[发明专利]一种基于硬件模拟器的恶意代码在线分析方法及系统

说明书

技术领域

本发明主要涉及网络环境下的恶意代码分析方法，更确切地是涉及一种基于硬件模拟器的恶意代码在线分析方法和系统。

背景技术

我国的互联网正处于快速发展阶段，各种互联网应用层出不穷，互联网规模不断膨胀。第27次中国互联网络发展状况统计报告显示，截至2010年12月，中国网民规模达到4.57亿；互联网普及率攀升至34.3％，较2009年提高5.4个百分点。互联网迅速发展的背后，蠕虫(Worm)、僵尸网络(Botnet)、间谍软件(SpyWare)、计算机病毒(Computer Virus)等恶意代码在互联网上也以爆发性的速度进行传播，对商业组织，政府机构以及网络服务提供商都造成了巨大的损失，并且引发难以估量的安全风险。金山网络发布的《2010-2011中国互联网安全研究报告》显示，2010年病毒集团横行互联网，80％的病毒传播渠道被病毒集团所操控，而作为互联网最直接的经济交易平台，网购人群也成为了病毒集团攻击的主要目标。

恶意代码的广泛传播，更新速度的大大加快和对抗手段的不断提高，对现有的检测和分析技术带来了严峻的挑战。其特征主要表现在：

(1)恶意代码版本更新越来越快。由于当前反病毒厂商普遍使用特征码匹配技术检测病毒，恶意代码编写人员开始尝试使用短时间内快速修改代码特征的方法来躲避查杀。

(2)恶意代码对抗检测和分析的技术能力不断提高，生存能力不断增强。恶意代码编写者普遍使用代码变形、加壳等技术来对自身进行混淆，同时使用底层技术破坏恶意代码检测工具和调试工具的工作机理，以干扰工具检测和研究人员的分析。

(3)恶意代码行为相似性越来越高，同族变种层出不穷。恶意代码编写者通过使用快速修改特征码和代码混淆的方法升级恶意代码，使恶意代码族群不断出现变种。同时恶意代码作者通过模块化设计，通过更新局部模块的方法产生新的变种，导致同族恶意代码之间的行为相似程度越来越高。

目前应对恶意代码的解决方案仍然是使用杀毒软件、防火墙等传统的基于特征码匹配的恶意代码检测和防护手段。如何针对未知恶意代码样本展开分析引起了国内外学者的广泛关注，并且提出了一系列的解决思路和方法。主要可以分为如下三个研究重点：一是恶意代码分析研究，通过对恶意代码进行静态分析和动态分析，分析恶意代码的行为模式，提取恶意代码的特征；另一方面是同族恶意代码识别研究，通过研究二进制文件结构或恶意代码外部行为的相似性，试图判定或划分恶意代码的族类并以族类为目标进行分析和研究，提取族类特征以解决当前分析和检测针对单个样本的问题；最后一方面是恶意代码检测研究，通过改进恶意代码检测手段提高检测的准确性，通过使用族类特征提高检测恶意代码族类变种的能力。然而针对恶意代码的分析往往需要专业人员携带专业设备进行人工分析，这种分析方法便利性差、且耗费人力物力，因此，在互联网普及的当下环境中，如何能够提供一种即准确又方便的在线恶意代码机理分析服务成为了当下较为迫切的需求。

发明内容

针对上述问题，本发明提出一种基于硬件模拟器的恶意代码在线分析方法，其目的在于提供一种只需要用户在互联网环境下就可以获得恶意代码机理分析服务的方法。利用该方法，当用户需要分析一种恶意代码时，只需提交该代码到响应服务器，由服务器通过负载平衡算法等方法自动从应用服务器机群中选择应用服务器，启动硬件模拟平台，运行并分析该恶意代码，运行结束后形成恶意代码分析报告并返回给用户。在这种方式下，可以满足用户在各种条件下分析恶意代码的需求，节约大量的人力物力，同时，本发明中所采用的虚拟化平台恶意软件动态分析方法是近年来国际学术界研究的重要思路之一，具有分析透明性好、分析粒度细、分析可控性高等优点，对于恶意代码分析准确性提供了重要的保障。

根据以上目的，本发明的具体方案为：一种基于硬件模拟器的恶意代码在线分析方法，其步骤如下：

1)用户通过浏览器提交待分析恶意代码样本；

2)响应服务器响应用户的提交请求，存储待分析恶意代码样本，启动应用服务器；

3)启动后的应用服务器将样本运行参数组织为配置文件；

4)应用服务器按照配置文件将待分析恶意代码样本发送到对应的镜像系统中，然后在硬件模拟器中加载镜像系统并在镜像系统中运行恶意代码样本；

5)样本运行结束后应用服务器生成样本分析报告，并向响应服务器发送完成信号。

在步骤2)中，所述被启动的应用服务器采用负载平衡方法选出。

所述负载平衡方法的步骤为：

a)查找运行样本数最小的应用服务器；