【技术实现步骤摘要】
一种基于虚拟化行为分析技术的恶意代码检测方法及装置
本专利技术涉及计算机安全
,具体地涉及一种基于虚拟化行为分析技术的恶意代码检测方法及装置。
技术介绍
随着计算机,互联网技术的发展,人们的工作,生活越来越离不开信息技术带来的生产,生活方式的转变,工作中需要计算机来处理各种文档,各种业务,收发电子邮件等。生活中需要计算机来上网冲浪,获取各种信息,发微博,观看视频,网络游戏等等。互联网技术的发展该笔那了企业与消费者相互沟通及交互的方式,已成为信息共享与商务交易的主要平台。同时,互联网变得日益复杂,没有界限。高速发展的信息技术给人们的工作生活带来巨大的遍历的同时,也受到病毒,木马,黑客等种种安全威胁和影响。在这其中恶意代码是当今互联网的主要安全威胁。在信息安全事件中,绝大部分用户的经济损失是由恶意代码造成的。当前,各种计算机病毒,特洛伊木马,蠕虫(Worm),逻辑炸弹以及间谍软件(Spyware)等恶意软件呈广泛蔓延趋势,其主要危害包括窃取用户敏感信息,发送垃圾邮件,控制受害主机发动DDos攻击等。目前恶意代码并不仅仅局限...
【技术保护点】
1.一种基于虚拟化行为分析技术的恶意代码检测装置,其特征在于,包括本地主机和虚拟机,其中,所述本地主机设置有可视化模块、虚拟机控制模块和数据分析模块,所述可视化模块用于将待测可执行文件从本地主机传送至虚拟机、控制所述虚拟机控制模块启动虚拟机以及从所述数据分析模块获取分析报告;所述虚拟机控制模块用于对虚拟机进行控制;所述数据分析模块用于分析所述虚拟机传送的监控日志文件和将分析结果生成分析报告;所述虚拟机设置有监控控制模块和行为监控及网络流量捕获模块,所述监控控制模块用于调用所述行为监控及网络流量捕获模块对待测执行文件进行进程、注册表、文件、驱动加载和网络行为的监控并将各种行为...
【技术特征摘要】
1.一种基于虚拟化行为分析技术的恶意代码检测装置,其特征在于,包括本地主机和虚拟机,其中,所述本地主机设置有可视化模块、虚拟机控制模块和数据分析模块,所述可视化模块用于将待测可执行文件从本地主机传送至虚拟机、控制所述虚拟机控制模块启动虚拟机以及从所述数据分析模块获取分析报告;所述虚拟机控制模块用于对虚拟机进行控制;所述数据分析模块用于分析所述虚拟机传送的监控日志文件和将分析结果生成分析报告;所述虚拟机设置有监控控制模块和行为监控及网络流量捕获模块,所述监控控制模块用于调用所述行为监控及网络流量捕获模块对待测执行文件进行进程、注册表、文件、驱动加载和网络行为的监控并将各种行为记录在监控日志文件中。
2.如权利要求1所示的恶意代码检测装置,其特征在于,所述行为监控及网络流量捕获模块包括进程获取模块、进程监控模块、文件监控模块、注册表监控模块、驱动监控模块、网络流量捕获模块和日志记录模块。
3.如权利要求2所示的恶意代码检测装置,其特征在于,所述注册表监控模块采用注册表回调函数对注册表行为进行监控,所述进程监控模块、文件监控模块和驱动监控模块采用SSDTHook技术对进程、文件和驱动加载行为进行监控,以及网络流量捕获模块使用TDI层IRPHook实现对网络行为的监控。
4.如权利要求3所示的恶意代码检测装置,其特征在于,注册表行为包括创建、修改或删除注册表项和/或注册表键值,进程行为包括进程的创建和终止行为,以及文件行为包括文件的创建、覆盖和删除行为。
5.如权利要求2所示的恶意代码检测装置,其特征在于,所述日志记录模块通过驱动程序直接写...
【专利技术属性】
技术研发人员:陈奋,姚刚,孙晓波,龚利军,陈荣有,
申请(专利权)人:厦门服云信息科技有限公司,
类型:发明
国别省市:福建;35
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。