1.基于堆訪問模式的惡意程序監(jiān)控方法，其特征是步驟如下：

(1)惡意程序的監(jiān)控；請(qǐng)求程序監(jiān)控服務(wù)，獲取堆訪問模式，并將被監(jiān)控程序表現(xiàn)出的堆訪問模式與惡意程序模型庫(kù)中特征進(jìn)行對(duì)比，判斷是否為惡意程序行為，并進(jìn)行處理；

(2)惡意程序模型庫(kù)的建立；收集所關(guān)注的惡意程序家族的樣本集合；通過程序監(jiān)控服務(wù)，獲取各樣本的堆訪問模式，計(jì)算獲得惡意程序家族堆訪問模式的共同特征作為惡意程序家族的特征模型，逐步建立惡意程序模型庫(kù)；并求取各惡意程序家族的堆訪問模型，構(gòu)成惡意程序模型庫(kù)，作為判斷待監(jiān)控程序行為是否惡意的參照依據(jù)；

在建立惡意程序模型庫(kù)時(shí)，提取惡意程序家族的堆訪問模式作為惡意程序的模型；在提取得到惡意程序樣本運(yùn)行時(shí)的堆訪問模式后，對(duì)同一家族的惡意程序樣本的堆訪問模式進(jìn)行融合，獲得惡意程序家族的堆訪問模型；惡意程序樣本的堆訪問模式通過請(qǐng)求程序監(jiān)控服務(wù)獲得；

(3)程序監(jiān)控服務(wù)；基于Ether的指令級(jí)監(jiān)控功能，通過監(jiān)控程序運(yùn)行，提取程序執(zhí)行過程中的堆訪問特征序列；為惡意程序的監(jiān)控和惡意程序模型庫(kù)建立提供服務(wù)支持。

2.根據(jù)權(quán)利要求1所述的基于堆訪問模式的惡意程序監(jiān)控方法，其特征是：在對(duì)運(yùn)行程序?qū)嵤┍O(jiān)控時(shí)，請(qǐng)求程序監(jiān)控服務(wù)獲取運(yùn)行程序的堆訪問模式；經(jīng)過與惡意程序模型庫(kù)中惡意模型特征進(jìn)行對(duì)比，識(shí)別出運(yùn)行程序行為是否為惡意；當(dāng)發(fā)現(xiàn)運(yùn)行程序執(zhí)行了惡意程序行為時(shí)，做出報(bào)警；程序監(jiān)控服務(wù)接受惡意程序模型庫(kù)建立操作和程序監(jiān)控操作指定的程序名作為參數(shù)，啟動(dòng)程序監(jiān)控；程序監(jiān)控服務(wù)將待監(jiān)控程序名及該程序的啟動(dòng)控制信號(hào)傳遞至通信控制代理，由后者啟動(dòng)該程序，通信控制代理在程序監(jiān)控之前啟動(dòng)；

堆區(qū)間模式操作的具體步驟是，被監(jiān)控程序執(zhí)行時(shí)，通過API掛鉤，掛鉤后API函數(shù)會(huì)從共享內(nèi)存中獲取被監(jiān)控程序名，確定需要監(jiān)控的對(duì)象，取得被監(jiān)控程序堆區(qū)間變化信息，寫入通信控制代理的共享內(nèi)存中，并更新程序的堆區(qū)間信息；程序監(jiān)控服務(wù)在解析每條指令前，向通信控制代理請(qǐng)求堆區(qū)間信息，逐步完成所有指令的解析，取得程序堆訪問模式，進(jìn)而將之傳遞至請(qǐng)求方，提供服務(wù)；其中，程序監(jiān)控服務(wù)Dom0與通信控制代理DomU間的通信采用基于socket通信的P2P網(wǎng)絡(luò)模型實(shí)現(xiàn)；

通信控制代理在程序監(jiān)控期間，接受程序監(jiān)控服務(wù)的信息請(qǐng)求，收集與傳遞被監(jiān)控程序的啟停狀態(tài)信息和堆區(qū)間信息；為此，分配共享內(nèi)存區(qū)域，存放通信相關(guān)信息；涉及的信息有：由程序監(jiān)控服務(wù)通過網(wǎng)絡(luò)傳遞至DomU的待監(jiān)控程序名以及由掛鉤后函數(shù)獲取的被監(jiān)控程序堆區(qū)間變化信息；并按照程序監(jiān)控服務(wù)的要求執(zhí)行程序的啟停操作；

程序監(jiān)控服務(wù)利用了Ether0.1軟件提供的程序指令級(jí)監(jiān)控功能；需要對(duì)Xen進(jìn)行配置，修改xend服務(wù)的配置文件，配置網(wǎng)絡(luò)模式為網(wǎng)橋模式，將network-script設(shè)置為network-bridge，將vif-script設(shè)置為vif-bridge；使用socket通信原理實(shí)施P2P網(wǎng)絡(luò)模型；Dom0和DomU所用的IP地址可從虛擬機(jī)內(nèi)查到,端口號(hào)選一個(gè)未被占用的端口號(hào)。

3.根據(jù)權(quán)利要求2所述的基于堆訪問模式的惡意程序監(jiān)控方法，其特征是：對(duì)Windows?XP中堆區(qū)間操作相關(guān)函數(shù)進(jìn)行掛鉤處理，使被掛鉤函數(shù)被調(diào)用時(shí)，根據(jù)從通信控制代理獲取的被監(jiān)控程序名，只針對(duì)被監(jiān)控程序?qū)?yīng)進(jìn)程，取得堆區(qū)間變化信息；在啟動(dòng)監(jiān)控之前啟動(dòng)Windows?XP中通信控制代理；

堆區(qū)間操作時(shí)相關(guān)API掛鉤操作的處理流程：采用系統(tǒng)服務(wù)描述符表SSDT掛鉤技術(shù)對(duì)客戶機(jī)中堆區(qū)間操作相關(guān)函數(shù)進(jìn)行掛鉤操作；掛鉤后函數(shù)在執(zhí)行過程中對(duì)被監(jiān)控程序?qū)?yīng)進(jìn)程，捕獲其堆區(qū)間變化；掛鉤操作需要修改SSDT，為此，采用內(nèi)存描述符表MDL方法來突破內(nèi)存保護(hù)；MDL包含了該內(nèi)存區(qū)域的起始地址、字節(jié)數(shù)量以及標(biāo)志等；步驟20是起始動(dòng)作；步驟21準(zhǔn)備掛鉤后的新函數(shù)，以捕獲程序堆區(qū)間變化信息；新函數(shù)中確認(rèn)當(dāng)前進(jìn)程為通信控制代理中維護(hù)的samplename對(duì)應(yīng)進(jìn)程時(shí)，將本次堆區(qū)間變化信息寫入通信控制代理中heapchange指定共享內(nèi)存區(qū)域；步驟22通過GetSystemFunc獲取堆區(qū)間操作相關(guān)函數(shù)地址；以堆區(qū)間操作相關(guān)函數(shù)名為參數(shù)，從KeServiceDescriptorTable結(jié)構(gòu)中獲取堆區(qū)間操作相關(guān)函數(shù)的地址；步驟23采用MDL方法突破對(duì)SSDT的內(nèi)存保護(hù)，做好掛鉤準(zhǔn)備；步驟24調(diào)用InterlockedExchange來交換堆區(qū)間操作相關(guān)函數(shù)與掛鉤后新函數(shù)地址，完成掛鉤；步驟25為結(jié)束狀態(tài)。