【技术实现步骤摘要】
一种基于行为参数布尔表达式规则的多行为联合匹配方法和装置
[0001]本专利技术涉及恶意代码行为的检测分析,具体涉及一种基于行为参数布尔表达式规则的多行为联合匹配方法和装置,属于恶意代码分析与检测
技术介绍
[0002]木马、病毒、勒索软件等恶意软件屡见不鲜,恶意代码已成为互联网的重要安全隐患。恶意代码检测分析的相关工作也是研究热点之一,研究者们也取得了很多的成果。但目前没有一种方法可以检测出所有的恶意代码行为,也没有一种方法可以检测分析出所有恶意代码行为的关联关系。因此,进一步的开展恶意代码行为的检测和分析对于网络安全问题的有效防范具有重要的作用。
[0003]当前的恶意代码检测分析研究工作,已有特征码检测、行为检测、虚拟机检测、启发式检测、基于行为关联关系等检测方法,但这些检测方法的应用都基于行为或者行为关联关系的分析。依据不同的恶意代码分析方法,主要分为静态分析和动态分析两种方法。
[0004]静态分析是在不实际运行恶意代码的情况下,分析者采用IDA Pro等优秀的工具完成分析工作。但是静态分...
【技术保护点】
【技术特征摘要】
1.一种基于行为参数布尔表达式规则的多行为联合匹配方法,其特征在于,包括以下步骤:构建用于单一行为匹配的恶意行为规则文件;构建基于行为参数布尔表达式规则的多行为联合匹配规则文件;对多行为联合匹配规则文件进行解析以获取多个行为的相关信息;利用恶意行为规则文件,对解析得到的多个行为逐个进行顺序匹配;在对多个行为逐个进行顺序匹配的基础上,进行多行为联合匹配。2.根据权利要求1所述的方法,其特征在于,所述构建基于行为参数布尔表达式规则的多行为联合匹配规则文件,包括:构建布尔表达式中行为基本元素的表述形式;基于行为基本元素的表述形式,构建基于行为参数的多行为联合匹配的布尔表达式规则;利用多行为联合匹配的布尔表达式规则,构建多行为联合匹配规则文件。3.根据权利要求2所述的方法,其特征在于,所述布尔表达式中行为基本元素的表述形式为:%{${API_INDEX}
‑
${ARG_INDEX}}其中,%表示匹配行为参数的前缀占位符,$表示序号标识的占位符,API_INDEX表示当前行为在行为序列中的序号,ARG_INDEX表示当前行为参数的序号。4.根据权利要求3所述的方法,其特征在于,所述基于行为基本元素的表述形式,构建基于行为参数的多行为联合匹配的布尔表达式规则,包括:基于布尔表达式中行为基本元素的表述形式和or/not/and逻辑运算符及in/not in成员运算符的组合,构建基于行为参数的多行为联合匹配的布尔表达式规则。5.根据权利要求1所述的方法,其特征在于,所述对多行为联合匹配规则文件进行解析以获取多个行为的相关信息,包括:基于lxml解析技术对多行为联合匹配规则文件中多行为的名称、多行为...
【专利技术属性】
技术研发人员:刘青芳,闫佳,苏璞睿,应凌云,聂眉宁,
申请(专利权)人:奇安信科技集团股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。