1.一種惡意程序行為自動化分析、檢測與分類系統(tǒng)，其特征在于，包括如下模塊：

(1).靜態(tài)分析模塊：在對樣本文件進行沙盒動態(tài)分析之前，可以對可執(zhí)行文件的結(jié)構(gòu)進行靜態(tài)分析，以得到盡可能多的與樣本相關(guān)的信息，由這些信息得到樣本文件的靜態(tài)分析報告，和之后的各種報告成為行為抽象模塊最原始的數(shù)據(jù)來源；

(2).沙盒調(diào)度管理模塊：沙盒調(diào)度管理模塊管理每個沙盒、協(xié)調(diào)樣本和數(shù)據(jù)的傳輸、控制樣本自動化分析的流程；沙盒調(diào)度管理模塊控制每一個沙盒的啟動和退出，實現(xiàn)與每一個沙盒的信息交換與文件傳輸，控制樣本的執(zhí)行和主機環(huán)境模擬；

(3).沙盒監(jiān)控模塊：沙盒監(jiān)控模塊以捕獲特定進程發(fā)起的API調(diào)用及其參數(shù)為主要目標，同時提取該進程加載模塊和操作系統(tǒng)為其維護的相關(guān)內(nèi)核數(shù)據(jù)。本發(fā)明使用開源模擬器Qemu作為基礎(chǔ)的虛擬機軟件，并且對其CPU模擬中的指令解釋執(zhí)行部分核心代碼進行修改，實現(xiàn)監(jiān)控特定進程主機行為的目的。這種基于指令集仿真環(huán)境的行為監(jiān)測技術(shù)可以從指令級開始自下而上實現(xiàn)系統(tǒng)調(diào)用、進程等內(nèi)核模塊重構(gòu)來獲取惡意程序動態(tài)執(zhí)行中的行為，并且宿主機與惡意程序執(zhí)行的沙盒環(huán)境相隔離，在很大程度上避免了惡意程序在執(zhí)行過程中對宿主機的影響；

(4).行為抽象模塊：在沙盒監(jiān)控模塊完成對惡意程序的執(zhí)行和API的捕獲之后，可以獲得該樣本程序運行期間使用的API函數(shù)及其參數(shù)的報告；但是該API報告直接用于惡意程序分類，存在一些障礙，所以需要從API序列中抽象得到樣本表現(xiàn)的行為；

(5).檢測與分類模塊：惡意程序檢測任務(wù)是一個標準的多分類任務(wù)。為了判斷用戶提交的分析文件是否是惡意程序，若是需進一步判斷屬于哪一種惡意程序，必須首先建立起分類模型；采用集成學習的思想建立分類模型，集成學習的思想使用不同的策略將一個大問題劃分為若干的小問題分別求解，或是生成多個學習器解決同一問題，接著通過集成策略將不同子分類器的輸出結(jié)果合成，得到單一的最終輸出結(jié)果。

2.根據(jù)權(quán)利要求1所述的惡意程序行為自動化分析、檢測與分類系統(tǒng)，其特征在于：沙盒監(jiān)控模塊包括：作為惡意程序虛擬執(zhí)行環(huán)境的Guest?OS單元；改造過的全系統(tǒng)模擬器Qemu監(jiān)控器單元；Guest?OS單元包括了網(wǎng)絡(luò)數(shù)據(jù)包監(jiān)控、快照對比、主機事件模擬等功能，Qemu監(jiān)控器單元包括了進程識別與多進程監(jiān)控、API監(jiān)控、API依賴關(guān)系分析與冗余數(shù)據(jù)過濾功能。

3.根據(jù)權(quán)利要求2所述的惡意程序行為自動化分析、檢測與分類系統(tǒng)，其特征在于：Guest?OS單元是運行惡意程序樣本的環(huán)境，選擇Windows?XP操作系統(tǒng)作為GuestOS；Guest?OS單元與宿主機之間通過虛擬網(wǎng)絡(luò)連接，由沙盒調(diào)度管理模塊負責交互。

4.根據(jù)權(quán)利要求2所述的惡意程序行為自動化分析、檢測與分類系統(tǒng)，其特征在于：沙盒監(jiān)控模塊的Qemu監(jiān)控器單元比Guest?OS單元有著更高特權(quán)等級，用于監(jiān)控目標程序的行為；Qemu監(jiān)控器單元使用開源模擬器Qemu作為基礎(chǔ)的虛擬機軟件，但是對其CPU模擬中的指令解釋執(zhí)行部分核心代碼進行修改，實現(xiàn)監(jiān)控特定進程主機行為的目的。

5.根據(jù)權(quán)利要求4所述的惡意程序行為自動化分析、檢測與分類系統(tǒng)，其特征在于：所述的Qemu監(jiān)控器單元進行進程識別的方法是：沙盒監(jiān)控模塊在每一個翻譯塊開始執(zhí)行前，利用虛擬內(nèi)存讀寫函數(shù)，以內(nèi)核數(shù)據(jù)結(jié)構(gòu)KPCR為線索，找到系統(tǒng)中當前正在執(zhí)行進程的EPROCESS結(jié)構(gòu)體起始地址；接著，通過EPROCESS結(jié)構(gòu)中保存的進程名判斷當前正在執(zhí)行進程是否是目標進程，若是則從中讀取操作系統(tǒng)分配給該進程的頁目錄基址值；之后，將該值與虛擬CR3寄存器中存儲的值做比較，判斷監(jiān)控進程是否正在執(zhí)行；僅在目標進程執(zhí)行時進行行為數(shù)據(jù)采集。