[发明专利]恶意程序动态行为自动化分析系统与方法

说明书

技术领域

本发明涉及恶意程序动态行为自动化分析系统与方法，属于系统安全和网络安全相关领域。本发明用于对未知恶意程序动态行为的粗粒度分析。

背景技术

未知二进制程序的动态行为分析是一项挑战性的任务，它将提供对构建未知软件的核心结构、功能蓝图需要的关键信息。当前有关未知二进制程序分析的研究大都为手动分析方法。

未知二进制程序的手动分析通过人工的调试追踪来发现程序内部的功能，这对分析人员的经验和能力有很高的要求，在通常情况下的分析结果均不完善。随着恶意程序的不断改进，功能也更加复杂，伴随着代码的急剧增加。这给传统的手动分析带来了巨大的挑战。同时，传统的人工调试技术对恶意二进制程序的分析面临很多困难，其中最主要的就是无法完全掌握程序的执行控制流范围，使得恶意程序的很多代码都是在调试器无法追踪的情况下执行的。

因此，当前迫切需要一种新的自动化且高效的二进制程序恶意行为自动化分析系统。该自动化分析系统采用代码虚拟执行环境，针对目标二进制代码流进行切片与执行。不仅能完全控制目标程序的运行指令，并且具有很高的性能和运行效率。同时，支持对进程/线程行为、内存访问行为、文件系统访问行为、注册表系统访问行为和网络访问行为的有效分析，并提供详细的分析报告。

发明内容

有鉴于此，本发明的目的是提供自动化的恶意程序动态行为分析系统和方法。目标是提供一个的高效的分析平台，它支持对恶意程序执行的完全监控，提供对进程、内存、文件、注册表、网络等各类系统资源的恶意访问行为。同时，针对大量的行为记录，经过专业的分析处理，得到详细的分析报告，有助于提供针对恶意代码的主动防御与手动卸载方法。

为了达到上述目的，本发明提供了一种恶意程序动态行为自动化分析系统，其特征在于：该引擎包括了下述组成部件：

初始化部件：恶意行为自动化分析系统首先在监控方式下启动被分析的未知二进制程序，并将虚拟执行部件远程注入到目标二进制程序进程空间内，并初始化虚拟执行部件。同时，加载行为监控部件，其中包含有默认的恶意行为规则库。可通过用户接口添加、删除和修改行为规则库中的内容。

反汇编部件：虚拟执行系统获取目标二进制程序的代码流，由反汇编部件生成对应的汇编代码，逐条分析得到的汇编指令。虚拟执行部件将目标代码流分解成多个指令集，以模拟代码流正常执行的方式执行基本块中的每条指令，该过程实现局部代码执行，而指令集则组成了虚拟执行的基本块。每个基本块是没有包含分支语句的指令序列，在满足以下条件时结束代码流切片：无条件控制转移指令；条件控制转移指令；指定数量的非控制转移指令。反汇编部件用于动态构建与目标代码流相一致的虚拟执行基本块。

虚拟执行部件：虚拟执行部件的结构组成包括：基本块生成模块，基本块缓存模块，基本块预处理模块和虚拟执行部件。基本块生成模块调用反汇编部件，对获取的二进制代码流进行分析，生成不包含控制转移指令的基本块。这就使得目标代码流的所有执行都能够保持在虚拟执行系统的控制范围内。为提高运行效率进行相应的执行预处理，生成的基本块经过执行预处理后存放在基本块缓存内。只有存在于基本块缓存内的代码指令才能执行，原始的目标代码流不能直接执行。基本块预处理模块为了提升系统的运行性能，采用了基本块结合技术和标准代码忽略技术，以此减小运行时的延迟。

行为监控部件：恶意行为自动化分析系统针对虚拟执行部件生成的每个基本块，判断其中是否存在有规则库中的恶意行为指令。若不存在，则由虚拟执行部件虚拟执行各条指令。若存在，则将控制权转移给行为分析部件，由此记录下该恶意行为，之后再将控制权返回给虚拟执行部件。行为监控部件的恶意行为对象组成包括：进程/线程行为模块，内存空间访问行为模块，文件系统访问行为模块，注册表系统访问行为模块，网络系统访问行为模块等。进程/线程模块包括了进程创建行为，进程结束行为，远程线程创建行为，远程线程结束行为，进程悬挂行为，进程激活行为，线程悬挂行为，线程激活行为，进程优先级改变行为，以及进程调试行为，动态链接库加载行为，驱动程序加载行为等。内存空间访问行为模块包括直接访问物理内存行为，远程进程内存空间访问行为等。文件系统访问行为模块主要包括文件的创建行为，删除行为，修改行为等。注册表系统访问行为模块主要包括注册表的键和值的创建行为，删除行为和修改行为等。网络系统访问行为模块包括远程网络的主动连接行为，本地网络的监听行为等。