一种基于虚拟化行为分析技术的恶意代码检测方法及装置制造方法及图纸

本发明专利技术涉及一种基于虚拟化行为分析技术的恶意代码检测方法及装置，其中，该装置包括本地主机和虚拟机，本地主机设置有可视化模块、虚拟机控制模块和数据分析模块，可视化模块用于将待测可执行文件从本地主机传送至虚拟机、控制虚拟机控制模块启动虚拟机以及从数据分析模块获取分析报告；虚拟机控制模块用于对虚拟机进行控制；数据分析模块用于分析虚拟机传送的监控日志文件和将分析结果生成分析报告；虚拟机设置有监控控制模块和行为监控及网络流量捕获模块，监控控制模块用于调用行为监控及网络流量捕获模块对待测执行文件进行进程、注册表、文件、驱动加载和网络行为的监控并将各种行为记录在监控日志文件中。

A malicious code detection method and device based on Virtualization behavior analysis technology

【技术实现步骤摘要】
一种基于虚拟化行为分析技术的恶意代码检测方法及装置
本专利技术涉及计算机安全
，具体地涉及一种基于虚拟化行为分析技术的恶意代码检测方法及装置。
技术介绍
随着计算机，互联网技术的发展，人们的工作，生活越来越离不开信息技术带来的生产，生活方式的转变，工作中需要计算机来处理各种文档，各种业务，收发电子邮件等。生活中需要计算机来上网冲浪，获取各种信息，发微博，观看视频，网络游戏等等。互联网技术的发展该笔那了企业与消费者相互沟通及交互的方式，已成为信息共享与商务交易的主要平台。同时，互联网变得日益复杂，没有界限。高速发展的信息技术给人们的工作生活带来巨大的遍历的同时，也受到病毒，木马，黑客等种种安全威胁和影响。在这其中恶意代码是当今互联网的主要安全威胁。在信息安全事件中，绝大部分用户的经济损失是由恶意代码造成的。当前，各种计算机病毒，特洛伊木马，蠕虫(Worm),逻辑炸弹以及间谍软件(Spyware)等恶意软件呈广泛蔓延趋势，其主要危害包括窃取用户敏感信息，发送垃圾邮件，控制受害主机发动DDos攻击等。目前恶意代码并不仅仅局限于国内，出现了许多跨国攻击情况。目前主流的恶意代码查杀技术有静态特征检测和动态沙箱技术，传统的静态特征检测，需要建立庞大的病毒特征库，此方法已经无法赶上网络上由原本单一的病毒木马经过加壳，加花，组装等手段后成为“变种”木马数量的增长速度，其增长速度非常快，数量巨大，并且无法抵抗新近出现的未知病毒。而传统的动态沙箱检测技术，只是虚拟了一个指令解释器，模拟程序在操作系统中的运行，提取出敏感函数。这种检测方法的缺点在于，不能够完全模拟操作系统的真实环境，如CPU辅助处理指令，注册表信息的读取，网络流量监控，驱动层信息的监控等等。
技术实现思路
本专利技术旨在提供一种基于虚拟化行为分析技术的恶意代码检测方法及装置，以解决上述问题。为此，本专利技术采用的具体技术方案如下：根据本专利技术的一方面，提供了一种基于虚拟化行为分析技术的恶意代码检测装置，其可包括本地主机和虚拟机，其中，所述本地主机设置有可视化模块、虚拟机控制模块和数据分析模块，所述可视化模块用于将待测可执行文件从本地主机传送至虚拟机、控制所述虚拟机控制模块启动虚拟机以及从所述数据分析模块获取分析报告；所述虚拟机控制模块用于对虚拟机进行控制；所述数据分析模块用于分析所述虚拟机传送的监控日志文件和将分析结果生成分析报告；所述虚拟机设置有监控控制模块和监控模块和网络流量捕获模块，所述监控控制模块用于调用所述行为监控及网络流量捕获模块对待测执行文件进行进程、注册表、文件、驱动加载和网络行为的监控并将各种行为记录在监控日志文件中。进一步地，所述行为监控及网络流量捕获模块包括进程获取模块、进程监控模块、文件监控模块、注册表监控模块、驱动监控模块、网络流量捕获模块和日志记录模块。进一步地，所述注册表监控模块采用注册表回调函数对注册表行为进行监控，所述进程监控模块、文件监控模块和驱动监控模块采用SSDTHook技术对进程、文件和驱动加载行为进行监控，以及网络流量捕获模块使用TDI层IRPHook实现对网络行为的监控。进一步地，注册表行为包括创建、修改或删除注册表项和/或注册表键值，进程行为包括进程的创建和终止行为，以及文件行为包括文件的创建、覆盖和删除行为。进一步地，所述日志记录模块通过驱动程序直接写文件的操作将检测到的恶意代码行为记录下来。进一步地，所述虚拟机控制模块包括虚拟机设置、虚拟机基本操作和监控过程控制三个部分，其中，所述虚拟机设置包括类型选择、Host设置和Guest设置；所述虚拟机基本操作包括开启、关闭、挂起和还原；以及所述监控过程控制包括传送文件、启动监控和提取结果。进一步地，所述虚拟机控制模块基于VIXAPI实现对虚拟机的控制。进一步地，所述监控控制模块的工作过程为：服务创建、驱动加载、运行待测可执行文件一段时间和卸载驱动。根据本专利技术的另一方面，提供了一种基于虚拟化行为分析技术的恶意代码检测方法，其包括以下步骤：S1、提供如上所述的恶意代码检测装置；S2、通过本地主机的可视化模块将待测可执行文件传入本地主机；S3、通过可视化模块控制虚拟机控制模块来启动虚拟机；S4、通过虚拟机控制模块将待测可执行文件传入虚拟机；S5、在虚拟机通过监控控制模块启动行为监控及网络流量捕获模块；S6、在虚拟机内运行待测可执行文件，通过行为监控及网络流量捕获模块对待测可执行文件运行过程中的进程、注册表、文件、驱动加载和网络行为进行监控，同时将各种行为记录在监控日志文件中；S7、虚拟机将监控日志文件传到本地主机的数据分析模块，由数据分析模块对日志文件进行分析，并将分析结果生成分析报告；S8、通过本地主机的可视化模块将分析报告呈现给用户。本专利技术采用上述技术方案，具有的有益效果是：本专利技术无需庞大的病毒特征库，利用虚拟机技术，完全模拟操作系统的真实环境，以多种方式如进程模块监控，文件监控，注册表监控，驱动监控，网络流量捕获等来监控恶意代码在虚拟环境下的运行状态，从而检测出敏感信息。本专利技术可以由用户触发指令，自动的控制虚拟机系统，在虚拟环境下实现对恶意文件的行为进行分析，不会影响主机系统的运行环境，而且可以批量地对恶意文件行为进行分析。通过对恶意代码的行为研究和监控，不仅可以有针对地发现当前木马的行为特征，而且还能及时发现新的攻击技术于形式，这些对恶意代码检测以及防御具有重要意义。附图说明为进一步说明各实施例，本专利技术提供有附图。这些附图为本专利技术揭露内容的一部分，其主要用以说明实施例，并可配合说明书的相关描述来解释实施例的运作原理。配合参考这些内容，本领域普通技术人员应能理解其他可能的实施方式以及本专利技术的优点。图中的组件并未按比例绘制，而类似的组件符号通常用来表示类似的组件。图1是本专利技术的一种基于虚拟化行为分析技术的恶意代码检测装置的原理框图；图2是本专利技术的一种基于虚拟化行为分析技术的恶意代码检测方法的流程图。具体实施方式现结合附图和具体实施方式对本专利技术进一步说明。如图1所示，一种基于虚拟化行为分析技术的恶意代码检测装置可包括本地主机1和虚拟机2。其中，所述本地主机1设置有可视化模块11、虚拟机控制模块12和数据分析模块13。虚拟机2设置有监控控制模块21和行为监控及网络流量捕获模块22。可视化模块11用于将待测可执行文件从本地主机1传送至虚拟机2、控制虚拟机控制模块12启动虚拟机2以及从数据分析模块13获取分析报告。虚拟机控制模块12用于进行虚拟机设置、虚拟机基本操作和监控过程控制；所述数据分析模块13用于分析所述虚拟机2传送的监控日志文件和将分析结果生成分析报告。监控控制模块21用于调用所述行为监控及网络流量捕获模块22对待测执行文件进行进程、线程、注册表、文件、驱动加载和网络行为的监控并将各种行为记录在监控日志文件中。下面对各个模块进行详细说明。可视化模块11可视化模块本文档来自技高网...

【技术保护点】
1.一种基于虚拟化行为分析技术的恶意代码检测装置，其特征在于，包括本地主机和虚拟机，其中，所述本地主机设置有可视化模块、虚拟机控制模块和数据分析模块，所述可视化模块用于将待测可执行文件从本地主机传送至虚拟机、控制所述虚拟机控制模块启动虚拟机以及从所述数据分析模块获取分析报告；所述虚拟机控制模块用于对虚拟机进行控制；所述数据分析模块用于分析所述虚拟机传送的监控日志文件和将分析结果生成分析报告；所述虚拟机设置有监控控制模块和行为监控及网络流量捕获模块，所述监控控制模块用于调用所述行为监控及网络流量捕获模块对待测执行文件进行进程、注册表、文件、驱动加载和网络行为的监控并将各种行为记录在监控日志文件中。/n

【技术特征摘要】
1.一种基于虚拟化行为分析技术的恶意代码检测装置，其特征在于，包括本地主机和虚拟机，其中，所述本地主机设置有可视化模块、虚拟机控制模块和数据分析模块，所述可视化模块用于将待测可执行文件从本地主机传送至虚拟机、控制所述虚拟机控制模块启动虚拟机以及从所述数据分析模块获取分析报告；所述虚拟机控制模块用于对虚拟机进行控制；所述数据分析模块用于分析所述虚拟机传送的监控日志文件和将分析结果生成分析报告；所述虚拟机设置有监控控制模块和行为监控及网络流量捕获模块，所述监控控制模块用于调用所述行为监控及网络流量捕获模块对待测执行文件进行进程、注册表、文件、驱动加载和网络行为的监控并将各种行为记录在监控日志文件中。


2.如权利要求1所示的恶意代码检测装置，其特征在于，所述行为监控及网络流量捕获模块包括进程获取模块、进程监控模块、文件监控模块、注册表监控模块、驱动监控模块、网络流量捕获模块和日志记录模块。


3.如权利要求2所示的恶意代码检测装置，其特征在于，所述注册表监控模块采用注册表回调函数对注册表行为进行监控，所述进程监控模块、文件监控模块和驱动监控模块采用SSDTHook技术对进程、文件和驱动加载行为进行监控，以及网络流量捕获模块使用TDI层IRPHook实现对网络行为的监控。


4.如权利要求3所示的恶意代码检测装置，其特征在于，注册表行为包括创建、修改或删除注册表项和/或注册表键值，进程行为包括进程的创建和终止行为，以及文件行为包括文件的创建、覆盖和删除行为。


5.如权利要求2所示的恶意代码检测装置，其特征在于，所述日志记录模块通过驱动程序直接写...

【专利技术属性】
技术研发人员：陈奋，姚刚，孙晓波，龚利军，陈荣有，
申请(专利权)人：厦门服云信息科技有限公司，
类型：发明
国别省市：福建;35