本發明公開了一種動靜態特征結合的僵尸程序檢測與分類方法，基于靜態特征信息，進行僵尸程序檢測；檢測過程中的特征選擇采用了采用改進的TF?IDF算法，改進的TF?IDF算法是在TF?IDF算法計算TF?IDF權重時加入類區分度因子GF，用于表征特征項在某一類別中的出現程度與在其他所有類別中出現程度的比例；運行檢測的僵尸程序，提取僵尸程序運行的API序列和網路流量信息，處理獲得僵尸程序家族分類特征；基于僵尸程序家族分類特征，對僵尸程序進行分類。本發明能夠自動進行分類，降低耗時，提高分類效率。

技術領域

本發明涉及信息安全技術領域，具體涉及一種動靜態特征結合的僵尸程序 檢測與分類方法。

背景技術

僵尸程序是攻擊者完成入侵某臺計算機之后，在被感染的計算機上部署的 用于完成攻擊目的的惡意程序。在被感染的計算機上部署僵尸程序組成僵尸網 絡，攻擊者就能夠實施各種攻擊手段。

近年來，物聯網技術得以迅速發展，這使得網絡攻擊者將目標瞄準到了物 聯網設備上，寄生于物聯網設備的僵尸程序開始大批量出現。云計算技術的進 步使僵尸程序的發展得以增速，攻擊者只需要在云端花費很低的成本申請虛機 資源，就可以利用這些資源快速構建僵尸網絡，發起僵尸網絡攻擊變得更加低 廉迅速，一些攻擊者采用非法盜取的信用卡進行支付，這就隱藏了攻擊者的身 份，無法做到實名制的管理。并且在云環境中，用戶數目很大，良莠不齊，用 戶并不能都具有很好的安全觀念，虛機操作系統和應用的可利用漏洞或弱口令 數目很多，這就導致很多虛擬機被入侵，成為了僵尸網絡的“肉雞”。

目前針對僵尸程序的研究主要針對的是僵尸程序的入侵檢測上，對僵尸程 序根據家族進行分類的研究較少。主要是對惡意代碼的源碼以及反匯編生成的 asm格式文件和bytes文件進行分析。

目前針對僵尸程序的研究主要針對的是僵尸程序的入侵檢測上，對僵尸程 序進行家族分類的研究較少。僵尸程序的檢測方法有：

1)使用面向對象的關聯挖掘方法在Windows API的執行序列上進行檢測。

2)在反編譯文件中提取與數據流相關的API，然后用改進的K-鄰近算法來 檢測僵尸程序。

3)基于語義的檢測方法，該方法認為惡意代碼的行為與語義特征息息相關， 采用抽象解釋方法檢測惡意行為從而檢測惡意程序。

4)對P2P僵尸程序反匯編，進而分析其傳播和惡意行為，對僵尸程序特性 進行了總結，利用僵尸程序的特性對僵尸程序進行檢測。

5)通過模擬真實的環境讓惡意代碼運行，從而捕捉惡意軟件與系統的交互 來獲取其行為特征。

如：捕獲僵尸程序運行時的api、對僵尸網絡產生的流量進行分析。

目前對僵尸程序的研究，主要還是集中在僵尸程序的入侵檢測上，對其進 行家族分類的相關研究較少，僵尸程序的家族分類仍是一個有待攻克的難題。

當前對僵尸程序進行家族分類時，主要采用的是人工逆向工程方法，該方 法不僅耗時長，效率低下，而且對分析人員的專業素養要求較高，這些問題是 的人工逆向分析難以解決大批量的僵尸程序。

發明內容

有鑒于此，本發明提出了一種動靜態特征結合的僵尸程序分類方法，能夠 自動進行分類，降低耗時，提高分類效率。

為了解決上述技術問題，本發明是這樣實現的。

一種動靜態特征結合的僵尸程序檢測與分類方法，基于靜態特征信息，進 行僵尸程序檢測；檢測過程中的特征選擇采用了采用改進的TF-IDF算法，改進 的TF-IDF算法是在TF-IDF算法計算TF-IDF權重時加入類區分度因子GF，用 于表征特征項在某一類別中的出現程度與在其他所有類別中出現程度的比例；