CN112749387A - 一种基于沙箱的恶意行为分析方法 - Google Patents
一种基于沙箱的恶意行为分析方法 Download PDFInfo
- Publication number
- CN112749387A CN112749387A CN201911048798.6A CN201911048798A CN112749387A CN 112749387 A CN112749387 A CN 112749387A CN 201911048798 A CN201911048798 A CN 201911048798A CN 112749387 A CN112749387 A CN 112749387A
- Authority
- CN
- China
- Prior art keywords
- software
- malicious
- behavior
- virtual machine
- sandbox
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公布了一种基于沙箱的恶意行为分析方法,解决现有的基于静态特征的恶意软件检测方法具有局限性,无法检测特征码没有包含于特征库中的恶意软件,并且特征码升级具有滞后性,使得检测率不断下降。本方法包括:提交需要动态检测的文件至沙箱,启动一个虚拟机,上传分析脚本和待检测文件至虚拟机中的代理程序;虚拟机中的代理程序根据文件类型选择执行的模块,向恶意软件进程注入Hook系统调用库,对网络流量抓包,模拟用户点击操作行为;保存虚拟机中软件运行的动态行为原始监控结果,与恶意行为特征进行匹配,计算软件恶意行为分值;综合分析静态和动态行为检测结果进行恶意软件推断。
Description
技术领域
本发明涉及计算机安全信息领域,尤其是涉及一种基于沙箱的恶意行为动态分析方法。
背景技术
随着互联网的快速发展,对于恶意软件的检测变得越来越重要,现有的基于静态特征的恶意软件检测方法具有局限性,无法检测特征码没有包含于特征库中的恶意软件,即使是已知恶意软件,也可以通过加壳等模糊处理技术避免被检测到,由于新恶意软件及各种变种产生的速度非常快,特征码升级具有滞后性,使得检测率不断下降。
发明内容
本发明的目的是提供一种基于沙箱的恶意行为分析方法。本发明的上述发明目的是通过以下技术方案得以实现的:
一种基于沙箱的恶意行为分析方法,包括以下步骤:
步骤1:提交需要动态检测的文件至沙箱,启动一个虚拟机,上传分析脚本和待检测文件至虚拟机中的代理程序;
步骤2: 虚拟机中的代理程序根据文件类型选择执行的模块,向恶意软件进程注入Hook系统调用库,对网络流量抓包,模拟用户点击操作行为;
步骤3: 保存虚拟机中软件运行的动态行为原始监控结果,与恶意行为特征进行匹配,计算软件恶意行为分值;
步骤4: 综合分析静态和动态行为检测结果进行恶意软件推断。
所述步骤2中虚拟机中的代理程序根据文件类型选择执行的模块,通过向运行的软件进程注入的方式Hook系统调用,自动模拟人工操作,产生软件操作行为,软件运行过程中调用系统函数时会跳转到劫持的函数,完成相应处理后再正常执行原函数,能够监控运行过程中产生的文件创建、删除、进程创建、进程衍生等行为,注册表中键值的添加、修改、禁用行为。
附图说明
图1为一种基于沙箱的恶意行为分析方法的检测流程图。
具体实施方式
以下结合附图对本发明作进一步详细说明。
参照图1所示,一种基于沙箱的恶意行为分析方法由行为监控、恶意特征匹配、恶意行为关联分析三步骤组成。
步骤1、提交待检测文件至沙箱进行动态行为分析,沙箱启动一个虚拟机,上传分析脚本和待检测文件至虚拟机中的代理程序。
步骤2、虚拟机中的代理程序根据文件类型选择执行的模块,通过向运行的软件进程注入的方式Hook系统调用,自动模拟人工操作,产生软件操作行为,软件运行过程中调用系统函数时会跳转到劫持的函数,完成相应处理后再正常执行原函数,能够监控运行过程中产生的文件创建、删除、进程创建、进程衍生等行为,注册表中键值的添加、修改、禁用行为。
步骤3、虚拟机中的代理程序对网卡进行抓包,捕获软件运行过程中网络通信数据包。
步骤4、虚拟机中的代理程序将监控到的的原始结果提交至沙箱进行恶意行为特征匹配,检测进程注入行为、恶意宏行为、文件伪装行为、反沙箱行为,将捕获的网络数据包提交至suricata检测网络流量中存在的恶意攻击行为。
步骤5、沙箱对匹配到的的恶意行为进行深度关联分析,根据行为的威胁程度和关联性给出软件恶意分值。
本具体实施方式的实施例均为本发明的较佳实施例,并非依此限制本发明的保护范围,故:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。
Claims (2)
1.一种基于沙箱的恶意行为分析方法,其特征在于包括以下步骤:
步骤1:提交需要动态检测的文件至沙箱,启动一个虚拟机,上传分析脚本和待检测文件至虚拟机中的代理程序;
步骤2: 虚拟机中的代理程序根据文件类型选择执行的模块,向恶意软件进程注入Hook系统调用库,对网络流量抓包,模拟用户点击操作行为;
步骤3: 保存虚拟机中软件运行的动态行为原始监控结果,与恶意行为特征进行匹配,计算软件恶意行为分值;
步骤4: 综合分析静态和动态行为检测结果进行恶意软件推断。
2.根据权利要求1所述的一种基于沙箱的恶意行为分析方法,其特征在于:所述步骤2中虚拟机中的代理程序根据文件类型选择执行的模块,通过向运行的软件进程注入的方式Hook系统调用,自动模拟人工操作,产生软件操作行为,软件运行过程中调用系统函数时会跳转到劫持的函数,完成相应处理后再正常执行原函数,能够监控运行过程中产生的文件创建、删除、进程创建、进程衍生等行为,注册表中键值的添加、修改、禁用行为。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911048798.6A CN112749387A (zh) | 2019-10-31 | 2019-10-31 | 一种基于沙箱的恶意行为分析方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911048798.6A CN112749387A (zh) | 2019-10-31 | 2019-10-31 | 一种基于沙箱的恶意行为分析方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112749387A true CN112749387A (zh) | 2021-05-04 |
Family
ID=75640978
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911048798.6A Withdrawn CN112749387A (zh) | 2019-10-31 | 2019-10-31 | 一种基于沙箱的恶意行为分析方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112749387A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117155612A (zh) * | 2023-08-09 | 2023-12-01 | 华能信息技术有限公司 | 一种网络文件内容恶意行为分析方法 |
| CN117540381A (zh) * | 2023-11-13 | 2024-02-09 | 中国人民解放军92493部队信息技术中心 | 一种针对反虚拟化恶意程序的检测方法及系统 |
-
2019
- 2019-10-31 CN CN201911048798.6A patent/CN112749387A/zh not_active Withdrawn
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117155612A (zh) * | 2023-08-09 | 2023-12-01 | 华能信息技术有限公司 | 一种网络文件内容恶意行为分析方法 |
| CN117540381A (zh) * | 2023-11-13 | 2024-02-09 | 中国人民解放军92493部队信息技术中心 | 一种针对反虚拟化恶意程序的检测方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108133139B (zh) | 一种基于多运行环境行为比对的安卓恶意应用检测系统 | |
| Ficco | Malware analysis by combining multiple detectors and observation windows | |
| CN107888554B (zh) | 服务器攻击的检测方法和装置 | |
| EP3704616A1 (en) | Malicious script detection | |
| CN110826064A (zh) | 一种恶意文件的处理方法、装置、电子设备以及存储介质 | |
| CN109214178B (zh) | App应用恶意行为检测方法及装置 | |
| CN113468524B (zh) | 基于rasp的机器学习模型安全检测方法 | |
| CN114090406A (zh) | 电力物联网设备行为安全检测方法、系统、设备及存储介质 | |
| CN108399336B (zh) | 一种安卓应用恶意行为的检测方法及装置 | |
| CN109977671B (zh) | 一种基于编译器修改的Android锁屏型勒索软件检测方法 | |
| CN113946825B (zh) | 一种内存马处理方法及系统 | |
| CN108595953A (zh) | 对手机应用进行风险评估的方法 | |
| CN112749387A (zh) | 一种基于沙箱的恶意行为分析方法 | |
| CN112966264A (zh) | Xss攻击检测方法、装置、设备及机器可读存储介质 | |
| Choi et al. | All‐in‐One Framework for Detection, Unpacking, and Verification for Malware Analysis | |
| CN112565278A (zh) | 一种捕获攻击的方法及蜜罐系统 | |
| CN106845217B (zh) | 一种安卓应用恶意行为的检测方法 | |
| CN111291377A (zh) | 一种应用漏洞的检测方法及系统 | |
| CN112632538A (zh) | 一种基于混合特征的安卓恶意软件检测方法及系统 | |
| CN113722705B (zh) | 一种恶意程序清除方法及装置 | |
| CN113569240B (zh) | 恶意软件的检测方法、装置及设备 | |
| CN111190813B (zh) | 基于自动化测试的安卓应用网络行为信息提取系统及方法 | |
| CN115086081A (zh) | 一种蜜罐防逃逸方法及系统 | |
| CN113420293A (zh) | 一种基于深度学习的安卓恶意应用检测方法及系统 | |
| CN112688926A (zh) | 基于附件的鱼叉式钓鱼邮件检测方法、系统及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20210504 |
|
| WW01 | Invention patent application withdrawn after publication |