[发明专利]一种基于蜜罐的恶意软件收集和分析方法

权利要求书

1.一种基于蜜罐的恶意软件收集和分析方法，其特征在于，所述方法包括：

步骤1：对恶意软件进行样本数据收集，通过低交互蜜罐对收集的样本数据进行过滤噪声数据处理；

步骤2：基于中央数据库对过滤噪声数据后的样本数据进行判断处理，判断所述恶意软件的样本是否为已知的恶意样本，若为已知的恶意样本，则自动生成相应的分析结果；若为新的恶意样本，则一方面将新的恶意样本存储在中央数据库中，同时另一方面将新的恶意样本传输给高交互蜜罐与虚拟机进行分析处理；

步骤3：在恶意软件的执行期间通过预设分析系统来获取恶意软件的相关信息与执行逻辑，从而确定恶意软件下一步执行需要使用的服务和协议；在确定恶意软件的下一步动作之后，虚拟出恶意软件所需要的环境，其中，所述步骤1到步骤3均在同一平台中进行；所述预设分析系统具体包括：分析恶意软件的主机系统和混合系统；所述混合系统具体为：将高交互蜜罐和虚拟机内省架构进行混合；所述通过预设分析系统来获取恶意软件的相关信息与执行逻辑，具体为：基于混合系统与分析恶意软件的主机系统间进行交互操作，来获取恶意软件的相关信息与执行逻辑。

2.根据权利要求1所述的基于蜜罐的恶意软件收集和分析方法，其特征在于，所述预设分析系统的具体分析流程为：

在第一次获取新样本时，通过解码器对样本进行解码，获取其shellcode，若解析成功并且里面包含一个指向真正恶意二进制的URL，系统将此URL中的二进制下载后，等到虚拟机重置，开始下一个迭代分析；若解析失败，则直接进入下一个迭代。

3.根据权利要求2所述的基于蜜罐的恶意软件收集和分析方法，其特征在于，在所述预设分析系统的整个分析过程中通过挂钩系统调用监控实际产生的系统调用，从中找出需要的动作。

4.根据权利要求1所述的基于蜜罐的恶意软件收集和分析方法，其特征在于，在通过预设分析系统对恶意软件进行分析时，在预设条件下暂停恶意软件的进一步执行，并利用暂停时间对恶意软件的操作指令和数据进行分析，预测恶意软件的下一步行为，在预测完成后能够恢复恶意软件的执行。

5.根据权利要求4所述的基于蜜罐的恶意软件收集和分析方法，其特征在于，通过预设分析系统对恶意软件进行暂停恢复处理具体为：在对恶意软件的通信密钥进行拦截之后暂停恶意软件执行，期间通过解密加密通道提取恶意软件的请求条件，并进行相应的处理来保证恶意软件和外部网络的所有交互都被识别。

6.根据权利要求1所述的基于蜜罐的恶意软件收集和分析方法，其特征在于，本方法在处理恶意软件时，自动识别恶意软件的通信指令用以生成服务仿真脚本，并将脚本功能自动加入到学习系统中。

7.根据权利要求4所述的基于蜜罐的恶意软件收集和分析方法，其特征在于，暂停恶意软件运行时提取关键信息，并在恶意软件运行时将提取到的关键信息插入到虚拟机内存，对制远程命令和控制服务器通道进行间接控制。

8.根据权利要求1所述的基于蜜罐的恶意软件收集和分析方法，其特征在于，本方法是基于二进制代码级别进行处理的。