沙箱虚拟化的检测方法及检测装置制造方法及图纸

本发明专利技术提供了沙箱虚拟化的检测方法及检测装置，该检测方法包括：检测到虚拟机启动指令时，依据启动指令启动相应操作系统运行环境的虚拟机；在已启动的虚拟机中载入预定的检测引擎及待检测样本，并运行检测引擎；通过检测引擎检测待检测样本，并生成待检测样本在虚拟机中运行的动态行为信息；通过分析动态行为信息，生成针对待检测样本的检测报告。通过本发明专利技术，在保证检测环境未受污染的前提下进行检测，从而保证了检测结果的高准确性；通过分析动态行为信息，生成针对待检测样本的检测报告，提高了检测结果的完整性及准确性，同时，检测报告为管理员对待检测样本进行判断提供了重要的参考依据，极大的提高了检测效率。

Method and device for detecting sandbox virtualization

The present invention provides a method and device for detecting the virtual sandbox, the detecting method comprises: detect the virtual machine startup command, based on the virtual machine startup command to start the running environment of the corresponding operating system; load detection engine predetermined in the virtual machine has been started and the sample to be detected, and run through the detection of the detection engine; the engine test samples to be detected, and generate dynamic behavior information of the sample to be detected in a virtual machine running; through the analysis of dynamic information, generate test report test sample for. According to the invention, in the premise of guarantee detection detection environment is not polluted, so as to ensure the high accuracy of the test results; through the analysis of dynamic information, generate test report to needle sample detection, improve the integrity and accuracy of the test results, at the same time, the detection report provides an important reference for the judgment of the administrator to detect samples, greatly improves the detection efficiency.

【技术实现步骤摘要】
沙箱虚拟化的检测方法及检测装置
本专利技术涉及计算机
，具体而言，本专利技术涉及一种沙箱虚拟化的检测方法，及一种沙箱虚拟化的检测装置。
技术介绍
随着计算机技术的发展，各种功能强大的终端操作系统及终端应用程序不断涌现，为用户带来了更加便捷的体验，各终端应用程序的功能涉及到当今社会各领域的方方面面，由于存在不法分子通过计算机技术实现对非法获取的信息进行窃取、修改、破坏等的不法行为，导致终端设备在运行过程中存在着许多的安全隐患，因此，需要先进的检测手段来排除这些潜在的威胁。随着APT(AdvancedPersistentThreat，高级持续性威胁)攻击的流行，静态检测已经无法对APT进行有效地检测监控，因此，动态检测技术也在日益发展，弥补静态检测的不足，从而更加有效地对抗高级威胁。沙箱(Sandbox)是一种动态检测解决方案，用来在隔离的环境中运行未知或不受信任的应用程序或文件，并获取对应的信息。虚拟化是沙箱的关键，直接影响沙箱的功能性、稳定性以及性能。但是现有技术中，每次检测都需要在沙箱中启动一台全新的虚拟机，以保证检测环境未受污染，检测完成后关闭该虚拟机，从而导致需要不停地启动和关闭虚拟机，当待检测的样本数量较多时，该检测方式将耗费大量的系统资源，从而降低虚拟化性能和虚拟化的稳定性，同时，降低了检测的效率，因此，需要一种在保证虚拟化性能的前提下，实现高效的沙箱虚拟化的检测方法。
技术实现思路
为克服上述技术问题或者至少部分地解决上述技术问题，特提出以下技术方案：本专利技术的实施例提出了一种沙箱虚拟化的检测方法，包括：检测到虚拟机启动指令时，依据启动指令启动相应操作系统运行环境的虚拟机；在已启动的虚拟机中载入预定的检测引擎及待检测样本，并运行检测引擎；通过检测引擎检测待检测样本，并生成待检测样本在虚拟机中运行的动态行为信息；通过分析动态行为信息，生成针对待检测样本的检测报告。优选地，检测到虚拟机启动指令时，依据启动指令启动相应操作系统运行环境的虚拟机，包括：检测到多条虚拟机启动指令时，依据各个启动指令依次启动相应操作系统运行环境的虚拟机。优选地，依据启动指令启动相应操作系统运行环境的虚拟机，具体包括：确定与启动指令相应操作系统运行环境的虚拟机的系统镜像及对应的快照；基于系统镜像及对应的快照，在待启动的虚拟机中建立相应操作系统运行环境。可选地，该方法还包括：预先生成与多种操作系统运行环境分别对应的虚拟机的系统镜像及对应的快照。优选地，预先生成与多种操作系统运行环境分别对应的虚拟机的系统镜像及对应的快照，具体包括：创建与预定操作系统运行环境对应的虚拟机的逻辑分区和逻辑卷，并设置逻辑分区和逻辑卷；配置虚拟机的配置文件；启动虚拟机，并在虚拟机中安装预定操作系统的镜像文件，以生成该预定操作系统运行环境对应的虚拟机的系统镜像；依据虚拟机的系统镜像，生成相应的快照；其中，配置的虚拟机的配置文件，包括以下任一项：配置预定操作系统运行环境；配置虚拟机的名称；配置虚拟机的内存大小；配置虚拟机的磁盘信息。可选地，该方法还包括：设置启动指令的执行时间和检测单个待检测样本的执行时间；依据启动指令和检测单个待检测样本的执行时间，确定待启动虚拟机的最大启动数量；其中，多条虚拟机启动指令的指令数量不超过最大启动数量。可选地，该方法还包括：检测到任一台虚拟机启动后，通过桥接网络建立预定网段的局域网；通过预定局域网的网络协议，为任一台虚拟机分配预定网段的网络地址；基于已分配的预定网段的网络地址，任一台虚拟机通过预定的源地址转换机制访问外网。优选地，操作系统运行环境包括以下至少一项：操作系统的类型；操作系统的架构；操作系统的软件环境；操作系统的安全补丁环境；操作系统的语言。优选地，待检测样本在虚拟机中运行的动态行为信息，包括以下至少一项：网络行为信息；访问的文件信息；访问的注册表信息；创建的进程信息。本专利技术的另一实施例提出了一种沙箱虚拟化的检测装置，包括：检测及启动模块，用于检测到虚拟机启动指令时，依据启动指令启动相应操作系统运行环境的虚拟机；载入及运行模块，用于在已启动的虚拟机中载入预定的检测引擎及待检测样本，并运行检测引擎；检测及生成模块，用于通过检测引擎检测待检测样本，并生成待检测样本在虚拟机中运行的动态行为信息；分析及生成模块，用于通过分析动态行为信息，生成针对待检测样本的检测报告。优选地，检测及启动模块，包括：检测及启动单元，用于检测到多条虚拟机启动指令时，依据各个启动指令依次启动相应操作系统运行环境的虚拟机。优选地，检测及启动模块，具体包括：确定单元，用于确定与启动指令相应操作系统运行环境的虚拟机的系统镜像及对应的快照；建立单元，用于基于系统镜像及对应的快照，在待启动的虚拟机中建立相应操作系统运行环境。可选地，该装置还包括：生成模块，用于预先生成与多种操作系统运行环境分别对应的虚拟机的系统镜像及对应的快照。优选地，生成模块，具体包括：创建及设置单元，用于创建与预定操作系统运行环境对应的虚拟机的逻辑分区和逻辑卷，并设置逻辑分区和逻辑卷；配置单元，用于配置虚拟机的配置文件；启动及安装单元，用于启动虚拟机，并在虚拟机中安装预定操作系统的镜像文件，以生成该预定操作系统运行环境对应的虚拟机的系统镜像；生成单元，用于依据虚拟机的系统镜像，生成相应的快照；其中，配置的虚拟机的配置文件，包括以下任一项：配置预定操作系统运行环境；配置虚拟机的名称；配置虚拟机的内存大小；配置虚拟机的磁盘信息。可选地，该装置还包括：设置模块，用于设置启动指令的执行时间和检测单个待检测样本的执行时间；确定模块，用于依据启动指令和检测单个待检测样本的执行时间，确定待启动虚拟机的最大启动数量；其中，多条虚拟机启动指令的指令数量不超过最大启动数量。可选地，该装置还包括：检测及建立模块，用于检测到任一台虚拟机启动后，通过桥接网络建立预定网段的局域网；分配模块，用于通过预定局域网的网络协议，为任一台虚拟机分配预定网段的网络地址；访问模块，用于基于已分配的预定网段的网络地址，任一台虚拟机通过预定的源地址转换机制访问外网。优选地，操作系统运行环境包括以下至少一项：操作系统的类型；操作系统的架构；操作系统的软件环境；操作系统的安全补丁环境；操作系统的语言。优选地，待检测样本在虚拟机中运行的动态行为信息，包括以下至少一项：网络行为信息；访问的文件信息；访问的注册表信息；创建的进程信息。本专利技术的实施例中，提出了一种沙箱虚拟化的检测方案，检测到虚拟机启动指令时，依据启动指令启动相应操作系统运行环境的虚拟机，实现了在沙箱中动态建立与启动指令相匹配的虚拟化运行环境，为后续实现对待检测样本在该虚拟运行环境中进行检测提供了必要的前提保证；在已启动的虚拟机中载入预定的检测引擎及待检测样本，并运行检测引擎，实现了在新启动的沙箱虚拟化运行环境中通过预定检测引擎检测待检测样本，在保证检测环境未受污染的前提下进行检测，从而保证了检测结果的高准确性；通过检测引擎检测待检测样本，并生成待检测样本在虚拟机中运行的动态行为信息，通过分析动态行为信息，生成针对待检测样本的检测报告，提高了检测结果的完整性及准确性，同时，检测报告为管理员对待检测样本进行判断提供了重要的参考依据，极大的提高了检测效率。本专利技术附加的方本文档来自技高网...

【技术保护点】
一种沙箱虚拟化的检测方法，其特征在于，包括：检测到虚拟机启动指令时，依据所述启动指令启动相应操作系统运行环境的虚拟机；在已启动的虚拟机中载入预定的检测引擎及待检测样本，并运行所述检测引擎；通过所述检测引擎检测所述待检测样本，并生成所述待检测样本在所述虚拟机中运行的动态行为信息；通过分析所述动态行为信息，生成针对所述待检测样本的检测报告。

【技术特征摘要】
1.一种沙箱虚拟化的检测方法，其特征在于，包括：检测到虚拟机启动指令时，依据所述启动指令启动相应操作系统运行环境的虚拟机；在已启动的虚拟机中载入预定的检测引擎及待检测样本，并运行所述检测引擎；通过所述检测引擎检测所述待检测样本，并生成所述待检测样本在所述虚拟机中运行的动态行为信息；通过分析所述动态行为信息，生成针对所述待检测样本的检测报告。2.根据权利要求1所述的方法，其特征在于，所述检测到虚拟机启动指令时，依据所述启动指令启动相应操作系统运行环境的虚拟机，包括：检测到多条虚拟机启动指令时，依据各个启动指令依次启动相应操作系统运行环境的虚拟机。3.根据权利要求1或2所述的方法，其特征在于，所述依据所述启动指令启动相应操作系统运行环境的虚拟机，具体包括：确定与所述启动指令相应操作系统运行环境的虚拟机的系统镜像及对应的快照；基于所述系统镜像及对应的快照，在待启动的虚拟机中建立相应操作系统运行环境。4.根据权利要求3所述的方法，其特征在于，还包括：预先生成与多种操作系统运行环境分别对应的虚拟机的系统镜像及对应的快照。5.根据权利要求4所述的方法，其特征在于，所述预先生成与多种操作系统运行环境分别对应的虚拟机的系统镜像及对应的快照，具体包括：创建与预定操作系统运行环境对应的虚拟机的逻辑分区和逻辑卷，并设置所述逻辑分区和所述逻辑卷；配置所述虚拟机的配置文件；启动所述虚拟机，并在所述虚拟机中安装预定操作系统的镜像文件，以生成该预定操作系统运行环境对应的虚拟机的系统镜像；依据虚拟机的系统镜像，生成相应的快照；其中，所述配置所述的虚拟机的配置文件，包括以下任一项：配置预定操...

【专利技术属性】
技术研发人员：席康杰，
申请(专利权)人：北京奇虎科技有限公司，奇智软件北京有限公司，
类型：发明
国别省市：北京,11