[发明专利]一种基于虚拟机自省的病毒检测系统及方法

权利要求书

1.一种基于虚拟机自省的病毒检测系统，其特征在于，包括病毒行为特征库以及基于虚拟机自省工具的进程行为跟踪数据模块两部分，它们分别连接至进程行为分析模块，以供后者进行对比检测；其中，病毒行为特征库连接至对病毒样本进行自动化分析的病毒行为分析模块。

2.权利要求1所述系统对应的一种基于虚拟机自省的病毒检测方法，其特征在于，包括步骤：

S1.建立病毒样本库，利用病毒行为分析模块对其中的病毒样本进行自动化分析，进而从行为数据中提取构建病毒检测用的病毒行为特征库；

S2.基于虚拟机自省工具，从虚拟机监视器层面对非特权域虚拟机内部的过程行为监控，构建过程行为跟踪数据模块；

S3.利用过程行为分析模块对过程行为跟踪数据模块与病毒行为特征库进行对比分析，实现对虚拟机内部的病毒检测。

3.根据权利要求2所述的病毒检测方法，其特征在于，还包括步骤S4，基于虚拟机监视器对客户虚拟机的干涉功能，对存在安全威胁的虚拟机进行关机操作。

4.根据权利要求2所述的病毒检测方法，其特征在于，步骤S1的具体方法是：

S1-1.对病毒样本进行行为监控，记录下病毒的行为信息；

S1-2.对行为信息进行分类提取，写入到对应的病毒行为特征库文件中。

5.根据权利要求4所述的病毒检测方法，其特征在于，步骤S1-1的具体方法是：采用沙盒技术对病毒样本进行自动化分析，通过将病毒投入到虚拟机系统中，并在虚拟机中设置API钩子等监控方式后，实际运行病毒程序，对其进程行为进行自动化的行为跟踪，并记录下行为信息。

6.根据权利要求5所述的病毒检测方法，其特征在于，自动化分析的具体方法如下：

S1-1-1.向病毒行为分析引擎提交病毒分析任务，进入任务队列，倘若能获取空闲虚拟机，进入步骤S1-1-2，否则阻塞等待；

S1-1-2.将病毒样本拷贝到空闲虚拟机的相应共享目录中，创建分析脚本，开启网络监听，启动虚拟机，保存虚拟机此时的内存快照，然后将病毒样本与分析脚本拷贝到虚拟机中，启动分析任务；

S1-1-3.利用API钩子函数等监控工具，自动记录病毒样本的行为数据；

S1-1-4.病毒运行结束或系统运行到达预设限定时间时，停止任务执行并将分析所得的行为数据输出，虚拟机恢复到任务执行前的内存状态，任务执行结束。

7.根据权利要求4所述的病毒检测方法，其特征在于，步骤S1-2的具体方法是：对步骤S1-1输出的病毒样本各自的行为数据进行统一化的分析归类，提取出病毒行为中特定的恶意行为并将之分类写入到病毒行为特征库文件中，这一系列病毒行为特征库文件即为进行病毒检测时的判定标准。

8.根据权利要求4所述的病毒检测方法，其特征在于，步骤S1-2的具体方法如下：

S1-2-1.将获取到的病毒样本行为日志中记录的病毒行为进行分类，按照其行为目的等分为：进程注入、进程创建、注册表写入、进程注入、启动系统服务、网络操作行为；

S1-2-2.对正常可执行程序行为进行分析，作为与病毒行为进行对比分析的参照；

S1-2-3.将正常可执行程序与病毒程序的行为进行分类对比，将病毒行为安装威胁度分为特种病毒识别、极度可疑行为、轻度可疑行为、不可疑行为四个类别，将属于特种病毒识别与极度可疑行为类的行为及其参数分类写入病毒行为特征库文件，构建形成病毒行为特征库。

9.根据权利要求2所述的病毒检测方法，其特征在于，步骤S2的具体方法是：基于病毒行为自省技术，在虚拟化系统中建立病毒检测系统，该系统利用虚拟机自省技术与工具，实现从虚拟机外部对虚拟机内部进程行为进行监控。

10.根据权利要求2所述的病毒检测方法，其特征在于，步骤S3的具体方法如下：

S3-1.开始，加载病毒行为特征库目录；

S3-2.获取一项进程行为信息；

S3-3.将进程行为信息与病毒行为特征库匹配，进行匹配命中判断，倘若匹配则进入步骤S3-4，否则直接进入步骤S3-5；

S3-4.可疑行为数加一，进入步骤S3-5；

S3-5.判断所有进程行为是否匹配结束，倘若是则进入步骤S3-6，否则返回步骤S3-2；

S3-6.判断可疑行为数是否大于阈值，是则判断为病毒，否则判断为不是病毒，结束。