发明名称 |
一种基于虚拟化技术的恶意代码行为检测方法 |
摘要 |
本发明涉及一种基于虚拟化技术的恶意代码行为检测方法,其具体技术方案是:首先,利用信任链传递的技术,搭建一个确定可信的检测平台环境;在搭建好的可信的检测平台环境中,利用虚拟化技术根据实际情况建立若干个虚拟机,并在每个虚拟机中部署相应的度量程序等,用于捕获代码行为,同时为每个虚拟机建立原始状态的快照,用于度量结束后的恢复;在检测环境中部署用于分析行为的检测程序和用于维护虚拟机的监控程序,以及调度程序等。本发明有效解决了传统静态恶意代码检测方法中对变体和未知代码检测能力弱,误判率高的缺点。 |
申请公布号 |
CN102682229A |
申请公布日期 |
2012.09.19 |
申请号 |
CN201110058633.4 |
申请日期 |
2011.03.11 |
申请人 |
北京市国路安信息技术有限公司 |
发明人 |
孙绍钢;李晓勇 |
分类号 |
G06F21/00(2006.01)I;G06F9/455(2006.01)I |
主分类号 |
G06F21/00(2006.01)I |
代理机构 |
|
代理人 |
|
主权项 |
一种基于虚拟化技术的恶意代码行为检测方法,其特征在于,具体技术方案是:首先,利用信任链传递的技术,搭建一个确定可信的检测平台环境;在搭建好的可信的检测平台环境中,利用虚拟化技术根据实际情况建立若干个虚拟机,并在每个虚拟机中部署相应的度量程序等,用于捕获代码行为,同时为每个虚拟机建立原始状态的快照,用于度量结束后的恢复;在检测环境中部署用于分析行为的检测程序和用于维护虚拟机的监控程序,以及调度程序等。 |
地址 |
100089 北京市海淀区中关村南大街32号2号楼B座六层608 |