[发明专利]检测系统及检测方法

说明书

一种检测系统及检测方法。检测方法通过一处理装置实施，包含以下步骤：(A)令该处理装置将一待测文件传送至一第一测试机器，并于该第一测试机器用以执行该待测文件；(B)令该处理装置监控该待测文件于该第一测试机器执行过程中，该第一测试机器的一元件使用率是否高于一预设门槛值；以及(C)若该元件使用率高于一预设门槛值，则令该处理装置鉴识该第一测试机器的一记忆体空间，以判断该待测文件是否包含一恶意程序并产生一鉴识结果。借此达到在有意义的多个执行阶段中针对特定的虚拟元件进行检测的效果。

技术领域

本案是有关于一种检测系统及检测方法。特别是有关于一种检测恶意程序行为的检测系统及检测方法。

背景技术

随着科技发展，网络成为现今人们生活中不可或缺的部分。然而，网络也带来了多种信息安全危害。例如，使用者在使用电子装置的过程中，在不知情的情况下接收到恶意程序，且恶意程序可能会窃取使用者数据，或是攻击使用者的电子装置使其造成损害。

因此，如何在有效地于系统中进行恶意程序的检测，已成为本领域相关人员所需解决的问题。

发明内容

为解决上述课题，本案的一方面是提供一种检测方法，其通过一处理装置实施，其特征在于，包含以下步骤：(A)令该处理装置将一待测文件传送至一第一测试机器，并于该第一测试机器用以执行该待测文件；(B)令该处理装置监控该待测文件于该第一测试机器执行过程中，该第一测试机器的一元件使用率是否高于一预设门槛值；以及(C)若该元件使用率高于一预设门槛值，则令该处理装置鉴识该第一测试机器的一记忆体空间，以判断该待测文件是否包含一恶意程序并产生一鉴识结果。

于一实施例中，该第一测试机器包括一记忆体、一硬盘、一网卡及一处理器以上至少其一，该元件使用率包含一记忆体使用率、一硬盘使用率、一网卡或网络使用率、及一处理器使用率以上至少其一，且不同的该元件使用率对应不同的该预设门槛值。

于一实施例中，该第一测试机器为一虚拟机器，该记忆体包含该记忆体空间，该硬盘为一虚拟硬盘，该网卡为一虚拟网卡，该处理器为一虚拟处理器。

于一实施例中，该检测系统还包含：一样本格式模块，用以接收该待测文件，并判断该待测文件的一文件格式，并依该文件格式选择对应该文件格式的该第一测试机器。

于一实施例中，该效能监控模块根据不同的该元件使用率高于该预设门槛值的一时点，判断该时点对应该恶意程序的一执行阶段，该执行阶段包括一漏洞搜寻及利用期、一程序安装期、一命令与控制期及一恶意行为实施期。

于一实施例中，该效能监控模块判断一记忆体使用率、一硬盘使用率、一网卡或网络使用率及一处理器使用率皆大于其对应的该预设门槛值的该时点，为该恶意程序的该漏洞搜寻及利用期，和该恶意行为实施期以上其一；以及该效能监控模块判断仅该网卡或网络使用率大于其对应的该预设门槛值的该时点，为该恶意程序的该程序安装期和该命令与控制期以上其一。

于一实施例中，该记忆体鉴识模块鉴识该记忆体空间是采用多个行程分析、一动态链接函数库分析、一文件操作分析、一机码操作分析、一网络行为分析、一代码注入行为及一隐匿行为分析以上至少其一，以产生该鉴识结果。

于一实施例中，该检测系统还包含：通过一第二测试机器以监控该第一测试机器。

于一实施例中，该第一测试机器与该第二测试机器建构于一虚拟机器管理器上，该第一测试机器与该第二测试机器透过该虚拟机器管理器上所运行的一操作系统以存取至少一实体装置。