一种基于恶意代码动态取证模型的恶意代码检测方法技术

本发明专利技术公开的属于网络安全技术领域，具体为一种基于恶意代码动态取证模型的恶意代码检测方法，包括具体步骤如下：步骤一：获取待检测的代码序列流；步骤二：基于3

【技术实现步骤摘要】
一种基于恶意代码动态取证模型的恶意代码检测方法


[0001]本专利技术涉及网络安全
，具体为一种基于恶意代码动态取证模型的恶意代码检测方法。

技术介绍

[0002]近年来，随着网络空间竞争的日益激烈，具有国家或黑客组织背景的网络攻击问题越来越严重，恶意代码(也称恶意软件)攻击的频率呈指数级增长，由恶意代码非法入侵导致的一系列网络安全事件给国家和社会造成了严重威胁。因此需要加快构建关键信息基础设施安全保障体系，全天候全方位感知网络安全态势，增强网络安全防御能力和威慑能力。应急响应处置是在恶意代码入侵系统后，采取相应的补救措施和行动，目的是为了抑制、阻止或减小网络安全事件对系统安全性带来的影响，甚至追踪和封堵入侵源，达到主动防御的目的。网络安全应急响应处置的研究，对于提高我国网络系统的应急响应能力、缓解网络攻击所造成的危害、提高系统的主动防御能力等具有十分重要的意义。
[0003]面对网络空间中层出不穷的恶意攻击，国内外工业界和学术界专家和学者提出了很多防御技术和解决方案。然而，“道高一尺，魔高一丈”，恶意攻击技术也在不断提升，恶意代码通过各种“分片”、“加密”等反取证手段，导致对恶意代码的检测也难上加难。同时，因为针对新增恶意代码的实时应急响应机制不够完善，造成恶意代码的影响范围越来越广。
[0004]传统的网络恶意代码取证技术大都关注于对某一特定背景下给定静态恶意代码数据集的取证，并没有讨论对新增恶意代码的动态保护，因此，恶意攻击者产生的新型或者变种恶意代码时，传统的恶意代码检测模型因为无法对动态演化恶意代码进行界定和度量，所以难以提供有效的保护方案。
[0005]为此，我们提出一种基于恶意代码动态取证模型的恶意代码检测方法。

技术实现思路

[0006]鉴于上述和/或现有一种基于恶意代码动态取证模型的恶意代码检测方法中存在的问题，提出了本专利技术。
[0007]因此，本专利技术的目的是提供一种基于恶意代码动态取证模型的恶意代码检测方法，能够解决上述提出现有的问题。
[0008]为解决上述技术问题，根据本专利技术的一个方面，本专利技术提供了如下技术方案：
[0009]一种基于恶意代码动态取证模型的恶意代码检测方法，其包括具体步骤如下：
[0010]步骤一：获取待检测的代码序列流；
[0011]步骤二：基于3
‑
Gram特征生成方法并利用滑动窗口技术在所述代码序列流上滑动提取出每个待测样本的动态行为特征向量；
[0012]步骤三：将每个待测样本的动态行为特征向量输入至已训练好的恶意代码检测模型得到初检结果，所述初检结果表示初步检测所述待测样本对应的序列片段是否为恶意代码或正常代码，所述恶意代码检测模型的输入数据为代码序列的动态行为特征向量，输出
数据为代码序列的初检结果；
[0013]步骤四：获取待测样本的聚类结果以及利用已有恶意代码构建的恶意代码分类模型，并基于同一簇下所述待测样本的检测出恶意代码的初检结果一致性，以及所述待测样本对应在所述恶意代码分类模型下的分类结果一致性判断所述待测样本是否为真实恶意代码。
[0014]作为本专利技术所述的一种基于恶意代码动态取证模型的恶意代码检测方法的一种优选方案，其中：所述待测样本为代码序列流的序列片段。
[0015]作为本专利技术所述的一种基于恶意代码动态取证模型的恶意代码检测方法的一种优选方案，其中：所述每个待测样本的动态行为特征向量表示为：
[0016]B＝{gs1，gs2，...gs
i
...,gs
n
}
[0017]式中，B为一个待测样本的动态行为特征向量，gs
i
表示第i个3
‑
Gram片段，gs
i
的取值为0或1，n为待测样本的片段长度。
[0018]作为本专利技术所述的一种基于恶意代码动态取证模型的恶意代码检测方法的一种优选方案，其中：所述3
‑
Gram是一种基于统计语言模型的算法，又被称为一阶马尔可夫链，其按照字节大小为n的滑动窗口，形成了长度为n的字节片段的序列，每个字节片段称为Gram，对所有的Gram的出现频率进行统计，并按照预先的阈值进行过来，形成关键Gram列表，若一个字节片段Gram不在关键Gram列表中，对应的gs
i
取值为0，否则，为1。
[0019]作为本专利技术所述的一种基于恶意代码动态取证模型的恶意代码检测方法的一种优选方案，其中：所述恶意代码分类模型的构建流程如下：
[0020]流程一：获取已有恶意代码集；
[0021]流程二：利用聚类算法以及分类特征对所述恶意代码集进行聚类得到恶意代码的聚类结果；
[0022]流程三：基于每个类别的恶意代码的分类特征进行深度学习训练构建出所述恶意代码分类模型。
[0023]作为本专利技术所述的一种基于恶意代码动态取证模型的恶意代码检测方法的一种优选方案，其中：所述步骤四中，分类结果的一致性判断方法有以下两种：
[0024]第一种：从簇中按照抽样比例随机抽取样本，然后将抽取的同一簇下的样本输入所述恶意代码分类模型得到分类结果，若所述分类结果均一致，对应的待测样本的代码序列为恶意代码，否则，进行N次抽样，再判断N次抽样对应的分类结果是否一致，若一致，对应的待测样本的代码序列为恶意代码，其中，N次抽样完成时，保证遍历抽样直至每个待测样本均被检测完成；
[0025]第二种：将簇下每个待测样本分别输入所述恶意代码分类模型得到待测样本的分类结果，然后判断同一个簇下所述待测样本的分类结果是否一致，若一致，所述簇下的待测样本对应的代码序列为恶意代码。
[0026]与现有技术相比：
[0027]1.通过恶意代码检测模型实现了对代码序列的初检，即恶意代码和非恶意代码的初步鉴别，再利用聚类分簇的手段，将初检出恶意代码的未知序列进行聚类，利用同一簇类下待测样本对应的恶意代码分类应当一致的机理进一步鉴别是否为恶意代码，通过双重鉴别大幅度提高了恶意代码的检测精度，从恶意代码本身的特征出发利用了恶意代码检测模
型实现了第一重检测，再利用分类特性实现了第二重检测，另一方面，本专利技术第一阶段中恶意代码检测模型是针对未知、全新恶意代码也是适用的，这相较于传统的静态恶意代码的检测更符合网络安全性的需求；
[0028]2.通过病毒模型动态训练，保证模型的动态更新性，模型一直在进化，可以抵御已有病毒，对未知病毒可以进行回滚，保证系统安全，并对未知病毒重新训练到模型里面，从而保证模型的动态检测能力，也能保证对新型病毒的安全免疫。
附图说明
[0029]图1为本专利技术流程示意图。
具体实施方式
[0030]为使本专利技术的目的、技术方案和优点更加清楚，下面将对本专利技术的实施方式作进一步地详细描述。
[0031]实施例1：
[0032]本专利技术提供一种基于恶意代码动态取证模型的恶意代码检测方法，请参阅图1，包括本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于恶意代码动态取证模型的恶意代码检测方法，其特征在于，包括具体步骤如下：步骤一：获取待检测的代码序列流；步骤二：基于3
‑
Gram特征生成方法并利用滑动窗口技术在所述代码序列流上滑动提取出每个待测样本的动态行为特征向量；步骤三：将每个待测样本的动态行为特征向量输入至已训练好的恶意代码检测模型得到初检结果，所述初检结果表示初步检测所述待测样本对应的序列片段是否为恶意代码或正常代码，所述恶意代码检测模型的输入数据为代码序列的动态行为特征向量，输出数据为代码序列的初检结果；步骤四：获取待测样本的聚类结果以及利用已有恶意代码构建的恶意代码分类模型，并基于同一簇下所述待测样本的检测出恶意代码的初检结果一致性，以及所述待测样本对应在所述恶意代码分类模型下的分类结果一致性判断所述待测样本是否为真实恶意代码。2.根据权利要求1所述的一种基于恶意代码动态取证模型的恶意代码检测方法，其特征在于，所述待测样本为代码序列流的序列片段。3.根据权利要求1所述的一种基于恶意代码动态取证模型的恶意代码检测方法，其特征在于，所述每个待测样本的动态行为特征向量表示为：B＝{gs1，gs2，...gs
i
...,gs
n
}式中，B为一个待测样本的动态行为特征向量，gs
i
表示第i个3
‑
Gram片段，gs
i
的取值为0或1，n为待测样本的片段长度。4.根据权利要求3所述的一种基于恶意代码动态取证模型的恶意代码检测方法，其...

【专利技术属性】
技术研发人员：罗恩韬，刘忆宁，徐旸，陈可，黄堂森，程文志，
申请(专利权)人：湖南科技学院，
类型：发明
国别省市：