CN103150509B - 一种基于虚拟执行的病毒检测系统 - Google Patents

一种基于虚拟执行的病毒检测系统 Download PDF

Info

Publication number
CN103150509B
CN103150509B CN201310084544.6A CN201310084544A CN103150509B CN 103150509 B CN103150509 B CN 103150509B CN 201310084544 A CN201310084544 A CN 201310084544A CN 103150509 B CN103150509 B CN 103150509B
Authority
CN
China
Prior art keywords
virus
act
execution
sorter
detection system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201310084544.6A
Other languages
English (en)
Other versions
CN103150509A (zh
Inventor
任双春
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hunan Wen shield Information Technology Co., Ltd.
Original Assignee
CHANGSHA WENDUN INFORMATION TECHNOLOGY Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by CHANGSHA WENDUN INFORMATION TECHNOLOGY Co Ltd filed Critical CHANGSHA WENDUN INFORMATION TECHNOLOGY Co Ltd
Priority to CN201310084544.6A priority Critical patent/CN103150509B/zh
Publication of CN103150509A publication Critical patent/CN103150509A/zh
Application granted granted Critical
Publication of CN103150509B publication Critical patent/CN103150509B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Measuring Or Testing Involving Enzymes Or Micro-Organisms (AREA)

Abstract

本发明公开了一种采用虚拟执行技术的病毒检测系统,包括:病毒样本收集器,其收集未知病毒;虚拟机,其执行所述未知病毒,并获取执行所述未知病毒时的执行行为报告;行为分析器,其根据已知病毒的病毒行为模式,对执行所述未知病毒时的执行行为报告进行分析,以判断所述未知病毒是否为病毒。本发明通过在当前的病毒分析技术的基础上,将虚拟执行技术应用进来,为病毒分析提供病毒执行行为信息,既能获取病毒执行行为,又保证不对系统构成危害,同时,以针对用户正常行为模式的主动防御策略来改进当前的病毒分析和检测算法。

Description

一种基于虚拟执行的病毒检测系统
技术领域
本发明涉及计算机系统领域,尤其涉及一种基于虚拟执行的病毒检测系统。
背景技术
当前计算机系统的安全防护很大程度上依赖于商用反病毒产品的病毒库更新,即所谓特征码扫描。这种方法的主要思想是,分析出病毒的特征病毒码并集中存放于病毒代码库文件中,在扫描时将扫描对象与特征代码库比较,如果匹配则判断为染上病毒。该技术实现简单有效,安全彻底,但是存在以下问题:(1)查杀病毒总是滞后于病毒的流行;(2)庞大的特征码库会造成查毒速度下降。
当前,智能引擎技术已经解决了查毒速度下降的问题,使得病毒扫描速度不随病毒库的增大而减慢,但是查杀病毒滞后的问题仍然无法解决。
对未知病毒的查杀是反病毒行业的持久课题,目前国内外多家公司都宣布自己的产品可以对未知病毒进行查杀,但事实上,国内外的产品中只有少数可以对未知病毒进行预警,更无法做到彻底清除。
为了能赶上病毒编写者的步伐,反病毒软件开始依赖于病毒自动分析工具。然而病毒分析面临一些隐藏技术,例如多态(polymorphism)和模糊(obfuscation)等时变得束手无策。这些隐藏技术尤其对字节级内容分析和静态病毒分析特别奏效。相对静态分析而言,运行时的动态二进制分析可以监测病毒的执行行为,而这些执行行为是无法隐藏的。目前国际上很多研究工作开始向这方面转移。
对于动态分析技术而言,可疑程序的潜在破坏性是一个令人头疼的问题,故而迫切需要一种基于虚拟执行的病毒检测系统,其既可以执行可疑程序,又能保证程序的执行不会给系统带来任何破坏性的后果。
发明内容
本发明所要解决的技术问题之一是需要提供一种能够解决可疑程序的潜在破坏性的病毒检测系统。
为了解决上述技术问题,本发明提供了一种基于虚拟执行的病毒检测系统,包括:病毒样本收集器,其收集未知病毒;虚拟机,其执行所述未知病毒,并获取执行所述未知病毒时的执行行为报告;行为分析器,其根据已知病毒的病毒行为模式,对执行所述未知病毒时的执行行为报告进行分析,以判断所述未知病毒是否为病毒。
进一步,所述病毒样本收集器还收集已知病毒;所述虚拟机执行所述已知病毒,并获取执行所述已知病毒时的执行行为报告;所述行为分析器进一步包括:特征提取和格式转换模块,其根据设定函数,从执行所述已知病毒时的执行行为报告中提取出病毒特征向量,并将所述病毒特征向量转换成与所使用的分类器构造算法相对应的格式;
分类器构造模块,其利用分类器构造算法,基于转换格式后的病毒特征向量来构造出包含病毒行为模式的病毒分类器;
分类器模块,其包括所述病毒分类器,所述病毒分类器根据病毒行为模式,对执行所述未知病毒时的执行行为报告进行分析,以判断未知病毒是否为病毒。
进一步,所述虚拟机执行预定义的用户行为操作,并获取执行所述用户行为操作时的执行行为报告;所述行为分析器各个模块进一步用于:
特征提取和格式转换模块,其根据设定函数,从执行所述用户行为操作时的执行行为报告中提取出用户特征向量,并将所述用户特征向量转换成与所使用的分类器构造算法相对应的格式;
分类器构造模块,其利用分类器构造算法,基于转换格式后的用户特征向量来构造出包含用户行为模式的用户行为分类器;
分类器模块,其包括所述用户行为分类器,所述用户行为分类器根据用户行为模式,对实时监控得到的用户操作信息进行分析,以判断所述用户操作信息是否异常。
进一步,所述特征提取和格式转换模块所利用的设定函数如下,嵌入函数是X到||F||维实空间的映射,其中,F表示特征字符串集合,||F||是集合F的模,表示特征字符串的个数,X表示执行行为报告的集合,对于特征字符串s,s∈F,以及执行行为报告x,x∈X,记映射函数f(x,s)为s在x中出现的频率。
进一步,所述分类器构造模块所利用的分类器构造算法为支持向量机算法。
进一步,利用蜜罐作为所述病毒样本收集器。
进一步,所述虚拟机根据其内部设置的监控模块来获取执行行为报告,所述监控模块获取关于注册表、文件系统、进程和网络连接的执行行为信息来作为执行行为报告。
进一步,所述监控模块通过API Hooking方法来获取关于注册表、文件系统、进程和网络连接的执行行为信息。
进一步,所述虚拟机还包括筛选模块,其对获取的执行行为信息进行筛选,以得到最终的执行行为报告。
进一步,所述虚拟机采用轻量级虚拟机。
与现有技术相比,本发明的一个或多个实施例可以具有如下优点:
本发明通过在当前的病毒分析技术的基础上,将虚拟执行技术应用进来,为病毒分析提供病毒执行行为信息,既能获取病毒执行行为,又保证不对系统构成危害,同时,以针对用户正常行为模式的主动防御策略来改进当前的病毒分析和检测算法。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例共同用于解释本发明,并不构成对本发明的限制。在附图中:
图1是根据本发明第一实施例的病毒检测系统的结构示意图;
图2是根据本发明第一实施例的病毒检测系统中虚拟机20的内部结构示意图;
图3是根据本发明第一实施例的病毒检测系统中行为分析器30的内部结构示意图;
图4(a)和(b)分别是利用本发明第一实施例的病毒检测系统中行为分析器的构造和利用行为分析器进行病毒检测的流程图;
图5是根据本发明第二实施例的病毒检测系统的结构示意图;
图6是根据本发明第二实施例的针对用户正常行为模式的主动防御策略的示意图。
具体实施方式
以下将结合附图及实施例来详细说明本发明的实施方式,借此对本发明如何应用技术手段来解决技术问题,并达成技术效果的实现过程能充分理解并据以实施。需要说明的是,只要不构成冲突,本发明中的各个实施例以及各实施例中的各个特征可以相互结合,所形成的技术方案均在本发明的保护范围之内。
另外,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
第一实施例
图1是根据本发明第一实施例的病毒检测系统的结构示意图,下面参考图1来详细说明本系统各个组成部分和功能。
如图1所示,本系统包括病毒样本收集器10、虚拟机20和行为分析器30。其中,病毒样本收集器10的功能是收集病毒样本(包括训练样本和测试样本,即已知病毒和未知病毒);虚拟机20的功能是对收集到的病毒样本进行虚拟执行,获取执行该病毒样本时的执行行为信息,并生成执行行为报告。行为分析器30的功能包括两个方面,一是对训练样本虚拟执行后生成的报告进行分析,生成分类器,二是对测试样本虚拟执行后生成的报告进行分析,生成检测报告。
下面进一步详细说明对各个部分的设计和各个部分具体功能的实现。
在本实施例中,优先利用蜜罐(honeypot)作为病毒收集工具,构造一个病毒样本收集器10。
需要说明的是,蜜罐是一种安全资源,其价值在于被扫描、攻击和攻陷,能够实现对这些攻击活动进行监视、检测和分析,因此它可以用于病毒收集。
该病毒样本收集器10具有两部分的功能,一方面,收集已知病毒,所谓已知病毒,就是已经存在与病毒引擎或商用杀毒软件的病毒库中,能为其所识别的病毒。这些已知病毒在收集到之后被贴上所属病毒家族标签,它们将作为行为分析的训练样本。另一方面,病毒样本收集器10还负责收集未知病毒,也就是病毒引擎或商用杀毒软件还未能识别的病毒,不能识别它们的所属家族,这些未知病毒将用来作为测试样本。
由于恶意程序(即病毒)在其执行过程中会表现出与正常程序不同的行为特征,例如:创建或关闭进程、创建、修改、复制或删除文件、修改注册以及网络活动等。这些特征行为就是识别它们的根本依据。
动态分析首先需要通过程序的动态执行获取其执行信息。这个过程可以通过虚拟执行技术来实现。因此,本实施例建立一个虚拟执行环境,在这个环境中,病毒可以得到执行,而且通过一定的手段获取病毒的执行行为信息,而同时又能保证不对系统产生破坏性的后果。
因此,虚拟执行环境包括两部分,一部分供程序虚拟执行的虚拟机20,另一部分是嵌在虚拟机中的获取程序执行行为信息的监控模块。
虚拟机20在不影响宿主机(host)系统的基础上为用户模拟一个虚拟机器,让用户感觉到为其提供了CPU、内存和IO等硬件支持,而事实上却不对host产生影响。由于在该病毒检测系统中,不需要虚拟机提供其它服务,因此,为了降低虚拟执行的开销,本实施例采用轻量级的开源虚拟机作为虚拟执行环境的基础。
为了能够获取虚拟执行的程序(上述未知病毒和已知病毒)的执行行为信息,系统需要在虚拟机中嵌入程序执行行为信息获取模块,称为监控模块。
图2是根据本发明第一实施例的病毒检测系统中虚拟机20的内部结构示意图,病毒样本是该虚拟机20的输入,病毒的执行行为报告(也可称为病毒行为报告)是其输出,因此,虚拟机20的功能实际上就是将病毒样本进行虚拟执行,获得病毒行为报告。
虚拟机20的内部包括进程监控模块201、文件系统监控模块202、注册表监控模块203、网络连接监控模块204和筛选模块205。其中,进程监控模块201、文件系统监控模块202、注册表监控模块203和网络连接监控模块204分别实现病毒在虚拟执行时对进程、文件系统、注册表和网络连接四个方面的系统API调用情况的监控,同时获取并保存这些信息,而筛选模块205则是对这些信息进行筛选,选出与病毒相关的部分,形成病毒行为报告。
这些信息是通过API Hooking的方式截获的,其中,
程序的进程相关操作包括:
打开进程(open process)、关闭进程(close process)、创建进程(createprocess)等。
程序对文件系统的执行操作包括:
访问信息(query information)、设置信息(set information)、打开文件(open)、关闭文件(close)、读文件(read)、写文件(write)。
程序对注册表的执行操作包括:
打开注册表(open key)、关闭注册表(close key)、访问注册表值(queryvalue)、创建注册表(create key)、列举注册表值(enumerate value)、删除注册表值(delete value key)、修改注册表值(set value)。
程序的网络连接相关操作包括:IRC绑定(outbound IRC)、ping扫描(ping scan)等。
以下表程序行为为例,需要截获的程序API函数对应为:
序号 程序行为 相关API调用
1 读注册表 RegQueryValue
2 写注册表 RegDeleteValue
3 文件读、创建 CreateFile
4 文件写 WriteFile
5 文件删除 DeleteFile
6 文件搜索 FindFile
7 进程操作 CreateProcess
8 网络发送 send
采用虚拟机20能够获取病毒的执行行为信息,并保证不对系统构成威胁。虚拟执行环境能够为病毒的执行提供一个虚拟的机器,在虚拟环境中执行的程序,其执行的行为信息能够被捕获,而整个执行和监控的过程中,能够保证真实机器不受到侵害。
虚拟执行环境为获取病毒的执行行为信息提供了支持,通过虚拟执行,系统可以获得大量训练样本的执行行为报告,接下来,通过特征提取将报告转换为特征向量,最后构造出分类器。
图3是根据本发明第一实施例的病毒检测系统中行为分析器30的内部结构示意图,如图3所示,该行为分析器30包括特征提取和格式转换模块31、分类器构造模块32和分类器模块33。
如图4(a)所示为行为分析器(实际就是病毒分类器)的构造流程,这一部分实际是一个长期的过程,这个分析器也是处于长期更新的状态,从新的病毒中不断学习其模式。具体地,对于已知病毒(训练样本),反病毒引擎能够识别其类型(所属家族)信息,将通过病毒样本收集器10收集到的已知病毒在虚拟机20中执行后的执行报告,与其类型信息进行捆绑作为分类器构造模块32的输入,来完成分类器的构造。而当输入是未知病毒的行为报告时(测试样本),如图4(b)所示是对未知病毒的检测的流程,同样需要将未知病毒进行虚拟执行,得到病毒行为报告,然后据此利用构造好的行为分析器进行行为分析,得到病毒检测报告。
特征提取和格式转换模块31根据设定函数,从执行已知病毒时的执行行为报告中提取出病毒特征向量,并将病毒特征向量转换成与所使用的分类器构造算法相对应的格式。
需要说明的是,特征提取实际是构造一个嵌入函数,该函数将程序执行行为报告映射到高维特征空间中。本实施例,优选地以特征字符串在程序执行行为报告中的出现频率来反映程序的执行特征,则嵌入函数这样描述:
设特征字符串集合(可简称特征集)为F,程序执行行为报告的集合为X,对于特征字符串s(s∈F)和程序执行行为报告x(x∈X),记f(x,s),为s在x中出现的频率。嵌入函数
是X到||F||维实空间的映射,||F||是集合F的模,即特征字符串的个数。
举例而言,设特征集F含有两个特征字符串,即F={“copy_file”,“create_file”},则特征向量空间是二维的,即→(f(x,s1),f(x,s2)),其中,s1=“copy_file”,s2=“create_file”。这样,一个样本的一次执行(一个程序执行行为报告)将被转换为一个特征向量。
需要说明的是,在下一步构造分类器时,必须先将特征向量的格式转换成所使用的分类器构造算法相对应的格式,也就是还需要一个格式转换模块。这个模块集成到特征提取模块当中,统称为特征提取和格式转换模块。
分类器构造模块32利用分类器构造算法,基于转换格式后的病毒特征向量来构造出包含病毒行为模式的病毒分类器。
在定义了嵌入函数之后,样本的特征已经被量化成特征向量,这时就可以使用通用的分类器构造算法了。通常,分类器构造算法分为线性和非线性,对应分别构造出来的分类器是线性的和非线性的。例如图2中的决策线是直线,因此它是由线性构造算法构造的。具体的构造算法很多,包括贝叶斯分析、决策树、神经网络等等,而目前最为成功也是应用最为广泛的要属支持向量机(SVM:Support Vector Machine)。
在本实施例中,分类器构造模块32使用lib-svm软件,该程序是目前性能较好的一个SVM算法的实现。只需要按一定格式输入特征向量,并输入相应的参数,该程序就会直接给出分类器,这个分类器就可以对未知类型的样本进行分类。
需要说明的是,在使用lib-svm时,必须先将特征向量的格式转换成该程序要求的格式。
分类器模块33,此时为一个病毒分类器,该病毒分类器根据病毒行为模式,对执行未知病毒时的执行行为报告进行分析,以判断未知病毒是否为病毒。
具体地,在对未知病毒进行判断时,首先使用病毒样本收集器10收集未知病毒,将未知病毒样本在虚拟机20中虚拟执行,通过虚拟机20中的监控模块获取其执行行为信息,并通过筛选模块205对该行为信息进行筛选生成行为报告,最后使用行为分析器30对未知病毒的行为报告进行分析,报告检测结果。对于这些未知病毒,可以用一段时间后病毒引擎或商用杀毒软件报告的结果作为参考,进行结果验证。
本发明实施例,通过有效结合虚拟执行技术和病毒行为分析技术,构成一个新的病毒检测系统。目前,病毒检测系统中还没有使用虚拟执行技术和病毒行为分析技术相结合的应用实例,而实验证明,两者相结合能够在保证系统不受病毒执行危害的同时,为病毒行为分析提供信息来源。这样,由于应用了虚拟执行技术,使得病毒行为分析技术能够应用于病毒检测系统,从而使得病毒行为分析在未知病毒检测方面的优势能够于在线病毒查杀领域真正得到体现。
第二实施例
图5是根据本发明第二实施例的病毒检测系统的结构示意图,下面参考图5来说明本系统各个组成部分和功能。
为了便于说明,不再对与前述实施例相同的部分进行详细展开,而仅重点说明与前述实施例的不同之处。在图1和5中,对与前述实施例相同或相似的步骤,采用了相同的附图标记。
根据反病毒行业长期的经验可以知道,同家族的恶意程序的执行行为存在共同的模式,称之为行为模式(Behavior Pattern)。例如Allaple蠕虫病毒的所有变种都会在已感染的系统上获取并锁住特定的信号量。而事实上,用特征向量构造分类器的过程,就是挖掘这种行为模式的过程。然而,仅限于病毒行为分析只能是被动防御,据此,本实施例提出一种针对用户行为模式的主动防御策略。同病毒的恶意执行行为一样,用户的正常操作的执行行为也存在模式。例如,对于一台办公计算机,可能使用它的用户的操作主要是文本编辑等办公相关的操作,而这些操作在一个长期范围内如果不产生变化,则被认为此时生成了一种用户行为模式。如果能对该模式加以识别,将对反病毒工作有很大的帮助。
该实施例就是以用户行为模式为判别的主要依据,在发现异常行为模式(非用户行为模式)时判断出计算机感染了病毒。
如图5所示,行为分析器30中不仅包括病毒分类器,还包括用户行为分类器。
在用户行为分类器的实现上,采用第一实施例中构造病毒分类器的相同的方法来实现。具体地,虚拟机20按随机序列执行执行预定义的用户行为操作(用户常用操作集合),并获取执行行为报告,然后行为分析器30中各个模块进一步执行:
特征提取和格式转换模块31,其根据设定函数,从执行用户行为操作时的执行行为报告中提取出用户特征向量,并将用户特征向量转换成所要生成的分类器的格式;分类器构造模块32利用分类器构造算法,基于转换格式后的用户特征向量来构造出包含用户行为模式的用户行为分类器;分类器模块33为用户行为分类器,用户行为分类器根据用户行为模式,对实时监控得到的用户操作信息进行分析,以判断用户操作信息是否异常。
图6是根据本发明第二实施例的针对用户正常行为模式的主动防御策略的示意图。
如图6所示,系统已经在较长一段时间内通过监控用户的正常操作的执行行为,识别了用户的执行模式。在此后的任意时刻,对系统进行行为监控,并识别当前的行为模式。然后与用户行为模式进行比较,如果符合用户执行模式,则表明系统正常,继续监控,否则证明系统已经感染病毒。
本实施例通过增加了用户行为分类器,能够改善病毒分析对病毒检测的指向性。从病毒出发制定防御策略,总是会受制于病毒的发展,而从用户的合法操作出发,通过检测异常来发现病毒,制定防御策略,能够主动地把病毒排除在系统之外,这样,不仅使病毒分析更加提高了一个层次,也使得病毒检测能够更加准确有效。
本发明能够有效应对未知病毒,主动防御各种攻击,不受制于病毒的更新和变异。采用对病毒行为的分析,并将针对用户行为模式的主动防御策略应用其中,真正实现了对未知病毒的主动防御。
本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
虽然本发明所揭露的实施方式如上,但所述的内容只是为了便于理解本发明而采用的实施方式,并非用以限定本发明。任何本发明所属技术领域内的技术人员,在不脱离本发明所揭露的精神和范围的前提下,可以在实施的形式上及细节上作任何的修改与变化,但本发明的专利保护范围,仍须以所附的权利要求书所界定的范围为准。

Claims (8)

1.一种基于虚拟执行的病毒检测系统,其特征在于,包括:
病毒样本收集器,其收集未知病毒;
虚拟机,其执行所述未知病毒,并获取执行所述未知病毒时的执行行为报告;
行为分析器,其根据已知病毒的病毒行为模式,对执行所述未知病毒时的执行行为报告进行分析,以判断所述未知病毒是否为病毒,
其中,所述病毒样本收集器还收集已知病毒;
所述虚拟机执行所述已知病毒,并获取执行所述已知病毒时的执行行为报告;
所述行为分析器进一步包括:
特征提取和格式转换模块,其根据设定函数,从执行所述已知病毒时的执行行为报告中提取出病毒特征向量,并将所述病毒特征向量转换成与所使用的分类器构造算法相对应的格式;
分类器构造模块,其利用分类器构造算法,基于转换格式后的病毒特征向量来构造出包含病毒行为模式的病毒分类器;
分类器模块,其包括所述病毒分类器,所述病毒分类器根据病毒行为模式,对执行所述未知病毒时的执行行为报告进行分析,以判断未知病毒是否为病毒,
其中,所述虚拟机执行预定义的用户行为操作,并获取执行所述用户行为操作时的执行行为报告;
所述行为分析器各个模块进一步用于:
特征提取和格式转换模块,其根据设定函数,从执行所述用户行为操作时的执行行为报告中提取出用户特征向量,并将所述用户特征向量转换成与所使用的分类器构造算法相对应的格式;
分类器构造模块,其利用分类器构造算法,基于转换格式后的用户特征向量来构造出包含用户行为模式的用户行为分类器;
分类器模块,其包括所述用户行为分类器,所述用户行为分类器根据用户行为模式,对实时监控得到的用户操作信息进行分析,以判断所述用户操作信息是否异常。
2.根据权利要求1所述的病毒检测系统,其特征在于,所述特征提取和格式转换模块所利用的设定函数如下,
嵌入函数是X到||F||维实空间的映射,
其中,F表示特征字符串集合,||F||是集合F的模,表示特征字符串的个数,X表示执行行为报告的集合,对于特征字符串s,s∈F,以及执行行为报告x,x∈X,记映射函数f(x,s)为s在x中出现的频率。
3.根据权利要求1所述的病毒检测系统,其特征在于,
所述分类器构造模块所利用的分类器构造算法为支持向量机算法。
4.根据权利要求1所述的病毒检测系统,其特征在于,
利用蜜罐作为所述病毒样本收集器。
5.根据权利要求1至4中任一项所述的病毒检测系统,其特征在于,
所述虚拟机根据其内部设置的监控模块来获取执行行为报告,所述监控模块获取关于注册表、文件系统、进程和网络连接的执行行为信息来作为执行行为报告。
6.根据权利要求5所述的病毒检测系统,其特征在于,
所述监控模块通过API Hooking方法来获取关于注册表、文件系统、进程和网络连接的执行行为信息。
7.根据权利要求6所述的病毒检测系统,其特征在于,所述虚拟机还包括筛选模块,其对获取的执行行为信息进行筛选,以得到最终的执行行为报告。
8.根据权利要求1所述的病毒检测系统,其特征在于,
所述虚拟机采用轻量级虚拟机。
CN201310084544.6A 2013-03-15 2013-03-15 一种基于虚拟执行的病毒检测系统 Active CN103150509B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201310084544.6A CN103150509B (zh) 2013-03-15 2013-03-15 一种基于虚拟执行的病毒检测系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201310084544.6A CN103150509B (zh) 2013-03-15 2013-03-15 一种基于虚拟执行的病毒检测系统

Publications (2)

Publication Number Publication Date
CN103150509A CN103150509A (zh) 2013-06-12
CN103150509B true CN103150509B (zh) 2015-10-28

Family

ID=48548581

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201310084544.6A Active CN103150509B (zh) 2013-03-15 2013-03-15 一种基于虚拟执行的病毒检测系统

Country Status (1)

Country Link
CN (1) CN103150509B (zh)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104253797A (zh) * 2013-06-27 2014-12-31 贝壳网际(北京)安全技术有限公司 蠕虫病毒的识别方法及装置
CN103778373B (zh) * 2014-01-10 2017-02-08 深圳市深信服电子科技有限公司 病毒检测方法及装置
CN105488394B (zh) * 2014-12-27 2018-06-12 哈尔滨安天科技股份有限公司 一种面向蜜罐系统进行入侵行为识别和分类的方法及系统
CN105488388A (zh) * 2015-12-22 2016-04-13 中软信息系统工程有限公司 一种基于cpu时空隔离机制实现应用软件行为监控系统的方法
CN106897619B (zh) * 2016-12-14 2019-04-23 中国移动通信集团设计院有限公司 移动终端恶意软件感知方法及装置
CN108009424A (zh) * 2017-11-22 2018-05-08 北京奇虎科技有限公司 病毒行为检测方法、装置及系统
CN110210218B (zh) * 2018-04-28 2023-04-14 腾讯科技(深圳)有限公司 一种病毒检测的方法以及相关装置
CN108762888A (zh) * 2018-05-17 2018-11-06 湖南文盾信息技术有限公司 一种基于虚拟机自省的病毒检测系统及方法
CN109257389B (zh) * 2018-11-23 2021-09-17 北京金山云网络技术有限公司 一种攻击处理方法、装置及电子设备
CN109766691B (zh) * 2018-12-20 2023-08-22 广东电网有限责任公司 一种勒索病毒监控方法及装置
CN109829304B (zh) * 2018-12-29 2021-04-13 奇安信科技集团股份有限公司 一种病毒检测方法及装置
CN110414234A (zh) * 2019-06-28 2019-11-05 奇安信科技集团股份有限公司 恶意代码家族识别方法及装置
CN111680294A (zh) * 2020-06-15 2020-09-18 杭州安恒信息技术股份有限公司 一种基于高交互蜜罐技术的数据库监控方法、装置、设备
CN113656799B (zh) * 2021-08-18 2024-05-28 浙江国利网安科技有限公司 一种工控病毒的分析方法、装置、存储介质和设备

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101350049A (zh) * 2007-07-16 2009-01-21 珠海金山软件股份有限公司 鉴定病毒文件的方法、装置及网络设备
CN102034043A (zh) * 2010-12-13 2011-04-27 四川大学 基于文件静态结构属性的恶意软件检测新方法
CN102930210A (zh) * 2012-10-14 2013-02-13 江苏金陵科技集团公司 恶意程序行为自动化分析、检测与分类系统及方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101350049A (zh) * 2007-07-16 2009-01-21 珠海金山软件股份有限公司 鉴定病毒文件的方法、装置及网络设备
CN102034043A (zh) * 2010-12-13 2011-04-27 四川大学 基于文件静态结构属性的恶意软件检测新方法
CN102930210A (zh) * 2012-10-14 2013-02-13 江苏金陵科技集团公司 恶意程序行为自动化分析、检测与分类系统及方法

Also Published As

Publication number Publication date
CN103150509A (zh) 2013-06-12

Similar Documents

Publication Publication Date Title
CN103150509B (zh) 一种基于虚拟执行的病毒检测系统
Shibahara et al. Efficient dynamic malware analysis based on network behavior using deep learning
Nari et al. Automated malware classification based on network behavior
Bailey et al. Automated classification and analysis of internet malware
US20110041179A1 (en) Malware detection
CN106778268A (zh) 恶意代码检测方法与系统
US11212297B2 (en) Access classification device, access classification method, and recording medium
JP6557334B2 (ja) アクセス分類装置、アクセス分類方法、及びアクセス分類プログラム
KR101230271B1 (ko) 악성 코드 탐지를 위한 시스템 및 방법
Smith et al. Mind the gap: On bridging the semantic gap between machine learning and malware analysis
KR101260028B1 (ko) 악성코드 그룹 및 변종 자동 관리 시스템
Shire et al. Malware squid: A novel iot malware traffic analysis framework using convolutional neural network and binary visualisation
CN101588358B (zh) 基于危险理论和nsa的主机入侵检测系统及检测方法
Bai et al. A malware and variant detection method using function call graph isomorphism
Yuste et al. Optimization of code caves in malware binaries to evade machine learning detectors
Salih et al. Digital forensic tools: A literature review
Bai et al. Dynamic k-gram based software birthmark
Kumar et al. Detection of malware using deep learning techniques
Adamczyk et al. Dataset Generation Framework for Evaluation of IoT Linux Host–Based Intrusion Detection Systems
Ostler Defensive cyber battle damage assessment through attack methodology modeling
Pratomo et al. Enhancing Enterprise Network Security: Comparing Machine-Level and Process-Level Analysis for Dynamic Malware Detection
Venkatramulu et al. Usage patterns and implementation of machine learning for malware detection and predictive evaluation
Lai A feature selection for malicious detection
Fowler et al. Building baseline preprocessed common data sets for multiple follow-on data mining algorithms
KR20240019740A (ko) 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
C56 Change in the name or address of the patentee
CP03 Change of name, title or address

Address after: 410000 Hunan province Changsha Kaifu District, North Station Road No. 649 Building 1 room 27015 days

Patentee after: Hunan Wen shield Information Technology Co., Ltd.

Address before: 410012 Hunan province Changsha Station Road, No. 649, Tonghua day a 27015 room

Patentee before: Changsha Wendun Information Technology Co., Ltd.