[发明专利]恶意程序行为自动化分析、检测与分类系统及方法

摘要

本发明公开了一种恶意程序行为自动化分析、检测与分类系统及方法。该系统包括静态分析模块、沙盒调度管理模块、沙盒监控模块、行为抽象模块和检测与分类模块。本发明与现有技术相比具有以下优点：第一，本发明基于指令集仿真环境的行为监测技术。第二，本发明在沙盒中通过环境配置和修改服务器程序等手段构建虚拟Internet，模拟普遍的网络服务，使得恶意程序发起的DNS解析、http访问、文件下载、Email登录、邮件发送等操作能够成功执行，诱骗恶意程序产生恶意网络行为，同时确保这些网络行为不会对宿主机和真实网络造成破坏，克服了恶意程序动态行为分析中恶意程序网络行为无法充分表现等缺点。

主权项

一种恶意程序行为自动化分析、检测与分类系统，其特征在于，包括如下模块：(1).静态分析模块：在对样本文件进行沙盒动态分析之前，可以对可执行文件的结构进行静态分析，以得到尽可能多的与样本相关的信息，由这些信息得到样本文件的静态分析报告，和之后的各种报告成为行为抽象模块最原始的数据来源；(2).沙盒调度管理模块：沙盒调度管理模块管理每个沙盒、协调样本和数据的传输、控制样本自动化分析的流程；沙盒调度管理模块控制每一个沙盒的启动和退出，实现与每一个沙盒的信息交换与文件传输，控制样本的执行和主机环境模拟；(3).沙盒监控模块：沙盒监控模块以捕获特定进程发起的API调用及其参数为主要目标，同时提取该进程加载模块和操作系统为其维护的相关内核数据。本发明使用开源模拟器Qemu作为基础的虚拟机软件，并且对其CPU模拟中的指令解释执行部分核心代码进行修改，实现监控特定进程主机行为的目的。这种基于指令集仿真环境的行为监测技术可以从指令级开始自下而上实现系统调用、进程等内核模块重构来获取恶意程序动态执行中的行为，并且宿主机与恶意程序执行的沙盒环境相隔离，在很大程度上避免了恶意程序在执行过程中对宿主机的影响；(4).行为抽象模块：在沙盒监控模块完成对恶意程序的执行和API的捕获之后，可以获得该样本程序运行期间使用的API函数及其参数的报告；但是该API报告直接用于恶意程序分类，存在一些障碍，所以需要从API序列中抽象得到样本表现的行为；(5).检测与分类模块：恶意程序检测任务是一个标准的多分类任务。为了判断用户提交的分析文件是否是恶意程序，若是需进一步判断属于哪一种恶意程序，必须首先建立起分类模型；采用集成学习的思想建立分类模型，集成学习的思想使用不同的策略将一个大问题划分为若干的小问题分别求解，或是生成多个学习器解决同一问题，接着通过集成策略将不同子分类器的输出结果合成，得到单一的最终输出结果。