恶意软件检测方法技术

本申请公开了一种恶意软件检测方法

【技术实现步骤摘要】
恶意软件检测方法、装置、电子设备及存储介质


[0001]本申请涉及虚拟化
，特别涉及一种恶意软件检测方法
、
装置
、
电子设备及存储介质
。

技术介绍

[0002]随着云计算的发展，人们依赖的办公系统也逐步从本地迁入云端
。
云网络一般由多台服务器联网构成，每台服务器又可以通过虚拟机技术承载多个逻辑独立的虚拟机
。
而随着虚拟机运用的提升，随之而来的安全问题引起广泛关注
。
其中，非常重要的安全隐患是虚拟机上可能存在恶意软件
。
[0003]因此，需要对虚拟机上的恶意软件进行检测，以保证虚拟机的安全运行
。

技术实现思路

[0004]为了解决现有技术中虚拟机存在安全隐患的问题，本申请提供了一种恶意软件检测方法
、
装置
、
电子设备及存储介质：
[0005]根据本申请的第一方面，提供了一种恶意软件检测方法，方法包括：
[0006]对在目标虚拟机的普通执行环境中运行的进程进行检测，当检测到存在新进程启动时，获取新进程的进程信息；
[0007]当根据进程信息确定新进程为可疑进程时，基于进程信息将可疑进程在创建的虚拟沙箱执行环境中运行；
[0008]对可疑进程在虚拟沙箱执行环境中的运行过程进行检测，当检测到存在恶意软件行为时，将可疑进程关联的软件确定为恶意软件
。
[0009]根据本申请的第二方面，提供了一种恶意软件检测装置，装置包括：
[0010]第一获取模块，用于对在目标虚拟机的普通执行环境中运行的进程进行检测，当检测到存在新进程启动时，获取新进程的进程信息；
[0011]第一确定模块，用于当根据进程信息确定新进程为可疑进程时，基于进程信息将可疑进程在创建的虚拟沙箱执行环境中运行；
[0012]第二确定模块，用于对可疑进程在虚拟沙箱执行环境中的运行过程进行检测，当检测到存在恶意软件行为时，将可疑进程关联的软件确定为恶意软件
。
[0013]根据本申请的第三方面，提供了一种电子设备，电子设备包括处理器和存储器，存储器中存储有至少一条指令或至少一段程序，至少一条指令或至少一段程序由处理器加载并执行以实现本申请第一方面的恶意软件检测方法
。
[0014]根据本申请的第四方面，提供了一种计算机存储介质，存储介质中存储有至少一条指令或至少一段程序，至少一条指令或至少一段程序由处理器加载并执行以实现本申请第一方面的恶意软件检测方法
。
[0015]根据本申请的第五方面，提供了一种计算机程序产品，计算机程序产品包括至少一条指令或至少一段程序，至少一条指令或至少一段程序由处理器加载并执行以实现本申
请第一方面的恶意软件检测方法
。
[0016]本申请提供的一种恶意软件检测方法
、
装置
、
电子设备及存储介质，具有如下技术效果：
[0017]通过对在目标虚拟机的普通执行环境中运行的进程进行检测，当检测到存在新进程启动时，获取新进程的进程信息；当根据进程信息确定新进程为可疑进程时，基于进程信息将可疑进程在创建的虚拟沙箱执行环境中运行；对可疑进程在虚拟沙箱执行环境中的运行过程进行检测，当检测到存在恶意软件行为时，将可疑进程关联的软件确定为恶意软件
。
本申请通过虚拟机检测器对恶意软件进行检测，将安全检测阶段隔离开来，不仅可以降低安全检测带来的性能副作用，并且基于沙箱机制将可疑进程进行隔离，不会产生真实的危害，可以极大地改善目标虚拟机存在的安全隐患
。
附图说明
[0018]为了更清楚地说明本申请实施例或现有技术中的技术方案和优点，下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它附图
。
[0019]图1是本申请实施例提供的一种应用环境的示意图；
[0020]图2是本申请实施例提供的一种恶意软件检测方法的流程示意图；
[0021]图3是本申请实施例提供的一种虚拟机架构示意图；
[0022]图4是本申请实施例提供的一种可疑进程的判断流程示意图；
[0023]图5是本申请实施例提供的一种虚拟机检测器的模块示意图；
[0024]图6是本申请实施例提供的一种普通执行环境中运行的流程示意图；
[0025]图7是本申请实施例提供的一种对可疑进程在虚拟沙箱执行环境中的运行过程进行检测的流程示意图；
[0026]图8是本申请实施例提供的一种虚拟沙箱执行环境中运行的流程示意图；
[0027]图9是本申请实施例提供的一种将可疑进程迁移到目标虚拟机中的普通执行环境中运行的流程示意图；
[0028]图
10
是本申请实施例提供的一种恶意软件检测的整体流程示意图；
[0029]图
11
是本申请实施例提供的一种恶意软件检测装置的组成框图；
[0030]图
12
是本申请实施例提供的一种电子设备的结构示意图
。
具体实施方式
[0031]下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚
、
完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例
。
基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本申请保护的范围
。
[0032]需要说明的是，本申请的说明书和权利要求书及上述附图中的术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程
、
方法
、
系统
、
产品或服务器不必限于清楚地列出的那些步骤或单元，而是可包括没有
清楚地列出的或对于这些过程
、
方法
、
产品或设备固有的其它步骤或单元
。
[0033]对本申请实施例进行进一步详细说明之前，对本申请实施例中涉及的名词和术语进行说明，本申请实施例中涉及的名词和术语适用于如下的解释
。
[0034]虚拟机
(Virtual Machine
，
VM)
：是一种创建于物理硬件系统
(
位于外部或内部
)、
充当虚拟计算机系统的虚拟环境，它模拟出了自己的整套硬件，包括
CPU、
内存
、
网络接口和存储器
。
[0035]虚拟机检测器
(virtual machine monitor
，
VMM)
，又称本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种恶意软件检测方法，其特征在于，所述方法包括：对在目标虚拟机的普通执行环境中运行的进程进行检测，当检测到存在新进程启动时，获取所述新进程的进程信息；当根据所述进程信息确定所述新进程为可疑进程时，基于所述进程信息将所述可疑进程在创建的虚拟沙箱执行环境中运行；对所述可疑进程在所述虚拟沙箱执行环境中的运行过程进行检测，当检测到存在恶意软件行为时，将所述可疑进程关联的软件确定为恶意软件
。2.
根据权利要求1所述的恶意软件检测方法，其特征在于，所述基于所述进程信息将所述可疑进程在创建的虚拟沙箱执行环境中运行，包括：当所述新进程为首个检测到的可疑进程时，搭建所述虚拟沙箱执行环境，生成影子页表；所述影子页表用于实现所述虚拟沙箱执行环境中虚拟地址与宿主机物理地址之间的映射；在所述虚拟沙箱执行环境中启动所述新进程，基于所述影子页表对所述新进程运行过程中所使用的虚拟地址进行映射
。3.
根据权利要求2所述的恶意软件检测方法，其特征在于，所述搭建所述虚拟沙箱执行环境，生成影子页表，包括：对所述目标虚拟机对应的内存空间进行扩展，以实现对所述虚拟沙箱执行环境中可疑进程的检测；获取所述目标虚拟机的初始页表；所述初始页表用于实现所述普通执行环境中虚拟地址与宿主机物理地址之间的映射；对所述初始页表中涉及内核层的地址映射进行复制，得到所述影子页表
。4.
根据权利要求2所述恶意软件检测方法，其特征在于，所述方法还包括：在所述虚拟沙箱执行环境中设置对
CR3
寄存器写操作的拦截；当检测到所述
CR3
寄存器写操作指向所述初始页表基地址时，切换至所述普通执行环境，在所述普通执行环境中运行所述
CR3
寄存器写操作对应的进程
。5.
根据权利要求1所述的恶意软件检测方法，其特征在于，当根据所述进程信息确定所述新进程为可疑进程时，所述方法还包括：将所述可疑进程写入待检测进程列表；在所述普通执行环境中进行进程调度时，确定待调度进程是否与所述待检测进程列表中的可疑进程相匹配；若相匹配，则从所述普通执行环境切换至所述虚拟沙箱执行环境，在所述虚拟沙箱执行环境中运行所述待调度进程；若不匹配，则在所述普通执行环境中运行所述待调度进程
。6.
根据权利要求1所述的恶意软件检测方法，其特征在于，所述对所述可疑进程在所述虚拟沙箱执行环境中的运行过程进行检测，包括：设置潜在恶意软件行为的...

【专利技术属性】
技术研发人员：朱民，
申请(专利权)人：腾讯科技深圳有限公司，
类型：发明
国别省市：