本發明涉及一種基于虛擬化行為分析技術的惡意代碼檢測方法及裝置，其中，該裝置包括本地主機和虛擬機，本地主機設置有可視化模塊、虛擬機控制模塊和數據分析模塊，可視化模塊用于將待測可執行文件從本地主機傳送至虛擬機、控制虛擬機控制模塊啟動虛擬機以及從數據分析模塊獲取分析報告；虛擬機控制模塊用于對虛擬機進行控制；數據分析模塊用于分析虛擬機傳送的監控日志文件和將分析結果生成分析報告；虛擬機設置有監控控制模塊和行為監控及網絡流量捕獲模塊，監控控制模塊用于調用行為監控及網絡流量捕獲模塊對待測執行文件進行進程、注冊表、文件、驅動加載和網絡行為的監控并將各種行為記錄在監控日志文件中。

技術領域

本發明涉及計算機安全技術領域，具體地涉及一種基于虛擬化行為分析技術的惡意代碼檢測方法及裝置。

背景技術

隨著計算機，互聯網技術的發展，人們的工作，生活越來越離不開信息技術帶來的生產，生活方式的轉變，工作中需要計算機來處理各種文檔，各種業務，收發電子郵件等。生活中需要計算機來上網沖浪，獲取各種信息，發微博，觀看視頻，網絡游戲等等。互聯網技術的發展該筆那了企業與消費者相互溝通及交互的方式，已成為信息共享與商務交易的主要平臺。同時，互聯網變得日益復雜，沒有界限。高速發展的信息技術給人們的工作生活帶來巨大的遍歷的同時，也受到病毒，木馬，黑客等種種安全威脅和影響。在這其中惡意代碼是當今互聯網的主要安全威脅。在信息安全事件中，絕大部分用戶的經濟損失是由惡意代碼造成的。當前，各種計算機病毒，特洛伊木馬，蠕蟲(Worm),邏輯炸彈以及間諜軟件(Spyware)等惡意軟件呈廣泛蔓延趨勢，其主要危害包括竊取用戶敏感信息，發送垃圾郵件，控制受害主機發動DDos攻擊等。目前惡意代碼并不僅僅局限于國內，出現了許多跨國攻擊情況。

目前主流的惡意代碼查殺技術有靜態特征檢測和動態沙箱技術，傳統的靜態特征檢測，需要建立龐大的病毒特征庫，此方法已經無法趕上網絡上由原本單一的病毒木馬經過加殼，加花，組裝等手段后成為“變種”木馬數量的增長速度，其增長速度非常快，數量巨大，并且無法抵抗新近出現的未知病毒。而傳統的動態沙箱檢測技術，只是虛擬了一個指令解釋器，模擬程序在操作系統中的運行，提取出敏感函數。這種檢測方法的缺點在于，不能夠完全模擬操作系統的真實環境，如CPU輔助處理指令，注冊表信息的讀取，網絡流量監控，驅動層信息的監控等等。

發明內容

本發明旨在提供一種基于虛擬化行為分析技術的惡意代碼檢測方法及裝置，以解決上述問題。為此，本發明采用的具體技術方案如下：

根據本發明的一方面，提供了一種基于虛擬化行為分析技術的惡意代碼檢測裝置，其可包括本地主機和虛擬機，其中，所述本地主機設置有可視化模塊、虛擬機控制模塊和數據分析模塊，所述可視化模塊用于將待測可執行文件從本地主機傳送至虛擬機、控制所述虛擬機控制模塊啟動虛擬機以及從所述數據分析模塊獲取分析報告；所述虛擬機控制模塊用于對虛擬機進行控制；所述數據分析模塊用于分析所述虛擬機傳送的監控日志文件和將分析結果生成分析報告；所述虛擬機設置有監控控制模塊和監控模塊和網絡流量捕獲模塊，所述監控控制模塊用于調用所述行為監控及網絡流量捕獲模塊對待測執行文件進行進程、注冊表、文件、驅動加載和網絡行為的監控并將各種行為記錄在監控日志文件中。

進一步地，所述行為監控及網絡流量捕獲模塊包括進程獲取模塊、進程監控模塊、文件監控模塊、注冊表監控模塊、驅動監控模塊、網絡流量捕獲模塊和日志記錄模塊。

進一步地，所述注冊表監控模塊采用注冊表回調函數對注冊表行為進行監控，所述進程監控模塊、文件監控模塊和驅動監控模塊采用SSDT Hook技術對進程、文件和驅動加載行為進行監控，以及網絡流量捕獲模塊使用TDI層IRP Hook實現對網絡行為的監控。

進一步地，注冊表行為包括創建、修改或刪除注冊表項和/或注冊表鍵值，進程行為包括進程的創建和終止行為，以及文件行為包括文件的創建、覆蓋和刪除行為。

進一步地，所述日志記錄模塊通過驅動程序直接寫文件的操作將檢測到的惡意代碼行為記錄下來。