本發(fā)明公開了一種行為監(jiān)控分析方法與系統(tǒng)，在宿主機(jī)建立虛擬客戶機(jī)候選系統(tǒng)集合，根據(jù)用戶從該集合中所選系統(tǒng)，啟動對應(yīng)虛擬客戶機(jī)；虛擬客戶機(jī)啟動完畢后，用戶通過宿主機(jī)控制虛擬客戶機(jī)初始化函數(shù)監(jiān)控功能；初始化完畢后，控制虛擬客戶機(jī)進(jìn)行行為觸發(fā)，并監(jiān)控虛擬客戶機(jī)的運(yùn)行情況，輸出監(jiān)控日志。系統(tǒng)包括虛擬客戶機(jī)系統(tǒng)鏡像維護(hù)模塊、虛擬客戶機(jī)行為監(jiān)控初始化模塊以及虛擬客戶機(jī)行為監(jiān)控模塊。本發(fā)明基于二進(jìn)制指令翻譯虛擬化技術(shù)進(jìn)行虛擬客戶機(jī)行為監(jiān)控；并通過修改虛擬化流程，不需要修改客戶機(jī)系統(tǒng)源碼，克服了在操作系統(tǒng)版本不斷更新迭代，市場上操作系統(tǒng)繁多的環(huán)境下，傳統(tǒng)動態(tài)監(jiān)控系統(tǒng)不夠靈活、無法隨意變更所監(jiān)控系統(tǒng)的缺點。

技術(shù)領(lǐng)域

本發(fā)明涉及虛擬化監(jiān)控技術(shù)領(lǐng)域，特別涉及一種行為監(jiān)控分析方法與系統(tǒng)。

背景技術(shù)

近日，360安全大腦發(fā)布的《2019年Android惡意軟件專題報告》顯示，360安全大腦在2019年共截獲移動端新增惡意軟件樣本共約180.9萬個。瑞星發(fā)布的《2019年中國網(wǎng)絡(luò)安全報告》顯示，2019年瑞星“云安全”系統(tǒng)共截獲病毒樣本總量1.03億個，病毒感染次數(shù)4.38億次，病毒總體數(shù)量比2018年同期上漲32.69％。在安全環(huán)境相對惡劣的當(dāng)下，惡意軟件層出不窮，時刻威脅著每一位用戶的利益、眾多行業(yè)的正常發(fā)展，甚至對國家安全有所影響。

為了更加準(zhǔn)確、全面地分析識別惡意軟件，并且為了應(yīng)對大多數(shù)惡意軟件的加殼，我們通常采用動態(tài)分析的方法對各類應(yīng)用程序進(jìn)行分析。而監(jiān)控操作系統(tǒng)系統(tǒng)和應(yīng)用程序的行為，是動態(tài)分析必不可少的一個階段，是動態(tài)分析的根基。

目前，被廣泛采用的操作系統(tǒng)和應(yīng)用程序行為監(jiān)控方式主要是Hook技術(shù)，或采用定制的操作系統(tǒng)系統(tǒng)。通常采用修改系統(tǒng)內(nèi)核、靜態(tài)插樁、動態(tài)注入或是替換函數(shù)地址的方式，對操作系統(tǒng)和應(yīng)用程序行為進(jìn)行監(jiān)控。雖然這種方法可以很好地監(jiān)控到操作系統(tǒng)和應(yīng)用程序的行為，但上述的監(jiān)控方法都是不靈活的，設(shè)計出的動態(tài)監(jiān)控平臺通常只支持單一版本的操作系統(tǒng)，且很難更換版本或其它系統(tǒng)。這難以適應(yīng)大眾用戶使用的操作系統(tǒng)繁多以及操作系統(tǒng)版本不盡相同并且操作系統(tǒng)版本不斷更新迭代的環(huán)境。

發(fā)明內(nèi)容

為了克服上述現(xiàn)有技術(shù)的缺點，本發(fā)明的目的在于提供一種多系統(tǒng)兼容的，不依賴于特定系統(tǒng)或系統(tǒng)版本的行為監(jiān)控分析方法與系統(tǒng)，對使用基于二進(jìn)制指令翻譯的虛擬化技術(shù)運(yùn)行的客戶機(jī)進(jìn)行行為監(jiān)控，獲取客戶機(jī)的指令運(yùn)行、進(jìn)程創(chuàng)建、系統(tǒng)調(diào)用和函數(shù)調(diào)用等行為信息；本發(fā)明支持用戶選擇不同系統(tǒng)進(jìn)行虛擬客戶機(jī)的啟動以及應(yīng)用程序的安裝運(yùn)行，提供對虛擬客戶機(jī)指令的監(jiān)控、虛擬客戶機(jī)進(jìn)程列表的監(jiān)控、虛擬客戶機(jī)系統(tǒng)調(diào)用情況的監(jiān)控以及虛擬客戶機(jī)函數(shù)調(diào)用情況的監(jiān)控等。同時輸出格式化的日志。結(jié)果顯示該方法在不同系統(tǒng)下，可以有效監(jiān)控虛擬機(jī)的行為，并且可以便捷地更換操作系統(tǒng)或系統(tǒng)版本。

為了實現(xiàn)上述目的，本發(fā)明采用的技術(shù)方案是：

行為監(jiān)控分析方法，包括：

在宿主機(jī)建立虛擬客戶機(jī)候選系統(tǒng)集合，根據(jù)用戶從該集合中所選系統(tǒng)，啟動對應(yīng)虛擬客戶機(jī)，所述虛擬客戶機(jī)采用二進(jìn)制指令翻譯虛擬化技術(shù)運(yùn)行，并與用戶所選系統(tǒng)一一對應(yīng)；

虛擬客戶機(jī)啟動完畢后，用戶通過宿主機(jī)控制虛擬客戶機(jī)初始化函數(shù)監(jiān)控功能；

初始化完畢后，控制虛擬客戶機(jī)進(jìn)行行為觸發(fā)，并監(jiān)控虛擬客戶機(jī)的運(yùn)行情況，輸出監(jiān)控日志。

所述宿主機(jī)為虛擬客戶機(jī)的運(yùn)行平臺，用戶通過宿主機(jī)選擇虛擬客戶機(jī)候選系統(tǒng)集合內(nèi)的任意一個系統(tǒng)作為虛擬客戶機(jī)的操作系統(tǒng)，對虛擬客戶機(jī)進(jìn)行行為觸發(fā)與監(jiān)控。