技術領域

本發明主要涉及網絡環境下的惡意代碼分析方法，更確切地是涉及一種基于硬件模擬器的惡意代碼在線分析方法和系統。

背景技術

我國的互聯網正處于快速發展階段，各種互聯網應用層出不窮，互聯網規模不斷膨脹。第27次中國互聯網絡發展狀況統計報告顯示，截至2010年12月，中國網民規模達到4.57億；互聯網普及率攀升至34.3％，較2009年提高5.4個百分點。互聯網迅速發展的背后，蠕蟲(Worm)、僵尸網絡(Botnet)、間諜軟件(SpyWare)、計算機病毒(Computer?Virus)等惡意代碼在互聯網上也以爆發性的速度進行傳播，對商業組織，政府機構以及網絡服務提供商都造成了巨大的損失，并且引發難以估量的安全風險。金山網絡發布的《2010-2011中國互聯網安全研究報告》顯示，2010年病毒集團橫行互聯網，80％的病毒傳播渠道被病毒集團所操控，而作為互聯網最直接的經濟交易平臺，網購人群也成為了病毒集團攻擊的主要目標。

惡意代碼的廣泛傳播，更新速度的大大加快和對抗手段的不斷提高，對現有的檢測和分析技術帶來了嚴峻的挑戰。其特征主要表現在：

(1)惡意代碼版本更新越來越快。由于當前反病毒廠商普遍使用特征碼匹配技術檢測病毒，惡意代碼編寫人員開始嘗試使用短時間內快速修改代碼特征的方法來躲避查殺。

(2)惡意代碼對抗檢測和分析的技術能力不斷提高，生存能力不斷增強。惡意代碼編寫者普遍使用代碼變形、加殼等技術來對自身進行混淆，同時使用底層技術破壞惡意代碼檢測工具和調試工具的工作機理，以干擾工具檢測和研究人員的分析。

(3)惡意代碼行為相似性越來越高，同族變種層出不窮。惡意代碼編寫者通過使用快速修改特征碼和代碼混淆的方法升級惡意代碼，使惡意代碼族群不斷出現變種。同時惡意代碼作者通過模塊化設計，通過更新局部模塊的方法產生新的變種，導致同族惡意代碼之間的行為相似程度越來越高。

目前應對惡意代碼的解決方案仍然是使用殺毒軟件、防火墻等傳統的基于特征碼匹配的惡意代碼檢測和防護手段。如何針對未知惡意代碼樣本展開分析引起了國內外學者的廣泛關注，并且提出了一系列的解決思路和方法。主要可以分為如下三個研究重點：一是惡意代碼分析研究，通過對惡意代碼進行靜態分析和動態分析，分析惡意代碼的行為模式，提取惡意代碼的特征；另一方面是同族惡意代碼識別研究，通過研究二進制文件結構或惡意代碼外部行為的相似性，試圖判定或劃分惡意代碼的族類并以族類為目標進行分析和研究，提取族類特征以解決當前分析和檢測針對單個樣本的問題；最后一方面是惡意代碼檢測研究，通過改進惡意代碼檢測手段提高檢測的準確性，通過使用族類特征提高檢測惡意代碼族類變種的能力。然而針對惡意代碼的分析往往需要專業人員攜帶專業設備進行人工分析，這種分析方法便利性差、且耗費人力物力，因此，在互聯網普及的當下環境中，如何能夠提供一種即準確又方便的在線惡意代碼機理分析服務成為了當下較為迫切的需求。

發明內容

針對上述問題，本發明提出一種基于硬件模擬器的惡意代碼在線分析方法，其目的在于提供一種只需要用戶在互聯網環境下就可以獲得惡意代碼機理分析服務的方法。利用該方法，當用戶需要分析一種惡意代碼時，只需提交該代碼到響應服務器，由服務器通過負載平衡算法等方法自動從應用服務器機群中選擇應用服務器，啟動硬件模擬平臺，運行并分析該惡意代碼，運行結束后形成惡意代碼分析報告并返回給用戶。在這種方式下，可以滿足用戶在各種條件下分析惡意代碼的需求，節約大量的人力物力，同時，本發明中所采用的虛擬化平臺惡意軟件動態分析方法是近年來國際學術界研究的重要思路之一，具有分析透明性好、分析粒度細、分析可控性高等優點，對于惡意代碼分析準確性提供了重要的保障。

根據以上目的，本發明的具體方案為：一種基于硬件模擬器的惡意代碼在線分析方法，其步驟如下：

1)用戶通過瀏覽器提交待分析惡意代碼樣本；

2)響應服務器響應用戶的提交請求，存儲待分析惡意代碼樣本，啟動應用服務器；

3)啟動后的應用服務器將樣本運行參數組織為配置文件；

4)應用服務器按照配置文件將待分析惡意代碼樣本發送到對應的鏡像系統中，然后在硬件模擬器中加載鏡像系統并在鏡像系統中運行惡意代碼樣本；

5)樣本運行結束后應用服務器生成樣本分析報告，并向響應服務器發送完成信號。

在步驟2)中，所述被啟動的應用服務器采用負載平衡方法選出。

所述負載平衡方法的步驟為：

a)查找運行樣本數最小的應用服務器；