技術領域

本發明屬于信息的二進制惡意代碼威脅性評估領域，特別是涉及一種基于信息融合的二進制惡意代碼威脅性評估方法。

背景技術

長期以來，惡意代碼一直是信息安全所面臨的主要威脅之一。在波及范圍上，惡意代碼的威脅無處不在；在影響程度上，惡意代碼的危害后果嚴重；在時間跨度上，惡意代碼的演化從未停頓。

惡意代碼威脅性評估即通過靜態分析、動態分析等方法對惡意代碼進行深入、全面、準確的分析，刻畫其在實際計算環境中對信息系統、用戶所構成威脅的大小。惡意代碼威脅性評估是惡意代碼分析中的一項重要內容，在信息系統安全態勢感知、信息系統攻擊預警、以及信息系統攻擊響應方面均有重要應用，通過評估惡意代碼的威脅性，能夠把有限的人力、物力、財力進行精準投放，提高信息安全保障的效率與質量。

當前，對惡意代碼威脅性的評估在技術層面主要存在以下問題：評估數據較為單一，難以全面地刻畫惡意代碼的威脅性。傳統惡意代碼威脅性評估主要依據代碼的反匯編指令特征或者函數調用特征，如果惡意代碼的行為以不同形式體現，那么來源單一的評估數據則難以刻畫惡意代碼的行為，從而造成威脅性評估數據來源的缺失；評估算法較為簡單，難以刻畫惡意代碼威脅性的特點。惡意代碼的威脅性有其自身的特點，例如其關鍵屬性雖然有多種實現方式，但是實現方式之間并不是累加的關系，關鍵屬性對威脅性的影響主要還是源自于其中效果最好的實現方式，但是傳統評估算法難以刻畫惡意代碼威脅性評估的上述特點；評估模型較為籠統，難以細粒度刻畫評估要素之間的關系。傳統評估模型往往采用一種模型進行評估，例如層次評估模型、攻擊樹模型等，但是惡意代碼威脅性在關鍵屬性、行為等層面上的特點未必均適用于同一種評估模型。

因此，需要設計一種能夠在一定程度上解決上述問題的惡意代碼威脅性評估方法，為信息系統安全態勢感知、信息系統攻擊預警、以及信息系統攻擊響應等領域提供強有力的技術保障。

發明內容

本發明針對現有技術存在評估數據較為單一，難以全面地刻畫惡意代碼的威脅性，評估算法較為簡單，難以刻畫惡意代碼威脅性的特點，評估模型較為籠統，難以細粒度刻畫評估要素之間的關系等問題，提出一種基于信息融合的二進制惡意代碼威脅性評估方法。

本發明的技術方案是：一種基于信息融合的二進制惡意代碼威脅性評估方法，該評估方法分為三個步驟：

步驟一、基于多維n-gram的惡意代碼威脅性行為級信息融合；

步驟二、基于范數度量惡意代碼威脅性屬性級信息融合；

步驟三、基于層次分析的惡意代碼威脅性決策級信息融合；

經過步驟一、二、三以后，計算得到各關鍵屬性的權重，采用的公式Sthreat=(w1,w2,...,wn)·(SAttribute1,...SAttributen)T]]>計算惡意代碼的威脅性。

所述的基于信息融合的二進制惡意代碼威脅性評估方法，所述基于多維n-gram的惡意代碼威脅性行為級信息融合，判定代碼采用了公式：

Type_i＝fun_B(Behavior_i1，…，Behavior_in)，亦即，

Type_i＝Behavior_i1&…&Behavior_in