[发明专利]沙箱虚拟化的检测方法及检测装置

权利要求书

1.一种沙箱虚拟化的检测方法，其特征在于，包括：

检测到虚拟机启动指令时，依据所述启动指令启动相应操作系统运行环境的虚拟机；

在已启动的虚拟机中载入预定的检测引擎及待检测样本，并运行所述检测引擎；

通过所述检测引擎检测所述待检测样本，并生成所述待检测样本在所述虚拟机中运行的动态行为信息；

通过分析所述动态行为信息，生成针对所述待检测样本的检测报告。

2.根据权利要求1所述的方法，其特征在于，所述检测到虚拟机启动指令时，依据所述启动指令启动相应操作系统运行环境的虚拟机，包括：

检测到多条虚拟机启动指令时，依据各个启动指令依次启动相应操作系统运行环境的虚拟机。

3.根据权利要求1或2所述的方法，其特征在于，所述依据所述启动指令启动相应操作系统运行环境的虚拟机，具体包括：

确定与所述启动指令相应操作系统运行环境的虚拟机的系统镜像及对应的快照；

基于所述系统镜像及对应的快照，在待启动的虚拟机中建立相应操作系统运行环境。

4.根据权利要求3所述的方法，其特征在于，还包括：

预先生成与多种操作系统运行环境分别对应的虚拟机的系统镜像及对应的快照。

5.根据权利要求4所述的方法，其特征在于，所述预先生成与多种操作系统运行环境分别对应的虚拟机的系统镜像及对应的快照，具体包括：

创建与预定操作系统运行环境对应的虚拟机的逻辑分区和逻辑卷，并设置所述逻辑分区和所述逻辑卷；

配置所述虚拟机的配置文件；

启动所述虚拟机，并在所述虚拟机中安装预定操作系统的镜像文件，以生成该预定操作系统运行环境对应的虚拟机的系统镜像；

依据虚拟机的系统镜像，生成相应的快照；

其中，所述配置所述的虚拟机的配置文件，包括以下任一项：

配置预定操作系统运行环境；配置所述虚拟机的名称；配置所述虚拟机的内存大小；配置所述虚拟机的磁盘信息。

6.根据权利要求2所述的方法，其特征在于，还包括：

设置启动指令的执行时间和检测单个待检测样本的执行时间；

依据所述启动指令和检测单个待检测样本的执行时间，确定待启动虚拟机的最大启动数量；

其中，所述多条虚拟机启动指令的指令数量不超过所述最大启动数量。

7.根据权利要求1的方法，其特征在于，还包括：

检测到任一台虚拟机启动后，通过桥接网络建立预定网段的局域网；

通过预定局域网的网络协议，为所述任一台虚拟机分配所述预定网段的网络地址；

基于已分配的所述预定网段的网络地址，所述任一台虚拟机通过预定的源地址转换机制访问外网。

8.根据权利要求1-7任一项的方法，其特征在于，所述操作系统运行环境包括以下至少一项：

操作系统的类型；操作系统的架构；操作系统的软件环境；操作系统的安全补丁环境；操作系统的语言。

9.根据权利要求1-7任一项的方法，其特征在于，所述待检测样本在所述虚拟机中运行的动态行为信息，包括以下至少一项：

网络行为信息；访问的文件信息；访问的注册表信息；创建的进程信息。

10.一种沙箱虚拟化的检测装置，其特征在于，包括：

检测及启动模块，用于检测到虚拟机启动指令时，依据所述启动指令启动相应操作系统运行环境的虚拟机；

载入及运行模块，用于在已启动的虚拟机中载入预定的检测引擎及待检测样本，并运行所述检测引擎；

检测及生成模块，用于通过所述检测引擎检测所述待检测样本，并生成所述待检测样本在所述虚拟机中运行的动态行为信息；

分析及生成模块，用于通过分析所述动态行为信息，生成针对所述待检测样本的检测报告。