| 发明名称 | 基于虚拟机和敏感Native API调用感知的恶意软件动态检测方法 | ||
| 摘要 | 一种基于虚拟机和敏感Native API调用感知的恶意软件动态检测方法,由三部分组成:基于Xen二次开发的分析检测环境、监测控制程序、恶意软件分类器的训练学和检测程序。检测模型分为训练阶段和检测阶段:训练阶段:让样本集文件在干净的分析环境中执行定长时间,获取其进程行为、特权行为、内存行为、注册表行为、文件行为和网络行为的Native API调用频率,使用这些数据来训练分类器;检测阶段:把待检查文件执行,统计定长时间内的六种敏感行为Native API调用频率,使用训练好的分类器,对检测文件进行分类,分类结果即是恶意软件或正常文件。本发明对具备反虚拟、反调试、反跟踪能力的恶意软件仍然有效。 | ||
| 申请公布号 | CN102034050A | 申请公布日期 | 2011.04.27 |
| 申请号 | CN201110026369.6 | 申请日期 | 2011.01.25 |
| 申请人 | 四川大学 | 发明人 | 王俊峰;白金荣;黄敏桓;唐剑;佘春东 |
| 分类号 | G06F21/00(2006.01)I | 主分类号 | G06F21/00(2006.01)I |
| 代理机构 | 成都信博专利代理有限责任公司 51200 | 代理人 | 舒启龙 |
| 主权项 | 一种基于虚拟机和敏感Native API调用感知的恶意软件动态检测方法,其特征是:检测模型分为2个阶段:训练阶段和检测阶段;训练阶段用于完成分类器的构建;而检测阶段用于完成恶意软件的检测;在训练阶段,首先获取样本文件集的Native API系列,让样本文件在干净的分析环境中执行定长时间,记录下它的Native API系列,统计进程行为、特权行为、内存行为、注册表行为、文件行为和网络行为的Native API调用频率,然后使用这些数据来训练分类器,训练好的分类器用作区分恶意软件和正常文件;在检测阶段,把待检查文件放在干净的分析环境中执行,统计它在定长时间内的进程行为、特权行为、内存行为、注册表行为、文件行为和网络行为的NativeAPI调用频率,使用训练阶段训练好的分类器,对待检查文件进行分类,得到是恶意软件或是正常文件的结果。 | ||
| 地址 | 610065 四川省成都市武侯区一环路南一段24号 | ||