[发明专利]基于虚拟机内外视图交叉比对恶意代码行为检测方法及系统

权利要求书

1.一种基于虚拟机内外视图交叉比对恶意代码行为检测方法，其特征在于，包括：虚拟机控制器启动虚拟机检测器，将分析目录的恶意代码发送给虚拟机检测器，并对虚拟机检测器进行控制；虚拟机检测器在运行恶意代码的同时，监视虚拟机内存的变化，同时记录运行痕迹，并形成原始报表，当原始报表生成完毕后，再将该报表发送到综合分析器；综合分析器对这些报表记录的恶意序列行为，综合分析行为事件属性元素间的关系以及行为上下文关系分析该恶意代码的恶意行为；具体包括下列步骤：

步骤100：服务器接受用户提交的恶意代码，并将其保存到本地未检测的目录；

步骤200：系统监控到未检测文件目录不为空，则启动虚拟机进程，待虚拟机启动完毕，上传未检测文件样本；同时启动虚拟机监视器，监控虚拟机内存运行的信息；

步骤300：当虚拟机启动完毕，先创建一个进程，将系统信息收集单元加载起来，同时加载虚拟机监视器，当所有加载程序加载完毕，然后运行样本；

步骤400：在执行完毕后，综合分析器根据虚拟机检测器发送的分析信息分析操作的恶意等级。

2.如权利要求1所述的基于虚拟机内外视图交叉比对恶意代码行为检测方法，其特征在于，在步骤400之后，进一步包括步骤：

当样本在检测过程中出现超时等待情况，则立即结束目标进程；而检测结果文件则继续发给综合分析器以方便结果报表文件的生成。

3.如权利要求2所述的基于虚拟机内外视图交叉比对恶意代码行为检测方法，其特征在于，综合分析器对系统数据处理后进行分析，包括：

首先得到根据时间排序的行为事件序列SeqE＝{E1，E2，……，En}；

将执行体划分到多个进程域或者中间文件域，建立执行体的上下文关系，完成域的划分；划分后的行为序列为P::{E1,E2,E8}，C1::{E3,E4}，C2::{E5,E6}，C3::{E7}；其中，P表示父进程或者主体文件，{Ci}表示子进程或者其主体文件的组件文件；

从P开始对每个域中的行为事件序列与特征库中序列模式进行匹配，保存记录匹配项的支持度μ_s；

对于未匹配的节点继续进行行为属性的匹配，依次提取行为事件中的叶子节点操作元素Op与对象元素Ob，查询数据库匹配关联规则，对于匹配行为属性关联规则，记录每一匹配项的支持度μ_a行为操作和行为操作对象；

计算匹配项的序列恶意度、行为属性关联恶意度和上下文恶意度；

计算综合恶意度M，判定综合恶意度计算值是否超过设定阈值ε，若超过，则判定检测文件为恶意，并根据恶意度的高低，确定文件的风险等级。

4.如权利要求3所述的基于虚拟机内外视图交叉比对恶意代码行为检测方法，其特征在于，在计算匹配项的序列恶意度、行为属性关联恶意度和上下文恶意度时，Mseq为序列恶意度，每一条匹配的序列恶意因子通过该条序列规则在特征库中的支持度μ_s来表征，其中，Mseq根据下式得到：

Mseq(S_i)＝μ_S(S_i)；

Me表示行为属性恶意度，每一条匹配的行为属性的恶意因子通过该规则在特征库中的支持度μ_a来表征，其中，Me通过下式得到：

Me(E_i)＝μ_a(E_i)；

Mc是上下文恶意度，Mc通过下式得到：

M_c＝W_i＝(W_Si*W_Oi*W_Pi)，

其中，W_Si是主体属性恶意度权重；W_Oi是客体属性恶意度权重；W_Pi为操作属性恶意度权重，S_i表示序列，E_i表示元素。