发明名称 |
基于虚拟机和敏感Native API调用感知的恶意软件动态检测方法 |
摘要 |
一种基于虚拟机和敏感Native API调用感知的恶意软件动态检测方法,由三部分组成:基于Xen二次开发的分析检测环境、监测控制程序、恶意软件分类器的训练学和检测程序。检测模型分为训练阶段和检测阶段:训练阶段:让样本集文件在干净的分析环境中执行定长时间,获取其进程行为、特权行为、内存行为、注册表行为、文件行为和网络行为的Native API调用频率,使用这些数据来训练分类器;检测阶段:把待检查文件执行,统计定长时间内的六种敏感行为Native API调用频率,使用训练好的分类器,对检测文件进行分类,分类结果即是恶意软件或正常文件。本发明对具备反虚拟、反调试、反跟踪能力的恶意软件仍然有效。 |
申请公布号 |
CN102034050A |
申请公布日期 |
2011.04.27 |
申请号 |
CN201110026369.6 |
申请日期 |
2011.01.25 |
申请人 |
四川大学 |
发明人 |
王俊峰;白金荣;黄敏桓;唐剑;佘春东 |
分类号 |
G06F21/00(2006.01)I |
主分类号 |
G06F21/00(2006.01)I |
代理机构 |
成都信博专利代理有限责任公司 51200 |
代理人 |
舒启龙 |
主权项 |
一种基于虚拟机和敏感Native API调用感知的恶意软件动态检测方法,其特征是:检测模型分为2个阶段:训练阶段和检测阶段;训练阶段用于完成分类器的构建;而检测阶段用于完成恶意软件的检测;在训练阶段,首先获取样本文件集的Native API系列,让样本文件在干净的分析环境中执行定长时间,记录下它的Native API系列,统计进程行为、特权行为、内存行为、注册表行为、文件行为和网络行为的Native API调用频率,然后使用这些数据来训练分类器,训练好的分类器用作区分恶意软件和正常文件;在检测阶段,把待检查文件放在干净的分析环境中执行,统计它在定长时间内的进程行为、特权行为、内存行为、注册表行为、文件行为和网络行为的NativeAPI调用频率,使用训练阶段训练好的分类器,对待检查文件进行分类,得到是恶意软件或是正常文件的结果。 |
地址 |
610065 四川省成都市武侯区一环路南一段24号 |