[发明专利]一种基于API调用的数据收集方法、装置及存储设备

说明书

本发明实施例提供了一种基于API调用的数据收集方法、装置及存储设备，用以解决如果恶意代码使用了反虚拟机技术，分析人员获取的恶意代码数据不准确的问题。该方法包括：在用户机中建立api关注列表，对所述api关注列表中每一api进行记录信息的标记；监控用户机中api调用情况，若所述api关注列表中的api被调用，则根据该api的记录信息的标记，记录该api的信息；将记录的api信息整理生成api数据列表，上传并存储。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种基于API调用的数据收集方法、装置及存储设备。

背景技术

随着计算机技术的发展与普及，计算机应用已经全面渗透到人们的工作与生活中，成为人们不可缺少的重要工具和家庭娱乐设备。随着计算机的广泛使用同时也会产生相应的计算机安全问题。

目前分析人员在分析恶意样本的过程中，只能使用与用户操作系统相同的虚拟机，让恶意样本在虚拟机中运行来复现用户中毒环境，获得运行中的数据进行分析。但是如果恶意代码使用了反虚拟机技术，它会执行与其本身行为不同的行为来干扰分析人员，使其获取的数据并不准确。并且用户的状态和信息对于恶意软件在运行过程中的参数、过程、动作是存在很大影响的。所以在用户机中运行状态下的数据正是分析人员希望获得的。

目前，这些数据没有厂商进行收集，是由于这些数据量过于庞大，现有数据收集技术的效率太低，但随着未来软硬件5g技术的发展，使得这些数据的收集迫在眉睫。

发明内容

本发明实施例提供了一种基于API调用的数据收集方法、装置及存储设备，用以解决如果恶意代码使用了反虚拟机技术，分析人员获取的恶意代码数据不准确的问题。

基于上述问题，本发明实施例提供的一种基于API调用的数据收集方法，包括：

在用户机中建立api关注列表，对所述api关注列表中每一api进行记录信息的标记；监控用户机中api调用情况，若所述api关注列表中的api被调用，则根据该api的记录信息的标记，记录该api的信息；将记录的api信息整理生成api数据列表，上传并存储。

进一步地，所述记录信息包括：api调用的参数、api调用的进程或api调用的时间。

进一步地，将记录的api信息整理生成api数据列表，具体为：

接收消息形式的记录的api信息；

将消息队列中各记录的api信息按需生成api数据列表；

将已经整理生成api数据列表的消息格式化处理。

进一步地，上传的时间，由用户设置；或者根据对当前用户机资源占用情况的判断，自行决定上传时间。

本发明实施例提供的一种基于API调用的数据收集装置，所述装置包括存储器和处理器，所述存储器用于存储多条指令，所述处理器用于加载所述存储器中存储的指令以执行：

在用户机中建立api关注列表，对所述api关注列表中每一api进行记录信息的标记；监控用户机中api调用情况，若所述api关注列表中的api被调用，则根据该api的记录信息的标记，记录该api的信息；将记录的api信息整理生成api数据列表，上传并存储。

进一步地，所述处理器还用于加载所述存储器中存储的指令以执行：

所述记录信息包括：api调用的参数、api调用的进程或api调用的时间。

进一步地，所述处理器还用于加载所述存储器中存储的指令以执行：

将记录的api信息整理生成api数据列表，具体为：

接收消息形式的记录的api信息；