【技术实现步骤摘要】
一种基于沙箱的恶意行为分析方法
本专利技术涉及计算机安全信息领域,尤其是涉及一种基于沙箱的恶意行为动态分析方法。
技术介绍
随着互联网的快速发展,对于恶意软件的检测变得越来越重要,现有的基于静态特征的恶意软件检测方法具有局限性,无法检测特征码没有包含于特征库中的恶意软件,即使是已知恶意软件,也可以通过加壳等模糊处理技术避免被检测到,由于新恶意软件及各种变种产生的速度非常快,特征码升级具有滞后性,使得检测率不断下降。
技术实现思路
本专利技术的目的是提供一种基于沙箱的恶意行为分析方法。本专利技术的上述专利技术目的是通过以下技术方案得以实现的:一种基于沙箱的恶意行为分析方法,包括以下步骤:步骤1:提交需要动态检测的文件至沙箱,启动一个虚拟机,上传分析脚本和待检测文件至虚拟机中的代理程序;步骤2:虚拟机中的代理程序根据文件类型选择执行的模块,向恶意软件进程注入Hook系统调用库,对网络流量抓包,模拟用户点击操作行为;步骤3:保存虚拟机中软件运行的动态行为原始监控结果,与恶意行为特征进行匹配,计算软件恶意行为分值;步骤4:综合分析静态和动态行为检测结果进行恶意软件推断。所述步骤2中虚拟机中的代理程序根据文件类型选择执行的模块,通过向运行的软件进程注入的方式Hook系统调用,自动模拟人工操作,产生软件操作行为,软件运行过程中调用系统函数时会跳转到劫持的函数,完成相应处理后再正常执行原函数,能够监控运行过程中产生的文件创建、删除、进程创建、进程衍生等行为,注册表 ...
【技术保护点】
1.一种基于沙箱的恶意行为分析方法,其特征在于包括以下步骤:/n步骤1:提交需要动态检测的文件至沙箱,启动一个虚拟机,上传分析脚本和待检测文件至虚拟机中的代理程序;/n步骤2: 虚拟机中的代理程序根据文件类型选择执行的模块,向恶意软件进程注入Hook系统调用库,对网络流量抓包,模拟用户点击操作行为;/n步骤3: 保存虚拟机中软件运行的动态行为原始监控结果,与恶意行为特征进行匹配,计算软件恶意行为分值;/n步骤4: 综合分析静态和动态行为检测结果进行恶意软件推断。/n
【技术特征摘要】
1.一种基于沙箱的恶意行为分析方法,其特征在于包括以下步骤:
步骤1:提交需要动态检测的文件至沙箱,启动一个虚拟机,上传分析脚本和待检测文件至虚拟机中的代理程序;
步骤2:虚拟机中的代理程序根据文件类型选择执行的模块,向恶意软件进程注入Hook系统调用库,对网络流量抓包,模拟用户点击操作行为;
步骤3:保存虚拟机中软件运行的动态行为原始监控结果,与恶意行为特征进行匹配,计算软件恶意行为分值;
步骤4:综合分析静态和动态...
【专利技术属性】
技术研发人员:郑轶,傅涛,王力,王路路,许骏杰,
申请(专利权)人:博智安全科技股份有限公司,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。