[发明专利]基于虚拟机和敏感Native API调用感知的恶意软件动态检测方法

说明书

技术领域

本发明涉及信息安全中的恶意软件检测方法，它能够在经过有限训练集训练以后，检测已知的和未知的恶意软件。

背景技术

金山毒霸全球反病毒监测中心监测数据显示，截止到2008年6月30日，2008年上半年，金山毒霸共截获新增病毒、木马1,242,244个，较2007年全年病毒、木马总数增长了338％。计算机恶意软件的数量急剧增加，其传播途径多样化，且抗反病毒软件能力强，计算机恶意软件已经成为互联网以及广大计算机用户的最大安全威胁。

传统的恶意软件检测主要是基于特征码扫描的检测技术。它使用从特定恶意代码中提取出的特征字节序列(如字符串)进行检测，这些特征字节序列不大可能出现在无毒的程序中。这种方法的特点在于，反病毒软件只处理程序的字节码，而不关心它的行为。但是随着恶意代码种类和数量的迅速增长，提取恶意代码的特征所消耗的人力、物力也急剧增长。更重要的是该技术的本质决定，其只能检测已知恶意软件，对未知恶意软件的检测能力极弱。为了解决这个问题，提出了启发式分析检测方法，启发式是指任何利用规则和模式来检测未知恶意代码的方法。启发式检测方法主要有静态启发式检测方法、基于代码仿真的启发式检测方法。静态启发式检测方法通过分析恶意软件的静态文件结构、二进制代码、反汇编后的代码、反汇编后的静态调用等获取恶意软件的特征，利用分类算法在正常软件与恶意代码之间建立较好的分割线，实验结果表明其检测未知恶意软件的能力较强。基于代码仿真的启发式检测方法的主要原理是将目标程序放置在一个沙盒模型中，通过监控目标程序运行过程的行为来判断是否为恶意软件。基于代码仿真的启发式检测方法主要使用黑盒测试法，黑盒技术对迅速理解恶意软件的一些行为和工作原理可能非常有用。

上述方法主要面临三方面的问题：

第一、静态检测方法检测速度快，误报率和虚警率低，但很容易受到多态、变形、混淆、加壳等规避技术的影响。经过加壳处理后的恶意软件的二进制代码和反汇编后的代码发生了很大的改变，原来用来检测的特征也发生了改变，使得检测的准确率下降，如果在脱壳后再进行检测，每个文件的检测时间就会加长，且通用的脱壳软件在反脱壳技术的影响下并不能自动的脱去所有恶意软件的壳。使用多态和变形技术的恶意软件每次传播后都动态随机的改变着二进制代码，没有固定不变的特征，静态检测方法很难检测这种恶意软件。

第二、基于代码仿真的启发式检测方法不受多态、变形、混淆、加壳等规避技术的影响，在早期是一种比较有效的恶意软件检测方法，但随着恶意软件技术的演化发展，很多恶意软件已具备了反虚拟、反调试、反跟踪能力，如果恶意软件检测到在仿真环境下运行，就会隐藏其恶意行为，这些都使得基于代码仿真的启发式检测的准确率不高和花费时间比较长。

第三、基于启发式的方法利用了一些规则和模式，随着恶意软件开发人员对这些规则和模式逐渐熟悉，新出现的恶意软件就会有一些反制措施，使得启发式的方法不能检测出这些恶意软件。

发明内容

本发明的目的在于提出并设计一种基于虚拟机和敏感Native API调用感知的恶意软件动态检测方法，它能检测已知和未知恶意软件，不受加壳、混淆、多态、变形技术的影响，且具有较高的检测准确率，具备反虚拟、反调试、反跟踪能力的恶意软件也不能发现本发明使用的分析检测环境。

本发明的目的是这样实现的：一种基于虚拟机和敏感Native API调用感知的恶意软件动态检测方法，其特征是：

检测模型分为2个阶段：训练阶段和检测阶段；训练阶段用于完成分类器的构建；而检测阶段用于完成恶意软件的检测；

在训练阶段，首先获取样本文件集的Native API系列，让样本文件在干净的分析环境中执行定长时间，记录下它的Native API系列，统计进程行为、特权行为、内存行为、注册表行为、文件行为和网络行为的Native API调用频率，然后使用这些数据来训练分类器，训练好的分类器用作区分恶意软件和正常文件；

在检测阶段，把待检查文件放在干净的分析环境中执行，统计它在定长时间内的进程行为、特权行为、内存行为、注册表行为、文件行为和网络行为的NativeAPI调用频率，使用训练阶段训练好的分类器，对待检查文件进行分类，得到是恶意软件或是正常文件的结果。