亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

基于行為片段共享的惡意軟件特征融合分析方法及系統(tǒng)的制作方法

文檔序號:7866606閱讀:231來源:國知局
專利名稱:基于行為片段共享的惡意軟件特征融合分析方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域
本發(fā)明涉及計算機網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,具體涉及一種基于行為片段共享的惡意軟件特征融合分析方法及系統(tǒng)。
背景技術(shù)
根據(jù)國家 互聯(lián)網(wǎng)應(yīng)急中心互聯(lián)網(wǎng)安全威脅報告中術(shù)語的定義,惡意軟件是指在未經(jīng)授權(quán)的情況下,在信息系統(tǒng)中安裝、執(zhí)行以達到不正當(dāng)目的的程序。惡意軟件主要包括1)特洛伊木馬(Trojan Horse),以盜取用戶個人信息,甚至是遠程控制用戶計算機為主要目標的惡意軟件。2)僵尸程序,用于構(gòu)建大規(guī)模攻擊平臺的惡意軟件。按照使用的通信協(xié)議,僵尸程序可進一步分為IRC (Internet Relay Chat)僵尸程序、HTTP (HypertextTransfer Protocol)僵尸程序、P2P (peer-to-peer)僵尸程序等。3)螺蟲,指能自我復(fù)制和廣泛傳播,以占用系統(tǒng)和網(wǎng)絡(luò)資源為主要目的惡意軟件。4)病毒,通過感染計算機文件進行傳播,以破壞或篡改用戶數(shù)據(jù),影響信息系統(tǒng)正常運行為主要目的惡意軟件。惡意軟件的檢測與分析正變得越來越困難,主要表現(xiàn)在以下三個方面。I)惡意軟件數(shù)量巨大并且成指數(shù)級增長,賽門鐵克公司一系列網(wǎng)絡(luò)安全威脅報告(SymantecInternet SecurityThreat Report)指出目前惡意軟件數(shù)量巨大并成指數(shù)級增長,賽門鐵克公司在2011年共發(fā)現(xiàn)4億新的惡意軟件樣本,平均每天110萬。這樣巨大的惡意軟件樣本給惡意軟件檢測系統(tǒng)如何正確識別、歸類、描述惡意軟件帶來巨大挑戰(zhàn)。2)惡意軟件的行為呈現(xiàn)出更強的多樣性,通過消息加密、變換傳播途徑、多態(tài)等技術(shù),同一種惡意軟件的不同樣本表現(xiàn)出不同的行為,難以對觀察到的惡意軟件樣本進行正確有效分析。3)惡意軟件的樣本在空間上廣泛分布并且具有很高的隱蔽性,因此單一局域網(wǎng)或企業(yè)網(wǎng)能夠觀察到的同一種惡意軟件的樣本數(shù)目非常有限。由于惡意軟件行為的多樣性,在樣本數(shù)目有限的情況下,無法獲取惡意軟件的本質(zhì)特征,分析準確性無法保證。因此惡意軟件分析系統(tǒng)一般采用分布采集方式覆蓋足夠多的惡意軟件樣本。賽門鐵克公司的研究人員在網(wǎng)絡(luò)安全頂級會議 SP' 11 (IEEE Symposium on SecurityandPrivacy2011)撰寫短文(BenchmarkingComputer SecurityUsingffINE)指出該公司在全球部署了 24萬惡意軟件采集節(jié)點。美國國防部定義信息融合為信息融合是一個組合數(shù)據(jù)和信息以估計或預(yù)測實體(entity)狀態(tài)的過程。本發(fā)明研究分布在網(wǎng)絡(luò)各地的分析節(jié)點間惡意軟件分析結(jié)果融合是信息融合在網(wǎng)絡(luò)安全方面的應(yīng)用,是一類特殊的信息融合。目前惡意軟件攻擊采用多種復(fù)雜攻擊方式,比如將多個樣本分布在網(wǎng)絡(luò)各地的多攻擊源分布式攻擊和跳板攻擊,同時惡意軟件廣泛分散且行為隱蔽,單個主機和單個網(wǎng)絡(luò)無法準確判斷其惡意性或者全面了解其攻擊試圖。因此融合分布在各地的信息來準確了解惡意軟件本質(zhì)特性和全局攻擊視圖成為網(wǎng)絡(luò)安全研究的熱點。早期的研究集中在融合商業(yè)入侵檢測系統(tǒng)(IDS, Intrusion Detection System)的報警信息來發(fā)現(xiàn)多步復(fù)雜攻擊以及降低入侵檢測系統(tǒng)的誤報率和提高檢測覆蓋范圍。專利“大規(guī)模分布式入侵檢測系統(tǒng)的實時數(shù)據(jù)融合方法”(專利號03137444. I)提出一種層次性的報警融合體系結(jié)構(gòu),并采用“聚類-合并-關(guān)聯(lián)”三個步驟實現(xiàn)對報警的逐步融合,聚類是計算入侵檢測組件(如IDS、防火墻、病毒檢測軟件等)輸出的報警之間的相異度,將多個相異度小的報警聚合為一個或者多個報警簇,合并是將報警簇變成一個包含該報警簇中的各種代表性信息的中級報警,關(guān)聯(lián)是利用關(guān)聯(lián)規(guī)則將多個中級報警關(guān)聯(lián)成一個高級報警,最終為安全管理人員提供簡練又信息全面的報警。目前研究人員普遍采用信息融合來檢測和分析惡意軟件,學(xué)者GuofeiGu等在網(wǎng)絡(luò)安全國際頂級會議Security' 08 (Proceedings ofthel7th USENIX Security Symposium2008)發(fā)表論文 “BotMiner-Clustering analysisof network traffic for protocol-and structure-independent botnet detection,,融合多個網(wǎng)絡(luò)區(qū)域不同主機的惡意行為(掃描、發(fā)送垃圾郵件、二進制代碼下載等)與通信網(wǎng)絡(luò)流量,判斷那些在行為上具有相同惡意行為且在通信流量上具有相似且同步內(nèi)容的主機集為同一僵尸網(wǎng)絡(luò)的主機。學(xué)者Roberto Perdisci等在網(wǎng)絡(luò)系統(tǒng)國際頂級會議NSDI1 10(USENIXSymposium on Networked System Design and Implementation2010)上發(fā)表論文 “BehavioralClustering of HTTP-Based Malware an d Signature GenerationUsing Malicious Network Traces”,從分布在網(wǎng)絡(luò)各地的惡意軟件采集節(jié)點收集各種基于HTTP通信的惡意軟件樣本,然后采用集中方式在集中服務(wù)器分析這些惡意軟件樣本的HTTP行為之間相似性,由于生成的URL特征綜合了分布在網(wǎng)絡(luò)各地的各種變形樣本的行為特征,因此該URL特征準確捕獲了該類惡意軟件的HTTP行為的本質(zhì)特征??梢园l(fā)現(xiàn)現(xiàn)有采用信息融合檢測和分析惡意軟件系統(tǒng)一般采用集中式或者層次式結(jié)構(gòu),集中式結(jié)構(gòu)在集中服務(wù)器上處理所有惡意軟件樣本,層次式結(jié)構(gòu)雖然在中間層進行了一部分功能的處理,但是最后分析結(jié)果都送在集中管理節(jié)點,惡意軟件數(shù)量巨大并且成指數(shù)級增長,集中式和層次式結(jié)構(gòu)中的集中服務(wù)器和集中管理節(jié)點都存在計算瓶頸問題。為此,一些研究采用全分布式結(jié)構(gòu)進行信息融合檢測和惡意軟件分析,但他們大多只能處理簡單或者特定的惡意軟件。學(xué)者Min Cai等在IEEE學(xué)報TDSC2007(IEEETransactions onDependable and Secure Computing2007)發(fā)表論文 “WormShield :FastWorm SignatureGeneration with Distributed FingerprintAggregation”,提出在邊緣網(wǎng)絡(luò)部署多個檢測節(jié)點,每個檢測節(jié)點監(jiān)測其負責(zé)的邊緣網(wǎng)絡(luò)的所有出入流量并從流量中過濾出可以的流量片段提交與其它檢測節(jié)點進行融合,但它只能檢測和提取在傳播過程中行為不發(fā)生改變的單形螺蟲(monomorphic worm),因為只有同一類單形螺蟲的流量中才會有相同的足夠長的流量片段,統(tǒng)計流量片段的全系統(tǒng)特性才有意義。對于采用消息加密、變換傳播途徑、多態(tài)等復(fù)雜技術(shù)的惡意軟件的行為呈現(xiàn)出復(fù)雜的多樣性,同一類的惡意軟件樣本之間的行為相差很大,不同樣本行為間沒有足夠長的相同的行為序列。因此現(xiàn)有全分布式分析技術(shù)難以從多態(tài)的惡意軟件行為中挖掘出特征碼。綜上所述,為了能夠整合惡意軟件的網(wǎng)絡(luò)行為提取出特征碼,現(xiàn)有集中式和層次式惡意軟件分析系統(tǒng)中的集中服務(wù)器或集中管理節(jié)點存在計算和通信瓶頸問題,而現(xiàn)有全分布式惡意軟件分析技術(shù)只能檢測和提取在傳播過程中行為不發(fā)生改變的單形惡意軟件,無法應(yīng)對采用消息加密、變換傳播途徑、多態(tài)等復(fù)雜技術(shù)的惡意軟件。分布式哈希表(DHT,Distributed Hash Table)通常用于分布式數(shù)據(jù)存儲和檢索,具有去中心化、可靠和良好的可擴展性等特性。DHT網(wǎng)絡(luò)中,每個節(jié)點負責(zé)一個小范圍的路由處理及部分數(shù)據(jù)對象(data)的存儲。DHT的基本原理是將每個數(shù)據(jù)資源對象表示成一個數(shù)據(jù)資源對象索引條目(Key,N0de)對,Key稱為關(guān)鍵字,是資源對象描述信息(如資源名、資源編號、資源內(nèi)容等)的哈希值,Node是實際存儲該資源對象的節(jié)點的描述信息(如IP地址、名稱等)。所有的數(shù)據(jù)資源對象索引條目(即所有的(Key,N0de)對)組成一個資源對象索引哈希表,只要輸入目標資源對象的Key值,就可以從該資源對象索引哈希表中查出存儲該資源對象的節(jié)點的地址或者其他描述信息。DHT的主要功能是將該資源索引哈希表分布化,將其分割成很多段小塊(局部哈希表),然后按照特定的規(guī)則把每一塊局部哈希表分配到系統(tǒng)中的一個參與節(jié)點上,使得每個節(jié)點負責(zé)維護其中的一塊局部哈希表。

發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題是提供一種分析準確性高、分析性能強、可擴展性好的基于行為片段共享的惡意軟件特征融合分析方法及系統(tǒng)。為了解決上述技術(shù)問題,本發(fā)明采用的技術(shù)方案為
一種基于行為片段共享的惡意軟件特征融合分析方法,實施步驟如下I)在網(wǎng)絡(luò)中分別部署地理位置分散的節(jié)點,每一個節(jié)點負責(zé)一片網(wǎng)絡(luò)區(qū)域中惡意軟件樣本的采集和分析,在節(jié)點中建立用于構(gòu)建分布式哈希表的分布式哈希表模塊;2)各個節(jié)點采集惡意軟件樣本并分割為長度固定的行為片段集合,統(tǒng)計本地具有所述行為片段集合中各個行為片段行為的本地惡意軟件樣本數(shù)得到行為片段集合的本地統(tǒng)計特性;3)各個節(jié)點將行為片段集合及其本地統(tǒng)計特性發(fā)布共享至分布式哈希表,通過分布式哈希表的節(jié)點聚攏來自不同節(jié)點的相同行為片段并統(tǒng)計聚攏所述行為片段的全局特性,將帶有全局特性的行為片段集合返回給共享行為片段集合及其本地統(tǒng)計特性的源節(jié)占.4)所述源節(jié)點根據(jù)惡意軟件的行為片段及其全局特性構(gòu)成的惡意軟件的行為特征計算具有相似行為特征的候選鄰居節(jié)點集,向候選鄰居節(jié)點集中的遠程節(jié)點發(fā)送惡意軟件對應(yīng)的源行為特征,候選鄰居節(jié)點集中的遠程節(jié)點將收到的源行為特征與本地的目的行為特征比較判斷目的行為特征是否為源行為特征的鄰居行為特征,將判斷結(jié)果作為行為特征鄰居關(guān)系返回源節(jié)點,所述源節(jié)點根據(jù)遠程節(jié)點返回的行為特征鄰居關(guān)系構(gòu)造行為特征鄰接關(guān)系圖;5)在所述特征鄰接關(guān)系圖的基礎(chǔ)上分布式生成融合樹,將所述融合樹中的行為特征進行融合,將所述融合樹的根行為特征作為惡意軟件特征融合分析結(jié)果輸出。作為本發(fā)明基于行為片段共享的惡意軟件特征融合分析方法的進一步改進所述步驟2)的詳細步驟如下2. I)將惡意軟件樣本的行為視為順序執(zhí)行的行為序列,從所述順序執(zhí)行的行為序列中選擇固定長度的連續(xù)行為子序列作為分割得到的長度固定的行為片段集合;或者根據(jù)惡意軟件樣本的行為操作數(shù)據(jù)之間的依賴關(guān)系建立行為依賴圖,從所述行為依賴圖中選擇獲取固定頂點數(shù)目的行為依賴子圖作為分割得到的長度固定的行為片段集合;2. 2)統(tǒng)計本地具有所述行為片段集合中各個行為片段行為的本地惡意軟件樣本數(shù)得到行為片段集合的本地統(tǒng)計特性并輸出。所述步驟3)的詳細步驟如下
3. I)各個節(jié)點調(diào)用分布式哈希表模塊得到所述行為片段的關(guān)鍵字值,將所述行為片段及其本地統(tǒng)計特性封裝為分布式哈希表消息,然后將所述關(guān)鍵字值和分布式哈希表消息發(fā)送給分布式哈希表模塊;所述分布式哈希表模塊根據(jù)關(guān)鍵字值查找負責(zé)該關(guān)鍵字值的采集分析節(jié)點,并將分布式哈希表消息路由到負責(zé)該關(guān)鍵字值的節(jié)點進行存儲;3. 2)不同節(jié)點負責(zé)不同行為片段,通過分布式哈希表模塊將不同節(jié)點的相同行為片段聚攏到同一節(jié)點并記錄發(fā)布行為片段的源節(jié)點地址,所述節(jié)點通過分布式哈希表模塊存儲的行為片段及其本地統(tǒng)計特性,根據(jù)行為片段及其源節(jié)點、源節(jié)點本地具有所述行為片段行為的本地惡意軟件樣本數(shù)進行統(tǒng)計全局特性,所述行為片段的全局特性包括行為片段、源節(jié)點地址、源節(jié)點本地具有所述行為片段行為的本地惡意軟件樣本數(shù)的三元對集合;然后將帶有全局特性的行為片段集合發(fā)送給源節(jié)點地址,源節(jié)點地址對應(yīng)的源節(jié)點收到帶有全局特性的行為片段集合。所述步驟4)的詳細步驟如下4. I)源節(jié)點根據(jù)惡意軟件的行為片段及其全局特性獲取每一個本地的惡意軟件的行為特征,根據(jù)式(I)計算所述行為特征與其它遠程節(jié)點之間的行為片段共享度,將所述片段共享度大于預(yù)設(shè)共享度閾值的所有遠程節(jié)點作為具有相似行為特征的候選鄰居節(jié)點集;
權(quán)利要求
1.一種基于行為片段共享的惡意軟件特征融合分析方法,其特征在于實施步驟如下 1)在網(wǎng)絡(luò)中分別部署地理位置分散的節(jié)點,每一個節(jié)點負責(zé)一片網(wǎng)絡(luò)區(qū)域中惡意軟件樣本的采集和分析,在節(jié)點中建立用于構(gòu)建分布式哈希表的分布式哈希表模塊; 2)各個節(jié)點采集惡意軟件樣本并分割為長度固定的行為片段集合,統(tǒng)計本地具有所述行為片段集合中各個行為片段行為的本地惡意軟件樣本數(shù)得到行為片段集合的本地統(tǒng)計特性; 3)各個節(jié)點將行為片段集合及其本地統(tǒng)計特性發(fā)布共享至分布式哈希表,通過分布式哈希表的節(jié)點聚攏來自不同節(jié)點的相同行為片段并統(tǒng)計聚攏所述行為片段的全局特性,將帶有全局特性的行為片段集合返回給共享行為片段集合及其本地統(tǒng)計特性的源節(jié)點; 4)所述源節(jié)點根據(jù)惡意軟件的行為片段及其全局特性構(gòu)成的惡意軟件的行為特征計算具有相似行為特征的候選鄰居節(jié)點集,向候選鄰居節(jié)點集中的遠程節(jié)點發(fā)送惡意軟件對應(yīng)的源行為特征,候選鄰居節(jié)點集中的遠程節(jié)點將收到的源行為特征與本地的目的行為特征比較判斷目的行為特征是否為源行為特征的鄰居行為特征,將判斷結(jié)果作為行為特征鄰居關(guān)系返回源節(jié)點,所述源節(jié)點根據(jù)遠程節(jié)點返回的行為特征鄰居關(guān)系構(gòu)造行為特征鄰接關(guān)系圖; 5)在所述特征鄰接關(guān)系圖的基礎(chǔ)上分布式生成融合樹,將所述融合樹中的行為特征進行融合,將所述融合樹的根行為特征作為惡意軟件特征融合分析結(jié)果輸出。
2.根據(jù)權(quán)利要求I所述的基于行為片段共享的惡意軟件特征融合分析方法,其特征在于,所述步驟2)的詳細步驟如下 2. I)將惡意軟件樣本的行為視為順序執(zhí)行的行為序列,從所述順序執(zhí)行的行為序列中選擇固定長度的連續(xù)行為子序列作為分割得到的長度固定的行為片段集合;或者根據(jù)惡意軟件樣本的行為操作數(shù)據(jù)之間的依賴關(guān)系建立行為依賴圖,從所述行為依賴圖中選擇獲取固定頂點數(shù)目的行為依賴子圖作為分割得到的長度固定的行為片段集合; 2.2)統(tǒng)計本地具有所述行為片段集合中各個行為片段行為的本地惡意軟件樣本數(shù)得到行為片段集合的本地統(tǒng)計特性并輸出。
3.根據(jù)權(quán)利要求I所述的基于行為片段共享的惡意軟件特征融合分析方法,其特征在于,所述步驟3)的詳細步驟如下 3. I)各個節(jié)點調(diào)用分布式哈希表模塊得到所述行為片段的關(guān)鍵字值,將所述行為片段及其本地統(tǒng)計特性封裝為分布式哈希表消息,然后將所述關(guān)鍵字值和分布式哈希表消息發(fā)送給分布式哈希表模塊;所述分布式哈希表模塊根據(jù)關(guān)鍵字值查找負責(zé)該關(guān)鍵字值的采集分析節(jié)點,并將分布式哈希表消息路由到負責(zé)該關(guān)鍵字值的節(jié)點進行存儲; 3.2)不同節(jié)點負責(zé)不同行為片段,通過分布式哈希表模塊將不同節(jié)點的相同行為片段聚攏到同一節(jié)點并記錄發(fā)布行為片段的源節(jié)點地址,所述節(jié)點通過分布式哈希表模塊存儲的行為片段及其本地統(tǒng)計特性,根據(jù)行為片段及其源節(jié)點、源節(jié)點本地具有所述行為片段行為的本地惡意軟件樣本數(shù)進行統(tǒng)計全局特性,所述行為片段的全局特性包括行為片段、源節(jié)點地址、源節(jié)點本地具有所述行為片段行為的本地惡意軟件樣本數(shù)的三元對集合;然后將帶有全局特性的行為片段集合發(fā)送給源節(jié)點地址,源節(jié)點地址對應(yīng)的源節(jié)點收到帶有全局特性的行為片段集合。
4.根據(jù)權(quán)利要求I或2或3所述的基于行為片段共享的惡意軟件特征融合分析方法,其特征在于,所述步驟4)的詳細步驟如下 [4.I)源節(jié)點根據(jù)惡意軟件的行為片段及其全局特性獲取每一個本地的惡意軟件的行為特征,根據(jù)式(I)計算所述行為特征與其它遠程節(jié)點之間的行為片段共享度,將所述片段共享度大于預(yù)設(shè)共享度閾值的所有遠程節(jié)點作為具有相似行為特征的候選鄰居節(jié)點集;
5.根據(jù)權(quán)利要求4所述的基于行為片段共享的惡意軟件特征融合分析方法,其特征在于,所述步驟5)的詳細步驟如下 5.I)所述源節(jié)點在所述特征鄰接關(guān)系圖的基礎(chǔ)上,采用優(yōu)先選擇權(quán)值大的邊的分布式最小生成樹算法根據(jù)行為特征的關(guān)聯(lián)邊數(shù)據(jù)結(jié)構(gòu)在鄰接關(guān)系圖上生成行為特征最大相似樹作為融合樹,以行為特征最大相似樹為基礎(chǔ)決定所述融合樹中行為特征的融合順序使最相似的行為特征優(yōu)先被融合; 5.2)所述源節(jié)點為特征鄰接關(guān)系圖中每一個頂點的行為特征單獨生成一個進程或者線程作為特征融合代理,或者為特征鄰接關(guān)系圖中所有頂點的行為特征生成一個特征融合代理;所述特征融合代理根據(jù)所述融合順序?qū)陨硇袨樘卣鞯娜诤辖Y(jié)果提交給下一層的特征融合代理;收到融合結(jié)果的特征融合代理記錄接收到所述融合結(jié)果的上一層特征融合代理對應(yīng)特征鄰接關(guān)系圖中的鄰接邊,查看所述鄰接邊在所有鄰接邊中是不是自身行為特征的關(guān)聯(lián)邊中的權(quán)值最大的邊,如果是,則將自身的行為特征和所有收到融合結(jié)果進行融合并將融合結(jié)果根據(jù)所述融合順序提交給下一層特征融合代理,否則,融合所有收到的融合結(jié)果并將融合結(jié)果和自身的行為特征根據(jù)所述融合順序提交給下一層特征融合代理,最終融合得到所述融合樹的根行為特征; 5.3)將所述融合樹的根行為特征作為惡意軟件特征融合分析結(jié)果輸出。
6.一種基于行為片段共享的惡意軟件特征融合分析系統(tǒng),其特征在于,包括在網(wǎng)絡(luò)中分別部署地理位置分散的節(jié)點,每一個節(jié)點負責(zé)一片網(wǎng)絡(luò)區(qū)域中惡意軟件樣本的采集和分析,所述節(jié)點包括 行為特征分割模塊,用于節(jié)點采集惡意軟件樣本并分割為長度固定的行為片段集合,統(tǒng)計本地具有所述行為片段集合中各個行為片段行為的本地惡意軟件樣本數(shù)得到行為片段集合的本地統(tǒng)計特性并提交給行為片段協(xié)同共享模塊; 分布式哈希表模塊,用于在節(jié)點中建立用于構(gòu)建分布式哈希表; 行為片段協(xié)同共享模塊,用于各個節(jié)點將行為片段集合及其本地統(tǒng)計特性發(fā)布共享至分布式哈希表,通過分布式哈希表的節(jié)點聚攏來自不同節(jié)點的相同行為片段并統(tǒng)計聚攏所述行為片段的全局特性,將帶有全局特性的行為片段集合返回給共享行為片段集合及其本地統(tǒng)計特性的源節(jié)點; 鄰居行為特征發(fā)現(xiàn)模塊,用于根據(jù)惡意軟件的行為片段及其全局特性構(gòu)成的惡意軟件的行為特征計算具有相似行為特征的候選鄰居節(jié)點集,向候選鄰居節(jié)點集中的遠程節(jié)點發(fā)送惡意軟件對應(yīng)的源行為特征;同時在節(jié)點作為候選鄰居節(jié)點集中的遠程節(jié)點時將收到的源行為特征與本地的目的行為特征比較判斷目的行為特征是否為源行為特征的鄰居行為特征,將判斷結(jié)果作為行為特征鄰居關(guān)系返回源節(jié)點,根據(jù)遠程節(jié)點返回的行為特征鄰居關(guān)系構(gòu)造行為特征鄰接關(guān)系圖; 分布式層次融合樹構(gòu)造模塊,用于在所述特征鄰接關(guān)系圖的基礎(chǔ)上分布式生成融合樹; 行為特征逐步融合模塊,用于將所述融合樹中的行為特征進行融合,將所述融合樹的根行為特征作為惡意軟件特征融合分析結(jié)果輸出。
7.根據(jù)權(quán)利要求6所述的基于行為片段共享的惡意軟件特征融合分析系統(tǒng),其特征在于,所述行為特征分割模塊包括 連續(xù)行為子序列子模塊或者行為依賴子圖分割子模塊,所述連續(xù)行為子序列子模塊用于將惡意軟件樣本的行為視為順序執(zhí)行的行為序列,從所述順序執(zhí)行的行為序列中選擇固定長度的連續(xù)行為子序列作為分割得到的長度固定的行為片段集合;所述行為依賴子圖分割子模塊用于根據(jù)惡意軟件樣本的行為操作數(shù)據(jù)之間的依賴關(guān)系建立行為依賴圖,從所述行為依賴圖中選擇獲取固定頂點數(shù)目的行為依賴子圖作為分割得到的長度固定的行為片段集合; 行為片段集合統(tǒng)計子模塊,用于統(tǒng)計本地具有所述行為片段集合中各個行為片段行為的本地惡意軟件樣本數(shù)得到行為片段集合的本地統(tǒng)計特性并輸出至行為片段協(xié)同共享模塊。
8.根據(jù)權(quán)利要求6所述的基于行為片段共享的惡意軟件特征融合分析系統(tǒng),其特征在于,所述分布式哈希表模塊包括 行為片段關(guān)鍵字映射子模塊,用于根據(jù)輸入的行為片段通過哈希計算獲取關(guān)鍵字值;關(guān)鍵字路由子模塊,用于根據(jù)關(guān)鍵字值查找負責(zé)該關(guān)鍵字值的采集分析節(jié)點,并將分布式哈希表消息路由到負責(zé)該關(guān)鍵字值的節(jié)點進行存儲; 所述行為片段協(xié)同共享模塊包括 行為片段發(fā)布子模塊,用于調(diào)用分布式哈希表模塊得到所述行為片段的關(guān)鍵字值,將所述行為片段及其本地統(tǒng)計特性封裝為分布式哈希表消息,然后將所述關(guān)鍵字值和分布式哈希表消息發(fā)送給分布式哈希表模塊; 行為片段接收子模塊,在節(jié)點作為分布式統(tǒng)計全局特性的節(jié)點時接收分布式哈希表模塊存儲的行為片段及其本地統(tǒng)計特性; 行為片段統(tǒng)計子模塊,用于在節(jié)點作為分布式統(tǒng)計全局特性的節(jié)點時根據(jù)行為片段及其源節(jié)點、源節(jié)點本地具有所述行為片段行為的本地惡意軟件樣本數(shù)進行統(tǒng)計全局特性,所述行為片段的全局特性包括行為片段、源節(jié)點地址、源節(jié)點本地具有所述行為片段行為的本地惡意軟件樣本數(shù)的三元對集合; 行為片段全局特性返回子模塊,用于在節(jié)點作為分布式統(tǒng)計全局特性的節(jié)點時將所述行為片段統(tǒng)計子模塊輸出的帶有全局特性的行為片段集合發(fā)送給源節(jié)點地址; 行為片段全局特性接收子模塊,用于在節(jié)點作為共享行為片段的源節(jié)點時接收所述行為片段全局特性返回子模塊發(fā)送的帶有全局特性的行為片段集合。
9.根據(jù)權(quán)利要求6或7或8所述的基于行為片段共享的惡意軟件特征融合分析系統(tǒng),其特征在于,所述鄰居行為特征發(fā)現(xiàn)模塊包括 候選鄰居節(jié)點集計算子模塊,用于根據(jù)惡意軟件的行為片段及其全局特性獲取每ー個本地的惡意軟件的行為特征,根據(jù)式(I)計算所述行為特征與其它遠程節(jié)點之間的行為片段共享度,將所述片段共享度大于預(yù)設(shè)共享度閾值的所有遠程節(jié)點作為具有相似行為特征的候選鄰居節(jié)點集; 行為特征發(fā)送子模塊,用于在節(jié)點作為源節(jié)點時將本地惡意軟件的行為特征作為源行為特征發(fā)送給候選鄰居節(jié)點集中的所有遠程節(jié)點; 行為特征接收子模塊,用于在節(jié)點作為候選鄰居節(jié)點集的遠程節(jié)點時將收源節(jié)點發(fā)送的源行為特征;行為特征鄰居關(guān)系驗證子模塊,用于將收到源行為特征與本地的目的行為特征中的共同行為組成融合行為特征,判斷所述融合行為特征在正常程序中出現(xiàn)的頻率是否小于設(shè)定閾值,如果小于則說明源行為特征與目的行為特征的共同行為在正常程序中不常見且是特定于惡意軟件的,判定源行為特征與目的行為特征屬于同一惡意軟件;否則判定源行為特征與目的行為特征不屬于同一惡意軟件;如果通過驗證源行為特征與目的行為特征屬于同一惡意軟件,則遠程節(jié)點的目的行為特征為源行為特征的鄰居行為特征,遠程節(jié)點將源行為特征編號、目的行為特征的編號、源行為特征與目的行為特征兩者的相似度、有鄰居行為特征標志位組裝成返回消息返回給源行為特征所在源節(jié)點,否則遠程節(jié)點返回給源行為特征所在源節(jié)點無鄰居行為特征標志位的否定消息; 鄰接關(guān)系圖計算子模塊,用于根據(jù)返回的行為特征鄰居關(guān)系創(chuàng)建行為特征鄰接關(guān)系圖的邊,邊的權(quán)值為兩個頂點所代表的兩個行為特征之間的相似度,最終構(gòu)造行為特征鄰接關(guān)系圖;所述創(chuàng)建行為特征鄰接關(guān)系圖的邊時采用單向邊方式或者雙向邊方式,當(dāng)采用單向邊方式時1)當(dāng)驗證遠程的源行為特征與本地的目的行為特征為同一惡意軟件的行為特征時,在本地的目的行為特征與遠程的源行為特征間創(chuàng)建邊,添加入本地的關(guān)聯(lián)邊數(shù)據(jù)結(jié)構(gòu)中;2)根據(jù)接收遠程節(jié)點返回的帶有鄰居行為特征標志位的鄰居行為特征消息時,查看本地的關(guān)聯(lián)邊數(shù)據(jù)結(jié)構(gòu)中查看是否已經(jīng)在關(guān)于該消息中源行為特征編號所代表的本地行為特征與消息中目的行為特征編號所代表的遠程行為特征間創(chuàng)建了邊,如果有,不做任何操作,如果沒有則在息中源行為特征編號所代表的本地行為特征與消息中目的行為特征編號所代表的遠程行為特征間創(chuàng)建邊,添加入本地的關(guān)聯(lián)邊數(shù)據(jù)結(jié)構(gòu)中;當(dāng)采用雙向邊方式時,當(dāng)本地的行為特征鄰居關(guān)系驗證子模塊驗證遠程的源行為特征與本地的目的行為特征為同一惡意軟件的行為特征且收到關(guān)于該本地的目的行為特征編號及該遠程的源行為特征編號的帶著有鄰居行為特征標志位的鄰居行為特征消息時,才在該本地的目的行為特征及該遠程的源行為特征間創(chuàng)建邊,添加入本地的關(guān)聯(lián)邊數(shù)據(jù)結(jié)構(gòu)中;
10.根據(jù)權(quán)利要求9所述的基于行為片段共享的惡意軟件特征融合分析系統(tǒng),其特征在于,所述分布式層次融合樹構(gòu)造模塊包括 行為特征最大相似樹構(gòu)造子模塊,用于在所述特征鄰接關(guān)系圖的基礎(chǔ)上,采用優(yōu)先選擇權(quán)值大的邊的分布式最小生成樹算法根據(jù)行為特征的關(guān)聯(lián)邊數(shù)據(jù)結(jié)構(gòu)在鄰接關(guān)系圖上生成行為特征最大相似樹作為融合樹; 行為特征融合順序構(gòu)造子模塊,用于以行為特征最大相似樹為基礎(chǔ)決定所述融合樹中行為特征的融合順序使最相似的行為特征優(yōu)先被融合; 所述行為特征逐步融合模塊包括通過進程或者線程的形式分別對應(yīng)特征鄰接關(guān)系圖中每ー個頂點的行為特征的多個特征融合代理或者對應(yīng)特征鄰接關(guān)系圖中所有頂點的行為特征的一個特征融合代理; 所述特征融合代理包括 行為特征提交子模塊,用于根據(jù)所述融合順序?qū)陨硇袨樘卣鞯娜诤辖Y(jié)果提交給下ー層的特征融合代理; 行為特征接收子模塊,用于接收上ー層的特征融合代理提交的融合結(jié)果并記錄接收到所述融合結(jié)果的上一層特征融合代理對應(yīng)特征鄰接關(guān)系圖中的鄰接邊; 行為特征融合子模塊,用于判斷所述鄰接邊在所有鄰接邊中是不是自身行為特征的關(guān)聯(lián)邊中的權(quán)值最大的邊,如果是,則將自身的行為特征和所有收到融合結(jié)果進行融合并將融合結(jié)果根據(jù)所述融合順序提交給下ー層特征融合代理,否則,融合所有收到的融合結(jié)果并將融合結(jié)果和自身的行為特征根據(jù)所述融合順序提交給下ー層特征融合代理;最終由融合樹的根特征融合代理融合得到所述融合樹的根行為特征,并將所述融合樹的根行為特征作為惡意軟件特征融合分析結(jié)果輸出。
全文摘要
本發(fā)明公開了一種基于行為片段共享的惡意軟件特征融合分析方法及系統(tǒng),方法步驟如下部署采集分析惡意軟件的節(jié)點,建立分布式哈希表模塊;采集惡意軟件樣本并分割為片段集合、統(tǒng)計本地統(tǒng)計特性;共享至分布式哈希表模塊,聚攏行為片段的全局特性并返回給源節(jié)點;源節(jié)點計算候選鄰居節(jié)點集并通過候選鄰居節(jié)點集的遠程節(jié)點進行行為特征相似運算構(gòu)造行為特征鄰接關(guān)系圖;基于行為特征鄰接關(guān)系圖生成融合樹并進行融合,將根行為特征輸出;裝置包括多個節(jié)點,節(jié)點包括行為特征分割模塊、分布式哈希表模塊、行為片段協(xié)同共享模塊、鄰居行為特征發(fā)現(xiàn)模塊和行為特征逐步融合模塊。本發(fā)明具有分析準確性高、分析性能強、可擴展性好的優(yōu)點。
文檔編號H04L29/06GK102984140SQ20121047374
公開日2013年3月20日 申請日期2012年11月21日 優(yōu)先權(quán)日2012年11月21日
發(fā)明者王小峰, 胡曉峰, 王勇軍, 吳純青, 陸華彪, 趙峰, 虞萬榮, 孫浩, 王雯, 周寰 申請人:中國人民解放軍國防科學(xué)技術(shù)大學(xué)
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1