恶意软件检测方法、装置、电子设备及存储介质与流程

本申请涉及虚拟化，特别涉及一种恶意软件检测方法、装置、电子设备及存储介质。

背景技术：

1、随着云计算的发展，人们依赖的办公系统也逐步从本地迁入云端。云网络一般由多台服务器联网构成，每台服务器又可以通过虚拟机技术承载多个逻辑独立的虚拟机。而随着虚拟机运用的提升，随之而来的安全问题引起广泛关注。其中，非常重要的安全隐患是虚拟机上可能存在恶意软件。

2、因此，需要对虚拟机上的恶意软件进行检测，以保证虚拟机的安全运行。

技术实现思路

1、为了解决现有技术中虚拟机存在安全隐患的问题，本申请提供了一种恶意软件检测方法、装置、电子设备及存储介质：

2、根据本申请的第一方面，提供了一种恶意软件检测方法，方法包括：

3、对在目标虚拟机的普通执行环境中运行的进程进行检测，当检测到存在新进程启动时，获取新进程的进程信息；

4、当根据进程信息确定新进程为可疑进程时，基于进程信息将可疑进程在创建的虚拟沙箱执行环境中运行；

5、对可疑进程在虚拟沙箱执行环境中的运行过程进行检测，当检测到存在恶意软件行为时，将可疑进程关联的软件确定为恶意软件。

6、根据本申请的第二方面，提供了一种恶意软件检测装置，装置包括：

7、第一获取模块，用于对在目标虚拟机的普通执行环境中运行的进程进行检测，当检测到存在新进程启动时，获取新进程的进程信息；

8、第一确定模块，用于当根据进程信息确定新进程为可疑进程时，基于进程信息将可疑进程在创建的虚拟沙箱执行环境中运行；

9、第二确定模块，用于对可疑进程在虚拟沙箱执行环境中的运行过程进行检测，当检测到存在恶意软件行为时，将可疑进程关联的软件确定为恶意软件。

10、根据本申请的第三方面，提供了一种电子设备，电子设备包括处理器和存储器，存储器中存储有至少一条指令或至少一段程序，至少一条指令或至少一段程序由处理器加载并执行以实现本申请第一方面的恶意软件检测方法。

11、根据本申请的第四方面，提供了一种计算机存储介质，存储介质中存储有至少一条指令或至少一段程序，至少一条指令或至少一段程序由处理器加载并执行以实现本申请第一方面的恶意软件检测方法。

12、根据本申请的第五方面，提供了一种计算机程序产品，计算机程序产品包括至少一条指令或至少一段程序，至少一条指令或至少一段程序由处理器加载并执行以实现本申请第一方面的恶意软件检测方法。

13、本申请提供的一种恶意软件检测方法、装置、电子设备及存储介质，具有如下技术效果：

14、通过对在目标虚拟机的普通执行环境中运行的进程进行检测，当检测到存在新进程启动时，获取新进程的进程信息；当根据进程信息确定新进程为可疑进程时，基于进程信息将可疑进程在创建的虚拟沙箱执行环境中运行；对可疑进程在虚拟沙箱执行环境中的运行过程进行检测，当检测到存在恶意软件行为时，将可疑进程关联的软件确定为恶意软件。本申请通过虚拟机检测器对恶意软件进行检测，将安全检测阶段隔离开来，不仅可以降低安全检测带来的性能副作用，并且基于沙箱机制将可疑进程进行隔离，不会产生真实的危害，可以极大地改善目标虚拟机存在的安全隐患。

技术特征：

1.一种恶意软件检测方法，其特征在于，所述方法包括：

2.根据权利要求1所述的恶意软件检测方法，其特征在于，所述基于所述进程信息将所述可疑进程在创建的虚拟沙箱执行环境中运行，包括：

3.根据权利要求2所述的恶意软件检测方法，其特征在于，所述搭建所述虚拟沙箱执行环境，生成影子页表，包括：

4.根据权利要求2所述恶意软件检测方法，其特征在于，所述方法还包括：

5.根据权利要求1所述的恶意软件检测方法，其特征在于，当根据所述进程信息确定所述新进程为可疑进程时，所述方法还包括：

6.根据权利要求1所述的恶意软件检测方法，其特征在于，所述对所述可疑进程在所述虚拟沙箱执行环境中的运行过程进行检测，包括：

7.根据权利要求1所述的恶意软件检测方法，其特征在于，所述方法还包括：

8.根据权利要求2所述的恶意软件检测方法，其特征在于，所述方法还包括：

9.根据权利要求8所述的恶意软件检测方法，其特征在于，所述将所述可疑进程迁移到所述目标虚拟机中的普通执行环境中运行，包括：

10.一种恶意软件检测装置，其特征在于，所述装置包括：

11.一种电子设备，其特征在于，所述电子设备包括处理器和存储器，所述存储器中存储有至少一条指令或至少一段程序，所述至少一条指令或所述至少一段程序由所述处理器加载并执行以实现如权利要求1-9任一项所述的恶意软件检测方法。

12.一种计算机存储介质，其特征在于，所述存储介质中存储有至少一条指令或至少一段程序，所述至少一条指令或至少一段程序由处理器加载并执行以实现如权利要求1-9任一项所述的恶意软件检测方法。

13.一种计算机程序产品，其特征在于，所述计算机程序产品包括至少一条指令或至少一段程序，所述至少一条指令或所述至少一段程序由处理器加载并执行以实现如权利要求1-9任一项所述的恶意软件检测方法。

技术总结
本申请公开了一种恶意软件检测方法、装置、电子设备及存储介质，该方法包括：对在目标虚拟机的普通执行环境中运行的进程进行检测，当检测到存在新进程启动时，获取新进程的进程信息；当根据进程信息确定新进程为可疑进程时，基于进程信息将可疑进程在创建的虚拟沙箱执行环境中运行；对可疑进程在虚拟沙箱执行环境中的运行过程进行检测，当检测到存在恶意软件行为时，将可疑进程关联的软件确定为恶意软件。本申请通过虚拟机检测器对恶意软件进行检测，将安全检测阶段隔离开来，如此，可以降低安全检测带来的性能副作用；并且基于沙箱机制将可疑进程进行隔离，不会产生真实的危害，可以极大地改善目标虚拟机存在的安全隐患。

技术研发人员：朱民
受保护的技术使用者：腾讯科技（深圳）有限公司
技术研发日：
技术公布日：2024/1/16