[發(fā)明專利]基于函數(shù)調(diào)用關(guān)系圖特征的惡意代碼檢測(cè)新方法有效
| 申請(qǐng)?zhí)枺?/td> | 201010585101.1 | 申請(qǐng)日: | 2010-12-13 |
| 公開(公告)號(hào): | CN102034042A | 公開(公告)日: | 2011-04-27 |
| 發(fā)明(設(shè)計(jì))人: | 王俊峰;趙宗渠;白金榮;劉達(dá)富;方智陽(yáng) | 申請(qǐng)(專利權(quán))人: | 四川大學(xué) |
| 主分類號(hào): | G06F21/00 | 分類號(hào): | G06F21/00 |
| 代理公司: | 成都信博專利代理有限責(zé)任公司 51200 | 代理人: | 舒啟龍 |
| 地址: | 610065 四川*** | 國(guó)省代碼: | 四川;51 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 基于 函數(shù) 調(diào)用 關(guān)系 特征 惡意代碼 檢測(cè) 新方法 | ||
1.一種基于函數(shù)調(diào)用關(guān)系圖特征的惡意代碼檢測(cè)方法,其特征是:分為以下3個(gè)階段:
1、建立軟件函數(shù)調(diào)用圖;2、提取圖中特征指標(biāo);3、通過數(shù)據(jù)挖掘算法分類惡意軟件和正常軟件;具體步驟如下:
1)建立軟件函數(shù)調(diào)用圖:
裝入PE格式文件,然后采用遞歸下降算法來處理文件,將文件進(jìn)行反匯編操作,將文件轉(zhuǎn)換成匯編代碼,根據(jù)代碼中的調(diào)用指令建立函數(shù)調(diào)用關(guān)系,然后將函數(shù)和這些調(diào)用關(guān)系保存在圖這種數(shù)據(jù)結(jié)構(gòu)中;
上述遞歸下降算法是通過控制流來逐條定位和分析指令及數(shù)據(jù),根據(jù)順序流指令,條件分支指令,無條件分支指令,函數(shù)調(diào)用指令和返回指令來定位后續(xù)指令的位置;
2)提取圖中特征指標(biāo):
2.1)產(chǎn)生函數(shù)調(diào)用關(guān)系圖特征集:
通過對(duì)輸入文件處理,將文件中保存的函數(shù)調(diào)用圖信息使用鄰接鏈表的數(shù)據(jù)結(jié)構(gòu)保存,然后在該結(jié)構(gòu)中計(jì)算和統(tǒng)計(jì)定義特征集合FeatureList的值;文件處理步驟為:
a)從輸入文件中讀入結(jié)點(diǎn)和邊信息;
b)向鄰接鏈表中添加結(jié)點(diǎn)和邊信息;統(tǒng)計(jì)結(jié)點(diǎn)類型及數(shù)量;直至讀文件結(jié)束;然后,遍歷所有連通有向子圖,并統(tǒng)計(jì)結(jié)點(diǎn)和出、入度信息;遍歷所有連通無向子圖,并統(tǒng)計(jì)結(jié)點(diǎn)和出、入度信息;遍歷定義的擴(kuò)展連通圖,并統(tǒng)計(jì)其信息,最后得到的計(jì)算和統(tǒng)計(jì)結(jié)果為產(chǎn)生的函數(shù)調(diào)用關(guān)系特征集;
2.2)篩選指標(biāo)以精確的反應(yīng)函數(shù)調(diào)用圖的特征:
三者擇一地采用以下兩種屬性過濾算法以去除冗余屬性區(qū)和分度較低的屬性,合并相關(guān)較高的屬性,進(jìn)行指標(biāo)的篩選;其一是,采用數(shù)據(jù)挖掘軟件Weka中提供的CfsSubsetEval函數(shù)提供的屬性過濾功能,衡量每一個(gè)屬性的預(yù)測(cè)能力以及它們之間的冗余度,篩選出對(duì)預(yù)測(cè)目標(biāo)關(guān)聯(lián)度較高且相互之間低耦合的屬性集合;其二是,選用與分類算法相關(guān)的屬性篩選算法WrapperSubsetEval,通過交叉驗(yàn)證的方法對(duì)屬性進(jìn)行衡量,最后得到該分類算法最有效的屬性集合;
3)通過數(shù)據(jù)挖掘算法分類惡意軟件和正常軟件:
3.1)通過分類算法產(chǎn)生訓(xùn)練集結(jié)果:
該過程是生成訓(xùn)練集結(jié)果和決策樹的過程;首先對(duì)大量的正常軟件和惡意代碼樣本進(jìn)行處理,將前面生成的函數(shù)關(guān)系調(diào)用圖特征集的指標(biāo)作為輸入,通過機(jī)器學(xué)習(xí)過程,在選用的數(shù)據(jù)挖掘算法中得到訓(xùn)練集結(jié)果;上述數(shù)據(jù)挖掘算法采用基于決策樹的C4.5算法,基于多層神經(jīng)網(wǎng)絡(luò)的BP算法,Lazy分類算法中的IBK和貝葉斯分類算法中的NaiveBayes算法之一種;并按以下兩種方式產(chǎn)生測(cè)試集結(jié)果和決策樹:一種是按百分比劃分樣本和測(cè)試的數(shù)量,另一種是m?fold交叉驗(yàn)證;訓(xùn)練集結(jié)果作為之后檢測(cè)PE文件的依據(jù);
3.2)產(chǎn)生測(cè)試結(jié)果:
對(duì)于被測(cè)試的PE文件,經(jīng)過產(chǎn)生函數(shù)調(diào)用圖和提取圖特征指標(biāo)后,將這些指標(biāo)格式化成符合檢測(cè)要求的訓(xùn)練記錄,用arff文件存儲(chǔ)這些數(shù)據(jù);這些訓(xùn)練記錄文件作為輸入,選用上述訓(xùn)練集結(jié)果就得到測(cè)試結(jié)果。
2.根據(jù)權(quán)利要求1所述的基于函數(shù)調(diào)用關(guān)系圖特征的惡意代碼檢測(cè)方法,其特征是:所述數(shù)據(jù)挖掘算法優(yōu)選為基于決策樹的C4.5算法。
3.根據(jù)權(quán)利要求1或2所述的基于函數(shù)調(diào)用關(guān)系圖特征的惡意代碼檢測(cè)方法,其特征是:所述m?fold交叉驗(yàn)證優(yōu)選為10fold交叉驗(yàn)證。
4.根據(jù)權(quán)利要求1或2所述的基于函數(shù)調(diào)用關(guān)系圖特征的惡意代碼檢測(cè)方法,其特征是:所述篩選的指標(biāo)為28個(gè):
地址函數(shù)結(jié)點(diǎn)個(gè)數(shù)
外部函數(shù)結(jié)點(diǎn)個(gè)數(shù);
內(nèi)部函數(shù)結(jié)點(diǎn)個(gè)數(shù);
導(dǎo)入名稱結(jié)點(diǎn)個(gè)數(shù);
入口結(jié)點(diǎn)個(gè)數(shù);
有向連通圖個(gè)數(shù);
無向連通圖個(gè)數(shù);
入口結(jié)點(diǎn)序號(hào);
有向連通圖結(jié)點(diǎn)數(shù)絕對(duì)平均方差;
有向連通圖平均度數(shù);
入口結(jié)點(diǎn)后擴(kuò)展圖結(jié)點(diǎn)總數(shù);
入口結(jié)點(diǎn)前擴(kuò)展圖結(jié)點(diǎn)總數(shù);
入口結(jié)點(diǎn)有向連通圖結(jié)點(diǎn)個(gè)數(shù);
最大有向連通圖結(jié)點(diǎn)數(shù);
最大無向連通圖結(jié)點(diǎn)數(shù);
入口結(jié)點(diǎn)無向連通圖結(jié)點(diǎn)數(shù);
入口結(jié)點(diǎn)連通圖是不是最大無向連通圖;
結(jié)點(diǎn)最大度數(shù);
結(jié)點(diǎn)平均度數(shù);
度數(shù)的絕對(duì)平均方差;
孤立地址函數(shù)結(jié)點(diǎn)個(gè)數(shù);
孤立外部函數(shù)結(jié)點(diǎn)個(gè)數(shù);
孤立內(nèi)部函數(shù)結(jié)點(diǎn)個(gè)數(shù);
孤立導(dǎo)入名稱結(jié)點(diǎn)個(gè)數(shù);
終端地址子函數(shù)結(jié)點(diǎn)個(gè)數(shù);
終端外部函數(shù)結(jié)點(diǎn)個(gè)數(shù);
終端內(nèi)部函數(shù)結(jié)點(diǎn)個(gè)數(shù);
終端導(dǎo)入名稱結(jié)點(diǎn)個(gè)數(shù)。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于四川大學(xué),未經(jīng)四川大學(xué)許可,擅自商用是侵權(quán)行為。如果您想購(gòu)買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請(qǐng)聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201010585101.1/1.html,轉(zhuǎn)載請(qǐng)聲明來源鉆瓜專利網(wǎng)。
- 上一篇:馬鈴薯蒸熟干燥加工裝置
- 下一篇:一種用于冷飲成型的滾輪設(shè)備
- 同類專利
- 專利分類
G06F 電數(shù)字?jǐn)?shù)據(jù)處理
G06F21-00 防止未授權(quán)行為的保護(hù)計(jì)算機(jī)或計(jì)算機(jī)系統(tǒng)的安全裝置
G06F21-02 .通過保護(hù)計(jì)算機(jī)的特定內(nèi)部部件
G06F21-04 .通過保護(hù)特定的外圍設(shè)備,如鍵盤或顯示器
G06F21-06 .通過感知越權(quán)操作或外圍侵?jǐn)_
G06F21-20 .通過限制訪問計(jì)算機(jī)系統(tǒng)或計(jì)算機(jī)網(wǎng)絡(luò)中的節(jié)點(diǎn)
G06F21-22 .通過限制訪問或處理程序或過程
- IDL調(diào)用裝置及調(diào)用方法
- 調(diào)用方法及調(diào)用系統(tǒng)
- 一種服務(wù)調(diào)用方法及裝置
- 服務(wù)調(diào)用方法、服務(wù)調(diào)用裝置及服務(wù)調(diào)用系統(tǒng)
- 組件調(diào)用方法、裝置及計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)
- 身份驗(yàn)證方法及裝置
- 系統(tǒng)調(diào)用處理方法、裝置、計(jì)算機(jī)設(shè)備和存儲(chǔ)介質(zhì)
- 一種數(shù)據(jù)調(diào)用方法、裝置、電子設(shè)備及存儲(chǔ)介質(zhì)
- 一種微服務(wù)請(qǐng)求重試的方法及終端
- 業(yè)務(wù)數(shù)據(jù)的處理方法、裝置及系統(tǒng)
- 關(guān)系視圖
- 位置關(guān)系檢測(cè)裝置以及位置關(guān)系檢測(cè)系統(tǒng)
- 關(guān)系建模
- 關(guān)系分析方法、關(guān)系分析程序、以及關(guān)系分析裝置
- 實(shí)體關(guān)系分類裝置和實(shí)體關(guān)系分類方法
- 用戶關(guān)系抽取方法和用戶關(guān)系抽取系統(tǒng)
- 融合依存關(guān)系與篇章修辭關(guān)系的事件時(shí)序關(guān)系識(shí)別方法
- 開關(guān)系統(tǒng)
- 視頻視覺關(guān)系檢測(cè)的關(guān)系片段連接方法
- 開關(guān)系統(tǒng)





