CN111368295A - 恶意样本检测方法、装置、系统及存储介质 - Google Patents
恶意样本检测方法、装置、系统及存储介质 Download PDFInfo
- Publication number
- CN111368295A CN111368295A CN201811604795.1A CN201811604795A CN111368295A CN 111368295 A CN111368295 A CN 111368295A CN 201811604795 A CN201811604795 A CN 201811604795A CN 111368295 A CN111368295 A CN 111368295A
- Authority
- CN
- China
- Prior art keywords
- time
- malicious
- mode
- virtual machine
- log
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种恶意样本检测方法、装置、系统及存储介质,该方法包括:启动虚拟机的时间变速模式,获取被测样本在所述虚拟机的时间变速模式下的记录日志;分析在所述时间变速模式下的记录日志是否存在恶意行为;若所述记录日志存在恶意行为,则根据所述时间变速模式的类型判断所述被测样本的时间维度潜伏行为类型。本发明实现了通过时间变速快速触发恶意样本的时间潜伏行为,提高恶意样本动态行为分析效率和成功率。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种恶意样本检测方法、装置、系统及存储介质。
背景技术
互联网时代的到来为人们的生活、学习和工作带来了极大的便利,但同时也伴随着越来越重要的网络安全问题,越来越多的恶意软件在网络上肆意横行,为人们的生活、学习和工作带来了很大的隐患,各大安全厂商都在寻求更好的恶意文件检测方法。
现有技术中的恶意样本动态行为分析,是将恶意样本运行于真实的计算机运行环境,通过分析日志信息来进行恶意样本判别的一种分析方法。但是当前绝大多数恶意软件、病毒或后门都具有时间维度潜伏特性,即感染宿主机器之后不会立即进行恶意操作,而是先潜伏起来运行一段时间后,才会执行恶意行为,动态行为分析的分析时间是固定的,而且相对较短,这样就很难捕获恶意样本的恶意行为,除非消耗大量的无用等待时间,以降低效率的方式增加分析正确率,即使这样,一些有长期潜伏行为的恶意样本,因为不可能无限期等待下去,是无法获取其恶意行为的。
发明内容
本发明的主要目的在于提供一种恶意样本检测方法、装置、系统及存储介质,旨在通过时间变速快速触发恶意样本的时间潜伏行为,提高恶意样本动态行为分析效率和成功率。
为实现上述目的,本发明提供一种恶意样本检测方法,所述恶意样本检测方法应用于虚拟机,所述恶意样本检测方法包括以下步骤:
在启动所述虚拟机的时间变速模式,获取被测样本在所述虚拟机的时间变速模式下的记录日志;
分析在所述时间变速模式下的记录日志是否存在恶意行为;
若所述记录日志存在恶意行为,则根据所述时间变速模式的类型判断所述被测样本的时间维度潜伏行为类型。
可选地,所述时间变速模式包括线性变速模式,所述启动所述虚拟机的时间变速模式,获取被测样本在所述虚拟机的时间变速模式下的记录日志的步骤之前包括:
设置线性变速模式的第一起始时刻、第一结束时刻和线性变速倍数;
所述启动所述虚拟机的时间变速模式,获取被测样本在所述虚拟机的时间变速模式下的记录日志的步骤包括:
在所述第一起始时刻启动所述线性变速模式;
以预设正常速率的线性变速倍数的运行速率运行所述虚拟机至所述第一结束时刻;
获取所述被测样本在所述第一起始时刻与所述第一结束时刻之间的记录日志,作为被测样本在所述线性变速模式下的记录日志。
可选地,所述时间变速模式包括跳变变速模式,所述启动所述虚拟机的时间变速模式,获取被测样本在所述虚拟机的时间变速模式下的记录日志的步骤之前包括:
设置跳变变速模式的第二起始时刻、第二结束时刻、跳过时间和第三结束时刻;
所述启动所述虚拟机的时间变速模式,获取被测样本在所述虚拟机的时间变速模式下的记录日志的步骤包括:
在所述第二起始时刻启动所述跳变变速模式;
控制所述虚拟机跳过所述跳过时间运行至所述第二结束时刻;
在所述第二结束时刻,控制所述虚拟机以预设正常速率运行至第三结束时刻;
获取所述被测样本在所述第二结束时刻和所述第三结束时刻之间的记录日志,作为被测样本在所述跳变变速模式下的记录日志。
可选地,所述启动所述虚拟机的时间变速模式,获取被测样本在所述虚拟机的时间变速模式下的记录日志的步骤之前还包括:
以预设正常速率运行所述虚拟机,获取所述被测样本的记录日志;
分析在预设正常速率下的记录日志是否存在恶意行为;
若在所述预设正常速率下的记录日志存在恶意行为,则判定所述被测样本不存在时间维度潜伏行为;
若不存在,则执行步骤:启动所述虚拟机的时间变速模式,获取被测样本在所述虚拟机的时间变速模式下的记录日志。
可选地,所述若所述记录日志存在恶意行为,则根据所述时间变速模式的类型判断所述被测样本的时间维度潜伏行为类型的步骤之后还包括:
若所述记录日志存在恶意行为,则获取所述时间变速模式的类型;
根据所述时间变速模式的类型判断所述被测样本的时间维度潜伏行为类型。
可选地,所述分析在所述时间变速模式下的记录日志是否存在恶意行为的步骤之后还包括:
若所述记录日志不存在恶意行为,则判定所述被测样本不存在时间维度潜伏行为。
本发明还提供一种恶意样本检测装置,该恶意样本检测装置包括获取模块、分析模块和判定模块,其中:
获取模块10,启动所述虚拟机的时间变速模式,获取被测样本在所述虚拟机的时间变速模式下的记录日志;
分析模块20,分析在所述时间变速模式下的记录日志是否存在恶意行为;
判定模块30,若所述记录日志存在恶意行为,则根据所述时间变速模式的类型判断所述被测样本的时间维度潜伏行为类型。
此外,为实现上述目的,本发明还提供一种恶意样本检测系统,所述恶意样本检测系统包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的恶意样本检测程序,所述恶意样本检测程序被所述处理器执行时实现如上所述恶意样本检测方法的步骤。
此外,为实现上述目的,本发明还提供一种存储介质,所述存储介质上存储有恶意样本检测程序,所述恶意样本检测程序被处理器执行时实现如上所述的恶意样本检测方法的步骤。
本发明提出的恶意样本检测方法、装置、系统及存储介质,通过启动所述虚拟机的时间变速模式,获取被测样本在所述虚拟机的时间变速模式下的记录日志;分析在所述时间变速模式下的记录日志是否存在恶意行为;若所述记录日志存在恶意行为,则根据所述时间变速模式的类型判断所述被测样本的时间维度潜伏行为类型。本发明通过加快虚拟机的系统时间流逝,实现了通过时间变速快速触发恶意样本的时间潜伏行为,提高恶意样本动态行为分析效率和成功率。
附图说明
图1是本发明实施例方案涉及的硬件运行环境的终端结构示意图;
图2为本发明恶意样本检测方法第一实施例的流程示意图;
图3为本发明恶意样本检测方法组合方案时间线示意图;
图4为本发明的恶意样本检测装置功能模块示意图。
本发明目的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明实施例的主要解决方案是:启动所述虚拟机的时间变速模式,获取被测样本在所述虚拟机的时间变速模式下的记录日志;分析在所述时间变速模式下的记录日志是否存在恶意行为;若所述记录日志存在恶意行为,则根据所述时间变速模式的类型判断所述被测样本的时间维度潜伏行为类型。本发明实现了通过加快虚拟机的系统时间流逝,通过时间变速快速触发恶意样本的时间潜伏行为,提高恶意样本动态行为分析效率和成功率。
由于现有技术中的恶意样本动态行为分析,是将恶意样本运行于真实的计算机运行环境,通过分析日志信息来进行恶意样本判别的一种分析方法。但是当前绝大多数恶意软件、病毒或后门都具有时间维度潜伏特性,即感染宿主机器之后不会立即进行恶意操作,而是先潜伏起来运行一段时间后,才会执行恶意行为,动态行为分析的分析时间是固定的,而且相对较短,这样就很难捕获恶意样本的恶意行为,除非消耗大量的无用等待时间,以降低效率的方式增加分析正确率,即使这样,像一些有长期潜伏行为的恶意样本,因为不可能无限期等等下去,是无法获取其恶意行为的。
本发明实施例提出一种解决方案,可以实现加快虚拟机的系统时间流逝,通过时间变速快速触发恶意样本的时间潜伏行为,提高恶意样本动态行为分析效率和成功率。
如图1所示,图1是本发明实施例方案涉及的硬件运行环境的终端结构示意图。
本发明实施例终端为恶意样本检测装置。
如图1所示,该终端可以包括:处理器1001,例如CPU,网络接口1004,用户接口1003,存储器1005,通信总线1002。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储设备。
可选地,终端还可以包括摄像头、RF(Radio Frequency,射频)电路,传感器、音频电路、WiFi模块等等。其中,传感器比如光传感器、运动传感器以及其他传感器。具体地,光传感器可包括环境光传感器及接近传感器,其中,环境光传感器可根据环境光线的明暗来调节显示屏的亮度,接近传感器可在终端设备移动到耳边时,关闭显示屏和/或背光。当然,终端还可配置陀螺仪、气压计、湿度计、温度计、红外线传感器等其他传感器,在此不再赘述。
本领域技术人员可以理解,图1中示出的终端结构并不构成对终端的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种计算机存储介质的存储器1005中可以包括操作终端、网络通信模块、用户接口模块以及恶意样本检测程序。
在图1所示的终端中,网络接口1004主要用于连接后台服务器,与后台服务器进行数据通信;用户接口1003主要用于连接客户端(用户端),与客户端进行数据通信;而处理器1001可以用于调用存储器1005中存储的恶意样本检测程序,并执行以下操作:
启动所述虚拟机的时间变速模式,获取被测样本在所述虚拟机的时间变速模式下的记录日志;
分析在所述时间变速模式下的记录日志是否存在恶意行为;
若所述记录日志存在恶意行为,则根据所述时间变速模式的类型判断所述被测样本的时间维度潜伏行为类型。
进一步地,处理器1001可以调用存储器1005中存储的恶意样本检测程序,还执行以下操作:
设置线性变速模式的第一起始时刻、第一结束时刻和线性变速倍数;
在所述第一起始时刻启动所述线性变速模式;
以预设正常速率的线性变速倍数的运行速率运行所述虚拟机至所述第一结束时刻;
获取所述被测样本在所述第一起始时刻与所述第一结束时刻之间的记录日志,作为被测样本在所述线性变速模式下的记录日志。
进一步地,处理器1001可以调用存储器1005中存储的恶意样本检测程序,还执行以下操作:
设置跳变变速模式的第二起始时刻、第二结束时刻、跳过时间和第三结束时刻;
在所述第二起始时刻启动所述跳变变速模式;
控制所述虚拟机跳过所述跳过时间运行至所述第二结束时刻;
在所述第二结束时刻,控制所述虚拟机以预设正常速率运行至第三结束时刻;
获取所述被测样本在所述第二结束时刻和所述第三结束时刻之间的记录日志,作为被测样本在所述跳变变速模式下的记录日志。
进一步地,处理器1001可以调用存储器1005中存储的恶意样本检测程序,还执行以下操作:
以预设正常速率运行所述虚拟机,获取所述被测样本的记录日志;
分析在预设正常速率下的记录日志是否存在恶意行为;
若在所述预设正常速率下的记录日志存在恶意行为,则判定所述被测样本不存在时间维度潜伏行为;
若不存在,则执行步骤:启动所述虚拟机的时间变速模式,获取被测样本在所述虚拟机的时间变速模式下的记录日志。
进一步地,处理器1001可以调用存储器1005中存储的恶意样本检测程序,还执行以下操作:
若所述记录日志存在恶意行为,则获取所述时间变速模式的类型;
根据所述时间变速模式的类型判断所述被测样本的时间维度潜伏行为类型。
进一步地,处理器1001可以调用存储器1005中存储的恶意样本检测程序,还执行以下操作:
若所述记录日志不存在恶意行为,则判定所述被测样本不存在时间维度潜伏行为。
本发明提供的技术方案,所述恶意样本检测终端通过处理器1001调用存储器1005中存储的恶意样本检测程序,以实现步骤启动所述虚拟机的时间变速模式,获取被测样本在所述虚拟机的时间变速模式下的记录日志;分析在所述时间变速模式下的记录日志是否存在恶意行为;若所述记录日志存在恶意行为,则根据所述时间变速模式的类型判断所述被测样本的时间维度潜伏行为类型。本发明通过加快虚拟机的系统时间流逝,实现了通过时间变速快速触发恶意样本的时间潜伏行为,提高恶意样本动态行为分析效率和成功率。
基于上述硬件结构,提出本发明恶意样本检测方法实施例。
参照图2,图2为本发明恶意样本检测方法第一实施例的流程示意图。
如图2所示,本发明第一实施例提供一种恶意样本检测方法,所述恶意样本检测方法应用于虚拟机,所述恶意样本检测方法包括以下步骤:
步骤S1,启动所述虚拟机的时间变速模式,获取被测样本在所述虚拟机的时间变速模式下的记录日志;
可以理解的是,本发明提出的恶意样本检测方法,适用于数据处理技术领域。
在本实施例中,在宿主主机中安装一个能够运行虚拟机的操作系统,然后在虚拟机上安装客户端系统,然后宿主机通过共享文件夹的方式将被测样本传送到虚拟机中的客户端系统。其中,操作系统只要是虚拟机支持的操作系统即可达到变速效果,例如windows,linux等均可。
本实施例中的时间变速模式具体包括线性变速模式和跳变变速模式。
具体地,线性变速是指将虚拟机中的系统时间运行速率变快或者变慢,主要通过加快虚拟机中的系统时间流速来加速触发计时触发型恶意样本的恶意行为。当时间变速模式为线性变速模式时,系统时间流速变为预设正常速率的N倍,同时,处于虚拟机系统中的被测样本的运行速率也变为其在真实世界的运行速率的N倍,若该被测样本为计时触发型恶意样本,则其在当前虚拟机中的恶意行为会被提前触发释放,通过记录分析该被测样本在变速期间的记录日志,从而捕获到恶意行为。
跳变变速是指将虚拟机中的系统时间短时间内跳至另一未来时间点,主要用来加速触发定时触发型恶意样本的恶意行为。当时间变速模式为跳变变速模式时,系统时间在短时间内由当前时间点跳至另一未来时间点,若被测样本为定时触发型恶意样本,则当其判定当前时间点等于或者大于该恶意样本的触发时刻时,触发定时触发型恶意样本的潜伏条件,释放恶意行为,通过记录分析该被测样本在跳变变速后的记录日志,从而捕获到恶意行为。
以上两种时间变速模式可以单独实施,也可以组合在一起实施,本实施例的优选方案为以上两种时间变速模式组合实施。
其中,以上两种改变虚拟机时间运行频率或者步进数值的方式,因虚拟机的软件类型而异。若虚拟机的软件类型为开源型,例如QEMU虚拟机,可以通过修改开源代码中提供系统时钟的代码模块来实现变速;若虚拟机的软件类型为闭源类型,例如vmware,可以通过修改config.ini配置文件的参数host.cpukHz来达到变速的目的;其他类型没有相关配置文件的虚拟机,可以通过逆向工程的修改系统时钟的时钟频率,达到变速的目的。
步骤S2,分析在所述时间变速模式下的记录日志是否存在恶意行为;
记录日志包括但不限于被测样本运行过程中API的调用记录和调用参数,网络访问记录,恶意样本解析出来的字符串、域名,运行截图、读写的问题、释放的文件、网络行为等,通过分析上述记录日志中的内容,结合专业的恶意样本恶意行为判断规则,可以进行恶意行为判定。
步骤S3,若所述记录日志存在恶意行为,则根据所述时间变速模式的类型判断所述被测样本的时间维度潜伏行为类型。
通过分析记录日志中的内容,结合专业的恶意样本恶意行为判断规则,若检测分析发现时间变速模式下的记录日志中存在恶意行为,则可以根据恶意行为发生时所处的时间变速模式类型判断该被测样本的在时间维度潜伏行为类型。
通过本实施例提出的恶意样本检测方法,实现了通过加快虚拟机的系统时间流逝,通过时间变速快速触发恶意样本的时间潜伏行为,提高恶意样本动态行为分析效率和成功率。
进一步地,基于上述图2所示的第一实施例,提出本发明恶意样本检测方法第二实施例,在本实施例中,上述步骤S1之前还包括:
步骤S101,以预设正常速率运行所述虚拟机,实时获取所述被测样本的记录日志;
在本实施例中,在启动虚拟机的时间变速模式之前,可以先以与真实世界时间流逝速度同步的预设正常速率运行虚拟机系统,并实时获取被测样本在预设正常速率下的记录日志。
步骤S102,分析在预设正常速率下的记录日志是否存在恶意行为;
对被测样本在预设正常速率下的记录日志进行分析,其中,记录日志中记录有被测样本运行过程中调用的API及其传入、返回参数、读写的问题、本释放的文件、网络行为,通过分析上述记录日志中的内容,结合专业的恶意样本恶意行为判断规则,可以对被测样本的记录日志进行恶意行为判定,从而判定被测样本在预设正常速率下是否存在恶意行为。
步骤S103,若在所述预设正常速率下的记录日志存在恶意行为,则判定所述被测样本不存在时间维度潜伏行为;
若不存在,则执行步骤:启动所述虚拟机的时间变速模式,获取被测样本在所述虚拟机的时间变速模式下的记录日志。
若通过分析发现被测样本在预设正常速率下的记录日志中存在恶意行为,则说明该被测样本为恶意样本,且由于该恶意样本在正常时间流速下即可被触发,则其不存在时间维度潜伏行为,故判定该被测样本为不存在时间维度潜伏行为的恶意样本,同时,若判定该被测样本为不存在时间维度潜伏行为的恶意样本,则可以在预设检测停止时刻停止此次检测。
若通过分析发现被测样本在预设正常速率下的记录日志中不存在恶意行为,则说明该被测样本可能是非恶意样本,也有可能是有时间维度潜伏条件的恶意样本,要对其进行判定,需要进行进一步地检测,故执行步骤S1。
通过本实施例提出的恶意样本检测方法,实现了通过以预设正常速率运行被测样本,记录并分析被测样本在以预设正常速率运行过程中的记录日志,从而将不存在时间维度潜伏行为的恶意样本检测出来,避免使用后续的变速步骤,达到提高分析效率的效果。
进一步地,基于上述图2所示的第一实施例,提出本发明恶意样本检测方法第三实施例,在本实施例中,所述时间变速模式包括线性变速模式,上述步骤S1之前还包括:
步骤S101,设置线性变速模式的第一起始时刻、第一结束时刻和线性变速倍数;
若要在虚拟机系统中进行系统时间变速,先要设置线性变速模式的起始运行时刻,即第一起始时刻TLstart,线性变速模式的结束运行时刻,即第一结束时刻TLstop,虚拟机系统时间运行速率相对于真实世界时间流逝速度的倍数,即线性变速倍数N。
其中,TLstart和TLstop都是真实世界时间,在经过线性变速后,虚拟机系统在线性变速模式过程中经历的时间为N*(TLstart-TLstop),与所述第一结束时刻对应的虚拟机系统时刻=TLstart+N*(TLstop-TLstart)。
N值为正浮点数,理论取值范围为0~+∞。
当N等于0时,虚拟机系统内的时间不再增加,虚拟机系统运行停止,系统时间停止;当N大于0,且N小于1时,虚拟机系统运行变慢,虚拟机系统时间相对真实世界时间变慢;当N等于1时,虚拟机系统运行正常,虚拟机系统时间等于真实世界时间;当N大于1时,虚拟机系统运行变快,虚拟机系统时间相对真实世界时间变快。
本实施例中线性变速模式优选N大于1。
进一步地,上述步骤S1包括:
步骤S11,在所述第一起始时刻启动所述线性变速模式;
步骤S12,以预设正常速率的线性变速倍数的运行速率运行所述虚拟机至所述第一结束时刻;
步骤S13,实时获取所述被测样本在所述第一起始时刻与所述第一结束时刻之间的记录日志,作为被测样本在所述线性变速模式下的记录日志。
在第一起始时刻TLstart自动触发运行线性变速模式,以真实世界时间流逝速度的N倍的运行速率运行虚拟机至TLstop,获取被测样本在线性变速过程中的记录日志,即TLstart至TLstop之间的记录日志,作为被测样本在线性变速模式下的记录日志。
通过本实施例提出的恶意样本检测方法,实现了在虚拟机系统中变速运行被测样本,记录并分析被测样本在以变速运行过程中的记录日志,从而为后续恶意行为分析提供支持。
进一步地,基于上述图2所示的第一实施例,提出本发明恶意样本检测方法第四实施例,在本实施例中,所述时间变速模式包括跳变变速模式,上述步骤S1之前还包括:
步骤S101,设置跳变变速模式的第二起始时刻、第二结束时刻、跳过时间和第三结束时刻;
若要在虚拟机系统中进行系统时间变速,先要设置跳变变速模式的起始运行时刻,即第二起始时刻TJstart,跳变变速模式的结束运行时刻,即第二结束时刻TJstop,虚拟机系统时间跳过的时间,即跳过时间△T,以及被测样本在跳变变速模式后进行日志信息记录的结束时刻,即第三结束时刻Tstop,由第二起始时刻和跳过时间得到跳跃落点时刻=第一起始时刻TJstart+跳过时间△T。
其中,TJstart、TJstop和Tstop都是真实世界时间,跳跃落点时刻为虚拟机系统时间经过跳跃后到达的虚拟系统时间点。
△T值为正浮点数,理论取值范围为0~+∞。
进一步地,上述步骤S1包括:
步骤S14,在所述第二起始时刻启动所述跳变变速模式;
步骤S15,控制所述虚拟机跳过所述跳过时间运行至所述第二结束时刻;
步骤S16,在所述第二结束时刻,控制所述虚拟机以预设正常速率运行至第三结束时刻;
步骤S17,获取所述被测样本在所述第二结束时刻和所述第三结束时刻之间的记录日志,作为被测样本在所述跳变变速模式下的记录日志。
在第二起始时刻TJstart自动触发运行跳变变速模式,控制虚拟机在第二结束时刻TJstop跳跃至跳跃落点时刻,在TJstop时控制虚拟机以预设正常速率运行至第三结束时刻Tstop,获取被测样本在跳变变速过程后的记录日志,即TJstart至Tstop之间的记录日志,作为被测样本在跳变变速模式下的记录日志。之所以不对被测样本在跳变变速过程(即TJstart至TJstop)中的动态行为进行记录和分析,是因为虚拟机系统跳跃过的时间可能非常长,若要对被测样本在这个过程中的动态行为进行记录和分析,会消耗大量的资源,与本发明的初衷相悖,因此只对被测样本在跳变变速过程后的记录日志进行记录和获取。
其中,与所述第二结束时刻对应的虚拟机系统时刻=第一起始时刻+跳过时间,与所述第三结束时刻对应的虚拟机系统时刻=第一起始时刻+跳过时间+(第三结束时刻-第二结束时刻)。
通过本实施例提出的恶意样本检测方法,实现了在虚拟机系统中变速运行被测样本,记录并分析被测样本在跳变变速运行过程后的记录日志,从而为后续恶意行为分析提供支持。
第三实施例和第四实施例可以单独实施,即在虚拟机系统中单独运行线性变速模式或者单独运行跳变变速模式;两个实施例也可以组合起来实施,例如,如图3所示,在虚拟机系统中可以先运行线性变速模式,若通过线性变速模式没有检测出被测样本有恶意行为,则接着运行跳变变速模式至TJstop,再以预设正常速率运行虚拟机系统至第三结束时刻Tstop,此时无论是否检测到被测样本的恶意行为,都停止此次检测,反馈检测分析报告,避免资源浪费。
另外,无论是第三实施例单独实施和第四实施例单独实施还是二者组合实施,在运行线性变速模式、跳变变速模式前后都可以穿插以预设正常速率运行的过程,具体如何穿插实施,在此不作限定。
进一步地,基于上述图2所示的第一实施例,提出本发明恶意样本检测方法第五实施例,在本实施例中,上述步骤S2之后还包括:
步骤S21,若所述记录日志不存在恶意行为,则判定所述被测样本不存在时间维度潜伏行为。
在虚拟机系统中单独运行线性变速模式或者单独运行跳变变速模式,也可以两个实施例组合起来实施,若经过以上各种模式后,都没有检测出被测样本有恶意行为,则判定所述被测样本大概率不存在时间维度潜伏行为。
上述步骤S3包括:
步骤S31,若所述记录日志存在恶意行为,则获取所述时间变速模式的类型;
步骤S32,根据所述时间变速模式的类型判断所述被测样本的时间维度潜伏行为类型。
具体地,若记录日志存在恶意行为,首先获取虚拟机系统中时间变速模式的类型,再根据时间变速模式的类型判断被测样本的时间维度潜伏行为类型是计时触发型还是定时触发型。
通过本实施例提出的恶意样本检测方法,实现了定性的判断恶意样本的时间维度潜伏条件类型,达到提高分析效率的效果。
通过本发明实施例提出的技术方案,解决了现有技术中恶意样本动态行为分析,是将恶意样本运行于真实的计算机运行环境,通过分析日志信息来进行恶意样本判别的一种分析方法。但是当前绝大多数恶意软件、病毒或后门都具有时间维度潜伏特性,即感染宿主机器之后不会立即进行恶意操作,而是先潜伏起来运行一段时间后,才会执行恶意行为,动态行为分析的分析时间是固定的,而且相对较短,这样就很难捕获恶意样本的恶意行为,除非消耗大量的无用等待时间,以降低效率的方式增加分析正确率,即使这样,像一些有长期潜伏行为的恶意样本,因为不可能无限期等等下去,是无法获取其恶意行为的。
参见图4,图4为本发明的功能模块示意图。
本发明还提供一种扫描设备,所述扫描设备包括:
获取模块10,启动所述虚拟机的时间变速模式,获取被测样本在所述虚拟机的时间变速模式下的记录日志;
分析模块20,分析在所述时间变速模式下的记录日志是否存在恶意行为;
判定模块30,若所述记录日志存在恶意行为,则根据所述时间变速模式的类型判断所述被测样本的时间维度潜伏行为类型。
本发明恶意样本检测检测装置的具体实施方式与恶意样本检测方法各实施例基本相同,在此不再赘述。
本发明提供了一种存储介质,所述存储介质存储有一个或者一个以上程序,所述一个或者一个以上程序还可被一个或者一个以上的处理器执行以用于实现上述任一项所述的恶意样本检测方法的步骤。
本发明存储介质具体实施方式与恶意样本检测方法各实施例基本相同,在此不再赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者终端不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者终端所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者终端中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (11)
1.一种恶意样本检测方法,其特征在于,所述恶意样本检测方法应用于虚拟机,所述恶意样本检测方法包括以下步骤:
启动所述虚拟机的时间变速模式,获取被测样本在所述虚拟机的时间变速模式下的记录日志;
分析在所述时间变速模式下的记录日志是否存在恶意行为;
若所述记录日志存在恶意行为,则根据所述时间变速模式的类型判断所述被测样本的时间维度潜伏行为类型。
2.如权利要求1所述的恶意样本检测方法,其特征在于,所述时间变速模式包括线性变速模式,所述启动所述虚拟机的时间变速模式,获取被测样本在所述虚拟机的时间变速模式下的记录日志的步骤之前包括:
设置线性变速模式的第一起始时刻、第一结束时刻和线性变速倍数;
所述启动所述虚拟机的时间变速模式,获取被测样本在所述虚拟机的时间变速模式下的记录日志的步骤包括:
在所述第一起始时刻启动所述线性变速模式;
以预设正常速率的线性变速倍数的运行速率运行所述虚拟机至所述第一结束时刻;
获取所述被测样本在所述第一起始时刻与所述第一结束时刻之间的记录日志,作为被测样本在所述线性变速模式下的记录日志。
3.如权利要求1所述的恶意样本检测方法,其特征在于,所述时间变速模式包括跳变变速模式,所述启动所述虚拟机的时间变速模式,获取被测样本在所述虚拟机的时间变速模式下的记录日志的步骤之前包括:
设置跳变变速模式的第二起始时刻、第二结束时刻、跳过时间和第三结束时刻;
所述启动所述虚拟机的时间变速模式,获取被测样本在所述虚拟机的时间变速模式下的记录日志的步骤包括:
在所述第二起始时刻启动所述跳变变速模式;
控制所述虚拟机跳过所述跳过时间运行至所述第二结束时刻;
在所述第二结束时刻,控制所述虚拟机以所述预设正常速率运行至第三结束时刻;
获取所述被测样本在所述第二结束时刻和所述第三结束时刻之间的记录日志,作为被测样本在所述跳变变速模式下的记录日志。
4.如权利要求2或3所述的恶意样本检测方法,其特征在于,所述启动所述虚拟机的时间变速模式,获取被测样本在所述虚拟机的时间变速模式下的记录日志的步骤之前还包括:
以所述预设正常速率运行所述虚拟机,获取所述被测样本的记录日志;
分析在所述预设正常速率下的记录日志是否存在恶意行为;
若在所述预设正常速率下的记录日志存在恶意行为,则判定所述被测样本不存在时间维度潜伏行为;
若不存在,则执行步骤:启动所述虚拟机的时间变速模式,获取被测样本在所述虚拟机的时间变速模式下的记录日志。
5.如权利要求2或3所述的恶意样本检测方法,其特征在于,所述若所述记录日志存在恶意行为,则根据所述时间变速模式的类型判断所述被测样本的时间维度潜伏行为类型的步骤包括:
若所述记录日志存在恶意行为,则获取所述时间变速模式的类型;
根据所述时间变速模式的类型判断所述被测样本的时间维度潜伏行为类型。
6.如权利要求1所述的恶意样本检测方法,其特征在于,所述分析在所述时间变速模式下的记录日志是否存在恶意行为的步骤之后还包括:
若所述记录日志不存在恶意行为,则判定所述被测样本不存在时间维度潜伏行为。
7.如权利要求2所述的恶意样本检测方法,其特征在于,所述第一起始时刻和第一结束时刻为真实世界时间,与所述第一结束时刻对应的虚拟机系统时刻=第一起始时刻+线性变速倍数×(第一结束时刻-第一起始时刻)。
8.如权利要求3所述的恶意样本检测方法,其特征在于,所述第二起始时刻、第二结束时刻和第三结束时刻为真实世界时间,与所述第二结束时刻对应的虚拟机系统时刻=第二起始时刻+跳过时间,与所述第三结束时刻对应的虚拟机系统时刻=第二起始时刻+跳过时间+(第三结束时刻-第二结束时刻)。
9.一种恶意样本检测装置,其特征在于,所述恶意样本检测装置包括:
获取模块,启动所述虚拟机的时间变速模式,获取被测样本在所述虚拟机的时间变速模式下的记录日志;
分析模块,分析在所述时间变速模式下的记录日志是否存在恶意行为;
判定模块,若所述记录日志存在恶意行为,则根据所述时间变速模式的类型判断所述被测样本的时间维度潜伏行为类型。
10.一种恶意样本检测系统,其特征在于,所述恶意样本检测系统包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的恶意样本检测程序,所述恶意样本检测程序被所述处理器执行时实现如权利要求1至8中任一项所述的恶意样本检测方法的步骤。
11.一种存储介质,其特征在于,所述存储介质上存储有恶意样本检测程序,所述恶意样本检测程序被处理器执行时实现如权利要求1至8中任一项所述的恶意样本检测方法的步骤。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811604795.1A CN111368295A (zh) | 2018-12-26 | 2018-12-26 | 恶意样本检测方法、装置、系统及存储介质 |
| PCT/CN2019/126752 WO2020135232A1 (zh) | 2018-12-26 | 2019-12-19 | 恶意样本检测方法、装置、系统及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811604795.1A CN111368295A (zh) | 2018-12-26 | 2018-12-26 | 恶意样本检测方法、装置、系统及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111368295A true CN111368295A (zh) | 2020-07-03 |
Family
ID=71128459
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811604795.1A Pending CN111368295A (zh) | 2018-12-26 | 2018-12-26 | 恶意样本检测方法、装置、系统及存储介质 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN111368295A (zh) |
| WO (1) | WO2020135232A1 (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101959193A (zh) * | 2010-09-26 | 2011-01-26 | 宇龙计算机通信科技(深圳)有限公司 | 一种信息安全检测方法及移动终端 |
| US20130117848A1 (en) * | 2011-11-03 | 2013-05-09 | Ali Golshan | Systems and Methods for Virtualization and Emulation Assisted Malware Detection |
| CN103106364A (zh) * | 2011-11-15 | 2013-05-15 | 株式会社日立制作所 | 程序分析系统和方法 |
| WO2014147618A1 (en) * | 2013-03-20 | 2014-09-25 | Israel Aerospace Industries Ltd. | Accelerating a clock system to identify malware |
| US9542554B1 (en) * | 2014-12-18 | 2017-01-10 | Palo Alto Networks, Inc. | Deduplicating malware |
| US20170220797A1 (en) * | 2014-11-20 | 2017-08-03 | Huawei Technologies Co., Ltd. | Malware Detection Method and Malware Detection Apparatus |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103839003B (zh) * | 2012-11-22 | 2018-01-30 | 腾讯科技(深圳)有限公司 | 恶意文件检测方法及装置 |
| CN103823711A (zh) * | 2014-03-05 | 2014-05-28 | 华为技术有限公司 | 在Java虚拟机中提供相对定时的方法及装置 |
-
2018
- 2018-12-26 CN CN201811604795.1A patent/CN111368295A/zh active Pending
-
2019
- 2019-12-19 WO PCT/CN2019/126752 patent/WO2020135232A1/zh active Application Filing
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101959193A (zh) * | 2010-09-26 | 2011-01-26 | 宇龙计算机通信科技(深圳)有限公司 | 一种信息安全检测方法及移动终端 |
| US20130117848A1 (en) * | 2011-11-03 | 2013-05-09 | Ali Golshan | Systems and Methods for Virtualization and Emulation Assisted Malware Detection |
| CN103106364A (zh) * | 2011-11-15 | 2013-05-15 | 株式会社日立制作所 | 程序分析系统和方法 |
| WO2014147618A1 (en) * | 2013-03-20 | 2014-09-25 | Israel Aerospace Industries Ltd. | Accelerating a clock system to identify malware |
| US20170220797A1 (en) * | 2014-11-20 | 2017-08-03 | Huawei Technologies Co., Ltd. | Malware Detection Method and Malware Detection Apparatus |
| US9542554B1 (en) * | 2014-12-18 | 2017-01-10 | Palo Alto Networks, Inc. | Deduplicating malware |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2020135232A1 (zh) | 2020-07-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108595329B (zh) | 一种应用测试方法、装置及计算机存储介质 | |
| CN108717393B (zh) | 一种应用程序测试方法及移动终端 | |
| CN107329750B (zh) | 应用程序中广告页面的识别方法、跳转方法及移动终端 | |
| US9280451B2 (en) | Testing device | |
| US20150331882A1 (en) | Redundant file deletion method, apparatus and storage medium | |
| US10025694B1 (en) | Monitoring activity of software development kits using stack trace analysis | |
| US9360941B2 (en) | Information processing apparatus, projection system, and information processing method | |
| CN106250434A (zh) | 加载网页的方法及装置 | |
| US20150089491A1 (en) | Software installation method, terminal, and computer storage medium | |
| KR20140126702A (ko) | 관련 문서들에 대한 확장 활성화 기법 | |
| WO2015014259A1 (en) | Method and device for accelerating anti-virus scanning cross-reference to related applications | |
| CN103778373A (zh) | 病毒检测方法及装置 | |
| US20140201842A1 (en) | Identifying stored security vulnerabilities in computer software applications | |
| CN110162730B (zh) | 信息处理方法、装置、计算机设备及存储介质 | |
| WO2014032237A1 (zh) | 网页应用程序的管理方法和装置 | |
| CN102929552A (zh) | 终端和信息搜索方法 | |
| JP2010134643A (ja) | テストケースの選択方法及び選択システム | |
| KR20160029754A (ko) | 소프트웨어 고장의 위치 확정 방법, 장치 및 설비 | |
| CN105279431B (zh) | 一种移动设备中操作信息的记录方法、装置和系统 | |
| CN111522749A (zh) | 页面测试方法、装置、可读存储介质及电子设备 | |
| TW201820198A (zh) | 檢測系統及檢測方法 | |
| CN116069612A (zh) | 一种异常定位方法、装置和电子设备 | |
| Usman et al. | Test case generation from android mobile applications focusing on context events | |
| CN111368295A (zh) | 恶意样本检测方法、装置、系统及存储介质 | |
| CN111435328B (zh) | 应用测试方法、装置、电子设备及可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |