技術領域：

本發明涉及一種識別計算機軟件行為的譜方法。

背景技術：

計算機軟件行為識別技術用于輔助判斷一個計算機程序是否是惡意軟件(Malware)。當前的方法使用表示軟件行為的底層特征(包括特征碼、API序列等)，通過特征匹配或基于機器學習的序列模式匹配來預測軟件行為，前者只能針對已知惡意軟件，一旦惡意軟件產生變種，需要及時更新特征碼庫；后者存在誤報率高、漏報率高的缺點。

發明內容：

本發明的目的在于克服現有技術的不足，提供一種識別計算機軟件行為的譜方法。

為了解決上述技術問題，本發明提供一種識別計算機軟件行為的譜方法，包括以下步驟：

(1)構造軟件行為表示模型：用DHMM的模型參數二元組(A*，B*)表示S或G的軟件行為；

(2)提取軟件行為特征：對矩陣A*進行譜分解，提取軟件行為特征D；

(3)度量軟件行為相似性：根據B*和D計算兩個計算機程序之間、或兩個計算機程序組之間、或一個計算機程序與一個程序組之間的軟件行為相似性。

進一步地，所述步驟(1)構造軟件行為表示模型，分兩種情況：

第一種情況：單個計算機程序的軟件行為表示模型

S具有M種軟件行為，每種行為與DHMM(S)的一個隱狀態相對應；用模型(A*，B*)表示S的軟件行為，具體實施步驟如下：

設定隱狀態的數目M，并給定初始狀態概率分布C；

輸入計算機程序S；

調用一種DHMM訓練算法求取令P[S|A，B，C]最大化的模型參數A和B，分別記為A*和B*；

第二種情況：計算機程序組的軟件行為表示模型

對于計算機程序組G={S₁，S₂，…，S_N}，G具有M種軟件行為，每種行為與DHMM(S₁)，DHMM(S₂)，…，DHMM（S_N）共有的一個隱狀態相對應；用模型(A*，B*)表示G的軟件行為，具體實施步驟如下：

設定隱狀態的數目M，并給定初始狀態概率分布C；

輸入G中的所有計算機程序S₁，S₂，…，S_N；

調用一種DHMM訓練算法求取令P[S₁|A，B，C]×P[S₂|A，B，C]×…×P[S_N|A，B，C]最大化的模型參數A和B，分別記為A*和B*。

進一步地，所述步驟(2)提取軟件行為特征中，軟件行為特征用M×M的矩陣D={d_ij}_M×M來表示，D的第i(i=1，2，…，M)行元素構成一個行向量D_i=<d_i1，d_i2，…，d_iM>，具體實施步驟如下：

輸入計算機程序S或計算機程序組G的軟件行為模型(A*，B*)；

對矩陣A*進行譜分解操作，將之分解為A*=X∑X¹，其中∑是一個對角矩陣，其每一個對角線上的元素是A*的一個特征值，矩陣X的每個行向量是與特征值相對應的特征向量；

將∑中的M個特征值按數值大小排序；

排序后的第1個特征值所對應的X的特征向量記為D₁，第2個特征值所對應的X的特征向量記為D₂，以此類推，排序后的第i個特征值所對應的X的特征向量記為D_i，i=1，2，…，M。