[发明专利]沙箱虚拟化的检测方法及检测装置

说明书

技术领域

本发明涉及计算机技术领域，具体而言，本发明涉及一种沙箱虚拟化的检测方法，及一种沙箱虚拟化的检测装置。

背景技术

随着计算机技术的发展，各种功能强大的终端操作系统及终端应用程序不断涌现，为用户带来了更加便捷的体验，各终端应用程序的功能涉及到当今社会各领域的方方面面，由于存在不法分子通过计算机技术实现对非法获取的信息进行窃取、修改、破坏等的不法行为，导致终端设备在运行过程中存在着许多的安全隐患，因此，需要先进的检测手段来排除这些潜在的威胁。

随着APT(Advanced Persistent Threat，高级持续性威胁)攻击的流行，静态检测已经无法对APT进行有效地检测监控，因此，动态检测技术也在日益发展，弥补静态检测的不足，从而更加有效地对抗高级威胁。沙箱(Sandbox)是一种动态检测解决方案，用来在隔离的环境中运行未知或不受信任的应用程序或文件，并获取对应的信息。虚拟化是沙箱的关键，直接影响沙箱的功能性、稳定性以及性能。但是现有技术中，每次检测都需要在沙箱中启动一台全新的虚拟机，以保证检测环境未受污染，检测完成后关闭该虚拟机，从而导致需要不停地启动和关闭虚拟机，当待检测的样本数量较多时，该检测方式将耗费大量的系统资源，从而降低虚拟化性能和虚拟化的稳定性，同时，降低了检测的效率，因此，需要一种在保证虚拟化性能的前提下，实现高效的沙箱虚拟化的检测方法。

发明内容

为克服上述技术问题或者至少部分地解决上述技术问题，特提出以下技术方案：

本发明的实施例提出了一种沙箱虚拟化的检测方法，包括：

检测到虚拟机启动指令时，依据启动指令启动相应操作系统运行环境的虚拟机；

在已启动的虚拟机中载入预定的检测引擎及待检测样本，并运行检测引擎；

通过检测引擎检测待检测样本，并生成待检测样本在虚拟机中运行的动态行为信息；

通过分析动态行为信息，生成针对待检测样本的检测报告。

优选地，检测到虚拟机启动指令时，依据启动指令启动相应操作系统运行环境的虚拟机，包括：

检测到多条虚拟机启动指令时，依据各个启动指令依次启动相应操作系统运行环境的虚拟机。

优选地，依据启动指令启动相应操作系统运行环境的虚拟机，具体包括：

确定与启动指令相应操作系统运行环境的虚拟机的系统镜像及对应的快照；

基于系统镜像及对应的快照，在待启动的虚拟机中建立相应操作系统运行环境。

可选地，该方法还包括：

预先生成与多种操作系统运行环境分别对应的虚拟机的系统镜像及对应的快照。

优选地，预先生成与多种操作系统运行环境分别对应的虚拟机的系统镜像及对应的快照，具体包括：

创建与预定操作系统运行环境对应的虚拟机的逻辑分区和逻辑卷，并设置逻辑分区和逻辑卷；

配置虚拟机的配置文件；

启动虚拟机，并在虚拟机中安装预定操作系统的镜像文件，以生成该预定操作系统运行环境对应的虚拟机的系统镜像；

依据虚拟机的系统镜像，生成相应的快照；

其中，配置的虚拟机的配置文件，包括以下任一项：

配置预定操作系统运行环境；配置虚拟机的名称；配置虚拟机的内存大小；配置虚拟机的磁盘信息。

可选地，该方法还包括：

设置启动指令的执行时间和检测单个待检测样本的执行时间；

依据启动指令和检测单个待检测样本的执行时间，确定待启动虚拟机的最大启动数量；

其中，多条虚拟机启动指令的指令数量不超过最大启动数量。

可选地，该方法还包括：

检测到任一台虚拟机启动后，通过桥接网络建立预定网段的局域网；

通过预定局域网的网络协议，为任一台虚拟机分配预定网段的网络地址；

基于已分配的预定网段的网络地址，任一台虚拟机通过预定的源地址转换机制访问外网。

优选地，操作系统运行环境包括以下至少一项：

操作系统的类型；操作系统的架构；操作系统的软件环境；操作系统的安全补丁环境；操作系统的语言。

优选地，待检测样本在虚拟机中运行的动态行为信息，包括以下至少一项：

网络行为信息；访问的文件信息；访问的注册表信息；创建的进程信息。

本发明的另一实施例提出了一种沙箱虚拟化的检测装置，包括：