本发明专利技术公开了一种基于硬件模拟器的恶意代码在线分析方法及系统,分析方法如下:1)用户通过浏览器提交待分析恶意代码样本;2)响应服务器响应用户的提交请求,存储待分析恶意代码样本,启动应用服务器;3)启动后的应用服务器将样本运行参数组织为配置文件;4)应用服务器按照配置文件将待分析恶意代码样本发送到对应的镜像系统中,然后在硬件模拟器中加载镜像系统并在镜像系统中运行恶意代码样本;5)样本运行结束后应用服务器生成样本分析报告。本发明专利技术的系统包括响应服务器,数据库服务器,文件服务器和至少一台应用服务器,所述应用服务器上包括硬件模拟器。本发明专利技术过程全自动化,极大地改善了恶意代码分析的便携性与效率性。
【技术实现步骤摘要】
一种基于硬件模拟器的恶意代码在线分析方法及系统
本专利技术主要涉及网络环境下的恶意代码分析方法,更确切地是涉及一种基于硬件 模拟器的恶意代码在线分析方法和系统。
技术介绍
我国的互联网正处于快速发展阶段,各种互联网应用层出不穷,互联网规模不断 膨胀。第27次中国互联网络发展状况统计报告显示,截至2010年12月,中国网民规模达到 4. 57亿;互联网普及率攀升至34. 3%,较2009年提高5. 4个百分点。互联网迅速发展的背 后,螺虫(Worm)、僵尸网络(Botnet)、间谋软件(SpyWare)、计算机病毒(Computer Virus) 等恶意代码在互联网上也以爆发性的速度进行传播,对商业组织,政府机构以及网络服务 提供商都造成了巨大的损失,并且引发难以估量的安全风险。金山网络发布的《2010-2011 中国互联网安全研究报告》显示,2010年病毒集团横行互联网,80%的病毒传播渠道被病毒 集团所操控,而作为互联网最直接的经济交易平台,网购人群也成为了病毒集团攻击的主 要目标。恶意代码的广泛传播,更新速度的大大加快和对抗手段的不断提高,对现有的检 测和分析技术带来了严峻的挑战。其特征主要表现在(I)恶意代码版本更新越来越快。由于当前反病毒厂商普遍使用特征码匹配技 术检测病毒,恶意代码编写人员开始尝试使用短时间内快速修改代码特征的方法来躲避查 杀。(2)恶意代码对抗检测和分析的技术能力不断提高,生存能力不断增强。恶意代码 编写者普遍使用代码变形、加壳等技术来对自身进行混淆,同时使用底层技术破坏恶意代 码检测工具和调试工具的工作机理,以干扰工具检测和研究人员的分析。(3)恶意代码行为相似性越来越高,同族变种层出不穷。恶意代码编写者通过使用 快速修改特征码和代码混淆的方法升级恶意代码,使恶意代码族群不断出现变种。同时恶 意代码作者通过模块化设计,通过更新局部模块的方法产生新的变种,导致同族恶意代码 之间的行为相似程度越来越高。目前应对恶意代码的解决方案仍然是使用杀毒软件、防火墙等传统的基于特征码 匹配的恶意代码检测和防护手段。如何针对未知恶意代码样本展开分析引起了国内外学者 的广泛关注,并且提出了一系列的解决思路和方法。主要可以分为如下三个研究重点一是 恶意代码分析研究,通过对恶意代码进行静态分析和动态分析,分析恶意代码的行为模式, 提取恶意代码的特征;另一方面是同族恶意代码识别研究,通过研究二进制文件结构或恶 意代码外部行为的相似性,试图判定或划分恶意代码的族类并以族类为目标进行分析和研 究,提取族类特征以解决当前分析和检测针对单个样本的问题;最后一方面是恶意代码检 测研究,通过改进恶意代码检测手段提高检测的准确性,通过使用族类特征提高检测恶意 代码族类变种的能力。然而针对恶意代码的分析往往需要专业人员携带专业设备进行人工 分析,这种分析方法便利性差、且耗费人力物力,因此,在互联网普及的当下环境中,如何能够提供一种即准确又方便的在线恶意代码机理分析服务成为了当下较为迫切的需求。
技术实现思路
针对上述问题,本专利技术提出一种基于硬件模拟器的恶意代码在线分析方法,其目 的在于提供一种只需要用户在互联网环境下就可以获得恶意代码机理分析服务的方法。利 用该方法,当用户需要分析一种恶意代码时,只需提交该代码到响应服务器,由服务器通过 负载平衡算法等方法自动从应用服务器机群中选择应用服务器,启动硬件模拟平台,运行 并分析该恶意代码,运行结束后形成恶意代码分析报告并返回给用户。在这种方式下,可 以满足用户在各种条件下分析恶意代码的需求,节约大量的人力物力,同时,本专利技术中所采 用的虚拟化平台恶意软件动态分析方法是近年来国际学术界研究的重要思路之一,具有分 析透明性好、分析粒度细、分析可控性高等优点,对于恶意代码分析准确性提供了重要的保 障。根据以上目的,本专利技术的具体方案为一种基于硬件模拟器的恶意代码在线分析 方法,其步骤如下I)用户通过浏览器提交待分析恶意代码样本;2)响应服务器响应用户的提交请求,存储待分析恶意代码样本,启动应用服务 器;3)启动后的应用服务器将样本运行参数组织为配置文件;4)应用服务器按照配置文件将待分析恶意代码样本发送到对应的镜像系统中,然 后在硬件模拟器中加载镜像系统并在镜像系统中运行恶意代码样本;5)样本运行结束后应用服务器生成样本分析报告,并向响应服务器发送完成信号。在步骤2)中,所述被启动的应用服务器采用负载平衡方法选出。所述负载平衡方法的步骤为a)查找运行样本数最小的应用服务器;b)将a)步骤找到的应用服务器的样本数与应用服务器的运行阈值比较;c)选择应用服务器样本数小于阈值的应用服务器启动。所述镜像系统的版本和存放样本的具体目录由配置文件确定。所述的样本运行参数由用户提交或按缺省值进行配置。通过下述方法执行步骤4)a)将待分析恶意代码样本发送到镜像系统中,镜像系统的系统版本、以及存放样 本的具体目录由样本运行参数指定;b)将配置文件存储到a)步骤中所述的镜像系统C盘根目录;c)启动硬件模拟器,加载a)步骤中所述的镜像,在镜像系统中运行恶意代码样 本;d)硬件模拟器监控恶意代码样本的运行。硬件模拟器监控恶意代码样本的运行是指硬件模拟器在样本运行过程中记录样 本运行信息包括调用的系统AP1、启动的进程和线程及加载的模块。硬件模拟器监控到的这 些信息经过条理化就形成了样本分析报告。所述样本分析报告包括恶意代码调用的系统API信息,启动的进程和线程信息以 及加载的模块信息。所述恶意代码调用系统API的信息包括API的调用时间、传入参数、传出参数和返 回值。样本启动的进程、线程包括样本启动的线程、子进程。加载的模块信息包括加载的模块的创建与销毁信息。本专利技术还提供一种恶意代码在线分析系统,包括响应服务器,数据库服务器,文件 服务器和至少一台应用服务器,所述应用服务器上包括硬件模拟器;响应服务器响应用户 提交待分析恶意代码样本的请求;数据库服务器存储待分析恶意代码样本的运行参数;文 件服务器存储待分析恶意代码样本,应用服务器中的硬件模拟器运行待分析恶意代码样本 并进行分析。所述应用服务器上包括数据库操作模块、通信模块、文件操作模块、操作员模块和 样本启动模块,数据库操作模块负责在数据库服务器中读取和更新样本运行参数,文件操 作模块负责在文件服务器中读取待分析恶意代码样本和上传样本分析报告;通信模块接 收和反馈响应服务器的信号,并将样本运行参数和待分析恶意代码样本发送到操作员模块 上,操作员模块控制硬件模拟器的启动、运行和结束,样本启动模块负责启动待分析恶意代 码样本并按照样本运行参数要求为样本模拟运行环境。样本启动模块运行于硬件模拟器加载的镜像系统中。与现有技术相比,本专利技术的优点在于提供恶意代码在线分析服务,分析过程全自动化,极大地改善了恶意代码分析的 便携性与效率性,使得用户只需要在接入互联网情况下就可以满足分析恶意代码机理的需 求,而不需要配备高性能专业性分析系统,同时后台应用服务器使用硬件模拟器技术,在硬 件模拟器环境下恶意代码运行全过程一览无余,全面记录恶意代码的真实运行行为,包括 调用系统API信息包括API的调用时间、传入参数、传出参数、返回值等和样本进程、模块的 创建与销毁等本文档来自技高网...
【技术保护点】
一种基于硬件模拟器的恶意代码在线分析方法,包括如下步骤:1)用户通过浏览器提交待分析恶意代码样本;2)响应服务器响应用户的提交请求,存储待分析恶意代码样本,启动应用服务器;3)启动后的应用服务器将样本运行参数组织为配置文件;4)应用服务器按照配置文件将待分析恶意代码样本发送到对应的镜像系统中,然后在硬件模拟器中加载镜像系统并在镜像系统中运行恶意代码样本;5)样本运行结束后应用服务器生成样本分析报告,并向响应服务器发送完成信号。
【技术特征摘要】
【专利技术属性】
技术研发人员:程瑶,王蕊,苏璞睿,冯登国,杨轶,聂眉宁,
申请(专利权)人:中国科学院软件研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。