【技术实现步骤摘要】
一种恶意代码行为特征提取方法
本专利技术涉及网络安全
,具体涉及一种恶意代码行为特征提取方法。
技术介绍
随着计算机在各领域应用的日益广泛,恶意代码已成为当前互联网和计算机安全的主要威胁之一,恶意代码检测成为软件及系统安全的重要问题。随着计算机技术的不断发展,恶意代码呈现出传播速度快、感染能力强、破坏力大的特点,造成越来越严重的安全影响甚至经济损失。随着恶意代码技术的发展,其利用混淆技术以及隐藏技术,可在短时间内产生大量变种,传统的基于代码特征的特征提取和匹配方法已无法对其进行有效防护。因此,提高恶意代码特征提取的准确性和所提取特征的适应性成为当前亟待解决的问题。现有的恶意代码特征提取方法,可分为静态分析提取和动态分析提取。由于一般无法获得恶意代码源代码,静态提取方法一般需先对代码进行反汇编,然后提取特征。静态提取通常依赖于反汇编技术,恶意代码可使用混淆技术使反汇编无法顺利进行,从而无法有效提取代码特征;但静态提取方法分析代码全面,不局限于单一路径,可辅助动态分析。动态提取方法在恶意代码执行过程中提取特征,所分析的代码即为实际执行的代码。为避免实际执行代码会对操作系统产生恶意影响,产生了利用虚拟机的调试分析方法,如VMware、VirtualPC等虚拟机系统,但恶意代码可通过检查代码执行时间等方法检查其在虚拟机上执行,从而改变行为对抗分析。
技术实现思路
本专利技术的目的是提供一种恶意代码行为特征提取方法,基于恶意代码的执行信息通过数学模型进行其特征数据的获取,准确率较高;同时可以对恶意代码行为进行仿真分析,实现各目标参数的获取。为实现上述目的,本专利技 ...
【技术保护点】
1.一种恶意代码行为特征提取方法,其特征在于,包括如下步骤:S1、根据恶意代码执行信息的不同,设定对应的行为特征,建立代码执行信息与行为特征一一对应的数学模型;S2、通过虚拟执行器进行恶意代码的运行,提取恶意代码的执行信息,该执行信息包括执行指令序列和行为序列;S3、以获取的代码执行信息为数据模型的输入量,得到恶意代码的行为特征数据。
【技术特征摘要】
1.一种恶意代码行为特征提取方法,其特征在于,包括如下步骤:S1、根据恶意代码执行信息的不同,设定对应的行为特征,建立代码执行信息与行为特征一一对应的数学模型;S2、通过虚拟执行器进行恶意代码的运行,提取恶意代码的执行信息,该执行信息包括执行指令序列和行为序列;S3、以获取的代码执行信息为数据模型的输入量,得到恶意代码的行为特征数据。2.如权利要求1所述的一种恶意代码行为特征提取方法,其特征在于,所述数学模型内设有一虚拟作动模块,用于与数学模型建立模块中的各元素建立关系后,在指定的范围内对参数进行变动,从而驱动各种仿真分析方法针对不同的参数进行计算求解。3.如权利要求1所述的一种恶意代码行为特征提取方法,其特征在于,所述述虚拟参数作动模块所输入的数据均与仿真分析方法中的相关元素有着直接或间接的对应关系。4.如权利要求1所述的一种恶意代码行为特征提取方法,其特征...
【专利技术属性】
技术研发人员:王方伟,王长广,张运凯,赵冬梅,张林伟,侯卫红,李青茹,曾水光,赵琛,
申请(专利权)人:河北师范大学,
类型:发明
国别省市:河北,13
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。