[发明专利]一种基于虚拟化行为分析技术的恶意代码检测方法及装置

说明书

本发明涉及一种基于虚拟化行为分析技术的恶意代码检测方法及装置，其中，该装置包括本地主机和虚拟机，本地主机设置有可视化模块、虚拟机控制模块和数据分析模块，可视化模块用于将待测可执行文件从本地主机传送至虚拟机、控制虚拟机控制模块启动虚拟机以及从数据分析模块获取分析报告；虚拟机控制模块用于对虚拟机进行控制；数据分析模块用于分析虚拟机传送的监控日志文件和将分析结果生成分析报告；虚拟机设置有监控控制模块和行为监控及网络流量捕获模块，监控控制模块用于调用行为监控及网络流量捕获模块对待测执行文件进行进程、注册表、文件、驱动加载和网络行为的监控并将各种行为记录在监控日志文件中。

技术领域

本发明涉及计算机安全技术领域，具体地涉及一种基于虚拟化行为分析技术的恶意代码检测方法及装置。

背景技术

随着计算机，互联网技术的发展，人们的工作，生活越来越离不开信息技术带来的生产，生活方式的转变，工作中需要计算机来处理各种文档，各种业务，收发电子邮件等。生活中需要计算机来上网冲浪，获取各种信息，发微博，观看视频，网络游戏等等。互联网技术的发展该笔那了企业与消费者相互沟通及交互的方式，已成为信息共享与商务交易的主要平台。同时，互联网变得日益复杂，没有界限。高速发展的信息技术给人们的工作生活带来巨大的遍历的同时，也受到病毒，木马，黑客等种种安全威胁和影响。在这其中恶意代码是当今互联网的主要安全威胁。在信息安全事件中，绝大部分用户的经济损失是由恶意代码造成的。当前，各种计算机病毒，特洛伊木马，蠕虫(Worm),逻辑炸弹以及间谍软件(Spyware)等恶意软件呈广泛蔓延趋势，其主要危害包括窃取用户敏感信息，发送垃圾邮件，控制受害主机发动DDos攻击等。目前恶意代码并不仅仅局限于国内，出现了许多跨国攻击情况。

目前主流的恶意代码查杀技术有静态特征检测和动态沙箱技术，传统的静态特征检测，需要建立庞大的病毒特征库，此方法已经无法赶上网络上由原本单一的病毒木马经过加壳，加花，组装等手段后成为“变种”木马数量的增长速度，其增长速度非常快，数量巨大，并且无法抵抗新近出现的未知病毒。而传统的动态沙箱检测技术，只是虚拟了一个指令解释器，模拟程序在操作系统中的运行，提取出敏感函数。这种检测方法的缺点在于，不能够完全模拟操作系统的真实环境，如CPU辅助处理指令，注册表信息的读取，网络流量监控，驱动层信息的监控等等。

发明内容

本发明旨在提供一种基于虚拟化行为分析技术的恶意代码检测方法及装置，以解决上述问题。为此，本发明采用的具体技术方案如下：

根据本发明的一方面，提供了一种基于虚拟化行为分析技术的恶意代码检测装置，其可包括本地主机和虚拟机，其中，所述本地主机设置有可视化模块、虚拟机控制模块和数据分析模块，所述可视化模块用于将待测可执行文件从本地主机传送至虚拟机、控制所述虚拟机控制模块启动虚拟机以及从所述数据分析模块获取分析报告；所述虚拟机控制模块用于对虚拟机进行控制；所述数据分析模块用于分析所述虚拟机传送的监控日志文件和将分析结果生成分析报告；所述虚拟机设置有监控控制模块和监控模块和网络流量捕获模块，所述监控控制模块用于调用所述行为监控及网络流量捕获模块对待测执行文件进行进程、注册表、文件、驱动加载和网络行为的监控并将各种行为记录在监控日志文件中。

进一步地，所述行为监控及网络流量捕获模块包括进程获取模块、进程监控模块、文件监控模块、注册表监控模块、驱动监控模块、网络流量捕获模块和日志记录模块。

进一步地，所述注册表监控模块采用注册表回调函数对注册表行为进行监控，所述进程监控模块、文件监控模块和驱动监控模块采用SSDT Hook技术对进程、文件和驱动加载行为进行监控，以及网络流量捕获模块使用TDI层IRP Hook实现对网络行为的监控。

进一步地，注册表行为包括创建、修改或删除注册表项和/或注册表键值，进程行为包括进程的创建和终止行为，以及文件行为包括文件的创建、覆盖和删除行为。

进一步地，所述日志记录模块通过驱动程序直接写文件的操作将检测到的恶意代码行为记录下来。