CN104766011A - 基于主机特征的沙箱检测告警方法和系统 - Google Patents

Abstract

本发明提供一种基于主机特征的沙箱检测告警方法和系统，其中，本发明的方法至少包括：在所述用户操作系统与计算机硬件系统之间插入一个虚拟机监视器，其中，所述虚拟机监视器为所述虚拟机提供一个完全模拟所述计算机硬件系统的虚拟硬件平台，所述用户操作系统运行于所述虚拟硬件平台上；在所述待检测未知程序运行于所述虚拟机上时，对所述虚拟系统的主机特征进行跟踪检测；根据所述虚拟系统的主机特征的跟踪检测结果，识别告警级别，产生与所述告警级别相应的告警信息，并对所述待检测未知程序以日志信息的方式进行记录。本发明通过在虚拟机监控器环境中运行待检测未知程序，从而发现恶意程序，并对恶意程序的整个攻击生命周期进行监视。

Description

基于主机特征的沙箱检测告警方法和系统

技术领域

本发明涉及恶意程序检测技术和网络安全领域，特别涉及一种基于主机特征的沙箱检测告警方法和系统。

背景技术

信息及互联网技术改变了人们获取知识、进行沟通的方式，企业也利用这些新的技术大幅度的提高员工效率、提升运营能力，并创造新的市场机会，但是这些技术也增加了组织遭受攻击的风险，因而需要不断进步的恶意程序检测手段来应对这些潜在的，或正在发生的威胁。例如：国家电网公司作为关系国家能源安全和国民经济命脉的重要骨干企业，承担着为经济社会发展提供安全、可持续电力供应的基本使命，但同时也面临着一个不断演变的网络威胁环境，更加需要有效的威胁深度识别的检测系统。

为了遏制未知威胁攻击系统，保护用户数据免受不法分子窃取，最大程度的减小由于威胁入侵带来的损失，需要有可靠的检测手段来识别未知威胁，及时有效地遏制未知威胁的扩散、攻击等行为。对现有文件检索发现，当前主要有两类未知恶意程序检测告警方法。

中国专利申请号201110226659，名称为“恶意代码的检测方法、系统及相关装置”通过在宿主机的虚拟机监视器中，监控该宿主机在虚拟机中执行程序代码时产生的读写请求，发送至虚拟机监视器时转义生成的指令执行情况，获得程序代码的执行特征，将获得的执行特征与预先存储的已知恶意代码的执行特征进行比对，判断是否为恶意代码。

该专利提供的方案中监视方法是检测宿主机在执行代码时的读写请求，监视手段单一，很难检测出更为复杂的病毒攻击。而且随着攻击技术的快速发展，攻击者会采用多种抗检测逃避技术，实现绕过沙箱的恶意行为分析，从而使该专利提出的检测方法难以发挥效用。

中国专利申请号201210376077，名称为“对文件行为特征进行检测的方法及装置”，方法是先确定待检测文件所属的类别，再将待检测文件投入到该类别对应的沙箱中运行，收集运行过程中产生的行为，将行为与该类别对应的无恶意行为特征库中的行为特征进行比对，如果存在无恶意行为特征库之外的行为，则该待检测文件为恶意文件。

该专利提供的方案虽然也可以检测出一些已知的恶意行为，但是按照查表比对的方法，不仅会消耗很多内存、计算资源，导致效率不高，而且对于未出现的攻击行为，该方法无法进行判断，导致新的威胁对系统的破坏力度、带来的损失可能会更大。

发明内容

本发明的目的在于提供一种基于主机特征的沙箱检测告警方法和系统，用于解决现有技术中无法有效检测恶意程序以及在检测恶意程序时存在缺陷的问题。

为解决上述技术问题，本发明提供了一种基于主机特征的沙箱检测告警方法，该方法的应用基于计算机硬件系统和虚拟机，所述计算机硬件系统上能够运行用户操作系统，所述虚拟机为待检测未知程序提供一个虚拟系统，所述待检测未知程序运行于所述虚拟机上，其中，所述基于主机特征的沙箱检测告警方法至少包括：

在所述用户操作系统与计算机硬件系统之间插入一个虚拟机监视器，其中，所述虚拟机监视器为所述虚拟机提供一个完全模拟所述计算机硬件系统的虚拟硬件平台，所述用户操作系统运行于所述虚拟硬件平台上；

在所述待检测未知程序运行于所述虚拟机上时，对所述虚拟系统的主机特征进行跟踪检测；

根据所述虚拟系统的主机特征的跟踪检测结果，识别告警级别，产生与所述告警级别相应的告警信息，并对所述待检测未知程序以日志信息的方式进行记录。

作为本发明的基于主机特征的沙箱检测告警方法的改进，所述虚拟系统的主机特征主要包括指令特征和行为特征；

对所述指令特征的跟踪检测主要包括对堆、栈中的代码执行情况及指令运行时内存空间的异常变化进行检测，以判断是否出现漏洞利用行为；

对所述虚拟系统的行为特征的跟踪检测主要包括对进程、文件、注册表、网络连接和服务的详情进行检测，并根据检测结果判断所述待检测未知程序的威胁情况，分析所述待检测未知程序的功能。

作为本发明的基于主机特征的沙箱检测告警方法的改进，对所述进程的详情进行检测主要包括检测所述待检测未知程序是否创建进程、终止其他进程、跨进程内存写入、创建远程线程、注入全局钩子、加载模块、加载驱动程序以及修改内存属性；

对所述文件的详情进行检测主要包括检测所述待检测未知程序是否创建、删除、修改系统目录或敏感目录内的文件；

对所述注册表的详情进行检测主要包括检测所述待检测未知程序是否创建、修改、删除注册表；

对所述网络连接的详情进行检测主要包括检测所述待检测未知程序是否包含C&C域名、是否在本地主动开启监听端口等待控制端连接远程控制木马，以及检测网络连接中是否存在与C&C地址的连接，检测网络传输的数据内容是否存在与C&C的通讯内容；

对所述服务的详情检测主要包括对沙箱中原有的系统服务与应用服务进行快照，综合判断所述虚拟机监视器中服务的启动、停止、增加动作。

作为本发明的基于主机特征的沙箱检测告警方法的改进，对所述进程的详情进行检测的具体方法如下：

在所述待检测未知程序创建一个新进程时，允许其创建，不产生告警；

在所述待检测未知程序打开进程时，允许其打开任何进程，并监控返回打开结果，不产生告警；

在所述待检测未知程序读取进程数据时，对于一般进程，允许其读取，只监控其数据，不产生告警；对于严格受保护的进程，允许其读取，产生告警；

在所述待检测未知程序写入进程数据时，如果目标进程是其创建的进程，允许其写入数据，只监控其数据，不产生告警；反之，产生告警；

在所述待检测未知程序结束进程时，如果被结束进程是其自身或者其创建的进程，只监控其数据，不产生告警；反之，产生告警。

作为本发明的基于主机特征的沙箱检测告警方法的改进，对所述网络连接的详情进行检测的具体方法如下：

在所述待检测未知程序连接网络时，允许其连接，并记录下连接的远程IP地址；

在所述待检测未知程序连接C&C服务器时，记录网络特征，进一步发现、跟踪僵尸网络，并产生告警；

在所述待检测未知程序发送、接收数据时，记录数据内容，并判断是否为C&C的通讯内容，若是，则产生告警；

在所述待检测未知程序在本地主动开启监听端口，等待控制端连接，记录网络监听详情，并产生告警。

作为本发明的基于主机特征的沙箱检测告警方法的改进，根据所述虚拟系统的主机特征的跟踪检测结果，识别告警级别，产生与所述告警级别相应的告警信息，并对所述待检测未知程序以日志信息的方式进行记录，具体方法为：

预先设置恶意程序能够触发的不同级别告警条件，以及与不同级别告警条件对应的不同告警信息，并划分各告警信息的威胁等级；

根据所述虚拟系统的主机特征的跟踪检测结果，确定所述待检测未知程序触发的告警条件级别；

根据所述待检测未知程序触发的告警条件级别获得不同行为的权重；

对所述待检测未知程序的所有行为进行加权求和，根据加权和的结果产生相应的告警信息，根据所述告警信息判定所述待检测未知程序对应的威胁等级，并以此确认所述待检测未知程序的恶意性，以日志信息的方式进行记录。

作为本发明的基于主机特征的沙箱检测告警方法的改进，在划分各告警信息的威胁等级时，将告警信息等级化区分为高级别威胁、中级别威胁、低级别威胁、疑似威胁和无威胁。

作为本发明的基于主机特征的沙箱检测告警方法的改进，根据所述待检测未知程序触发的告警条件级别获得的不同行为权重主要包括进程权重a、文件权重b、注册表/服务共同权重c、网络连接权重d，其中a+b+c+d＝1；其中，在对所述待检测未知程序的所有行为进行加权求和时，按照序列逐项进行进程、文件、注册表/服务以及网络连接行为的加权求和。

作为本发明的基于主机特征的沙箱检测告警方法的改进，在设置恶意程序能够触发的不同级别告警条件时，对于文件、注册表、服务、网络以及进程所设置的恶意程序能够触发的最高级别告警条件分别如下：

网络最高级别告警条件：发现所述待检测未知程序与已知的C&C网络机型通讯；

注册表最高级别告警条件：所述待检测未知程序读取、打开文件时发生注册表文件改动，或运行所述待检测未知程序时对注册表敏感区域进行了修改；

文件最高级别告警条件：所述待检测未知程序读取、打开文件或运行所述待检测未知程序时对系统目录或敏感目录文件进行改动；

进程最高级别告警条件：所述待检测未知程序读取、打开文件或运行所述待检测未知程序时修改了原有进程；

服务最高级别告警条件：所述待检测未知程序读取、打开文件时增加了服务，或运行所述待检测未知程序时出现了已知存在威胁的服务名。

本发明还提供一种基于主机特征的沙箱检测告警系统，包括计算机硬件系统和虚拟机，所述计算机硬件系统上能够运行用户操作系统，所述虚拟机为待检测未知程序提供一个虚拟系统，所述待检测未知程序运行于所述虚拟机上，其中，所述基于主机特征的沙箱检测告警系统至少包括：

基础沙箱模块，用于在所述用户操作系统与计算机硬件系统之间插入一个虚拟机监视器，其中，所述虚拟机监视器为所述虚拟机提供一个完全模拟所述计算机硬件系统的虚拟硬件平台，所述用户操作系统运行于所述虚拟硬件平台上；

主机特征分析模块，用于在所述待检测未知程序运行于所述虚拟机上时，对所述虚拟系统的主机特征进行跟踪检测；

告警模块，用于根据所述虚拟系统的主机特征的跟踪检测结果，识别告警级别，产生与所述告警级别相应的告警信息，并对所述待检测未知程序以日志信息的方式进行记录。

本发明的基于主机特性的沙箱检测告警方法和系统，相对于现有技术，具有以下有益效果和优势：

本发明的基于主机特性的沙箱检测告警方法，通过在虚拟机监控器环境中运行待检测未知程序，从而发现恶意程序，并对恶意程序的整个攻击生命周期进行监视。

本发明的基于主机特性的沙箱检测告警方法，能够监视和检测漏洞利用阶段的恶意程序行为，避免了只检测后期阶段活动而产生的漏报。

本发明的基于主机特性的沙箱检测告警系统，在检测未知程序的过程中，使恶意程序的活动基于一个高度接近真实用户环境的虚拟平台，因此误报率极低。

附图说明

图1是本发明第一实施方式的基于主机特性的沙箱检测告警方法的示意图。

图2是本发明第二实施方式的基于主机特性的沙箱检测告警系统的结构示意图。

图3是本发明第二实施方式的基于主机特性的沙箱检测告警系统中待检测未知层序的运行示意图。

图4是本发明第二实施方式的基于主机特性的沙箱检测告警方法在实际应用过程中的具体流程示意图。

元件标号说明

S1-S3  步骤

1      基础沙箱模块

2      主机特征分析模块

3      告警模块

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明的各实施方式进行详细的阐述。然而，本领域的普通技术人员可以理解，在本发明各实施方式中，为了使读者更好地理解本申请而提出了许多技术细节。但是，即使没有这些技术细节和基于以下各实施方式的各种变化和修改，也可以实现本申请各项权利要求所要求保护的技术方案。

本发明的第一实施方式涉及一种基于主机特性的沙箱检测告警方法，如图1所示，本实施方式的应用基于计算机硬件系统和虚拟机，计算机硬件系统上能够运行用户操作系统，虚拟机为待检测未知程序提供一个虚拟系统，待检测未知程序运行于虚拟机上。其中，本实施方式的基于主机特征的沙箱检测告警方法至少包括：

步骤S1，在用户操作系统与计算机硬件系统之间插入一个虚拟机监视器，其中，虚拟机监视器为虚拟机提供一个完全模拟计算机硬件系统的虚拟硬件平台，用户操作系统运行于虚拟硬件平台上。

步骤S2，在待检测未知程序运行于虚拟机上时，对虚拟系统的主机特征进行跟踪检测；

步骤S3，根据虚拟系统的主机特征的跟踪检测结果，识别告警级别，产生与告警级别相应的告警信息，并对待检测未知程序以日志信息的方式进行记录。

在步骤S1中，主要进行主机特征分析，即在指令级代码分析下，跟踪检测待检测未知程序执行过程中虚拟系统的指令特征以及行为特征。也就是说，虚拟系统的主机特征主要包括指令特征和行为特征。对指令特征的跟踪检测主要包括对堆、栈中的代码执行情况及指令运行时内存空间的异常变化进行检测，以判断是否出现漏洞利用行为(例如各种溢出攻击等)。对虚拟系统的行为特征的跟踪检测主要包括对进程、文件、注册表、网络连接和服务的详情进行检测，并根据检测结果判断待检测未知程序的威胁情况，分析待检测未知程序的功能(例如当待检测未知程序为恶意程序时，所具有的具体攻击行为)。

对进程详情进行检测主要包括检测待检测未知程序是否创建进程、终止其他进程、跨进程内存写入、创建远程线程、注入全局钩子、加载模块、加载驱动程序以及修改内存属性。一旦发现待检测未知程序创建进程、终止其他进程、跨进程内存写入，创建远程线程、注入全局钩子、加载模块、加载驱动程序或者修改内存属性，则进行恶意代码检测，为最终判断威胁情况提供检测依据。

另外，对进程详情进行检测的具体方法如下：在待检测未知程序创建一个新进程时，允许其创建，不产生告警；在待检测未知程序打开进程时，允许其打开任何进程，并监控返回打开结果，不产生告警；在待检测未知程序读取进程数据时，对于一般进程，允许其读取，只监控其数据，不产生告警；对于严格受保护的进程，允许其读取，产生告警；在待检测未知程序写入进程数据时，如果目标进程是其创建的进程，允许其写入数据，只监控其数据，不产生告警；反之，产生告警；在待检测未知程序结束进程时，如果被结束进程是其自身或者其创建的进程，只监控其数据，不产生告警；反之，产生告警。

对文件的详情进行检测主要包括检测待检测未知程序是否创建、删除、修改系统目录或敏感目录内的文件。一旦发现系统目录或敏感目录(例如“Program Fi les”目录等)内的文件发生创建、删除或者修改动作，则进入恶意代码检测，为最终判断威胁情况提供检测依据。

对注册表的详情进行检测主要包括检测待检测未知程序是否创建、修改、删除注册表。一旦发现注册表发生了创建、修改或删除动作，则进入恶意代码检测，为最终判断威胁情况提供检测依据。

对网络连接的详情进行检测主要包括检测待检测未知程序是否包含C&C(命令和控制服务器)域名、是否在本地主动开启监听端口等待控制端连接远程控制木马，以及检测网络。

另外，对网络连接的详情进行检测的具体方法如下：在待检测未知程序连接网络时，允许其连接，并记录下连接的远程IP地址；在待检测未知程序连接C&C服务器时，记录网络特征，进一步发现、跟踪僵尸(botnet)网络，并产生告警；在待检测未知程序发送、接收数据时，记录数据内容，并判断是否为C&C的通讯内容，若是，则产生告警；在待检测未知程序在本地主动开启监听端口，等待控制端连接，记录网络监听详情，并产生告警。

对服务的详情检测主要包括对沙箱中原有的系统服务与应用服务进行快照，综合判断虚拟机监视器中服务的启动、停止、增加动作。

在步骤S2中，具体方法为：

步骤S201，预先设置恶意程序能够触发的不同级别告警条件，以及与不同级别告警条件对应的不同告警信息，并划分各告警信息的威胁等级。

步骤S202，根据虚拟系统的主机特征的跟踪检测结果，确定待检测未知程序触发的告警条件级别。

步骤S203，根据待检测未知程序触发的告警条件级别获得不同行为的权重。

步骤S204，对待检测未知程序的所有行为进行加权求和，根据加权和的结果产生相应的告警信息，根据告警信息判定待检测未知程序对应的威胁等级，并以此确认待检测未知程序的恶意性，以日志信息的方式进行记录。

其中，在划分各告警信息的威胁等级时，将告警信息等级化区分为高级别威胁、中级别威胁、低级别威胁、疑似威胁和无威胁。

另外，根据待检测未知程序触发的告警条件级别获得的不同行为权重主要包括进程权重a、文件权重b、注册表/服务共同权重c、网络连接权重d，其中a+b+c+d＝1。例如根据待检测未知程序触发的告警条件级别获得进程权重20％、文件权重10％、注册表/服务共同权重40％、网络连接权重30％。其中，在对待检测未知程序的所有行为进行加权求和时，按照序列逐项进行进程、文件、注册表/服务以及网络连接行为的加权求和。

另外，在设置恶意程序能够触发的不同级别告警条件时，对于文件、注册表、服务、网络以及进程所设置的恶意程序能够触发的最高级别告警条件分别如下：

A、网络最高级别告警条件：发现待检测未知程序与已知的C&C网络机型通讯。

B、注册表最高级别告警条件：待检测未知程序读取、打开文件时发生注册表文件改动，或运行待检测未知程序时对注册表敏感区域进行了修改。

C、文件最高级别告警条件：待检测未知程序读取、打开文件或运行待检测未知程序时对系统目录或敏感目录文件进行改动。

D、进程最高级别告警条件：待检测未知程序读取、打开文件或运行待检测未知程序时修改了原有进程。

E、服务最高级别告警条件：待检测未知程序读取、打开文件时增加了服务，或运行待检测未知程序时出现了已知存在威胁的服务名。

本实施方式的基于主机特性的沙箱检测告警方法，能够通过在虚拟机监控器环境中运行待检测未知程序，从而发现恶意程序，并对恶意程序的整个攻击生命周期进行监视(包括监测恶意程序的漏洞利用、与命令控制服务器C&C之间的通信、下载进一步的恶意可执行文件、网络回调)。此外，能够监视和检测漏洞利用阶段的恶意程序行为，避免了只检测后期阶段活动而产生的漏报(这个阶段可以采用加密等一系列方式进行逃避)。

上面各种方法的步骤划分，只是为了描述清楚，实现时可以合并为一个步骤或者对某些步骤进行拆分，分解为多个步骤，只要包含相同的逻辑关系，都在本专利的保护范围内；对算法中或者流程中添加无关紧要的修改或者引入无关紧要的设计，但不改变其算法和流程的核心设计都在该专利的保护范围内。

本发明的第二实施方式涉及一种基于主机特征的沙箱检测告警系统，包括计算机硬件系统和虚拟机，计算机硬件系统上能够运行用户操作系统，虚拟机为待检测未知程序提供一个虚拟系统，待检测未知程序运行于虚拟机上，如图3所示。其中，如图2所示，基于主机特征的沙箱检测告警系统至少包括：

基础沙箱模块1，用于在用户操作系统与计算机硬件系统之间插入一个虚拟机监视器，其中，虚拟机监视器为虚拟机提供一个完全模拟计算机硬件系统的虚拟硬件平台，用户操作系统运行于虚拟硬件平台上。

主机特征分析模块2，连接于基础沙箱模块1，用于在待检测未知程序运行于虚拟机上时，对虚拟系统的主机特征进行跟踪检测。

告警模块3，连接于主机特征分析模块2，用于根据虚拟系统的主机特征的跟踪检测结果，识别告警级别，产生与告警级别相应的告警信息，并对待检测未知程序以日志信息的方式进行记录。

需要说明的是，基础沙箱模块是指采用完全虚拟化(Full-virtualization)技术实现的沙箱运行体系。完全虚拟化技术采用软件模拟的方式为用户操作系统提供一个完全虚拟的硬件副本，在这些操作系统看来，自身与运行在原始计算机硬件系统没有丝毫差别。因此，本实施方式中采用的沙箱技术能在最大程度上还原待检测未知程序的运行过程，对待检测未知程序尤其是恶意程序在系统层面造成的破坏也能进行相对详尽的评估。其中，虚拟机监视器(Virtual Machine Monitor，VMM)为虚拟机搭建了一个完整的虚拟硬件平台，用户操作系统运行于VMM环境中。

另外，计算机硬件系统主要由处理器、存储器、网络接口等三个部分组成，该计算机硬件系统主要为基础沙箱模块提供物理运行环境。虚拟机为待检测未知程序搭建一个虚拟系统，待检测未知程序在虚拟机上运行的过程中，通过检测进程、文件、注册表、服务和网络连接等主机特征的变化情况，根据告警模块确定相应的告警级别，产生告警信息。

本实施方式的基于主机特征的沙箱检测告警系统在实际应用过程中，具体流程请参阅图4，主要包括如下步骤：

1)启动，此时所有虚拟机处于挂起状态，等待来自于外部的待检测未知程序或文件的输入。

2)待检测未知程序或文件的输入基础沙箱模块。

3)根据待检测未知程序或文件自身的扩展名以及其自身属性携带的附属信息，判断其执行环境。其中，执行环境包含系统版本、运行软件版本等。

4)启动对应的沙箱环境，使待检测未知程序或文件在对应的虚拟机上运行。若没有找到对应的版本，则启动最高版本的用户操作系统及软件环境。若没有软件执行环境，则将待检测未知程序或文件进行系统留存，生成日志。

5)检测进程，具体包括以下检测方法：

a)待检测未知程序或文件创建一个新进程时，允许其创建，此时不产生告警；

b)待检测未知程序或文件打开进程时，允许其打开任何进程，并监控返回结果；

c)待检测未知程序或文件读取进程数据时，对于一般进程，允许其读取，只监控其数据，不产生告警；对于严格受保护的进程，允许其读取，产生告警；

d)待检测未知程序或文件写入进程数据时，如若目标进程是其创建的进程，允许其写入数据，只监控其数据，不产生告警，否则产生告警；

e)待检测未知程序或文件结束进程时，如果被结束进程是自身或者其创建，只监控其数据，不产生告警，反之，产生告警。

6)检测文件，并判断是否需要产生告警。文件详情检测监控以下API(ApplicationProgramming Interface,应用程序编程接口)：

7)检测注册表特征是否发生变化，主要检测包括注册表创建、注册表修改、注册表删除等方面，检测一些自启动相关的键值，只要出现上述变化，判断待检测未知程序或文件为恶意程序的可能性较大。

8)检测服务详情，具体检测方法为对沙箱中原有的系统服务与应用服务进行快照，通过监控沙箱中服务的启动、停止、增加动作进行综合判断产生告警。很多的恶意软件都利用Windows的系统服务实现自启动和获得高权限，因此只要出现创建新服务，判断待检测未知程序或文件为恶意程序的可能性较大。

9)检测网络连接，具体检测方法如下：

a)待检测未知程序或文件连接网络时允许其连接，并记录下连接的远程IP地址；

b)待检测未知程序或文件连接C&C服务器，记录网络特征，进一步发现、跟踪botnet网络，并产生告警；

c)待检测未知程序或文件发送、接收数据时记录数据内容，并判断是否为C&C的通讯内容，若是，则产生告警；

d)待检测未知程序或文件在本地主动开启监听端口，等待控制端连接，记录网络监听详情，并产生告警。

10)判断步骤5)到步骤9)是否发生待检测未知程序或文件对系统关键数据进行读取、修改或删除操作，或者是否发生待检测未知程序或文件与外部C&C服务器进行通讯或产生其他的威胁动作；若发生，则产生告警，同时在安全区域中存储原始待检测未知程序或文件，否则生成日志，判断待检测未知程序或文件无威胁。

其中，告警信息按照等级化区分为高级别威胁、中级别威胁、低级别威胁、疑似威胁和无威胁，并同时对能触发告警的待检测未知程序或文件以日志信息的方式进行记录。

在产生告警时，根据待检测未知程序或文件触发的告警级别获得的不同行为权重，从而产生不同级别的告警。权重及告警的具体方法已在本发明第一实施方式部分描述，在此不做赘述。

通过上述应用可知，本实施方式的基于主机特性的沙箱检测告警系统，在检测未知程序的过程中，使恶意程序的活动基于一个高度接近真实用户环境的虚拟平台，因此误报率极低。

不难发现，本实施方式为与第一实施方式相对应的系统实施例，本实施方式可与第一实施方式互相配合实施。第一实施方式中提到的相关技术细节在本实施方式中依然有效，为了减少重复，这里不再赘述。相应地，本实施方式中提到的相关技术细节也可应用在第一实施方式中。

值得一提的是，本实施方式中所涉及到的各模块均为逻辑模块，在实际应用中，一个逻辑单元可以是一个物理单元，也可以是一个物理单元的一部分，还可以以多个物理单元的组合实现。此外，为了突出本发明的创新部分，本实施方式中并没有将与解决本发明所提出的技术问题关系不太密切的单元引入，但这并不表明本实施方式中不存在其它的单元。

本领域的普通技术人员可以理解，上述各实施方式是实现本发明的具体实施例，而在实际应用中，可以在形式上和细节上对其作各种改变，而不偏离本发明的精神和范围。

Claims (10)

1.一种基于主机特征的沙箱检测告警方法，该方法的应用基于计算机硬件系统和虚拟机，所述计算机硬件系统上能够运行用户操作系统，所述虚拟机为待检测未知程序提供一个虚拟系统，所述待检测未知程序运行于所述虚拟机上，其特征在于，所述基于主机特征的沙箱检测告警方法至少包括：

在所述用户操作系统与计算机硬件系统之间插入一个虚拟机监视器，其中，所述虚拟机监视器为所述虚拟机提供一个完全模拟所述计算机硬件系统的虚拟硬件平台，所述用户操作系统运行于所述虚拟硬件平台上；

在所述待检测未知程序运行于所述虚拟机上时，对所述虚拟系统的主机特征进行跟踪检测；

根据所述虚拟系统的主机特征的跟踪检测结果，识别告警级别，产生与所述告警级别相应的告警信息，并对所述待检测未知程序以日志信息的方式进行记录。

2.根据权利要求1所述的基于主机特征的沙箱检测告警方法，其特征在于，所述虚拟系统的主机特征主要包括指令特征和行为特征；

对所述指令特征的跟踪检测主要包括对堆、栈中的代码执行情况及指令运行时内存空间的异常变化进行检测，以判断是否出现漏洞利用行为；

对所述虚拟系统的行为特征的跟踪检测主要包括对进程、文件、注册表、网络连接和服务的详情进行检测，并根据检测结果判断所述待检测未知程序的威胁情况，分析所述待检测未知程序的功能。

3.根据权利要求2所述的基于主机特征的沙箱检测告警方法，其特征在于，对所述进程的详情进行检测主要包括检测所述待检测未知程序是否创建进程、终止其他进程、跨进程内存写入、创建远程线程、注入全局钩子、加载模块、加载驱动程序以及修改内存属性；

对所述文件的详情进行检测主要包括检测所述待检测未知程序是否创建、删除、修改系统目录或敏感目录内的文件；

对所述注册表的详情进行检测主要包括检测所述待检测未知程序是否创建、修改、删除注册表；

对所述网络连接的详情进行检测主要包括检测所述待检测未知程序是否包含C&C域名、是否在本地主动开启监听端口等待控制端连接远程控制木马，以及检测网络连接中是否存在与C&C地址的连接，检测网络传输的数据内容是否存在与C&C的通讯内容；

对所述服务的详情检测主要包括对沙箱中原有的系统服务与应用服务进行快照，综合判断所述虚拟机监视器中服务的启动、停止、增加动作。

4.根据权利要求3所述的基于主机特征的沙箱检测告警方法，其特征在于，对所述进程的详情进行检测的具体方法如下：

在所述待检测未知程序创建一个新进程时，允许其创建，不产生告警；

在所述待检测未知程序打开进程时，允许其打开任何进程，并监控返回打开结果，不产生告警；

在所述待检测未知程序读取进程数据时，对于一般进程，允许其读取，只监控其数据，不产生告警；对于严格受保护的进程，允许其读取，产生告警；

在所述待检测未知程序写入进程数据时，如果目标进程是其创建的进程，允许其写入数据，只监控其数据，不产生告警；反之，产生告警；

在所述待检测未知程序结束进程时，如果被结束进程是其自身或者其创建的进程，只监控其数据，不产生告警；反之，产生告警。

5.根据权利要求3所述的基于主机特征的沙箱检测告警方法，其特征在于，对所述网络连接的详情进行检测的具体方法如下：

在所述待检测未知程序连接网络时，允许其连接，并记录下连接的远程IP地址；

在所述待检测未知程序连接C&C服务器时，记录网络特征，进一步发现、跟踪僵尸网络，并产生告警；

在所述待检测未知程序发送、接收数据时，记录数据内容，并判断是否为C&C的通讯内容，若是，则产生告警；

在所述待检测未知程序在本地主动开启监听端口，等待控制端连接，记录网络监听详情，并产生告警。

6.根据权利要求1所述的基于主机特征的沙箱检测告警方法，其特征在于，根据所述虚拟系统的主机特征的跟踪检测结果，识别告警级别，产生与所述告警级别相应的告警信息，并对所述待检测未知程序以日志信息的方式进行记录，具体方法为：

预先设置恶意程序能够触发的不同级别告警条件，以及与不同级别告警条件对应的不同告警信息，并划分各告警信息的威胁等级；

根据所述虚拟系统的主机特征的跟踪检测结果，确定所述待检测未知程序触发的告警条件级别；

根据所述待检测未知程序触发的告警条件级别获得不同行为的权重；

对所述待检测未知程序的所有行为进行加权求和，根据加权和的结果产生相应的告警信息，根据所述告警信息判定所述待检测未知程序对应的威胁等级，并以此确认所述待检测未知程序的恶意性，以日志信息的方式进行记录。

7.根据权利要求6所述的基于主机特征的沙箱检测告警方法，其特征在于，在划分各告警信息的威胁等级时，将告警信息等级化区分为高级别威胁、中级别威胁、低级别威胁、疑似威胁和无威胁。

8.根据权利要求6所述的基于主机特征的沙箱检测告警方法，其特征在于，根据所述待检测未知程序触发的告警条件级别获得的不同行为权重主要包括进程权重a、文件权重b、注册表/服务共同权重c、网络连接权重d，其中a+b+c+d＝1；其中，在对所述待检测未知程序的所有行为进行加权求和时，按照序列逐项进行进程、文件、注册表/服务以及网络连接行为的加权求和。

9.根据权利要求6所述的基于主机特征的沙箱检测告警方法，其特征在于，在设置恶意程序能够触发的不同级别告警条件时，对于文件、注册表、服务、网络以及进程所设置的恶意程序能够触发的最高级别告警条件分别如下：

网络最高级别告警条件：发现所述待检测未知程序与已知的C&C网络机型通讯；

注册表最高级别告警条件：所述待检测未知程序读取、打开文件时发生注册表文件改动，或运行所述待检测未知程序时对注册表敏感区域进行了修改；

文件最高级别告警条件：所述待检测未知程序读取、打开文件或运行所述待检测未知程序时对系统目录或敏感目录文件进行改动；

进程最高级别告警条件：所述待检测未知程序读取、打开文件或运行所述待检测未知程序时修改了原有进程；

服务最高级别告警条件：所述待检测未知程序读取、打开文件时增加了服务，或运行所述待检测未知程序时出现了已知存在威胁的服务名。

10.一种基于主机特征的沙箱检测告警系统，包括计算机硬件系统和虚拟机，所述计算机硬件系统上能够运行用户操作系统，所述虚拟机为待检测未知程序提供一个虚拟系统，所述待检测未知程序运行于所述虚拟机上，其特征在于，所述基于主机特征的沙箱检测告警系统至少包括：

基础沙箱模块，用于在所述用户操作系统与计算机硬件系统之间插入一个虚拟机监视器，其中，所述虚拟机监视器为所述虚拟机提供一个完全模拟所述计算机硬件系统的虚拟硬件平台，所述用户操作系统运行于所述虚拟硬件平台上；

主机特征分析模块，用于在所述待检测未知程序运行于所述虚拟机上时，对所述虚拟系统的主机特征进行跟踪检测；

告警模块，用于根据所述虚拟系统的主机特征的跟踪检测结果，识别告警级别，产生与所述告警级别相应的告警信息，并对所述待检测未知程序以日志信息的方式进行记录。