一种恶意代码行为特征提取方法技术

本发明专利技术公开了一种恶意代码行为特征提取方法，包括如下步骤：S1、根据恶意代码执行信息的不同，设定对应的行为特征，建立代码执行信息与行为特征一一对应的数学模型；S2、通过虚拟执行器进行恶意代码的运行，提取恶意代码的执行信息，该执行信息包括执行指令序列和行为序列；S3、以获取的代码执行信息为数据模型的输入量，得到恶意代码的行为特征数据。本发明专利技术基于恶意代码的执行信息通过数学模型进行其特征数据的获取，准确率较高；同时可以对恶意代码行为进行仿真分析，实现各目标参数的获取。

【技术实现步骤摘要】
一种恶意代码行为特征提取方法
本专利技术涉及网络安全
，具体涉及一种恶意代码行为特征提取方法。
技术介绍
随着计算机在各领域应用的日益广泛，恶意代码已成为当前互联网和计算机安全的主要威胁之一，恶意代码检测成为软件及系统安全的重要问题。随着计算机技术的不断发展，恶意代码呈现出传播速度快、感染能力强、破坏力大的特点，造成越来越严重的安全影响甚至经济损失。随着恶意代码技术的发展，其利用混淆技术以及隐藏技术，可在短时间内产生大量变种，传统的基于代码特征的特征提取和匹配方法已无法对其进行有效防护。因此，提高恶意代码特征提取的准确性和所提取特征的适应性成为当前亟待解决的问题。现有的恶意代码特征提取方法，可分为静态分析提取和动态分析提取。由于一般无法获得恶意代码源代码，静态提取方法一般需先对代码进行反汇编，然后提取特征。静态提取通常依赖于反汇编技术，恶意代码可使用混淆技术使反汇编无法顺利进行，从而无法有效提取代码特征；但静态提取方法分析代码全面，不局限于单一路径，可辅助动态分析。动态提取方法在恶意代码执行过程中提取特征，所分析的代码即为实际执行的代码。为避免实际执行代码会对操作系统产生恶意影响，产生了利用虚拟机的调试分析方法，如VMware、VirtualPC等虚拟机系统，但恶意代码可通过检查代码执行时间等方法检查其在虚拟机上执行，从而改变行为对抗分析。
技术实现思路
本专利技术的目的是提供一种恶意代码行为特征提取方法，基于恶意代码的执行信息通过数学模型进行其特征数据的获取，准确率较高；同时可以对恶意代码行为进行仿真分析，实现各目标参数的获取。为实现上述目的，本专利技术采取的技术方案为：一种恶意代码行为特征提取方法，包括如下步骤：S1、根据恶意代码执行信息的不同，设定对应的行为特征，建立代码执行信息与行为特征一一对应的数学模型；S2、通过虚拟执行器进行恶意代码的运行，提取恶意代码的执行信息，该执行信息包括执行指令序列和行为序列；S3、以获取的代码执行信息为数据模型的输入量，得到恶意代码的行为特征数据。其中，所述数学模型内设有一虚拟作动模块，用于与数学模型建立模块中的各元素建立关系后，在指定的范围内对参数进行变动，从而驱动各种仿真分析方法针对不同的参数进行计算求解。其中，所述述虚拟参数作动模块所输入的数据均与仿真分析方法中的相关元素有着直接或间接的对应关系。其中，所述数学模型内设有若干虚拟参数模块，为在所建立的数学模型中插入能达到直接获取相应的结果或信息目标的逻辑单元，可根据仿真分析方法的目标参数进行自定义。其中，所述数学模型基于Simulink构建。其中，所述步骤S3具体包括如下步骤：S31、对恶意代码资源和组成结构的解析；S32、对步骤S31的解析结果进行分析和归一化处理，得到执行指令序列和行为序列对应的权重；S33、通过对执行指令序列和行为序列的解析，得到执行指令序列和行为序列对应的模糊向量；S34、将执行指令序列和行为序列对应的权重和模糊向量输入数学模型，得到恶意代码的行为特征数据。其中，所述步骤S32基于灰色关联分析法进行权重的获取。本专利技术具有以下有益效果：基于恶意代码的执行信息通过数学模型进行其特征数据的获取，准确率较高；同时可以对恶意代码行为进行仿真分析，实现各目标参数的获取。附图说明图1为本专利技术的一种恶意代码行为特征提取方法的流程图。具体实施方式为了使本专利技术的目的及优点更加清楚明白，以下结合实施例对本专利技术进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本专利技术，并不用于限定本专利技术。如图1所示，本专利技术实施例提供了一种恶意代码行为特征提取方法，包括如下步骤：S1、根据恶意代码执行信息的不同，设定对应的行为特征，建立代码执行信息与行为特征一一对应的数学模型；S2、通过虚拟执行器进行恶意代码的运行，提取恶意代码的执行信息，该执行信息包括执行指令序列和行为序列；S3、以获取的代码执行信息为数据模型的输入量，得到恶意代码的行为特征数据。所述所述数学模型基于Simulink构建，内设有一虚拟作动模块，用于与数学模型建立模块中的各元素建立关系后，在指定的范围内对参数进行变动，从而驱动各种仿真分析方法针对不同的参数进行计算求解。所述述虚拟参数作动模块所输入的数据均与仿真分析方法中的相关元素有着直接或间接的对应关系。所述数学模型内设有若干虚拟参数模块，为在所建立的数学模型中插入能达到直接获取相应的结果或信息目标的逻辑单元，可根据仿真分析方法的目标参数进行自定义。所述步骤S3具体包括如下步骤：S31、对恶意代码资源和组成结构的解析；S32、基于灰色关联分析法对步骤S31的解析结果进行分析和归一化处理，得到执行指令序列和行为序列对应的权重；S33、通过对执行指令序列和行为序列的解析，得到执行指令序列和行为序列对应的模糊向量；S34、将执行指令序列和行为序列对应的权重和模糊向量输入数学模型，得到恶意代码的行为特征数据。以上所述仅是本专利技术的优选实施方式，应当指出，对于本
的普通技术人员来说，在不脱离本专利技术原理的前提下，还可以作出若干改进和润饰，这些改进和润饰也应视为本专利技术的保护范围。本文档来自技高网...

【技术保护点】
1.一种恶意代码行为特征提取方法，其特征在于，包括如下步骤：S1、根据恶意代码执行信息的不同，设定对应的行为特征，建立代码执行信息与行为特征一一对应的数学模型；S2、通过虚拟执行器进行恶意代码的运行，提取恶意代码的执行信息，该执行信息包括执行指令序列和行为序列；S3、以获取的代码执行信息为数据模型的输入量，得到恶意代码的行为特征数据。

【技术特征摘要】
1.一种恶意代码行为特征提取方法，其特征在于，包括如下步骤：S1、根据恶意代码执行信息的不同，设定对应的行为特征，建立代码执行信息与行为特征一一对应的数学模型；S2、通过虚拟执行器进行恶意代码的运行，提取恶意代码的执行信息，该执行信息包括执行指令序列和行为序列；S3、以获取的代码执行信息为数据模型的输入量，得到恶意代码的行为特征数据。2.如权利要求1所述的一种恶意代码行为特征提取方法，其特征在于，所述数学模型内设有一虚拟作动模块，用于与数学模型建立模块中的各元素建立关系后，在指定的范围内对参数进行变动，从而驱动各种仿真分析方法针对不同的参数进行计算求解。3.如权利要求1所述的一种恶意代码行为特征提取方法，其特征在于，所述述虚拟参数作动模块所输入的数据均与仿真分析方法中的相关元素有着直接或间接的对应关系。4.如权利要求1所述的一种恶意代码行为特征提取方法，其特征...

【专利技术属性】
技术研发人员：王方伟，王长广，张运凯，赵冬梅，张林伟，侯卫红，李青茹，曾水光，赵琛，
申请(专利权)人：河北师范大学，
类型：发明
国别省市：河北,13