恶意代码动态检测方法及装置与流程

文档序号:13760714阅读:来源:国知局
导航: X技术> 最新专利>计算;推算;计数设备的制造及其应用技术>恶意代码动态检测方法及装置与流程
恶意代码动态检测方法及装置与流程

技术特征:

1.一种恶意代码动态检测方法,其特征在于,包括:

当在真实环境中检测到文件执行事件时,根据预置告警库判断所述文件执行事件是否可疑,所述预置告警库中存储有各种可疑文件执行的特征信息;

若可疑,则拦截所述文件执行事件在所述真实环境中的执行,并将所述文件执行事件复制到虚拟环境中执行,所述虚拟环境中存储有真实环境中的文件、目录;

根据所述文件执行事件在所述虚拟环境中的执行结果和预置恶意执行结果库判断所述文件执行事件是否为恶意代码,所述预置恶意执行结果库中存储有各种恶意代码的执行结果。

2.根据权利要求1所述的方法,其特征在于,所述根据所述文件执行事件在所述虚拟环境中的执行结果和预置恶意执行结果库判断所述文件执行事件是否为恶意代码包括:

判断在所述虚拟环境中所述文件执行事件的执行过程中是否存在访问注册表操作;

若不存在,则记录所述文件执行事件在所述虚拟环境中的访问注册表操作;

若存在,则判断所述文件执行事件的访问注册表操作是否属于所述预置恶意执行结果库中的恶意注册表操作;

若所述文件执行事件的访问注册表操作属于恶意注册表操作,则将所述文件执行事件确定为恶意代码。

3.根据权利要求1所述的方法,其特征在于,所述根据所述文件执行事件在所述虚拟环境中的执行结果和预置恶意执行结果库判断所述文件执行事件是否为恶意代码包括:

判断在所述虚拟环境中文件执行事件的进程操作是否属于所述预置恶意执行结果库中的恶意进程操作;

若所述文件执行事件的进程操作属于所述预置恶意执行结果库中的恶意进程操作,则将所述文件执行事件确定为恶意代码。

4.根据权利要求1所述的方法,其特征在于,所述根据所述文件执行事件在所述虚拟环境中的执行结果和预置恶意执行结果库判断所述文件执行事件是否为恶意代码包括:

判断在所述虚拟环境中文件执行事件的网络操作是否属于所述预置恶意执行结果库中的恶意网络操作;

判断在所述虚拟环境中文件执行事件的服务操作是否属于所述预置恶意执行结果库中的恶意服务操作;

若所述文件执行事件的网络操作属于所述预置恶意执行结果库中的恶意网络操作,或所述文件执行事件的服务操作属于所述预置恶意执行结果库中的恶意服务操作,则将所述文件执行事件确定为恶意代码。

5.根据权利要求1-4任一所述的方法,其特征在于,所述根据所述文件执行事件在所述虚拟环境中的执行结果和预置恶意执行结果库判断所述文件执行事件是否为恶意代码之后,所述方法还包括:

若所述文件执行事件不是恶意代码,则恢复所述文件执行事件在真实环境中执行。

6.一种恶意代码动态检测装置,其特征在于,包括:

判断单元,用于当在真实环境中检测到文件执行事件时,根据预置告警库判断所述文件执行事件是否可疑,所述预置告警库中存储有各种可疑文件执行的特征信息;

执行单元,用于若所述文件执行事件可疑,则拦截所述文件执行事件在所述真实环境中的执行,并将所述文件执行事件复制到虚拟环境中执行,所述虚拟环境中存储有真实环境中的文件、目录;

所述判断单元,还用于根据所述文件执行事件在所述虚拟环境中的执行结果和预置恶意执行结果库判断所述文件执行事件是否为恶意代码,所述预置恶意执行结果库中存储有各种恶意代码的执行结果。

7.根据权利要求6所述的装置,其特征在于,所述判断单元包括:

判断模块,用于判断在所述虚拟环境中所述文件执行事件的执行过程中是否存在访问注册表操作;

记录模块,用于若不存在所述访问注册表操作,则记录所述文件执行事件在所述虚拟环境中的访问注册表操作;

所述判断模块,还用于若存在所述访问注册表操作,则判断所述文件执行事件的访问注册表操作是否属于所述预置恶意执行结果库中的恶意注册表操作;

确定模块,用于若所述文件执行事件的访问注册表操作属于恶意注册表操作,则将所述文件执行事件确定为恶意代码。

8.根据权利要求7所述的装置,其特征在于,

所述判断模块,还用于判断在所述虚拟环境中文件执行事件的进程操作是否属于所述预置恶意执行结果库中的恶意进程操作;

所述确定模块,还用于若所述文件执行事件的进程操作属于所述预置恶意执行结果库中的恶意进程操作,则将所述文件执行事件确定为恶意代码。

9.根据权利要求7所述的装置,其特征在于,

所述判断模块,还用于判断在所述虚拟环境中文件执行事件的网络操作是否属于所述预置恶意执行结果库中的恶意网络操作;

所述判断模块,还用于判断在所述虚拟环境中文件执行事件的服务操作是否属于所述预置恶意执行结果库中的恶意服务操作;

所述确定模块,还用于若所述文件执行事件的网络操作属于所述预置恶意执行结果库中的恶意网络操作,或所述文件执行事件的服务操作属于所述预置恶意执行结果库中的恶意服务操作,则将所述文件执行事件确定为恶意代码。

10.根据权利要求6-9任一所述的装置,其特征在于,所述装置还包括:

恢复单元,用于若所述文件执行事件不是恶意代码,则恢复所述文件执行事件在真实环境中执行。

完整全部详细技术资料下载
当前第2页1 2 3 
    相关技术
    网友询问留言 已有0条留言
    • 还没有人留言评论。精彩留言会获得点赞!
    1
    精彩留言,会给你点赞!
    恶意代码检测相关技术
    恶意代码检测工具相关技术
    恶意代码检测报告相关技术

    使用协议| 关于我们| 联系X技术

    © 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2