技术总结
本发明公开了一种基于指令监控的APT高级威胁检测方法,通过ExKVM和虚拟机自省库LibVMI实现虚拟机在Hypervisor层级上的识别,达到在虚拟机外部监控虚拟机中恶意代码的运行情况,并使用动态离线污点分析方法来发现漏洞利用攻击;在虚拟机外部,使用#BP地址注入方法进行无入侵的用户层API监控和内核层API执行监控;通过注入Windows内核内存分配函数和内核模块结构操作函数实现内核堆分配的跟踪。通过跟踪记录恶意代码执行中内存与寄存器的写、交换和分支等指令,进行离线污点分析和恶意行为发现。本发明能有效监测APT攻击中的漏洞利用,提升了恶意样本检测率。
技术研发人员:孙成胜;魏勇;魏涌涛
受保护的技术使用者:中国电子科技网络信息安全有限公司
文档号码:201710006418
技术研发日:2017.01.05
技术公布日:2017.06.13