[发明专利]一种基于内存分析的恶意软件检测方法及检测系统

权利要求书

1.一种基于内存分析的恶意软件检测方法，其特征在于，包括：

步骤一：获取虚拟机的内存镜像，解析所述内存镜像中的内核数据结构，通过所述内核数据结构分析出恶意软件；

步骤二：获取所述恶意软件的可执行代码，以二进制文件的形式导出所述恶意软件的可执行代码，将所述二进制文件转换为灰度图像。

2.如权利要求1所述的内存分析的恶意软件检测方法，其特征在于，所述步骤一中，获取虚拟机的内存镜像的过程包括：

向沙箱提交恶意软件样本；

通过预生成的正常内存快照恢复所述虚拟机的运行；

将所述恶意软件样本上传至所述虚拟机的内部，运行所述恶意软件样本，在所述虚拟机的内部生成内存镜像。

3.如权利要求2所述的内存分析的恶意软件检测方法，其特征在于，所述步骤一中，解析所述内存镜像中的内核数据结构的过程包括：

获取所述内核数据结构的初始进程和所述初始进程的内存地址；

从所述初始进程和所述初始进程的内存地址遍历所述内存镜像中的内核数据结构；

获得驻留在所述内存镜像中的每个进程名信息和每个进程内存映射空间信息。

4.如权利要求3所述的内存分析的恶意软件检测方法，其特征在于，所述步骤一中，通过所述内核数据结构分析出恶意软件的过程包括：

匹配所述进程名信息和所述恶意软件样本，获取所述恶意软件样本的进程。

5.如权利要求4所述的内存分析的恶意软件检测方法，其特征在于，所述步骤一中，还包括：

提取所述恶意软件样本进程的内存快照，利用虚拟机自省工具导出所述内存快照。

6.如权利要求4所述的内存分析的恶意软件检测方法，其特征在于，所述步骤二中，获取所述恶意软件的可执行代码的过程包括：

提取所述进程名信息所对应的进程内存映射空间信息，解析所述进程内存映射空间信息以获取所述恶意软件的可执行代码。

7.如权利要求1所述的内存分析的恶意软件检测方法，其特征在于，所述步骤二中，所述二进制文件转换为灰度图像的过程包括：

以所述二进制文件的一字节大小数据映射为一个灰度图像素质，按照所述二进制文件的字节排列顺序从左到右或从上到下，填充灰度图像。

8.如权利要求7所述的内存分析的恶意软件检测方法，其特征在于，所述步骤二中，还包括：

依照所述恶意软件的类别对所述灰度图像进行分类，对于每一类的灰度图像，提取50～60％的所述灰度图像进行恶意软件检测训练，提取20～25％的所述灰度图像构成恶意软件的验证集合，提取20～25％的所述灰度图像作为卷积神经网络模型的测试集，运用已训练好的卷积神经网络模型，对所述灰度图像进行预测。

9.如权利要求8所述的内存分析的恶意软件检测方法，其特征在于，所述步骤二中，还包括：

采集正常进程内存中的可执行代码生成正常进程灰度图像，将所述正常进程灰度图像加入所述恶意软件检测训练。

10.一种基于内存分析的恶意软件检测系统，其特征在于，包括：

采集模块，用于获取虚拟机的内存镜像，解析所述内存镜像中的内核数据结构，获取驻留在所述内存镜像中进程名信息和进程内存映射空间信息，匹配所述进程名信息和恶意软件样本名，获取恶意软件的进程，解析所述进程内存映射空间信息，获取恶意软件的可执行代码，以二进制文件的形式导出恶意软件的可执行代码，将所述二进制文件转换为灰度图像；

训练模块，用于接收所述灰度图像，将所述灰度图像传递给卷积神经网络进行模型训练；

监控模块，用于接收所述灰度图像，对所述灰度图像进行预测，判断预测结果是否表明存在恶意软件进程，将监控结果反馈给所述训练模块；

安全虚拟机，用于为所述采集模块、所述训练模块及所述监控模块提供运行空间。