基于行为片段共享的恶意软件特征融合分析方法及系统技术方案

本发明专利技术公开了一种基于行为片段共享的恶意软件特征融合分析方法及系统，方法步骤如下：部署采集分析恶意软件的节点，建立分布式哈希表模块；采集恶意软件样本并分割为片段集合、统计本地统计特性；共享至分布式哈希表模块，聚拢行为片段的全局特性并返回给源节点；源节点计算候选邻居节点集并通过候选邻居节点集的远程节点进行行为特征相似运算构造行为特征邻接关系图；基于行为特征邻接关系图生成融合树并进行融合，将根行为特征输出；装置包括多个节点，节点包括行为特征分割模块、分布式哈希表模块、行为片段协同共享模块、邻居行为特征发现模块和行为特征逐步融合模块。本发明专利技术具有分析准确性高、分析性能强、可扩展性好的优点。

【技术实现步骤摘要】

【技术保护点】
一种基于行为片段共享的恶意软件特征融合分析方法，其特征在于实施步骤如下：1)在网络中分别部署地理位置分散的节点，每一个节点负责一片网络区域中恶意软件样本的采集和分析，在节点中建立用于构建分布式哈希表的分布式哈希表模块；2)各个节点采集恶意软件样本并分割为长度固定的行为片段集合，统计本地具有所述行为片段集合中各个行为片段行为的本地恶意软件样本数得到行为片段集合的本地统计特性；3)各个节点将行为片段集合及其本地统计特性发布共享至分布式哈希表，通过分布式哈希表的节点聚拢来自不同节点的相同行为片段并统计聚拢所述行为片段的全局特性，将带有全局特性的行为片段集合返回给共享行为片段集合及其本地统计特性的源节点；4)所述源节点根据恶意软件的行为片段及其全局特性构成的恶意软件的行为特征计算具有相似行为特征的候选邻居节点集，向候选邻居节点集中的远程节点发送恶意软件对应的源行为特征，候选邻居节点集中的远程节点将收到的源行为特征与本地的目的行为特征比较判断目的行为特征是否为源行为特征的邻居行为特征，将判断结果作为行为特征邻居关系返回源节点，所述源节点根据远程节点返回的行为特征邻居关系构造行为特征邻接关系图；5)在所述特征邻接关系图的基础上分布式生成融合树，将所述融合树中的行为特征进行融合，将所述融合树的根行为特征作为恶意软件特征融合分析结果输出。...

【技术特征摘要】

【专利技术属性】
技术研发人员：王小峰，胡晓峰，王勇军，吴纯青，陆华彪，赵峰，虞万荣，孙浩，王雯，周寰，
申请(专利权)人：中国人民解放军国防科学技术大学，
类型：发明
国别省市：