本申请公开了一种基于虚拟机的报毒方法及装置、存储介质、计算机设备,该方法包括:在虚拟机中执行待检测的目标程序;在所述目标程序的执行过程中对至少一个报毒监控点进行监控,并记录所述目标程序执行过程中对至少一个所述报毒监控点的使用情况;根据所述目标程序对所述报毒监控点的使用情况,判断所述目标程序是否为病毒程序。本申请利用虚拟机技术,不仅可以有效的获取到目标程序在虚拟机中执行时的运行记录,而且不会对真实计算机环境造成影响保护了计算机的安全,同时,基于目标程序的运行记录进行启发式病毒检测,有助于提高对新型病毒、变种病毒等未知病毒的检测率。
【技术实现步骤摘要】
基于虚拟机的报毒方法及装置、存储介质、计算机设备
本申请涉及计算机安全
,尤其是涉及到一种基于虚拟机的报毒方法及装置、存储介质、计算机设备。
技术介绍
随着计算机技术的不断发展,现在,无论是在日常生活中还是在工作中,计算机都已经成为人们不可或缺的伙伴,为人们的工作和生活带来了很多的便利,但是在这之中有一个不和谐的因素,那就是计算机病毒。针对由计算机病毒带来的计算机安全方面的问题,现在几乎任何企业或个人都会使用杀毒软件,但是现在的杀毒软件大多是基于病毒库中包括的病毒特征进行病毒查杀,即若计算机中的某个程序命中了病毒库中的病毒特征,则判定该程序为病毒程序,很显然,若出现新型病毒或变种病毒,利用病毒库将难以应对。如何提高对新型病毒或变种病毒的病毒查杀率,成为了计算机安全领域中的重要问题。
技术实现思路
有鉴于此,本申请提供了一种基于虚拟机的报毒方法及装置、存储介质、计算机设备。根据本申请的一个方面,提供了一种基于虚拟机的报毒方法,包括:在虚拟机中执行待检测的目标程序;在所述目标程序的执行过程中对至少一个报毒监控点进行监控,并记录所述目标程序执行过程中对至少一个所述报毒监控点的使用情况;根据所述目标程序对所述报毒监控点的使用情况,判断所述目标程序是否为病毒程序。具体地,所述根据所述目标程序对所述报毒监控点的使用情况,判断所述目标程序是否为病毒程序,具体包括:根据所述目标程序对所述报毒监控点的使用情况以及每个所述报毒监控点的报毒经验值,计算所述目标程序的病毒检测值;若所述目标程序的病毒检测值大于或等于预设病毒经验值,则确定所述目标程序是病毒程序。具体地,所述方法还包括:若所述目标程序的病毒检测值小于所述预设病毒经验值,则确定所述目标程序不是病毒程序。具体地,所述在虚拟机中执行待检测的目标程序之前,所述方法还包括:获取多个病毒样本对应的行为特征;根据所述多个病毒样本对应的行为特征,确定所述报毒监控点以及所述报毒监控点的报毒经验值。具体地,所述根据所述多个病毒样本对应的行为特征,确定所述报毒监控点以及所述报毒监控点的报毒经验值,具体包括:根据所述多个病毒样本对应的行为特征以及预设安全程序行为特征,分析所述多个病毒样本的报毒关键行为特征,以及所述报毒关键行为特征的关键权重;将所述报毒关键行为特征对应的调用函数确定为所述报毒监控点,以及将所述报毒关键行为特征的关键权重确定为所述报毒监控点的报毒经验值。具体地,所述确定所述目标程序是病毒程序之后,所述方法还包括:将所述目标程序加入病毒程序库中。具体地,所述方法还包括:当所述病毒程序库中的病毒程序超过预设数量阈值,则获取所述病毒程序库中的病毒程序对应的行为特征,并依据该行为特征更新所述报毒监控点以及所述报毒监控点的报毒经验值。根据本申请的另一方面,提供了一种基于虚拟机的报毒装置,包括:目标程序执行模块,用于在虚拟机中执行待检测的目标程序;监控模块,用于在所述目标程序的执行过程中对至少一个报毒监控点进行监控,并记录所述目标程序执行过程中对至少一个所述报毒监控点的使用情况;病毒检测模块,用于根据所述目标程序对所述报毒监控点的使用情况,判断所述目标程序是否为病毒程序。具体地,所述病毒检测模块,具体包括:检测值计算单元,用于根据所述目标程序对所述报毒监控点的使用情况以及每个所述报毒监控点的报毒经验值,计算所述目标程序的病毒检测值;病毒程序检测单元,用于若所述目标程序的病毒检测值大于或等于预设病毒经验值,则确定所述目标程序是病毒程序。具体地,所述装置还包括:安全程序检测单元,用于若所述目标程序的病毒检测值小于所述预设病毒经验值,则确定所述目标程序不是病毒程序。具体地,所述装置还包括:行为特征获取模块,用于在虚拟机中执行待检测的目标程序之前,获取多个病毒样本对应的行为特征;监控点确定模块,用于根据所述多个病毒样本对应的行为特征,确定所述报毒监控点以及所述报毒监控点的报毒经验值。具体地,所述监控点确定模块,具体包括:权重确定单元,用于根据所述多个病毒样本对应的行为特征以及预设安全程序行为特征,分析所述多个病毒样本的报毒关键行为特征,以及所述报毒关键行为特征的关键权重;经验值确定单元,用于将所述报毒关键行为特征对应的调用函数确定为所述报毒监控点,以及将所述报毒关键行为特征的关键权重确定为所述报毒监控点的报毒经验值。具体地,所述装置还包括:病毒库建立模块,用于确定所述目标程序是病毒程序之后,将所述目标程序加入病毒程序库中。具体地,所述装置还包括:监控点更新模块,用于当所述病毒程序库中的病毒程序超过预设数量阈值,则获取所述病毒程序库中的病毒程序对应的行为特征,并依据该行为特征更新所述报毒监控点以及所述报毒监控点的报毒经验值。依据本申请又一个方面,提供了一种存储介质,其上存储有计算机程序,所述程序被处理器执行时实现上述基于虚拟机的报毒方法。依据本申请再一个方面,提供了一种计算机设备,包括存储介质、处理器及存储在存储介质上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述基于虚拟机的报毒方法。借由上述技术方案,本申请提供的一种基于虚拟机的报毒方法及装置、存储介质、计算机设备,利用虚拟机技术记录下来需要进行病毒检测的目标程序在执行过程中对报毒监控点的使用情况,而后根据提取出的目标程序对报毒监控点的使用情况进行启发式病毒查杀,检测目标程序是否为病毒程序。本申请利用虚拟机技术,不仅可以有效的获取到目标程序在虚拟机中执行时的运行记录,而且不会对真实计算机环境造成影响保护了计算机的安全,同时,基于目标程序的运行记录进行启发式病毒检测,有助于提高对新型病毒、变种病毒等未知病毒的检测率。上述说明仅是本申请技术方案的概述,为了能够更清楚了解本申请的技术手段,而可依照说明书的内容予以实施,并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂,以下特举本申请的具体实施方式。附图说明此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:图1示出了本申请实施例提供的一种基于虚拟机的报毒方法的流程示意图;图2示出了本申请实施例提供的另一种基于虚拟机的报毒方法的流程示意图;图3示出了本申请实施例提供的一种基于虚拟机的报毒装置的结构示意图;图4示出了本申请实施例提供的另一种基于虚拟机的报毒装置的结构示意图。具体实施方式下文中将参考附图并结合实施例来详细说明本申请。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。在本实施例中提供了一种基于虚拟机的报毒方法,如图1所示,该方法包括本文档来自技高网...
【技术保护点】
1.一种基于虚拟机的报毒方法,其特征在于,包括:/n在虚拟机中执行待检测的目标程序;/n在所述目标程序的执行过程中对至少一个报毒监控点进行监控,并记录所述目标程序执行过程中对至少一个所述报毒监控点的使用情况;/n根据所述目标程序对所述报毒监控点的使用情况,判断所述目标程序是否为病毒程序。/n
【技术特征摘要】
1.一种基于虚拟机的报毒方法,其特征在于,包括:
在虚拟机中执行待检测的目标程序;
在所述目标程序的执行过程中对至少一个报毒监控点进行监控,并记录所述目标程序执行过程中对至少一个所述报毒监控点的使用情况;
根据所述目标程序对所述报毒监控点的使用情况,判断所述目标程序是否为病毒程序。
2.根据权利要求1所述的方法,其特征在于,所述根据所述目标程序对所述报毒监控点的使用情况,判断所述目标程序是否为病毒程序,具体包括:
根据所述目标程序对所述报毒监控点的使用情况以及每个所述报毒监控点的报毒经验值,计算所述目标程序的病毒检测值;
若所述目标程序的病毒检测值大于或等于预设病毒经验值,则确定所述目标程序是病毒程序。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
若所述目标程序的病毒检测值小于所述预设病毒经验值,则确定所述目标程序不是病毒程序。
4.根据权利要求2或3所述的方法,其特征在于,所述在虚拟机中执行待检测的目标程序之前,所述方法还包括:
获取多个病毒样本对应的行为特征;
根据所述多个病毒样本对应的行为特征,确定所述报毒监控点以及所述报毒监控点的报毒经验值。
5.根据权利要求4所述的方法,其特征在于,所述根据所述多个病毒样本对应的行为特征,确定所述报毒监控点以及所述报毒监控点的报毒经验值,具体包括:
根据所述多个病毒样本对应的行为特征以及预设安全程序行为特征,分析所述多个病毒...
【专利技术属性】
技术研发人员:胡彬,黄瀚,刘同豪,
申请(专利权)人:奇安信安全技术珠海有限公司,奇安信科技集团股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。