技術領域

本發明涉及計算機安全領域，更具體地說，涉及一種基于進程資源依賴網絡的代碼風險性評估方法。

背景技術

計算機的應用已經滲透到人們生活的各個領域。然而隨著計算機快速的發展，與計算機相關的安全問題也層出不窮，嚴重威脅到人們日常生活的正常運作。作為計算機安全的重要環節，進程對資源或對象的訪問在入侵檢測、惡意代碼檢測中起到了至關重要的作用。

現有的方法與技術往往從單一進程的角度出發，建立正常、異常進程對資源和對象的訪問模式，以此作為正常、異常行為模式，采用一定的行為模式匹配的方法判斷是否出現異常。這些研究往往將進程行為目的二分類，即正?；虍惓?。通過觀察指定進程對資源和對象的訪問行為，往往只能分析待測代碼是否異常，無法客觀定量地對代碼的威脅度或風險性進行分析評估。

而在現實中，代碼的意圖并不能簡單的二分類分析，很多情況下，代碼的威脅性、風險性呈現出多元化，簡單的二分類會并不能準確刻畫代碼行為的安全性。

本發明從系統整體的角度，以復雜網絡為模型，建立進程資源依賴網絡。在此基礎上，計算待評估代碼執行前后進程資源依賴網絡中計算機資源和對象的重要性排名序列，以計算機資源和對象重要性排名的變化為依據，對待評估代碼的風險性、威脅值進行評估，并可基于此判斷代碼的惡意性，進行惡意代碼檢測。

發明內容

本發明所提出的方案是基于進程資源依賴網絡的代碼風險性評估，包括如下步驟：

(a)根據正常進程對計算機中資源和對象的訪問記錄，構建正常進程資源依賴網絡；

(b)用Random?Walk方法計算正常進程資源依賴網絡中各個資源和對象的重要性指標，得到資源和對象的重要性向量I_benign；

(c)根據待評估代碼對計算機中資源和對象的訪問記錄，構建待評估進程資源訪問圖，將待評估進程資源訪問圖和正常進程資源依賴網絡合并，得到待評估進程資源依賴網絡；

(d)用Random?Walk方法計算待評估進程資源依賴網絡中各個資源和對象的重要性指標，得到資源和對象的重要性向量I_suspicious；

(e)計算并量化I_benign和I_suspicious之間的差異，得到待評估代碼的風險和威脅度值。

在本發明所述的基于進程資源依賴網絡的代碼風險性評估方法中，所述步驟(a)中，正常進程對計算機中資源和對象的訪問記錄是指在日常操作情況下，捕獲一段時間內計算機上運行的正常進程對計算機中資源和對象的訪問記錄，訪問記錄至少包括進程名、訪問操作類型、訪問資源和對象的類型、訪問資源和對象的名稱和位置。

在本發明所述的基于進程資源依賴網絡的代碼風險性評估方法中，所述步驟(a)中，進一步包括：

(a1)提取依賴關系：已知正常進程對計算機中資源和對象的訪問記錄，根據進程與計算機資源和對象之間的訪問操作類型，定義進程與計算機資源和對象之間的依賴關系；

(a2)根據步驟(a1)中得到的進程與計算機資源和對象之間的依賴關系，構造正常進程資源依賴網絡G(V，E)，其中V表示計算機資源和對象的集合，對于υ_i表示第i個計算機資源或對象，用該資源或對象的名稱和位置、節點類型兩個屬性來描述；E表示進程與計算機資源和對象之間的依賴關系集合，e(υ_i，υ_j)∈表示υ_i依賴于υ_j，依賴關系決定了有向邊的方向。

在本發明所述的基于進程資源依賴網絡的代碼風險性評估方法中，所述步驟(c)中,待評估進程是指，待評估代碼的執行進程；待評估進程對計算機中資源和對象的訪問記錄是指，執行待評估代碼，捕獲待評估代碼的執行進程對計算機中資源和對象的訪問記錄，訪問記錄至少包括進程名、訪問操作類型、訪問資源和對象的路徑。

在本發明所述的基于進程資源依賴網絡的代碼風險性評估方法中，所述步驟(c)中，進一步包括：

(c1)與步驟(a1)，(a2)類似，根據待評估進程對計算機中資源和對象的訪問記錄，提取待評估進程與計算機資源和對象之間的依賴關系，構造待評估進程資源訪問圖G_i＝(V_i，E_i)，其中V_i表示待測進程及其訪問的相關計算機資源和對象的集合，E_i表示進程與計算機資源和對象之間的依賴關系，依賴關系決定了有向邊的方向；