【技术实现步骤摘要】
一种基于拓展攻击树模型的木马检测方法
本专利技术涉及一种基于拓展攻击树模型的木马检测方法,属于网络安全领域。
技术介绍
目前木马检测技术主要包括行为分析技术、虚拟机技术、特征码扫描技术和实时监控技术等。其中,所述行为分析技术是指通过分析恶意木马程序,获取其行为特征,或者监视其执行程序时的行为特征,根据特征的可疑性,判断是否为恶意程序;所述虚拟机技术是指构造一个完全隔离的、虚拟的运行环境,让恶意木马程序在这个虚拟的环境中运行,并且记录其运行特征,最后根据其特征判断是否为木马;所述特征码扫描技术是当前应用最为广泛的木马检测技术之一,主要是通过收集大量木马样本,提取其特征码建立木马特征码库,在进行木马检测时,将待检测的未知文件同事先已建立好的木马特征码进行匹配,从而判断是否为木马。所述实时监控技术主要通过监控木马的服务器端和控制端之间的通信,防止两者之间进行信息交流以泄露秘密信息。通过监控这类技术的典型应用有:入侵检测、入侵保护和防火墙等。为了解决网络安全问题,众多的学者提出了一系列新的木马检测技术,并且将攻击树模型与木马...
【技术保护点】
1.一种基于拓展攻击树模型的木马检测方法,其特征在于,包括:/n通过对木马程序进行静态特征分析,获取操作码OPCode序列,从所述操作码OPCode序列中提取木马特征OPCode短序列;/n通过对木马程序进行动态特征分析,获取API调用序列,从所述API调用序列中提取木马特征API短序列;/n根据所述OPCode短序列和API短序列构建原始拓展攻击树;并将所述原始拓展攻击树的节点的权重参数初始化,作为第一个攻击树基本学习器;/n动态更新所述权重参数得到若干个攻击树基本学习器,通过集成学习构建强学习器,进行木马检测。/n
【技术特征摘要】
1.一种基于拓展攻击树模型的木马检测方法,其特征在于,包括:
通过对木马程序进行静态特征分析,获取操作码OPCode序列,从所述操作码OPCode序列中提取木马特征OPCode短序列;
通过对木马程序进行动态特征分析,获取API调用序列,从所述API调用序列中提取木马特征API短序列;
根据所述OPCode短序列和API短序列构建原始拓展攻击树;并将所述原始拓展攻击树的节点的权重参数初始化,作为第一个攻击树基本学习器;
动态更新所述权重参数得到若干个攻击树基本学习器,通过集成学习构建强学习器,进行木马检测。
2.如权利要求1所述的基于拓展攻击树模型的木马检测方法,其特征在于,所述获取操作码OPCode序列采用以下方法:
使用反汇编软件IDAPro对木马程序进行反汇编处理,获取木马程序的Asm格式的PE文件,然后对所述PE文件进行分析,提取操作码OPCode序列。
3.如权利要求1所述的基于拓展攻击树模型的木马检测方法,其特征在于,所述获取API调用序列采用以下方法:
首先按照功能模块对木马程序进行划分,然后针对每个所述功能模块划分攻击子目标,循环直至不能再划分;最后对所述攻击子目标所调用的API进行提取,得到API调用序列。
4.如权利要求1或2所述的基于拓展攻击树模型的木马检测方法,其特征在于,所述从所述操作码OPCode序列中提取木马特征OPCode短序列,具体为:首先通过IDA反编译工具生成.asm文件,然后通过程序自动解析.acm文件获得opcode序列,最后提取opcode上下文特征,生成opcode短序列。
5.如权利要求1或3所述的基于拓展攻击树模型的木马检测方法,其特征在于,所述从所述API调用序列中提取木马特征API短序列,具体为:遍历所述API调用序列,依次选取每一个中心词的上下文序列,构成API短序列。
6.如权利要求5所述的基于拓展攻击树模型的木马检测方法,其特征在于,如果某一个所述中心词没有上文或者没有下文,则置为缺失状态。
7.如权利要求1或2或3所述的基于拓展攻击树模型的木马检测方法,其特征在于,所述根据所述opcode短序列和API短序列构建原始...
【专利技术属性】
技术研发人员:张继,梁杰,王勇,王晏楚,刘振岩,谭守东,
申请(专利权)人:北京理工大学,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。