一种基于诱捕技术实现的恶意代码捕获系统及方法技术方案

本发明专利技术公开了一种基于诱捕技术实现的恶意代码捕获系统，涉及计算机网络安全技术领域，包括操作系统，操作系统内设置有虚拟镜像模块，虚拟镜像模块通过镜像投射的方式在操作系统外围镜像形成虚拟的诱惑系统；操作系统内还设置代码检测模块和代码捕获模块，代码检测模块和代码捕获模块关联至诱惑系统，获取恶意代码的URL，发送至恶意代码数据库。本发明专利技术还提出一种基于诱捕技术实现的恶意代码捕获方法。本发明专利技术通过在操作系统外通过镜像的方式形成一个虚拟的诱惑系统，该诱惑系统可避免恶意代码对真实系统造成伤害，并可识别出恶意代码库内不存在的恶意代码，可避免恶意代码侵入和破坏系统，对操作系统起到有效的保护作用。对操作系统起到有效的保护作用。对操作系统起到有效的保护作用。

【技术实现步骤摘要】
一种基于诱捕技术实现的恶意代码捕获系统及方法


[0001]本专利技术属于计算机网络安全
，具体涉及一种基于诱捕技术实现的恶意代码捕获系统及方法。

技术介绍

[0002]随着互联网的普及，计算机在各个领域得到广泛应用，随之而来的恶意代码，也成为互联网的毒瘤，恶意代码一般通过网络传播，并破坏、感染用户系统，盗取用户的数据信息，或置入木马，虽然现有的杀毒系统，如360杀毒软件、瑞星杀毒软件等，传统的恶意代码捕获和分析手段由于受分析效率和用户技术水平的限制，对恶意代码一般采用特征码匹配、启发式检测主要基于文件的检测，根据文件的基本属性和环境对文件进行检测判定，响应周期难以缩短，响应速度已经逐渐不能适应这种新情况。因此，提高恶意代码的捕获和分析能力显得十分必要。目前恶意代码的检测方式基于特征码匹配、启发式检测主要基于文件的检测，根据文件的基本属性和环境对文件进行检测判定。此过程发生在恶意代码侵入后开始对文件属性和环境的检测，检测并消除恶意代码，在此期间，需要消耗一定的时间进行自主检测，侵入后的恶意代码在此期间会不同程度的破坏系统等，为此，我们提出了一种基于诱捕技术实现的恶意代码捕获系统及方法。

技术实现思路

[0003]本专利技术的目的是为了解决现有技术中存在缺少恶意代码诱铺模块的缺点，而提出的一种基于诱捕技术实现的恶意代码捕获系统。该系统及方法通过镜像的方式形成一个虚拟的诱惑系统，该诱惑系统可避免恶意代码对真实系统造成伤害，并可识别出恶意代码库内不存在的恶意代码，可避免恶意代码侵入和破坏系统，对操作系统起到有效的保护作用。
[0004]为了实现上述目的，本专利技术采用了如下技术方案：
[0005]设计一种基于诱捕技术实现的恶意代码捕获系统，包括操作系统，所述操作系统内设置有虚拟镜像模块，所述虚拟镜像模块通过镜像投射的方式在操作系统外围镜像形成虚拟的诱惑系统；所述操作系统内还设置代码检测模块和代码捕获模块，所述代码检测模块和代码捕获模块关联至诱惑系统，诱惑系统加载所有运行的脚本，识别运行中偏离执行指令的代码，并对其进行跟踪标记，获取恶意代码的URL，并将获取的恶意URL发送至恶意代码数据库。
[0006]本专利技术还提出了一种基于诱捕技术实现的恶意代码捕获方法，利用权利要求1所述的基于诱捕技术实现的恶意代码捕获系统，其特征在于，具体步骤包括：
[0007]步骤1、形成诱惑系统：虚拟镜像模块根据操作系统内的运行，在操作系统外围镜像出超前运行的诱惑系统；
[0008]步骤2，运行代码：诱惑系统和操作系统前后加载网络接口所有运行代码，并在诱惑系统上进行超前运行；
[0009]步骤3，恶意代码检测：代码检测模块检测诱惑系统运行偏离指令的代码，并对其
进行跟踪标记，检测出恶意代码；
[0010]步骤4，恶意代码URL获取：代码捕获模块根据代码检测模块检测出来的恶意代码，获取恶意代码的URL，并将获取的恶意URL发送至恶意代码数据库；
[0011]步骤5，恶意代码捕获：掺杂有恶意代码的全部代码在操作系统上进行运行，该恶意代码在偏离操作系统前，将其捕获，并停止该恶意代码在操作系统内的运行。
[0012]进一步的，所述识别诱惑系统中执行指令包括网络接收数据包的API参数的偏移和长度。
[0013]进一步的，所述代码数据库包括信任URL代码数据库和恶意URL代码数据库。
[0014]进一步的，所述操作系统还包括恶意代码处理模块，用于处理恶意代码。
[0015]本专利技术提出的一种基于诱捕技术实现的恶意代码捕获系统，有益效果在于：
[0016]1、本专利技术通过在操作系统外通过镜像的方式形成一个虚拟的诱惑系统，恶意代码首先在虚拟系统上进行运行攻击，由于诱惑系统与实际系统运行环境相同，可使恶意代码无法察觉被跟踪标记，使恶意代码的破坏变得更加透明，更加容易被检测发现，消除恶意代码因伪装未被发现所带来的风险。
[0017]2、本专利技术的诱惑系统可加载网络接口上所有脚本，恶意代码首先攻击诱惑系统，在攻击发起后，可识别获取恶意代码的URL，从而避免该恶意代码对真实操作系统的攻击，从而实现该诱惑系统可避免恶意代码对真实系统造成伤害，并可识别出恶意代码库内不存在的恶意代码，可避免恶意代码侵入和破坏系统，对操作系统起到有效的保护作用。
附图说明
[0018]附图用来提供对本专利技术的进一步理解，并且构成说明书的一部分，与本专利技术的实施例一起用于解释本专利技术，并不构成对本专利技术的限制。在附图中：
[0019]图1是本专利技术的系统框图；
[0020]图2是本专利技术中关于基于诱捕技术实现的恶意代码捕获方法的流程图。
具体实施方式
[0021]下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述；显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例，基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。
[0022]现结合说明书附图，详细说明本专利技术的结构特点。
[0023]参见图1
‑
2，一种基于诱捕技术实现的恶意代码捕获系统，包括操作系统，操作系统内设置有虚拟镜像模块、代码检测模块、代码捕获模块、恶意代码处理模块和代码数据库，其中，代码数据可由信任代码数据库和恶意代码数据库组成，虚拟镜像模块通过镜像投射的方式在操作系统外围镜像形成虚拟的诱惑系统，诱惑系统运行超前运行，其运行时间早于实际操作系统，其运行环境相同，具有相同的运行参数，从网络接口接收的所述网络数据包信息首先在诱惑系统上进行运行，其运行程序和实际系统运行程序一致，加载所有运行的脚本。
[0024]代码检测模块和代码捕获模块关联至诱惑系统，网络数据包信息在诱惑系统上运
行时，操作系统内的代码检测模块对诱惑系统上的运行程序进行检测，识别运行中偏离执行指令的代码，并对其进行跟踪标记，识别诱惑系统中执行指令包括网络接收数据包的API参数的偏移和长度，对跟踪的代码偏离执行指令超出阈值后，判定为恶意代码，并对其进行标记，获取该恶意代码的URL，并将获取的恶意URL发送至恶意代码数据库。操作系统还包括恶意代码处理模块，用于处理恶意代码。在恶意代码对真实操作系统发起攻击前，将其捕获，并停止其运行。
[0025]本专利技术还提出了一种基于诱捕技术实现的恶意代码捕获方法，利用基于诱捕技术实现的恶意代码捕获系统，具体步骤包括：
[0026]S1、形成诱惑系统：虚拟镜像模块根据操作系统内的运行，在操作系统外围镜像出超前运行的诱惑系统；
[0027]S2，运行代码：诱惑系统和操作系统前后加载网络接口所有运行代码，并在诱惑系统上进行超前运行；
[0028]S3，恶意代码检测：代码检测模块检测诱惑系统运行偏离指令的代码，并对其进行跟踪标记，检测出恶意代码；
[0029]S4，恶意代码URL获取：代码捕获模块根据代码检测模块检测出来的恶意代码，本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于诱捕技术实现的恶意代码捕获系统，包括操作系统，其特征在于，所述操作系统内设置有虚拟镜像模块，所述虚拟镜像模块通过镜像投射的方式在操作系统外围镜像形成虚拟的诱惑系统，所述操作系统的运行时间相比所述诱惑系统滞后；所述操作系统内还设置代码检测模块和代码捕获模块，所述代码检测模块和代码捕获模块关联至诱惑系统，诱惑系统加载所有运行的脚本，识别运行中偏离执行指令的代码，并对其进行跟踪标记，获取恶意代码的URL，暂停该恶意代码在操作系统内的运行，并将获取的恶意URL发送至恶意代码数据库。2.根据权利要求1所述的一种基于诱捕技术实现的恶意代码捕获系统，其特征在于，所述识别诱惑系统中执行指令包括网络接收数据包的API参数的偏移和长度。3.根据权利要求1所述的一种基于诱捕技术实现的恶意代码捕获系统，其特征在于，所述代码数据库包括信任URL代码数据库和恶意URL代码数据库。4.根据权利要求1所述的一种基于诱捕技术实现的恶意代码捕获...

【专利技术属性】
技术研发人员：门嘉平，冯伟伟，
申请(专利权)人：南京水木强信息技术有限公司，
类型：发明
国别省市：