一种蠕虫同源性分析方法和装置制造方法及图纸

本发明专利技术公开了一种蠕虫同源性分析方法和装置。该方法包括：从蠕虫样本中提取静态特征和动态特征；动态特征包括：网络行为特征和应用程序编程接口API调用序列；对静态特征和网络行为特征进行预处理，得到蠕虫特征集；以及根据API调用序列构建敏感行为特征库；利用第一同源性分析算法对所述蠕虫特征集进行处理，输出第一概率分布矩阵；利用第二同源性分析算法对于所述API调用序列和所述敏感行为特征库进行处理，输出第二概率分布矩阵；对第一概率分布矩阵和第二概率分布矩阵进行权重调整，得到第三概率分布矩阵；根据第三概率分布矩阵，得到同源分析结果。本发明专利技术的技术方案，提高了蠕虫同源性分析的效率和准确度。

Method and device for analyzing worm homology

The invention discloses a worm homology analysis method and device. The method includes: extracting static features and dynamic features from the worm sample; dynamic characteristics include: network behavior and application programming interface API call sequence; on the static characteristics and the features of network behavior pretreatment, gets the worm feature set; and the construction of library feature sensitive behavior of API call sequence according to the first analysis of algorithm; the worm character set is processed homologous, output of the first probability distribution matrix; using second homology analysis algorithm for feature library sequence of the API call and the sensitive behavior, the probability distribution matrix output second; on second probability distribution matrix matrix and adjust the weight of the first probability distribution, third according to the probability distribution matrix; third probability distribution matrix, get the homology analysis results. The technical proposal of the invention improves the efficiency and accuracy of worm homology analysis.

【技术实现步骤摘要】
一种蠕虫同源性分析方法和装置
本专利技术涉及网络信息安全
，特别涉及一种蠕虫同源性分析方法和装置。
技术介绍
随着互联网的普及和网络信息技术的日益发展，网民数量的急剧膨胀，致使恶意代码的传播更加便利，这也使得恶意代码的攻击行为所带来的负面影响进一步扩大。蠕虫作为恶意代码的一大家族，其显著特征是具有自我复制和快速传播能力，能够在没有人为干预行为的情况下，通过大量自我复制来实现快速传播，给网络安全乃至国家安全带来的极大的冲击，几乎每一次爆发都会带来巨大的经济损失。此外，随着国际APT(高级持续性威胁)事件的不断曝光升级，对蠕虫等恶意代码的同源性分析也逐渐成为了研究热点，但目前同源性的判定方法效率较低，不适用于大量蠕虫样本的同源性判定，实际应用价值不高。现有的蠕虫等恶意代码的同源性分析方法主要集中在通过提取蠕虫等恶意代码静态特征和动态特征，通过计算特征距离来衡量样本相似度，再采用分类或聚类等方法来进行蠕虫等恶意代码的同源性分析。这类方法多为解决恶意代码的同源性判定问题，目前尚未提出针对蠕虫这类恶意代码的同源性分析方法。若将现有的同源性分析方法应用到蠕虫的同源性分析领域中，由于现有方法本文档来自技高网...

【技术保护点】
一种蠕虫同源性分析方法，其特征在于，所述方法包括：从蠕虫样本中提取静态特征和动态特征；所述动态特征包括：网络行为特征和应用程序编程接口API调用序列；对静态特征和网络行为特征进行预处理，得到蠕虫特征集；以及根据API调用序列构建敏感行为特征库；利用第一同源性分析算法对所述蠕虫特征集进行处理，输出预测各蠕虫样本分属于各家族的第一概率分布矩阵；利用第二同源性分析算法对于所述API调用序列和所述敏感行为特征库进行处理，输出预测各蠕虫样本分属于各家族的第二概率分布矩阵；对第一概率分布矩阵和第二概率分布矩阵进行权重调整，得到第三概率分布矩阵；根据第三概率分布矩阵，得到同源分析结果。

【技术特征摘要】
1.一种蠕虫同源性分析方法，其特征在于，所述方法包括：从蠕虫样本中提取静态特征和动态特征；所述动态特征包括：网络行为特征和应用程序编程接口API调用序列；对静态特征和网络行为特征进行预处理，得到蠕虫特征集；以及根据API调用序列构建敏感行为特征库；利用第一同源性分析算法对所述蠕虫特征集进行处理，输出预测各蠕虫样本分属于各家族的第一概率分布矩阵；利用第二同源性分析算法对于所述API调用序列和所述敏感行为特征库进行处理，输出预测各蠕虫样本分属于各家族的第二概率分布矩阵；对第一概率分布矩阵和第二概率分布矩阵进行权重调整，得到第三概率分布矩阵；根据第三概率分布矩阵，得到同源分析结果。2.如权利要求1所述的方法，其特征在于，对静态特征和网络行为特征进行预处理，得到蠕虫特征集包括：对静态特征和网络行为特征进行特征量化与归一化处理，以及进行特征选择与降维处理，得到蠕虫特征集。3.如权利要求1所述的方法，其特征在于，所述根据API调用序列构建敏感行为特征库包括：根据API调用序列构造频繁模式树；通过遍历所述频繁模式树得出各蠕虫家族的API调用序列频繁模式；每条API调用序列的频繁模式构成敏感行为特征库中的一条记录。4.如权利要求1所述的方法，其特征在于，所述第一同源性分析算法为随机森林算法；所述第二同源性分析算法为敏感行为匹配算法。5.如权利要求4所述的方法，其特征在于，所述利用第二同源性分析算法对于所述API调用序列和所述敏感行为特征库进行处理，输出预测各蠕虫样本分属于各家族的第二概率分布矩阵包括：将所述API调用序列与所述敏感行为特征库进行匹配，计算命中率，再将命中率分布矩阵转换为蠕虫样本分属于各家族的概率分布矩阵，得到...

【专利技术属性】
技术研发人员：薛静锋，王勇，王丽艳，刘振岩，张继，
申请(专利权)人：北京理工大学，
类型：发明
国别省市：北京,11