[发明专利]一种面向云环境的环境敏感型恶意软件分析检测方法和系统

权利要求书

1.一种面向云环境的环境敏感型恶意软件分析检测方法，其特征在于，包括以下步骤：

1)在用户无感知的前提下从客户虚拟机中提取可疑程序；

2)将可疑程序置于多种操作环境中执行，使环境敏感型恶意软件触发回避行为，同时记录其行为序列；

3)对可疑程序在多种操作环境下的行为序列进行分析，比较其行为序列的相似性，根据相似性判定该可疑程序是否为环境敏感型恶意软件。

2.如权利要求1所述的方法，其特征在于，利用虚拟化技术实现在用户无感知的前提下从客户虚拟机中提取可疑程序。

3.如权利要求2所述的方法，其特征在于，在虚拟化管理平台中设置无感知提取模块，通过该无感知提取模块从客户虚拟机中提取可疑程序，包括：

(1)无感知提取模块注入一个事件以通知客户机操作系统中的内核模块；

(2)客户机操作系统中的内核模块接收到通知，然后找到可疑程序的可执行文件，并将其复制到缓冲区；

(3)客户机操作系统中的内核模块调用VMCALL指令引起VM-Exit操作，使得无感知提取模块获取二进制可执行文件；

(4)无感知提取模块注意到Dom0中的内核模块；

(5)Dom0中的内核模块通过超级调用读取无感知提取模块。

(6)Dom0中的内核模块将可执行文件保存在Dom0中。

4.如权利要求3所述的方法，其特征在于，步骤2)使用套接字操作将可疑程序的可执行文件从Dom0传送到多环境分析平台。

5.如权利要求1所述的方法，其特征在于，步骤2)所述多种操作环境包括：沙箱环境、虚拟机环境、调试器环境和Hypervisor环境。

6.如权利要求1所述的方法，其特征在于，步骤3)比较可疑程序在不同执行环境下的行为序列文件的相似性，如果可疑程序在某种特定执行环境下的行为明显区别于其他的环境，则认为该可疑程序是环境敏感型恶意软件，否则认为该程序不是环境敏感型恶意软件。

7.如权利要求1或6所述的方法，其特征在于，步骤3)比较可疑程序在不同执行环境下的行为序列文件的相似性的方法是：

a)令X＝{x1,x2,x3,….xn}，Y＝{y1,y2,y3,….ym}，其中x1～xn，y1～ym每一项都代表一个行为或者操作，集合X代表某个可疑程序在一个特定执行环境下的行为集合，集合Y代表相同的可疑程序在另一个执行环境下的行为集合；

b)通过计算不同行为集合的相似性对不同环境下的行为序列相似性进行比较，计算行为集合相似性的公式为：

该公式基于杰卡德相似系数实现，Similarity(X,Y)表示行为序列的相似性。

8.一种云服务节点，其特征在于，包括：

无感知提取模块，位于虚拟化管理平台中，用于在用户无感知的前提下从客户虚拟机中提取可疑程序；

传输模块，用于将提取的可疑程序传输至多环境分析平台。

9.一种多环境分析平台，其特征在于，包括：

接收模块，用于从权利要求8所述云服务节点的传输模块接收可疑程序；

多环境执行模块，用于将可疑程序置于多种操作环境中执行，使环境敏感型恶意软件触发回避行为，同时记录其行为序列；

环境敏感性检测模块，用于对可疑程序在多种操作环境下的行为序列进行分析，比较其行为序列的相似性，根据相似性判定该可疑程序是否为环境敏感型恶意软件。

10.一种面向云环境的环境敏感型恶意软件分析检测系统，其特征在于，包括权利要求8所述的云服务节点和权利要求9所述的多环境分析平台。