亚洲狠狠干,亚洲国产福利精品一区二区,国产八区,激情文学亚洲色图

一種基于動(dòng)態(tài)代碼序列跟蹤分析的木馬判定方法

文檔序號(hào):6636578閱讀:141來(lái)源:國(guó)知局
一種基于動(dòng)態(tài)代碼序列跟蹤分析的木馬判定方法
【專(zhuān)利摘要】本發(fā)明提供了一種基于動(dòng)態(tài)代碼序列跟蹤分析的木馬分析方法,包括如下步驟:1)構(gòu)造未知程序的典型代碼跟蹤環(huán)境,并在該跟蹤環(huán)境中運(yùn)行木馬;2)獲取木馬執(zhí)行時(shí)監(jiān)測(cè)到的代碼執(zhí)行序列及其調(diào)用順序;3)對(duì)代碼執(zhí)行序列進(jìn)行編碼,并計(jì)算惡意行為的擬合度;4)判定未知程序的惡意行為擬合度及木馬歸屬分類(lèi)。針對(duì)木馬的種類(lèi)與日俱增且變種繁多的現(xiàn)狀,本發(fā)明提出了一種基于動(dòng)態(tài)代碼序列跟蹤分析的木馬分析方法,實(shí)現(xiàn)了高效率化的檢測(cè),同時(shí)具有識(shí)別新變種木馬的效果。
【專(zhuān)利說(shuō)明】一種基于動(dòng)態(tài)代碼序列跟蹤分析的木馬判定方法

【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及計(jì)算機(jī)系統(tǒng)領(lǐng)域,更具體地,涉及一種基于動(dòng)態(tài)代碼序列跟蹤分析的 木馬分析方法。

【背景技術(shù)】
[0002] 隨著互聯(lián)網(wǎng)的快速發(fā)展,木馬的數(shù)量和傳播速度也隨之發(fā)生幾何性的增;數(shù)量眾 多的木馬程序無(wú)疑給傳統(tǒng)的分析方式帶來(lái)巨大的沖擊,傳統(tǒng)的靜態(tài)掃描存在不能及時(shí)發(fā)現(xiàn) 木馬變種等諸多問(wèn)題;而目前基于沙箱、虛擬機(jī)的動(dòng)態(tài)分析需要人工介入嚴(yán)重影響了分析 效率,判定的方法不夠有效,存在大量的主觀因素,往往基于已有的特征來(lái)進(jìn)行匹配,難于 有效監(jiān)測(cè)未知木馬和特種木馬;因此判定程序是否具有惡意性是一項(xiàng)困難的任務(wù)。


【發(fā)明內(nèi)容】

[0003] 為了解決【背景技術(shù)】中存在的上述的主要問(wèn)題,本發(fā)明提出了一種基于動(dòng)態(tài)代碼序 列跟蹤分析的木馬判定方法,解決了已知木馬的快速定位以及未知木馬的判定分析問(wèn)題, 實(shí)現(xiàn)了識(shí)別已知及未知木馬程序,快速識(shí)別新型變種木馬的系統(tǒng),顯著提高了檢測(cè)分析效 率。
[0004] 本發(fā)明的技術(shù)實(shí)現(xiàn)方案如下。
[0005] -種基于動(dòng)態(tài)代碼序列跟蹤分析的木馬判定方法,該方法包括以下實(shí)現(xiàn)步驟。
[0006] 1)構(gòu)造未知程序的典型代碼跟蹤環(huán)境,并在該跟蹤環(huán)境中運(yùn)行木馬。
[0007] 2)獲取木馬執(zhí)行時(shí)監(jiān)測(cè)到的代碼執(zhí)行序列及其調(diào)用順序。
[0008] 3)對(duì)代碼執(zhí)行序列進(jìn)行編碼,并計(jì)算惡意行為的擬合度。
[0009] 4)判定未知程序的惡意行為擬合度及木馬歸屬分類(lèi)。
[0010] 上述步驟3)中所述編碼是利用編碼表進(jìn)行對(duì)應(yīng)賦值。
[0011] 上述步驟3)中所述計(jì)算惡意行為的擬合度是通過(guò)將編碼后序列與規(guī)則庫(kù)中的木 馬行為規(guī)則做相似度運(yùn)算來(lái)實(shí)現(xiàn)。
[0012] 上述步驟4)的具體實(shí)現(xiàn)方式是。
[0013] 401)將代碼執(zhí)行序列編碼成一個(gè)序列A。
[0014] 402)在規(guī)則庫(kù)中取出一條木馬的行為規(guī)則序列B。
[0015] 403)設(shè)置n為待檢測(cè)序列A的長(zhǎng)度,m為規(guī)則序列B的長(zhǎng)度。
[0016] 404)將序列A、B的值分別存入向量^;、I中。
[0017] 405)創(chuàng)建(n+1)X(m+1)階矩陣D。
[0018]406)遍歷兩向量,如果J[i] =j§ [j],則用temp記錄,令temp=0,否則令temp=l。
[0019] 407)在矩陣D[i,j]處賦予D[i-1,j]+l、D[i,j-l]+l、D[i-l,j-l]+temp三者的 最小值。
[0020] 408)遍歷完兩向量后,矩陣最后的一個(gè)值D[i+1,j+1]即為A、B兩序列的差異值。
[0021] 409)利用差異值計(jì)算A、B兩序列的相似度,取值保留兩位有效數(shù)字。
[0022] 410)判斷被分析程序的安全等級(jí),若安全等級(jí)在中危及以上,判斷被分析程序歸 屬類(lèi)別。
[0023] 411)若規(guī)則庫(kù)規(guī)則序列未遍歷完,則再次執(zhí)行步驟402)?步驟411)。
[0024] 上述步驟401)是利用編碼表進(jìn)行不重復(fù)的單字符編碼,編碼后按順序?qū)⒋a文組成 序列A。
[0025] 上述步驟405)中所述創(chuàng)建的(n+1)X(m+1)階矩陣D,需要經(jīng)過(guò)初始化賦值,其 第一行和第一列的取值從〇開(kāi)始遞增。
[0026] 上述步驟409)中所述相似度計(jì)算,具體為A、B兩序列的差異值除以m、n中較大值 的結(jié)果與兩位小數(shù)1. 00差值的絕對(duì)值;若不是第一次完成序列A與規(guī)則序列B的相似度計(jì) 算,則將相似度計(jì)算結(jié)果與上一次循環(huán)的計(jì)算結(jié)果比較,取兩者較大的值,直到規(guī)則庫(kù)中所 有序列被遍歷完后,相似度值最終會(huì)保留最大的數(shù)值。
[0027] 上述步驟410)中所述判斷被分析程序安全等級(jí),包括安全等級(jí)標(biāo)為CleaK安全)、 安全等級(jí)標(biāo)為Alarm(中危)和安全等級(jí)標(biāo)為Malicious(高危)。
[0028] 上述步驟410)中所述判斷被分析程序安全等級(jí),若相似度值在[0,0. 68)的范圍 內(nèi),則將被測(cè)程序安全等級(jí)標(biāo)為Clear(安全);若相似度值在[0.68,0.87)的范圍內(nèi),則將 被測(cè)程序安全等級(jí)標(biāo)為Alarm(中危);若相似度值在[0.87,1.00]的范圍內(nèi),則將被測(cè)程序 安全等級(jí)標(biāo)為Malicious(高危)。
[0029] 上述步驟410)中所述判斷被分析程序歸屬類(lèi)別,是根據(jù)相似度計(jì)算最大的5個(gè)數(shù) 值來(lái)匹配相應(yīng)的規(guī)則序列,從而得出所屬的木馬歸屬類(lèi)別。
[0030] 與現(xiàn)有技術(shù)相比,本發(fā)明的優(yōu)點(diǎn)在于對(duì)于判別木馬的算法具有獨(dú)創(chuàng)性。需要先建 立一組典型木馬行為規(guī)則序列庫(kù),對(duì)待測(cè)程序歸屬性分析的結(jié)果是用特定算法計(jì)算程序操 作行為序列與建立的規(guī)則序列之間的相似度而得出的。

【專(zhuān)利附圖】

【附圖說(shuō)明】
[0031] 為了更清楚地說(shuō)明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對(duì)具體實(shí)施方 式描述中所需要使用的附圖作簡(jiǎn)單地介紹。
[0032] 圖1是本發(fā)明提供的一種基于動(dòng)態(tài)代碼序列跟蹤分析的木馬檢測(cè)方法的執(zhí)行示 意圖。

【具體實(shí)施方式】
[0033] 下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完 整地描述;基于本發(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒(méi)有作出創(chuàng)造性勞動(dòng)前提下所 獲得的所有其他實(shí)施例,都屬于本發(fā)明保護(hù)的范圍。
[0034] 參見(jiàn)圖1,本發(fā)明提供了一種基于動(dòng)態(tài)代碼序列跟蹤分析的木馬檢測(cè)方法,具體執(zhí) 行方法如下。
[0035] SO:構(gòu)建未知木馬代碼跟蹤環(huán)境。
[0036] Sl:獲得未知木馬的的API操作序列。
[0037] S2 :計(jì)算出該API序列的元素長(zhǎng)度n。
[0038] S3 :進(jìn)入判斷條件為n! =0的循環(huán),每次分別獲取一個(gè)API序列中的一個(gè)元素。
[0039] S4 :將獲取的每個(gè)元素按照表1所示的一種木馬操作API映射關(guān)系進(jìn)行編碼;編 碼映射表對(duì)木馬程序經(jīng)常使用Windows系統(tǒng)的75個(gè)API(其中文件操作、注冊(cè)表操作、進(jìn)程 操作、服務(wù)操作、網(wǎng)絡(luò)連接行為API分別為16、14、19、14、12個(gè))進(jìn)行不重復(fù)的單字符編碼。

【權(quán)利要求】
1. 一種基于動(dòng)態(tài)代碼序列跟蹤分析的木馬判定方法,其特征在于,包括以下步驟: 1) 構(gòu)造未知程序的典型代碼跟蹤環(huán)境,并在該跟蹤環(huán)境中運(yùn)行木馬; 2) 獲取木馬執(zhí)行時(shí)監(jiān)測(cè)到的代碼執(zhí)行序列及其調(diào)用順序; 3) 對(duì)代碼執(zhí)行序列進(jìn)行編碼,并計(jì)算惡意行為的擬合度; 4) 判定未知程序的惡意行為擬合度及木馬歸屬分類(lèi)。
2. 如權(quán)利要求1所述的方法,其特征在于:所述步驟3)中所述編碼是利用編碼表進(jìn)行 對(duì)應(yīng)賦值。
3. 如權(quán)利要求1所述的方法,其特征在于:所述步驟3)中所述計(jì)算惡意行為的擬合度 是通過(guò)將編碼后序列與規(guī)則庫(kù)中的木馬行為規(guī)則做相似度運(yùn)算來(lái)實(shí)現(xiàn)。
4. 如權(quán)利要求1所述的方法,其特征在于:所述步驟4)的具體實(shí)現(xiàn)方式是: 401) 將代碼執(zhí)行序列編碼成一個(gè)序列A ; 402) 在規(guī)則庫(kù)中取出一條木馬的行為規(guī)則序列B ; 403) 設(shè)置n為待檢測(cè)序列A的長(zhǎng)度,m為規(guī)則序列B的長(zhǎng)度; 404) 將序列A、B的值分別存入向量I、S中; 405) 創(chuàng)建(n+l)X (m+1)階矩陣 D; 406) 遍歷兩向量,如果J [i]= 3 [j],則用temp記錄,令temp=0,否則令temp=l; 407) 在矩陣 D[i,j]處賦予 D[i-1,j]+l、D[i,j-l]+l、D[i-l,j-l]+temp 三者的最小 值; 408) 遍歷完兩向量后,矩陣最后的一個(gè)值D [n+1, m+1]即為A、B兩序列的差異值; 409) 利用差異值計(jì)算A、B兩序列的相似度,取值保留兩位有效數(shù)字; 410) 判斷被分析程序的安全等級(jí),若安全等級(jí)在中危及以上,判斷被分析程序歸屬類(lèi) 別; 411) 若規(guī)則庫(kù)規(guī)則序列未遍歷完,則再次執(zhí)行步驟402)?步驟411)。
5. 如權(quán)利要求4所述的方法,其特征在于:所述步驟401)是利用編碼表進(jìn)行不重復(fù)的 單字符編碼,編碼后按順序?qū)⒋a文組成序列A。
6. 如權(quán)利要求4所述的方法,其特征在于:所述步驟405)中所述創(chuàng)建的(n+l)X(m+l) 階矩陣D,需要經(jīng)過(guò)初始化賦值,其第一行和第一列的取值從0開(kāi)始遞增。
7. 如權(quán)利要求4所述的方法,其特征在于:所述步驟409)中所述相似度計(jì)算,具體為 A、B兩序列的差異值除以m、n中較大值的結(jié)果與兩位小數(shù)1. 00差值的絕對(duì)值;若不是第一 次完成序列A與規(guī)則序列B的相似度計(jì)算,則將相似度計(jì)算結(jié)果與上一次循環(huán)的計(jì)算結(jié)果 比較,取兩者較大的值,直到規(guī)則庫(kù)中所有序列被遍歷完后,相似度值最終會(huì)保留最大的數(shù) 值。
8. 如權(quán)利要求4所述的方法,其特征在于:所述步驟410)中所述判斷被分析程序安 全等級(jí),包括安全等級(jí)標(biāo)為Clear (安全)、安全等級(jí)標(biāo)為Alarm (中危)和安全等級(jí)標(biāo)為 Malicious (高危)。
9. 如權(quán)利要求4所述的方法,其特征在于:所述步驟410)中所述判斷被分析程序安全 等級(jí),若相似度值在[〇,〇.68)的范圍內(nèi),則將被測(cè)程序安全等級(jí)標(biāo)為Clear (安全);若相似 度值在[0.68,0.87)的范圍內(nèi),則將被測(cè)程序安全等級(jí)標(biāo)為Alarm (中危);若相似度值在 [0.87,1.00]的范圍內(nèi),則將被測(cè)程序安全等級(jí)標(biāo)為Malicious (高危)。
10.如權(quán)利要求4所述的方法,其特征在于:所述步驟410)中所述判斷被分析程序歸 屬類(lèi)別,是根據(jù)相似度計(jì)算最大的5個(gè)數(shù)值來(lái)匹配相應(yīng)的規(guī)則序列,從而得出所屬的木馬 歸屬類(lèi)別。
【文檔編號(hào)】G06F21/56GK104361286SQ201410711148
【公開(kāi)日】2015年2月18日 申請(qǐng)日期:2014年12月1日 優(yōu)先權(quán)日:2014年12月1日
【發(fā)明者】朱志祥, 張勇, 吳晨, 劉盛輝 申請(qǐng)人:西安郵電大學(xué), 陜西省信息化工程研究院
網(wǎng)友詢(xún)問(wèn)留言 已有0條留言
  • 還沒(méi)有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1