[发明专利]一种基于指令监控的APT高级威胁检测方法

摘要

本发明公开了一种基于指令监控的APT高级威胁检测方法，通过ExKVM和虚拟机自省库LibVMI实现虚拟机在Hypervisor层级上的识别，达到在虚拟机外部监控虚拟机中恶意代码的运行情况，并使用动态离线污点分析方法来发现漏洞利用攻击；在虚拟机外部，使用#BP地址注入方法进行无入侵的用户层API监控和内核层API执行监控；通过注入Windows内核内存分配函数和内核模块结构操作函数实现内核堆分配的跟踪。通过跟踪记录恶意代码执行中内存与寄存器的写、交换和分支等指令，进行离线污点分析和恶意行为发现。本发明能有效监测APT攻击中的漏洞利用，提升了恶意样本检测率。

主权项

1.一种基于指令监控的APT高级威胁检测方法，其特征在于：包括如下内容：/n(一)通过ExKVM和虚拟机自省库LibVMI实现在Hypervisor层级上的虚拟机执行行为识别，达到在虚拟机外部监控虚拟机中恶意代码的运行；/n(二)使用动态离线污点分析方法来发现漏洞利用攻击：/n(1)污点标记：通过#BP地址注入的形式Hook文件系统调用、网络系统调用来标记污点源；/n(2)执行轨迹跟踪：依赖于ExKVM和LibVMI，跟踪记录执行轨迹中的内存和寄存器的写、交换和程序分支指令的执行；/n(3)当程序分支指令的目的地址是污点时，则标记为疑似恶意行为；深入污点目的地址附件数据，对指令特征和字符串扫描，若匹配则产生可疑恶意行为报警；/n(三)监控恶意代码运行：/n(1)监控系统调用和内核执行：在虚拟机外部，使用#BP地址注入方法进行无入侵的用户层API监控和内核层API执行监控；/n(2)内核Rootkit攻击处理：通过#BP地址注入Windows内核内存分配函数和内核模块结构操作函数实现内核堆分配的跟踪；/n(3)无代理运行恶意代码：通过注入劫持虚拟机中运行的任意进程来启动恶意代码或应用程序。/n