[发明专利]一种面向云环境的环境敏感型恶意软件分析检测方法和系统

说明书

本发明涉及一种面向云环境的环境敏感型恶意软件分析检测方法和系统。该方法包括以下步骤：1)在用户无感知的前提下从客户虚拟机中提取可疑程序；2)将可疑程序置于多种操作环境中执行，使环境敏感型恶意软件触发回避行为，同时记录其行为序列；3)对可疑程序在多种操作环境下的行为序列进行分析，比较其行为序列的相似性，根据相似性判定该可疑程序是否为环境敏感型恶意软件。本发明充分地利用虚拟化技术，在用户无感知的前提下，从客户虚拟机中提取可疑程序，能够有效地自动化分析和检测环境敏感型恶意软件，提升了检测的正确性和有效性，并具有很好的可拓展性和可移植性。

技术领域

本发明属于虚拟化及系统安全技术领域，涉及一种面向云环境的恶意软件分析检测方法，特别涉及一种面向云环境的环境敏感型恶意软件分析检测方法和系统。

背景技术

随着计算机技术的快速发展，特别是互联网的高速发展，计算机和网络的应用给人们的生活带来了诸多便利。如今人们使用网络进行各种日常活动，例如社交，购物，生活缴费，公司贸易等等，这使得网络上存在着大量的用户隐私信息，网络安全问题越来越多地受到研究人员的关注。在诸多网络安全威胁中，恶意软件无疑是危害最大的，影响最广的问题，这也成为网络安全领域研究的焦点。

恶意软件是一种被设计用来对目标计算机造成破坏或者占用目标计算机资源的软件。它常被封装或伪装到合法软件中，在某些情况下通过E-mail或可移动存储介质等方式向其他计算机传播。恶意软件在未明确提示用户或未经用户许可的情况下，于目标计算机或其他终端上安装运行，其一般具有下述行为的一种或多种：强制安装、浏览器劫持、窃取、修改用户数据、恶意收集用户信息、恶意卸载、恶意捆绑及其他侵犯用户知情权、选择权的恶意行为等。这些行为将严重侵犯用户合法权益，甚至将为用户带来巨大的经济或其他形式的利益损失。一般来说，恶意软件包括病毒，蠕虫，木马，间谍软件僵尸程序，Rootkit等。

随着云计算技术的快速发展，云服务的应用越来越广泛，云已经从新兴技术发展成为当今的热点技术。近年来，恶意软件逐渐成为了云环境建设的重大威胁。这些恶意软件不仅可以恶意占用物理机资源，导致系统性能下降，同时也攻击云上的其它租户，甚至具有从平台窃取其他云租户隐私信息的潜在能力。越来越多的高敏感性的和高商业价值的数据被迁移到云端，这使得研究人员更加关注云环境下的恶意软件检测。

随着网络安全对抗的不断升级，具备更强对抗能力的环境敏感型恶意软件正在迅速增长。这种恶意软件可以有效地识别当前的运行环境，当发现运行环境为沙箱、模拟器、调试器等分析环境时停止执行恶意行为，从而有效地躲避自动化分析工具的检测分析。根据赛门铁克公司的安全威胁报告(Symantec.https://www.symantec.com/security-center/threat-report.)显示，目前在新增的恶意软件中，有20％恶意软件是具有环境敏感性的，环境敏感型恶意软件数量正以每周10～15个的速度增长。如何对云环境和网络中的各种环境敏感型恶意软件进行有效检测，成为当今系统安全亟待解决的重要问题。目前已有的恶意软件检测没有针对环境敏感型恶意软件的检测方法，其实现方式也没有使用虚拟化技术，适用范围小，可拓展性差。因此，有必要提出一种面向云环境的环境敏感型恶意软件分析检测方法。

发明内容

针对环境敏感型恶意软件的分析和检测问题，本发明提出了一种面向云环境的环境敏感型恶意软件分析检测方法和系统。

本发明可以提取云平台客户机中的一个可疑程序到多环境分析平台中进行分析，例如沙箱环境、虚拟机环境、调试器环境和Hypervisor环境等。本发明从多样化的环境中提取出该可疑程序的行为特征，比较行为之间的差异性，进而做出判断。为了分析客户虚拟机中运行的可疑程序，本发明利用了虚拟化技术，在用户无感知的前提下，从客户虚拟机将可疑程序提取出来，租户不会意识到整个提取和检测过程。通过比较可疑程序行为准则，确定该可疑程序是否是环境敏感型恶意软件。

本发明采用的技术方案如下：