[发明专利]一种基于虚拟执行的病毒检测系统

说明书

技术领域

本发明涉及计算机系统领域，尤其涉及一种基于虚拟执行的病毒检测系统。

背景技术

当前计算机系统的安全防护很大程度上依赖于商用反病毒产品的病毒库更新，即所谓特征码扫描。这种方法的主要思想是，分析出病毒的特征病毒码并集中存放于病毒代码库文件中，在扫描时将扫描对象与特征代码库比较，如果匹配则判断为染上病毒。该技术实现简单有效，安全彻底，但是存在以下问题：（1）查杀病毒总是滞后于病毒的流行；（2）庞大的特征码库会造成查毒速度下降。

当前，智能引擎技术已经解决了查毒速度下降的问题，使得病毒扫描速度不随病毒库的增大而减慢，但是查杀病毒滞后的问题仍然无法解决。

对未知病毒的查杀是反病毒行业的持久课题，目前国内外多家公司都宣布自己的产品可以对未知病毒进行查杀，但事实上，国内外的产品中只有少数可以对未知病毒进行预警，更无法做到彻底清除。

为了能赶上病毒编写者的步伐，反病毒软件开始依赖于病毒自动分析工具。然而病毒分析面临一些隐藏技术，例如多态（polymorphism）和模糊（obfuscation）等时变得束手无策。这些隐藏技术尤其对字节级内容分析和静态病毒分析特别奏效。相对静态分析而言，运行时的动态二进制分析可以监测病毒的执行行为，而这些执行行为是无法隐藏的。目前国际上很多研究工作开始向这方面转移。

对于动态分析技术而言，可疑程序的潜在破坏性是一个令人头疼的问题，故而迫切需要一种基于虚拟执行的病毒检测系统，其既可以执行可疑程序，又能保证程序的执行不会给系统带来任何破坏性的后果。

发明内容

本发明所要解决的技术问题之一是需要提供一种能够解决可疑程序的潜在破坏性的病毒检测系统。

为了解决上述技术问题，本发明提供了一种基于虚拟执行的病毒检测系统，包括：病毒样本收集器，其收集未知病毒；虚拟机，其执行所述未知病毒，并获取执行所述未知病毒时的执行行为报告；行为分析器，其根据已知病毒的病毒行为模式，对执行所述未知病毒时的执行行为报告进行分析，以判断所述未知病毒是否为病毒。

进一步，所述病毒样本收集器还收集已知病毒；所述虚拟机执行所述已知病毒，并获取执行所述已知病毒时的执行行为报告；所述行为分析器进一步包括：特征提取和格式转换模块，其根据设定函数，从执行所述已知病毒时的执行行为报告中提取出病毒特征向量，并将所述病毒特征向量转换成与所使用的分类器构造算法相对应的格式；

分类器构造模块，其利用分类器构造算法，基于转换格式后的病毒特征向量来构造出包含病毒行为模式的病毒分类器；

分类器模块，其包括所述病毒分类器，所述病毒分类器根据病毒行为模式，对执行所述未知病毒时的执行行为报告进行分析，以判断未知病毒是否为病毒。

进一步，所述虚拟机执行预定义的用户行为操作，并获取执行所述用户行为操作时的执行行为报告；所述行为分析器各个模块进一步用于：

特征提取和格式转换模块，其根据设定函数，从执行所述用户行为操作时的执行行为报告中提取出用户特征向量，并将所述用户特征向量转换成与所使用的分类器构造算法相对应的格式；

分类器构造模块，其利用分类器构造算法，基于转换格式后的用户特征向量来构造出包含用户行为模式的用户行为分类器；

分类器模块，其包括所述用户行为分类器，所述用户行为分类器根据用户行为模式，对实时监控得到的用户操作信息进行分析，以判断所述用户操作信息是否异常。

进一步，所述特征提取和格式转换模块所利用的设定函数如下，嵌入函数：是X到||F||维实空间的映射，其中，F表示特征字符串集合，||F||是集合F的模，表示特征字符串的个数，X表示执行行为报告的集合，对于特征字符串s，s∈F，以及执行行为报告x，x∈X，记映射函数f（x，s）为s在x中出现的频率。

进一步，所述分类器构造模块所利用的分类器构造算法为支持向量机算法。

进一步，利用蜜罐作为所述病毒样本收集器。

进一步，所述虚拟机根据其内部设置的监控模块来获取执行行为报告，所述监控模块获取关于注册表、文件系统、进程和网络连接的执行行为信息来作为执行行为报告。

进一步，所述监控模块通过API Hooking方法来获取关于注册表、文件系统、进程和网络连接的执行行为信息。

进一步，所述虚拟机还包括筛选模块，其对获取的执行行为信息进行筛选，以得到最终的执行行为报告。

进一步，所述虚拟机采用轻量级虚拟机。