一种基于木马特征的木马分类方法技术

本发明专利技术提出一种基于木马特征的木马分类方法，解决木马特征序列过长且存在大量的无效信息的技术问题。步骤一、针对木马程序进行静态分析和动态分析；步骤二、分析步骤一得到的PE文件和动态分析报告，得到PE文件的静态特征和动态分析报告的动态特征；步骤三、构建特征模型：包括特征处理和特征降维；特征处理是指将步骤二得到的静态特征和动态特征转化为定量特征，并将所有的定量特征合并，构成特征模型；特征降维是指降低所述特征模型的维度，包括去掉冗余特征和低贡献度特征；步骤四、采用分类学习软件对步骤三构建的特征模型进行分类学习，最后输出分类结果。

【技术实现步骤摘要】
一种基于木马特征的木马分类方法
本专利技术涉及一种基于木马特征的木马分类方法，属于木马分类

技术介绍
目前，主要的特洛伊木马的分析检测技术可以归为以下两类，静态分析检测技术和动态分析检测技术。常用的特洛伊木马静态分析检测技术主要包括基于特征码的分析检测技术和基于PE文件的分析检测技术。基于特征码的分析检测技术发展时间很长，是木马程序分析检测的最原始的技术手段，这个技术的原理是从二进制文件中提取出可以有效表征该木马程序的特征码。基于PE文件的分析检测技术主要是从PE文件中提取出可以有效表征程序的信息，包括操作码、导入DLL文件等，通过这些信息构造有效表征该程序的特征向量，并根据某种数据挖掘的方法来检测该程序是否为木马程序。戴敏等人在2006年构建了一种基于PE文件的木马程序分析检测模型，该模型采用分层的方式解析PE文件内容，将PE文件由低到高分为4层，使用ID3决策树从低层次中选出贡献率大的特征传递到上一层，逐层筛选特征，最后使用BP神经网络进行木马分析检测。Tang在2009年从PE文件中提取出了静态特征并分别使用决策树、BP神经网络、有限状态机等方法进行分析检测，结果表明本文档来自技高网...

【技术保护点】
1.一种基于木马特征的木马分类方法，其特征在于，包括以下步骤：步骤一、针对木马程序进行静态分析和动态分析；所述静态分析是对木马程序进行反汇编处理，获取木马程序的Asm格式PE文件；所述动态分析是将木马程序批量上传到沙箱工具中，获取每一个木马的动态分析报告；步骤二、分析步骤一得到的PE文件和动态分析报告，得到PE文件的静态特征和动态分析报告的动态特征；步骤三、构建特征模型：包括特征处理和特征降维；特征处理是指将步骤二得到的静态特征和动态特征转化为定量特征，并将所有的定量特征合并，构成特征模型；特征降维是指降低所述特征模型的维度，包括去掉冗余特征和低贡献度特征；步骤四、采用分类学习软件对步骤三构建...

【技术特征摘要】
1.一种基于木马特征的木马分类方法，其特征在于，包括以下步骤：步骤一、针对木马程序进行静态分析和动态分析；所述静态分析是对木马程序进行反汇编处理，获取木马程序的Asm格式PE文件；所述动态分析是将木马程序批量上传到沙箱工具中，获取每一个木马的动态分析报告；步骤二、分析步骤一得到的PE文件和动态分析报告，得到PE文件的静态特征和动态分析报告的动态特征；步骤三、构建特征模型：包括特征处理和特征降维；特征处理是指将步骤二得到的静态特征和动态特征转化为定量特征，并将所有的定量特征合并，构成特征模型；特征降维是指降低所述特征模型的维度，包括去掉冗余特征和低贡献度特征；步骤四、采用分类学习软件对步骤三构建的特征模型进行分类学习，最后输出分类结果。2.如权利要求1所述的一种基于木马特征的木马分类方法，其特征在于，采用Apriori算法对特征模型进行去掉冗余特征，具体包括以下步骤：(1)扫描所述特征模型，统计出每一个木马特征出现的次数；(2)根据步骤(1)中统计的次数构建1项集的候选集，表示为C(1)，所述1项集表示1个木马特征组成的集合；(3)将1项集的候选集生成符合最小支持度的频繁1项集，表示为L(1)，所述支持度表示包含的某个项集的记录数量与木马特征模型全部记录数量的比例；频繁k项集表示一个项集中包含k个木马特征，且这个项集的支持度满足最小支持度阈值；(4)构建k+1项集的候选集，表示为C(k+1)，k＝1,2,3……；(5)根据Apriori算法从k+1项集的候选集生成频繁k+1项集，表示为L(k+1)，k＝1,2,3……(6)判断频繁k+1项集是否为空，若不为空，执行步骤⑷、⑸；否则，终止算法，得到了最终木马特征频繁项集L＝L(1)∪L(2)…L(k)，k＝1,2,3……；(7)首先对木马特征模型中的同类特征进行关联挖掘，即挖掘操作码序列和API序列，然后对木马特征模型中的不同类特征进行关联挖掘，即寻找在所述木马特征频繁项集中，两个频繁项集同时出现的概率大于一定阈值的方式，找出互为冗余的特征；最后，将其中一个频繁项集去除，保留另一个，达到去除冗余特征的效果。3.如权利要求2所述的一种基于木马特征的木马分类方法，其特征在于，采用N-Gram模型来处理关联挖掘中的操作码超长序列，具体包括以下步骤：步骤1.1、计算操作码1-Gram、2-Gram、3-Gram、4-Gram的序列概率，计算公式如下：P(t)≈P(W1)P(W2|W1)P(W3|W2)...P(Wn|Wn-1)(1)式(1)中t代表序列，W代表操作码，Wn代表序列中第n个出现的操作码，其中n＝1,2,3,4；步骤1.2、将步骤1.1计算的概率中超过一定阈值的序列作为特征模型。4.如权利要求2或3所述的一种基于木马特征的木马分类方法，其特征在于，...

【专利技术属性】
技术研发人员：张继，王勇，魏浩，薛静锋，马云鹏，
申请(专利权)人：北京理工大学，
类型：发明
国别省市：北京,11