[发明专利]一种实现沙箱智能检测文件的方法及其沙箱智能检测系统

说明书

技术领域

本发明是关于恶意代码检测领域，特别涉及一种实现沙箱智能检测文件的方法及其沙箱智能检测系统。

背景技术

现在的恶意软件会使用一些技巧，例如插入垃圾代码，代码位置互换，寄存器重新分配、等价代码替换等方式来躲避传统的基于签名的反恶意软件的检测，为了解决这类问题，众多厂商采用沙箱的方式来增强对恶意代码攻击行为的检测能力。

在使用沙箱进行恶意代码检测的过程中，恶意行为的判断基本上都是基于特征匹配的，例如在中国专利，一种恶意代码样本自动处理的方法及装置，CN201410032004.8的专利申请中，提出了采用提取静态特征匹配的方法，同时采用动态特征匹配作为补充。虽然很多沙箱也采用动态分析的方法，但在动态分析过程中存在沙箱环境下无法真实还原被检测文件运行轨迹的问题。

在使用沙箱作为文件分析的过程中，如何判断当前文件已经完成检测，各个厂家也有自己的标准，常用做法是设定一个程序的最长运行时间，当程序达到最长运行时间时判定程序检测完成，结束结束当前检测任务。这种方法存在的问题在于单个文件文件时间过长，即使文件已经无后续操作还需要等待运行超时，导致检测过程中存在无用的工作，降低了检测效率。

发明内容

本发明的主要目的在于克服现有技术中的不足，提供一种实现沙箱智能检测文件的方法及其系统。为解决上述技术问题，本发明的解决方案是：

提供一种实现沙箱智能检测文件的方法，用于对文件进行文件执行行为检测，具体包括下述步骤：

步骤一：沙箱模块接收待检测文件，根据规则生成检测任务，并将检测任务写入数据库中,检测任务状态标记为待检测；

所述检测任务包括自增类型的任务ID、检测文件的文件保存路径和文件类型(通过Magic方式结合文件后缀获取文件类型：若Magic方式能取得文件类型，则将以Magic方式获取到的类型作为当前文件的文件类型，若Magic无法获取到程序文件类型时，则使用文件名后缀作为可执行文件的文件类型)、检测文件的校验值(使用哈希算法获取检测文件的校验值)、指定当次检测文件的检测时间；步骤一重复执行；

步骤二：沙箱模块连接并查询数据库，查询数据库中是否存在检测任务状态为待检测的任务，若无该状态的检测任务，则沙箱模块等待特定时间后重新进行查询操作；

若沙箱模块查询到检测任务状态为待检测的任务，沙箱模块调用虚拟主机公开接口函数(例如使用VBoxManage showvminfo函数获取虚拟主机的当前运行状态)查询当前是否存在可用于执行检测任务的虚拟主机(已关闭或者已保存的虚拟主机均可用于执行检测任务)：若当前虚拟主机均无法进行任务检测，则沙箱模块等待特定时间重新获取虚拟主机状态，若当前存在能用于进行任务检测的虚拟主机，则调用虚拟主机公开接口(例如使用VBoxManage startvm)启动虚拟主机；

虚拟主机启动后，随虚拟主机一同启动的检测模块启动指定端口的监听工作(监听端口号可在检测模块程序中予以指定)；沙箱模块连接虚拟主机的监听端口，沙箱模块通过网络方式，将待检测任务提交给用于本次任务检测的虚拟主机中的检测模块；沙箱模块将当前提交的任务状态标记为已提交，并保持连接等待检测模块数据返回；

检测模块接收到检测任务，读取任务中的文件类型，并查询当前系统中是否存在对应的执行程序可用于执行该待检测文件，若存在则返回初始化成功，否则返回初始化失败；

步骤三：沙箱模块接收步骤二中检测模块返回的初始化信息，根据初始化是否成功来判断该虚拟主机是否可以进行当前检测任务，若初始化成功则表示可以检测当前文件，继续步骤四的处理；若初始化失败则表示不能执行当前检测任务，检测任务结束；沙箱模块将数据库中的当前检测任务状态标记为不可检测；

步骤四：沙箱模块通过网络方式上传待检测文件给检测模块，待检测文件传输完毕，沙箱模块保存与虚拟主机的连接，用来接收检测结果信息；沙箱模块标记当前任务状态为检测中；