(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202211322109.8 (22)申请日 2022.10.27 (65)同一申请的已公布的文献号 申请公布号 CN 115374444 A (43)申请公布日 2022.11.22 (73)专利权人 北京安帝科技有限公司 地址 100080 北京市海淀区西四环北路158 号1幢9层9H -5-1 (72)发明人 周磊　姜双林　赵时晴　 (74)专利代理 机构 北京星通盈泰知识产权代理 有限公司 1 1952 专利代理师 葛战波 (51)Int.Cl. G06F 21/56(2013.01) G06F 9/50(2006.01)G06F 9/455(2006.01) (56)对比文件 CN 1087628 88 A,2018.1 1.06 CN 112988332 A,2021.0 6.18 审查员 丁蓬莉 (54)发明名称 基于虚拟主机行为分析的病毒检测方法和 装置 (57)摘要 本发明提供了一种基于虚拟主机行为分析 的病毒检测方法和装置。 该方法包括： 主机在内 存数据库中配置内存表， 并将内存表共享给虚拟 主机； 检测虚拟主机中的被测程序所启动的主机 行为相关线程， 所述主机行为相关线程包括系统 线程以及应用线程； 利用LRU算法对应用线程的 活跃程度进行排序； 并且， 对虚拟主机的所述主 机行为相关线程进行特征码提取， 其中， 根据应 用线程的活跃程度采用相应的特征码提取规则； 根据应用线程的活跃程度的排序， 将不活跃状态 的应用线程置换到内存表中。 本发 明增强了病毒 甄别的效率、 减少虚拟主机的内存占用、 提高了 虚拟主机的运行速度， 增强了虚拟主机和实体机 的隔离特性。 权利要求书2页 说明书6页 附图2页 CN 115374444 B 2022.12.27 CN 115374444 B 1.一种基于虚拟主机行为分析的病毒检测方法， 其特 征在于， 包括以下步骤： 主机在内存数据库中配置内存表， 并将内存表共享给虚拟主机； 检测虚拟主机 中的被测程序 所启动的主机行为相关线程， 所述主机行为相关线程包括 系统线程以及应用线程； 利用LRU算法对应用线程的活跃程度进行排序； 并且， 对虚拟主机的所述主机行为相关 线程进行特征码提取， 其中， 对于系统线程， 对于其在内存中吞吐的每个数据块单元均计算 其哈希值， 从而形成系统线程的特征码； 对于应用线程， 则根据应用线程的活跃程度， 按照 与活跃程度成正比的抽样率， 抽取应用线程在内存中吞吐的数据块单元， 并计算所抽取 的 数据块单 元的哈希值， 形成所述特 征码； 提取 出的所述特 征码用于病毒程序的甄别； 根据应用线程的活跃程度的排序， 将不活跃状态的应用线程置换到内存表中。 2.根据权利要求1所述的基于虚拟主机行为分析的病 毒检测方法， 其特征在于： 通过主 机将内存表给各个虚拟主机共享， 使得虚拟主机中的线程数据能够按照内存表结构直接存 储在内存之中并直接调用， 当虚拟主机释放内存时， 这些内存数据会 归还至内存表中。 3.根据权利要求2所述的基于虚拟主机行为分析的病 毒检测方法， 其特征在于： 所述系 统线程为虚拟主机操作系统运行时必 要的线程； 所述应用线程为虚拟主机非操作系统的线 程。 4.根据权利要求3所述的基于虚拟主机行为分析的病 毒检测方法， 其特征在于： 通过所 述LRU算法对虚拟主机中的应用线程的活跃程度进 行检测， 并按照活跃程度从小到大排序， 具体包括： 对虚拟主机所有应用线程进 行标记； 按照应用线程的调用时间次序， 在预设的时 间窗口范围内， 将该时间窗口中最后一次调用的应用线程标记为最活跃线程， 其活跃程度 赋值最高， 最开始调用的应用线程标记为最不活跃线程， 其活跃程度赋值最低， 其余应用线 程按照调用的时间先后依序赋值， 并按照活跃程度从小到大排序。 5.根据权利要求4所述的基于虚拟主机行为分析的病 毒检测方法， 其特征在于： 对虚拟 主机的所述主机行为相关线程进行特征码提取， 具体包括： 针对虚拟主机的主机行为相关 线程在内存中吞吐的数据块单 元， 通过哈希计算， 计算该主机行为相关线程的特 征码。 6.根据权利要求5所述的基于虚拟主机行为分析的病 毒检测方法， 其特征在于： 将活跃 程度小于活跃程度阈值的应用线程进行内存回收。 7.一种基于虚拟主机行为分析的病毒检测装置， 其特征在于， 包括： 内存表配置模块、 线程检测模块、 线程特 征码提取模块、 线程内存管理模块； 内存表配置模块， 用于使主机在内存数据库中配置内存表， 并将内存表共享给虚拟主 机； 线程检测模块， 用于检测虚拟主机中的被测程序所启动的主机行为相关线程， 所述主 机行为相关线程包括系统线程以及应用线程； 线程特征码提取模块， 用于利用LRU算法对应用线程的活跃程度进行排序； 并且， 对虚 拟主机的所述主机行为相关线程进行特征码提取， 其中， 对于系统线程和应用线程， 线程特 征码提取模块采用不同的特征码提取规则； 对于系统线程， 对于其在内存中吞吐的每个数 据块单元均计算其哈希值， 从而 形成系统线程的特征码； 对于应用线程， 则根据应用线程的 活跃程度， 按照与活跃程度成正比的抽样率， 抽取应用线程在内存中吞吐的数据块单元， 并 计算所抽取 的数据块单元 的哈希值， 形成所述特征码； 提取出的所述特征码用于病毒程序权　利　要　求　书 1/2 页 2 CN 115374444 B 2的甄别； 线程内存管理模块，  用于根据应用线程的活跃程度的排序， 将不活跃状态的应用线程 置换到内存表中。权　利　要　求　书 2/2 页 3 CN 115374444 B 3