[发明专利]基于虚拟机和敏感Native API调用感知的恶意软件动态检测方法

权利要求书

1.一种基于虚拟机和敏感Native API调用感知的恶意软件动态检测方法，其特征是：

检测模型分为2个阶段：训练阶段和检测阶段；训练阶段用于完成分类器的构建；而检测阶段用于完成恶意软件的检测；

在训练阶段，首先获取样本文件集的Native API系列，让样本文件在干净的分析环境中执行定长时间，记录下它的Native API系列，统计进程行为、特权行为、内存行为、注册表行为、文件行为和网络行为的Native API调用频率，然后使用这些数据来训练分类器，训练好的分类器用作区分恶意软件和正常文件；

在检测阶段，把待检查文件放在干净的分析环境中执行，统计它在定长时间内的进程行为、特权行为、内存行为、注册表行为、文件行为和网络行为的NativeAPI调用频率，使用训练阶段训练好的分类器，对待检查文件进行分类，得到是恶意软件或是正常文件的结果。

2.根据权利要求1所述的基于虚拟机和敏感Native API调用感知的恶意软件动态检测方法，其特征是：所述检测模型基于Xen二次开发的分析检测环境；所述文件为Windows平台PE文件。

3.根据权利要求1或2所述的基于虚拟机和敏感Native API调用感知的恶意软件动态检测方法，其特征是：所述文件的进程行为、特权行为、内存行为、注册表行为、文件行为和网络行为分别如下：

进程行为：

NtCreateEvent，NtQueryInformationToken，NtReleaseSemaphore，NtAdjustPrivi legesToken，NtImpersonateAnonymousToken，NtQueryInformationJobObject，NtReleaseMutant，NtDuplicateToken，NtDelayExecution，NtFindAtom，NtQueryInformationAtom，NtWaitForSingleObject，NtYieldExecution，NtAddAtom，NtDuplicateObject，NtWaitForMultipleObjects，NtQueryObject，NtCreateMutant，NtRegisterThreadTerminatePort，NtSetContextThread，NtGetContextThread，NtQueueApcThread，NtSetThreadExecutionState，NtTerminateProcess，NtOpenProcess，NtTerminateThread，NtQueryInformationProcess，NtSetInformationProcess，NtQueryInformationThread，NtOpenThreadTokenEx，NtOpenProcessTokenEx，NtOpenThreadToken，NtOpenProcessToken，NtCreateThread，NtResumeThread，NtCreateProcessEx，NtSetInformationThread，NtCreateSemaphore，NtReplyPort，NtRequestPort，NtCreatePort，NtCompleteConnectPort，NtReadRequestData，NtReplyWaitReceivePortEx，NtSecureConnectPort，NtRequestWaitReplyPort，NtConnectPort；

特权行为：

NtSetEvent，NtOpenKeyedEvent，NtAllocateUuids，NtAccessCheckByType，NtQueryTimer，NtQueryTimerResolution，NtCancelTimer，NtQueryInstallUILanguage，NtAllocateLocallyUniqueId，NtSetInformationObject，NtQueryDefaultUILanguage，NtTestAlert，NtFlushInstructionCache，NtQueryDefaultLocale，NtSetTimer，NtRaiseHardError，NtQuerySecurityObject，NtCreateIoCompletion，NtOpenEvent，NtQuerySystemInformation，NtSetEventBoostPriority，NtQueryPerformanceCounter，NtAccessCheck，NtClearEvent，NtQuerySystemTime，NtQueryDebugFi lterState，NtOpenSymbolicLinkObject，NtQuerySymbolicLinkObject，NtQueryEvent，NtRaiseException，NtRemoveIoCompletion；

内存行为：

NtQuerySection，NtOpenSection，NtMapViewOfSection，NtUnmapViewOfSection，NtCreateSection，NtReadVirtualMemory，NtProtectVirtualMemory，NtQueryVirtualMemory，NtWriteVirtualMemory，NtLockVirtualMemory，NtFlushVirtualMemory，NtAl locateVirtualMemory，NtFreeVirtualMemory；

注册表行为：

NtNotifyChangeMultitipleKeys，NtSetValueKey，NtDeleteKey，NtDeleteValueKey，NtCreateKey，NtQueryValueKey，NtOpenKey，NtQueryKey，NtEnumerateValueKey，NtNotifyChangeKey，NtEnumerateKey；

文件行为：

NtQueryFullAttributesFile，NtReadFile，NtFlushBuffersFile，NtAreMappedFilesTheSame，NtOpenDirectoryObject，NtUnlockFile，NtLockFile，NtQueryInformationFile，NtOpenFile，NtCreateFile，NtDeviceIoControlFile，NtQueryAttributesFile，NtQueryDirectoryFi le，NtSetInformationFile，NtQueryVolumeInformationFile，NtWriteFile，NtFsControlFile；

网络行为：

LISTEN，RECV，SEND，DNS_LOOKUP，CONNECT；

在训练阶段：

获取训练样本：应获取足够多的训练样本，训练样本分为恶意软件样本和正常文件样本；

所述训练分类器时使用WEAK数据挖掘软件的四种分类算法J48来训练四种分类器；

在检测阶段：

获取待检查文件定长时间内的进程行为、特权行为、内存行为、注册表行为、文件行为和网络行为的NativeAPI的调用频率，使用训练好的任一分类器，对待检查文件进行分类，分类结果即为恶意软件或正常文件。