The present invention provides a method and device for detecting the virtual sandbox, the detecting method comprises: detect the virtual machine startup command, based on the virtual machine startup command to start the running environment of the corresponding operating system; load detection engine predetermined in the virtual machine has been started and the sample to be detected, and run through the detection of the detection engine; the engine test samples to be detected, and generate dynamic behavior information of the sample to be detected in a virtual machine running; through the analysis of dynamic information, generate test report test sample for. According to the invention, in the premise of guarantee detection detection environment is not polluted, so as to ensure the high accuracy of the test results; through the analysis of dynamic information, generate test report to needle sample detection, improve the integrity and accuracy of the test results, at the same time, the detection report provides an important reference for the judgment of the administrator to detect samples, greatly improves the detection efficiency.
【技术实现步骤摘要】
沙箱虚拟化的检测方法及检测装置
本专利技术涉及计算机
,具体而言,本专利技术涉及一种沙箱虚拟化的检测方法,及一种沙箱虚拟化的检测装置。
技术介绍
随着计算机技术的发展,各种功能强大的终端操作系统及终端应用程序不断涌现,为用户带来了更加便捷的体验,各终端应用程序的功能涉及到当今社会各领域的方方面面,由于存在不法分子通过计算机技术实现对非法获取的信息进行窃取、修改、破坏等的不法行为,导致终端设备在运行过程中存在着许多的安全隐患,因此,需要先进的检测手段来排除这些潜在的威胁。随着APT(AdvancedPersistentThreat,高级持续性威胁)攻击的流行,静态检测已经无法对APT进行有效地检测监控,因此,动态检测技术也在日益发展,弥补静态检测的不足,从而更加有效地对抗高级威胁。沙箱(Sandbox)是一种动态检测解决方案,用来在隔离的环境中运行未知或不受信任的应用程序或文件,并获取对应的信息。虚拟化是沙箱的关键,直接影响沙箱的功能性、稳定性以及性能。但是现有技术中,每次检测都需要在沙箱中启动一台全新的虚拟机,以保证检测环境未受污染,检测完成后关闭该虚拟机,从而导致需要不停地启动和关闭虚拟机,当待检测的样本数量较多时,该检测方式将耗费大量的系统资源,从而降低虚拟化性能和虚拟化的稳定性,同时,降低了检测的效率,因此,需要一种在保证虚拟化性能的前提下,实现高效的沙箱虚拟化的检测方法。
技术实现思路
为克服上述技术问题或者至少部分地解决上述技术问题,特提出以下技术方案:本专利技术的实施例提出了一种沙箱虚拟化的检测方法,包括:检测到虚拟机启动指令时,依据启动指令 ...
【技术保护点】
一种沙箱虚拟化的检测方法,其特征在于,包括:检测到虚拟机启动指令时,依据所述启动指令启动相应操作系统运行环境的虚拟机;在已启动的虚拟机中载入预定的检测引擎及待检测样本,并运行所述检测引擎;通过所述检测引擎检测所述待检测样本,并生成所述待检测样本在所述虚拟机中运行的动态行为信息;通过分析所述动态行为信息,生成针对所述待检测样本的检测报告。
【技术特征摘要】
1.一种沙箱虚拟化的检测方法,其特征在于,包括:检测到虚拟机启动指令时,依据所述启动指令启动相应操作系统运行环境的虚拟机;在已启动的虚拟机中载入预定的检测引擎及待检测样本,并运行所述检测引擎;通过所述检测引擎检测所述待检测样本,并生成所述待检测样本在所述虚拟机中运行的动态行为信息;通过分析所述动态行为信息,生成针对所述待检测样本的检测报告。2.根据权利要求1所述的方法,其特征在于,所述检测到虚拟机启动指令时,依据所述启动指令启动相应操作系统运行环境的虚拟机,包括:检测到多条虚拟机启动指令时,依据各个启动指令依次启动相应操作系统运行环境的虚拟机。3.根据权利要求1或2所述的方法,其特征在于,所述依据所述启动指令启动相应操作系统运行环境的虚拟机,具体包括:确定与所述启动指令相应操作系统运行环境的虚拟机的系统镜像及对应的快照;基于所述系统镜像及对应的快照,在待启动的虚拟机中建立相应操作系统运行环境。4.根据权利要求3所述的方法,其特征在于,还包括:预先生成与多种操作系统运行环境分别对应的虚拟机的系统镜像及对应的快照。5.根据权利要求4所述的方法,其特征在于,所述预先生成与多种操作系统运行环境分别对应的虚拟机的系统镜像及对应的快照,具体包括:创建与预定操作系统运行环境对应的虚拟机的逻辑分区和逻辑卷,并设置所述逻辑分区和所述逻辑卷;配置所述虚拟机的配置文件;启动所述虚拟机,并在所述虚拟机中安装预定操作系统的镜像文件,以生成该预定操作系统运行环境对应的虚拟机的系统镜像;依据虚拟机的系统镜像,生成相应的快照;其中,所述配置所述的虚拟机的配置文件,包括以下任一项:配置预定操...
【专利技术属性】
技术研发人员:席康杰,
申请(专利权)人:北京奇虎科技有限公司,奇智软件北京有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。