本發明涉及一種抗干擾的環境敏感型惡意軟件行為相似性評測方法和裝置。該方法包括以下步驟：1)將可疑軟件放置于多種不同的執行環境中，記錄可疑軟件的行為序列；2)對可疑軟件的行為序列進行規范化處理；3)對可疑軟件的行為序列進行去干擾處理；4)計算并比較去干擾處理后的行為序列的相似性；5)基于行為序列的相似性，判斷可疑軟件是否為環境敏感型惡意軟件。本發明能夠有效的消除惡意軟件的大量干擾行為，準確計算行為序列的相似性，使得對該類型惡意軟件的檢測更準確；同時該方法對惡意軟件行為序列的規范化處理，消除了不同系統間的語義偏差，具有良好的可用性和普適性，降低了檢測成本。

技術領域

本發明屬于系統安全技術領域，涉及一種環境敏感型惡意軟件行為相似性評測方法，特別涉及一種抗干擾的環境敏感型惡意軟件行為相似性評測方法和裝置。

背景技術

隨著網絡信息技術的高速發展，惡意軟件已成為危害網絡公共安全的主要威脅之一。據瑞星2013年信息安全報告(瑞星.2013年中國信息安全報告[EB/OL][2014-03-12])指出2013年中國共有11.45億人次被惡意軟件感染，有2300萬臺電腦受到攻擊，2013年1至12月新增惡意軟件樣本達3310萬余個，總數量比2012年同期增長163％。隨著惡意軟件數目的爆發式增長，傳統的基于特征碼與簽名的惡意軟件分析技術已不能滿足新興的惡意代碼檢測需求，主動防御、云安全、啟發式掃描等技術被提出。

惡意軟件本質上是一個集合名詞，來指代故意在計算機系統上執行惡意任務的病毒、蠕蟲和特洛伊木馬。當用戶系統受到惡意軟件的攻擊時，用戶在系統內的敏感信息都面臨著泄露的巨大安全風險，比如竊取銀行帳戶信息，信用卡密碼及個人隱私信息等等。綜上所述，這種非法入侵用戶系統，執行具有惡意目的行為的程序就叫做惡意軟件，也叫做流氓軟件。

一般來說，惡意軟件包括以下惡意行為特征。1)強制安裝：指未明確提示用戶或未經用戶許可，在用戶計算機或其他終端上安裝軟件的行為。2)難以卸載：指未提供通用的卸載方式，或在不受其他軟件影響、人為破壞的情況下，卸載后仍然有活動程序的行為。3)瀏覽器劫持：指未經用戶許可，修改用戶瀏覽器或其他相關設置，迫使用戶訪問特定網站或導致用戶無法正常上網的行為。4)廣告彈出：指未明確提示用戶或未經用戶許可，利用安裝在用戶計算機或其他終端上的軟件彈出廣告的行為。5)惡意收集用戶信息：指未明確提示用戶或未經用戶許可，惡意收集用戶信息的行為。6)惡意卸載：指未明確提示用戶、未經用戶許可，或誤導、欺騙用戶卸載其他軟件的行為。7)惡意捆綁：指在軟件中捆綁已被認定為惡意軟件的行為。

在眾多種類的惡意軟件之中，有一類新型的惡意軟件正在快速增長，即環境敏感型惡意軟件，該類惡意軟件具有較高的智能性，可以檢測當前的運行環境，若是對自身不利則避免做任何可疑或惡意的行為，這種特性大大增加了檢測的難度。據各大安全廠商的統計統計，截至2017年初新出現的惡意軟件中，有20％的惡意軟件具備環境感知的能力，即每十個新出現的惡意軟件中就有兩個屬于環境敏感型惡意軟件。

近年來，針對環境敏感型惡意軟件的研究中出現了很多的檢測方法，但是目前的檢測方式主要存在以下問題：1)對抗檢測機制不足，不能確定環境敏感型惡意軟件是否釋放了惡意行為，影響檢測結果；2)若環境敏感型惡意軟件具有大量隨機行為，則現有的方法檢測效果不理想，該類惡意軟件作者通常會在惡意軟件釋放惡意行為前加入大量的隨機行為，這會極大的干擾檢測判斷，而現有的檢測方法不能有效處理。如何防止被環境敏感型惡意軟件繞過，提高準確率和檢出率，是應對當前新型惡意軟件快速增長形勢的關鍵問題。環境敏感型惡意軟件可以通過比較其在不同執行環境下的行為差異來識別。因此，為了有效地檢測環境敏感型惡意軟件，有必要提出一種抗干擾的環境敏感型惡意軟件行為相似性評測方法。

發明內容

針對環境敏感型惡意軟件行為序列相似性評估和環境敏感型惡意軟件檢測問題，本發明提出了一種抗干擾的環境敏感型惡意軟件行為相似性評測方法和裝置，其中行為相似性是通過多行為序列的相似性來計算。