恶意代码动态检测方法及装置制造方法及图纸

本发明专利技术实施例提供的一种恶意代码动态检测方法及装置，涉及计算机安全技术领域，解决了现有恶意代码检测时存在的速度慢、效率低等问题，本发明专利技术的主要技术方案为：当在真实环境中检测到文件执行事件时，根据预置告警库判断所述文件执行事件是否可疑，所述预置告警库中存储有各种可疑文件执行的特征信息；若可疑，则拦截所述文件执行事件在所述真实环境中的执行，并将所述文件执行事件复制到虚拟环境中执行，所述虚拟环境中存储有真实环境中的文件、目录；根据所述文件执行事件在所述虚拟环境中的执行结果和预置恶意执行结果库判断所述文件执行事件是否为恶意代码。本发明专利技术用于检测恶意代码。

Method and device for dynamic detection of malicious code

The embodiment of the invention provides a malicious code dynamic detection method and device, and relates to the technical field of computer security, solves the existing malicious code detection of slow speed, low efficiency, the main technical scheme of the invention is: when in a real environment to detect file execution events, according to the preset alarm base judgment the file execution event is suspicious, storing the preset alarm in a library of feature information of various suspicious document; if suspicious, to intercept the file execution event in the real environment in the execution, and the execution file is copied to the execution of events in the virtual environment, the virtual storage environment with real in the environment of files and directories; according to the file execution events on the virtual environment in the implementation of the results and the preset malicious execution result whether the file library Executes an event as a malicious code. The invention is used for detecting malicious code.

【技术实现步骤摘要】

本专利技术实施例涉及计算机安全
，尤其涉及一种恶意代码动态检测方法及装置。
技术介绍
随着计算机应用的日益普及，包括病毒、木马在内的恶意程序的数量也迅速增长，其中恶意程序通常是指带有攻击意图所编写的一段程序，用于窃取用户文件、隐私、账户等信息。恶意程序可以通过很多传播途径来侵害用户的电脑，例如便携的移动介质，如闪存盘，光盘等，而随着计算机网络技术的广泛应用，互联网逐渐成为恶意程序传播的主要途径之一，黑客或恶意程序传播者将木马等恶意程序文件伪装成其他类型文件，并引诱用户点击和下载，而恶意程序一旦被下载到用户计算机并成功运行，黑客或恶意程序传播者就可以利用这些恶意程序，进行破坏用户计算机，窃取用户个人信息等不法行为。利用操作系统以及应用软件的漏洞实施攻击，是使恶意程序在用户计算机上成功植入和运行的最主要手段之一。漏洞是指操作系统软件或应用软件在逻辑设计上的缺陷或在编写时产生的错误。这些缺陷或错误往往可以被黑客利用来植入木马等恶意程序，侵害或控制甚至破坏用户计算机软硬件系统，或者窃取用户的重要资料和信息。目前，现有的研究更多是把目光集中在入侵监测，对入侵的预警研究不多，能做到在安全态势感知的基础上达成体系预警的系统非常少；并且入侵监测通过人工方式对可疑代码中每条指令逐条进行特征分析，来检测可疑代码是否为恶意代码，存在速度慢、效率低的技术问题。
技术实现思路
本专利技术实施例提供了一种恶意代码动态检测方法及装置，用以解决现有技术中恶意代码检测时存在的速度慢、效率低等问题。针对现有技术存在的问题，本专利技术实施例提供了一种恶意代码动态检测方法，包括：当在真实环境中检测到文件执行事件时，根据预置告警库判断所述文件执行事件是否可疑，所述预置告警库中存储有各种可疑文件执行的特征信息；若可疑，则拦截所述文件执行事件在所述真实环境中的执行，并将所述文件执行事件复制到虚拟环境中执行，所述虚拟环境中存储有真实环境中的文件、目录；根据所述文件执行事件在所述虚拟环境中的执行结果和预置恶意执行结果库判断所述文件执行事件是否为恶意代码，所述预置恶意执行结果库中存储有各种恶意代码的执行结果。具体地，所述根据所述文件执行事件在所述虚拟环境中的执行结果和预置恶意执行结果库判断所述文件执行事件是否为恶意代码包括：判断在所述虚拟环境中所述文件执行事件的执行过程中是否存在访问注册表操作；若不存在，则记录所述文件执行事件在所述虚拟环境中的访问注册表操作；若存在，则判断所述文件执行事件的访问注册表操作是否属于所述预置恶意执行结果库中的恶意注册表操作；若所述文件执行事件的访问注册表操作属于恶意注册表操作，则将所述文件执行事件确定为恶意代码。具体的，所述根据所述文件执行事件在所述虚拟环境中的执行结果和预置恶意执行结果库判断所述文件执行事件是否为恶意代码包括：判断在所述虚拟环境中文件执行事件的进程操作是否属于所述预置恶意执行结果库中的恶意进程操作；若所述文件执行事件的进程操作属于所述预置恶意执行结果库中的恶意进程操作，则将所述文件执行事件确定为恶意代码。具体的，所述根据所述文件执行事件在所述虚拟环境中的执行结果和预置恶意执行结果库判断所述文件执行事件是否为恶意代码包括：判断在所述虚拟环境中文件执行事件的网络操作是否属于所述预置恶意执行结果库中的恶意网络操作；判断在所述虚拟环境中文件执行事件的服务操作是否属于所述预置恶意执行结果库中的恶意服务操作；若所述文件执行事件的网络操作属于所述预置恶意执行结果库中的恶意网络操作，或所述文件执行事件的服务操作属于所述预置恶意执行结果库中的恶意服务操作，则将所述文件执行事件确定为恶意代码。进一步地，所述根据所述文件执行事件在所述虚拟环境中的执行结果和预置恶意执行结果库判断所述文件执行事件是否为恶意代码之后，所述方法还包括：若所述文件执行事件不是恶意代码，则恢复所述文件执行事件在真实环境中执行。本专利技术实施例提供了一种恶意代码动态检测装置，包括：判断单元，用于当在真实环境中检测到文件执行事件时，根据预置告警库判断所述文件执行事件是否可疑，所述预置告警库中存储有各种可疑文件执行的特征信息；执行单元，用于若所述文件执行事件可疑，则拦截所述文件执行事件在所述真实环境中的执行，并将所述文件执行事件复制到虚拟环境中执行，所述虚拟环境中存储有真实环境中的文件、目录；所述判断单元，还用于根据所述文件执行事件在所述虚拟环境中的执行结果和预置恶意执行结果库判断所述文件执行事件是否为恶意代码，所述预置恶意执行结果库中存储有各种恶意代码的执行结果。具体的，所述判断单元包括：判断模块，用于判断在所述虚拟环境中所述文件执行事件的执行过程中是否存在访问注册表操作；记录模块，用于若不存在所述访问注册表操作，则记录所述文件执行事件在所述虚拟环境中的访问注册表操作；所述判断模块还用于，若存在所述访问注册表操作，则判断所述文件执行事件的访问注册表操作是否属于所述预置恶意执行结果库中的恶意注册表操作；确定模块，用于若所述文件执行事件的访问注册表操作属于恶意注册表操作，则将所述文件执行事件确定为恶意代码。所述判断模块，还用于判断在所述虚拟环境中文件执行事件的进程操作是否属于所述预置恶意执行结果库中的恶意进程操作；所述确定模块，还用于若所述文件执行事件的进程操作属于所述预置恶意执行结果库中的恶意进程操作，则将所述文件执行事件确定为恶意代码。所述判断模块，还用于判断在所述虚拟环境中文件执行事件的网络操作是否属于所述预置恶意执行结果库中的恶意网络操作；所述判断模块，还用于判断在所述虚拟环境中文件执行事件的服务操作是否属于所述预置恶意执行结果库中的恶意服务操作；所述确定模块，还用于若所述文件执行事件的网络操作属于所述预置恶意执行结果库中的恶意网络操作，或所述文件执行事件的服务操作属于所述预置恶意执行结果库中的恶意服务操作，则将所述文件执行事件确定为恶意代码。进一步地，所述装置还包括：恢复单元，用于若所述文件执行事件不是恶意代码，则恢复所述文件执行事件在真实环境中执行。本专利技术实施例提供的一种恶意代码动态检测方法及装置，当在真实环境中检测到文件执行事件时，根据预置告警库判断所述文件执行事件是否可疑，若可疑，则拦截所述文件执行事件在所述真实环境中的执行，并将所述文件执行事件复制到虚拟环境中执行，最后根据所述文件执行事件在所述虚拟环境中的执行结果和预置恶意执行结果库判断所述文件执行事件是否为恶意代码。与传统的恶意代码检测不同，本专利技术实施例并未采集各个网络环节的检测数据，而是利用虚拟执行技术设计特定的虚拟环境，将可疑的文件执行事件定向到与真实环境相隔离的虚拟环境中执行，并通过记录、分析、对比网络应用在虚拟环境内执行前后主机内的文件、注册表、进程、服务、网络等5个关键模块的状态特征变化识别检测出恶意代码，从而通过本专利技术实施例大大降低了真实环境下主机被入侵或信息被泄露的可能性。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术实施例提供的一种恶意代码动态检测方本文档来自技高网...

【技术保护点】
一种恶意代码动态检测方法，其特征在于，包括：当在真实环境中检测到文件执行事件时，根据预置告警库判断所述文件执行事件是否可疑，所述预置告警库中存储有各种可疑文件执行的特征信息；若可疑，则拦截所述文件执行事件在所述真实环境中的执行，并将所述文件执行事件复制到虚拟环境中执行，所述虚拟环境中存储有真实环境中的文件、目录；根据所述文件执行事件在所述虚拟环境中的执行结果和预置恶意执行结果库判断所述文件执行事件是否为恶意代码，所述预置恶意执行结果库中存储有各种恶意代码的执行结果。

【技术特征摘要】
1.一种恶意代码动态检测方法，其特征在于，包括：当在真实环境中检测到文件执行事件时，根据预置告警库判断所述文件执行事件是否可疑，所述预置告警库中存储有各种可疑文件执行的特征信息；若可疑，则拦截所述文件执行事件在所述真实环境中的执行，并将所述文件执行事件复制到虚拟环境中执行，所述虚拟环境中存储有真实环境中的文件、目录；根据所述文件执行事件在所述虚拟环境中的执行结果和预置恶意执行结果库判断所述文件执行事件是否为恶意代码，所述预置恶意执行结果库中存储有各种恶意代码的执行结果。2.根据权利要求1所述的方法，其特征在于，所述根据所述文件执行事件在所述虚拟环境中的执行结果和预置恶意执行结果库判断所述文件执行事件是否为恶意代码包括：判断在所述虚拟环境中所述文件执行事件的执行过程中是否存在访问注册表操作；若不存在，则记录所述文件执行事件在所述虚拟环境中的访问注册表操作；若存在，则判断所述文件执行事件的访问注册表操作是否属于所述预置恶意执行结果库中的恶意注册表操作；若所述文件执行事件的访问注册表操作属于恶意注册表操作，则将所述文件执行事件确定为恶意代码。3.根据权利要求1所述的方法，其特征在于，所述根据所述文件执行事件在所述虚拟环境中的执行结果和预置恶意执行结果库判断所述文件执行事件是否为恶意代码包括：判断在所述虚拟环境中文件执行事件的进程操作是否属于所述预置恶意执行结果库中的恶意进程操作；若所述文件执行事件的进程操作属于所述预置恶意执行结果库中的恶意进程操作，则将所述文件执行事件确定为恶意代码。4.根据权利要求1所述的方法，其特征在于，所述根据所述文件执行事件在所述虚拟环境中的执行结果和预置恶意执行结果库判断所述文件执行事件是否为恶意代码包括：判断在所述虚拟环境中文件执行事件的网络操作是否属于所述预置恶意执行结果库中的恶意网络操作；判断在所述虚拟环境中文件执行事件的服务操作是否属于所述预置恶意执行结果库中的恶意服务操作；若所述文件执行事件的网络操作属于所述预置恶意执行结果库中的恶意网络操作，或所述文件执行事件的服务操作属于所述预置恶意执行结果库中的恶意服务操作，则将所述文件执行事件确定为恶意代码。5.根据权利要求1-4任一所述的方法，其特征在于，所述根据所述文件执行事件在所述虚拟环境中的执行结果和预置恶意执行结果库判断所述文件执行事件是否为恶意代码之后，所述方法还包括：...

【专利技术属性】
技术研发人员：傅涛，薛敏，孙文静，俞正兵，
申请(专利权)人：江苏博智软件科技有限公司，
类型：发明
国别省市：江苏;32