)多個(gè)進(jìn)程進(jìn)行橫向擴(kuò)展���。本領(lǐng)域技術(shù)人員可以根據(jù)具體使用場(chǎng)合進(jìn)行合理設(shè)定��,本發(fā)明不作限定�����。
[0046]當(dāng)該日志收集器接收到待處理樣本后會(huì)獲取該樣本的類型���,然后根據(jù)該類型向任務(wù)分配器發(fā)起申請(qǐng)行為采集單元的請(qǐng)求���。
[0047]需要說(shuō)明的是,本發(fā)明實(shí)施例中�,待處理任務(wù)包含待處理樣本以及關(guān)于樣本的一些附加信息,例如樣本的采集單元類型�����、數(shù)量�����、采集時(shí)間等���。為說(shuō)明方便�����,本發(fā)明實(shí)施例中在說(shuō)明待處理樣本的同時(shí)也隱含說(shuō)明了該待處理樣本的附加信息�。即本發(fā)明實(shí)施例中待處理任務(wù)與待處理樣本的概念的實(shí)質(zhì)相同,只是待處理任務(wù)是對(duì)應(yīng)任務(wù)分配器的�����,待處理樣本是對(duì)應(yīng)日志收集器的��。在看到上述說(shuō)明時(shí)��,本領(lǐng)域技術(shù)人員可以清楚的了解上述待處理任務(wù)與待處理樣本的含義�����。
[0048]其次介紹S200�����、當(dāng)所述任務(wù)分配器返回行為采集單元后���,所述日志收集器觸發(fā)所述行為采集單元處理所述待處理樣本并將行為記錄在日志中的步驟。
[0049]本發(fā)明實(shí)施例中任務(wù)分配器需要進(jìn)行初始化����,即任務(wù)分配器通過(guò)掃描各個(gè)工作服務(wù)器以枚舉行為采集單元�����。
[0050]需要說(shuō)明的是�����,本發(fā)明實(shí)施例中行為采集單元是可以用作行為采集單元的虛擬化資源�。本領(lǐng)域技術(shù)人員可以根據(jù)具體使用場(chǎng)合對(duì)該行為采集單元的參數(shù)進(jìn)行配置�,本發(fā)明不作限定。
[005?]當(dāng)任務(wù)分配器接收到上述日志收集器申請(qǐng)行為采集單元的請(qǐng)求時(shí)���,檢查與待處理樣本相同類型的雙狀態(tài)分派鏈表����。
[0052]需要說(shuō)明的是����,如圖2所示,本發(fā)明實(shí)施例中雙狀態(tài)分派鏈表用于維護(hù)相同類型且正在排隊(duì)的樣本信息以及處于空閑狀態(tài)的行為采集單元�����,并處于下列兩種狀態(tài)的一種:
[0053]忙狀態(tài),此時(shí)所述雙狀態(tài)分派鏈表存儲(chǔ)相同類型的空閑狀態(tài)的至少一個(gè)行為采集單元���;
[0054]空閑狀態(tài)�����,此時(shí)所述雙狀態(tài)分派鏈表存儲(chǔ)待處理任務(wù)�����。
[0055]特別的��,該雙狀態(tài)分派鏈表為空(即沒有行為采集單元也沒有待處理任務(wù))時(shí)定義為空閑狀態(tài)�,此時(shí)本類型的所有采集任務(wù)都被分派到了某個(gè)行為采集單元���,而沒有采集任務(wù)需要等待行為采集單元�����。
[0056]如圖3所示����,當(dāng)任務(wù)分配器檢測(cè)到上述雙狀態(tài)分派鏈表處于忙狀態(tài)時(shí)����,任務(wù)分配器將采集單元分配給從該雙狀態(tài)分派鏈表中所取出的待處理任務(wù)對(duì)應(yīng)的日志收集器;或者,當(dāng)該雙狀態(tài)分派鏈表處于空閑狀態(tài)時(shí)����,該任務(wù)分配器將該行為采集單元添加到該雙狀態(tài)分派鏈表中。
[0057]需要說(shuō)明的是���,任務(wù)分配器從該雙狀態(tài)分派鏈表的尾部取出一個(gè)行為采集單元分配給發(fā)出申請(qǐng)請(qǐng)求的日志收集器��。這樣可以提高虛擬資源的訪問(wèn)局部性�,增強(qiáng)吞吐量�����。
[0058]本發(fā)明實(shí)施例中通過(guò)采用雙狀態(tài)分派鏈表可以保證鏈表狀態(tài)與內(nèi)容的一致性��,又可以為不同狀態(tài)執(zhí)行不同的分配策略�����,提高靈活性��。
[0059]當(dāng)日志收集器接收到任務(wù)分配器返回行為采集單元后,將待處理樣本置入行為采集單元中�,然后觸發(fā)該行為采集單元處理該待處理樣本以及記錄行為到日志中。
[0060]最后介紹S300�����、所述日志收集器在第一預(yù)設(shè)時(shí)間段后從所述行為采集單元中讀取日志��,并通知所述任務(wù)分配器釋放所述行為采集單元的步驟�����。
[0061]日志收集器在行為采集單元處理該待處理樣本第一預(yù)設(shè)時(shí)間段后��,從相應(yīng)的行為采集單元中讀取日志���,同時(shí)通知任務(wù)分配器釋放該行為采集單元��。
[0062]需要說(shuō)明的是��,第一預(yù)設(shè)時(shí)間段從行為采集單元處理樣本時(shí)計(jì)時(shí)��。該第一預(yù)設(shè)時(shí)間段可以根據(jù)具體的使用場(chǎng)合進(jìn)行配置���,本發(fā)明不作限定����。
[0063]實(shí)際應(yīng)用中�����,日志收集器有可能采集到惡意樣本���,破壞行為采集單元,導(dǎo)致日志收集器無(wú)法獲取該惡意樣本的行為����。為此,本發(fā)明實(shí)施例中在觸發(fā)該行為采集單元處理該待處理樣本以及記錄行為到日志步驟中設(shè)置心跳機(jī)制��,包括:
[0064]該行為采集單元在第二預(yù)設(shè)時(shí)間段后任務(wù)分配器發(fā)送心跳數(shù)據(jù)包�。
[0065]需要說(shuō)明的是,第二預(yù)設(shè)時(shí)間段從行為采集單元處理樣本時(shí)計(jì)時(shí)���。該第二預(yù)設(shè)時(shí)間段可以根據(jù)具體的使用場(chǎng)合進(jìn)行配置��,本發(fā)明不作限定���。
[0066]上述心跳數(shù)據(jù)包中包含了對(duì)應(yīng)行為采集單元的唯一標(biāo)示符,以方便任務(wù)分配器識(shí)別行為米集單兀。
[0067]當(dāng)任務(wù)分配器未在所述第二預(yù)設(shè)時(shí)間段內(nèi)接收到所述行為采集單元發(fā)送的心跳數(shù)據(jù)時(shí)�,日志收集器會(huì)獲取來(lái)自該任務(wù)分配器發(fā)送的該行為采集單元已被破壞的事件的信息。
[0068]在任務(wù)分配器確認(rèn)相應(yīng)的行為采集單元已被破壞后�����,對(duì)該行為采集單元進(jìn)行虛擬機(jī)復(fù)原���。然后該任務(wù)分配器檢測(cè)該行為采集單元對(duì)對(duì)應(yīng)類型的雙狀態(tài)分派鏈表處于忙狀態(tài)還是空閑狀態(tài):
[0069]當(dāng)雙狀態(tài)分派鏈表處于忙狀態(tài)時(shí)����,任務(wù)分配器將會(huì)從該雙狀態(tài)分派鏈表的頭部取出一個(gè)待處理任務(wù)�����,將該行為采集單元分配給那個(gè)待處理樣本對(duì)應(yīng)的日志收集器;或者���,
[0070]當(dāng)雙狀態(tài)分派鏈表處于空閑狀態(tài)時(shí)��,任務(wù)分配器將該行為采集單元添加到該雙狀態(tài)分派鏈表的尾部����。
[0071]本發(fā)明實(shí)施例通過(guò)對(duì)于樣本行為采集的虛擬機(jī)環(huán)境進(jìn)行了隔離����,從而降低了惡意樣本對(duì)系統(tǒng)平穩(wěn)運(yùn)行的影響�����。通過(guò)使用業(yè)務(wù)VLAN傳遞的心跳數(shù)據(jù)包探測(cè)行為采集虛擬機(jī)的運(yùn)行情況,不僅能檢測(cè)行為采集單元被破壞的情況��,同時(shí)也能檢測(cè)惡意樣本對(duì)網(wǎng)絡(luò)進(jìn)行破壞的行為��。另外�����,本發(fā)明通過(guò)使用雙狀態(tài)分派鏈表管理樣本任務(wù)與虛擬機(jī)資源:雙狀態(tài)分派鏈表保證鏈表狀態(tài)與內(nèi)容的一致性�����,又可以為不同狀態(tài)執(zhí)行不同的分配策略�����,提高了策略靈活性;采用類似棧式調(diào)度方式進(jìn)行行為采集單元的分配����,提高了虛擬資源的訪問(wèn)局部性��,從而增強(qiáng)了系統(tǒng)的整體吞吐量;采用隊(duì)列式調(diào)度算法進(jìn)行樣本任務(wù)管理����,保證了任務(wù)處理的公平性�。
[0072]第二方面,本發(fā)明實(shí)施例還提供了一種自動(dòng)化樣本行為采集裝置�,所述裝置包括日志收集器、任務(wù)分配器�����、多個(gè)行為采集單元及對(duì)應(yīng)的雙狀態(tài)分派鏈表�����,其中:
[0073]所述日志收集器用于接收待處理樣本向所述任務(wù)分配器申請(qǐng)行為采集單元�,并從行為采集單元讀取日志;
[0074]所述任務(wù)分配器用于為待處理樣本分配行為采集單元���;
[0075]所述雙狀態(tài)分派鏈表用于存儲(chǔ)維護(hù)相同類型且正在排隊(duì)的樣本信息以及處于空閑狀態(tài)的行為采集單元����;
[0076]所述多個(gè)行為采集單元用于處理待處理樣本并記錄行為至日志���。
[0077]可選地�����,所述任務(wù)分配器包括心跳數(shù)據(jù)包接收單元�,用于在第二預(yù)設(shè)時(shí)間段內(nèi)接收來(lái)自行為采集單元的心跳數(shù)據(jù)包以判斷行為采集單元是否被破壞。
[0078]可選地����,在心跳數(shù)據(jù)包單元未在所述第二預(yù)設(shè)時(shí)間段內(nèi)接收到行為采集單元發(fā)送的心跳數(shù)據(jù)時(shí)����,所述任務(wù)分配器還包括復(fù)原單元,用于根據(jù)該行為采集單元的配置參數(shù)復(fù)原一行為采集單元�����。
[0079]第三方面����,本發(fā)明實(shí)施例又提供了一種自動(dòng)化樣本行為采集系統(tǒng),如圖5所示���,包括如上文所述的自動(dòng)化樣本行為采集裝置和管理VLAN�����,還包括至少一個(gè)服務(wù)器�、業(yè)務(wù)VLAN,該自動(dòng)化樣本行為采集裝置用于采集所述至少一個(gè)服務(wù)器的樣本數(shù)據(jù)���,業(yè)務(wù)VLAN傳遞心跳數(shù)據(jù)包探測(cè)行為采集單元的運(yùn)行情況�。
[0080]由上可以看出����,本發(fā)明實(shí)施例提供的自動(dòng)化樣本行為采集裝置以及系統(tǒng)基于上文所述的自動(dòng)化樣本行為采集方法實(shí)現(xiàn),因而可以解決同樣的技術(shù)問(wèn)題���,并取得相同的技術(shù)效果����,在此不再一一贅述����。
[0081]在本發(fā)明實(shí)施例中,術(shù)語(yǔ)“第一”�����、“第二”、“第三”僅用于描述目的����,而不能理解為指示或暗示相對(duì)重要性。術(shù)語(yǔ)“多個(gè)”指兩個(gè)或兩個(gè)以上�����,除非另有明確的限定��。
[0082]雖然結(jié)合附圖描述了本發(fā)明實(shí)施例的實(shí)施方式����,但是本領(lǐng)域技術(shù)人員可以在不脫離本發(fā)明實(shí)施例的精神和范圍的情況下做出各種修改和變型����,這樣的修改和變型均落入由所附權(quán)利要求所限定的范圍之內(nèi)。
【主權(quán)項(xiàng)】
1.一種自動(dòng)化樣本行為采集方法����,其特征在于,所述方法包括: 當(dāng)日志收集器接收到待處理樣本時(shí)向任務(wù)分配器申請(qǐng)與所述待處理樣本相同類型的行為采集單元�����; 當(dāng)所述任務(wù)分配器返回行為采集單元后,所述日志收集器觸發(fā)所述行為采集單元處理所述待處理樣本并將行為記錄在日志中�; 所述日志收集器在第一預(yù)設(shè)時(shí)間段后從所述行為采集單元中讀取日志,并通知所述任務(wù)分配器釋放所述行為采集單元�。2.根據(jù)權(quán)利要求1所述的自動(dòng)化樣本行為采集方法,其特征在于���,所述日志收集器觸發(fā)所述行為采集單元處理所述待處理樣本并將行為記錄在日志中的步驟包括: 所述行為采集單元在第二預(yù)設(shè)時(shí)間段后所述任務(wù)分配器發(fā)送心跳數(shù)據(jù)包���。3.根據(jù)權(quán)利要求2所述的自動(dòng)化樣本行為采集方法,其特征在于���,當(dāng)所述任務(wù)分配器未在所述第二預(yù)設(shè)時(shí)間段內(nèi)接收到所述行為采集單元發(fā)送的心跳數(shù)據(jù)時(shí)�,所述方法還包括: 所述日志收集器獲取來(lái)自所述任務(wù)分配器發(fā)送的所述行為采集單元已被破壞的事件的信息�。4.根據(jù)權(quán)利要求3所述的自動(dòng)化樣本行為采集方法,其特征在于�����,當(dāng)所述任務(wù)分配器未在所述第二預(yù)設(shè)時(shí)間段內(nèi)接收到所述行為采集單元發(fā)送的心跳數(shù)據(jù)時(shí)�,所述方法還包括: 所述任務(wù)分配器對(duì)所述行為采集單元進(jìn)行虛擬機(jī)復(fù)原。5.根據(jù)權(quán)利要求1?4任意一項(xiàng)所述的自動(dòng)化樣本行為采集方法����,其特征在于�����,所述任務(wù)分配器返回行為采集單元的步驟包括: 所述任務(wù)分配器檢查雙狀態(tài)分派鏈表處于忙狀態(tài)還是空閑狀態(tài)����; 當(dāng)所述雙狀態(tài)分派鏈表處于忙狀態(tài)時(shí)���,所述任務(wù)分配器將所述采集單元分配給從該雙狀態(tài)分派鏈表中所取出的待處理任務(wù)對(duì)應(yīng)的日志收集器��; 或者�����,當(dāng)所述雙狀態(tài)分派鏈表處于空閑狀態(tài)時(shí)�����,所述任務(wù)分配器將該行為采集單元添加到該雙狀態(tài)分派鏈表中。6.根據(jù)權(quán)利要求5所述的自動(dòng)化樣本行為采集方法�,其特征在于,所述雙狀態(tài)分派鏈表用于維護(hù)相同類型且正在排隊(duì)的樣本信息以及處于空閑狀態(tài)的行為采集單元�����,并處于下列兩種狀態(tài)的一種: 忙狀態(tài),此時(shí)所述雙狀態(tài)分派鏈表存儲(chǔ)相同類型的空閑狀態(tài)的至少一個(gè)行為采集單元���; 空閑狀態(tài)��,此時(shí)所述雙狀態(tài)分派鏈表存儲(chǔ)待處理任務(wù)��。7.—種自動(dòng)化樣本行為采集裝置���,其特征在于,所述裝置包括日志收集器�、任務(wù)分配器、多個(gè)行為采集單元及對(duì)應(yīng)的雙狀態(tài)分派鏈表����,其中: 所述日志收集器用于接收待處理樣本向所述任務(wù)分配器申請(qǐng)行為采集單元,并從行為采集單元讀取日志��; 所述任務(wù)分配器用于為待處理樣本分配行為采集單元�; 所述雙狀態(tài)分派鏈表用于存儲(chǔ)維護(hù)相同類型且正在排隊(duì)的樣本信息以及處于空閑狀態(tài)的行為采集單元; 所述多個(gè)行為采集單元用于處理待處理樣本并記錄行為至日志���。8.根據(jù)權(quán)利要求7所述的自動(dòng)化樣本行為采集裝置�����,其特征在于�����,所述任務(wù)分配器包括心跳數(shù)據(jù)包接收單元�,用于在第二預(yù)設(shè)時(shí)間段內(nèi)接收來(lái)自行為采集單元的心跳數(shù)據(jù)包以判斷行為采集單元是否被破壞。9.根據(jù)權(quán)利要求8所述的自動(dòng)化樣本行為采集裝置��,其特征在于��,在心跳數(shù)據(jù)包單元未在所述第二預(yù)設(shè)時(shí)間段內(nèi)接收到行為采集單元發(fā)送的心跳數(shù)據(jù)時(shí)�,所述任務(wù)分配器還包括復(fù)原單元,用于根據(jù)該行為采集單元的配置參數(shù)復(fù)原一行為采集單元����。10.—種自動(dòng)化樣本行為采集系統(tǒng),包括如權(quán)利要求7?9任意一項(xiàng)所述的自動(dòng)化樣本行為采集裝置和管理VLAN�,還包括至少一個(gè)服務(wù)器、業(yè)務(wù)VLAN�,該自動(dòng)化樣本行為采集裝置用于采集所述至少一個(gè)服務(wù)器的樣本數(shù)據(jù),業(yè)務(wù)VLAN傳遞心跳數(shù)據(jù)包探測(cè)行為采集單元的運(yùn)行情況�。
【文檔編號(hào)】G06F9/455GK105868628SQ201610173908
【公開日】2016年8月17日
【申請(qǐng)日】2016年3月24日
【發(fā)明人】喻民, 姜建國(guó), 劉超, 李敏, 劉志松
【申請(qǐng)人】中國(guó)科學(xué)院信息工程研究所