[發(fā)明專利]惡意代碼典型攻擊行為檢測方法及系統(tǒng)有效
| 申請?zhí)枺?/td> | 202010826647.5 | 申請日: | 2020-08-17 |
| 公開(公告)號: | CN112115465B | 公開(公告)日: | 2022-11-04 |
| 發(fā)明(設(shè)計)人: | 薛靜鋒;韓偉杰;王勇;張繼;單純 | 申請(專利權(quán))人: | 北京理工大學(xué);中國人民解放軍戰(zhàn)略支援部隊航天工程大學(xué) |
| 主分類號: | G06F21/53 | 分類號: | G06F21/53;G06F21/56 |
| 代理公司: | 北京理工大學(xué)專利中心 11120 | 代理人: | 高會允 |
| 地址: | 100081 *** | 國省代碼: | 北京;11 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 惡意代碼 典型 攻擊行為 檢測 方法 系統(tǒng) | ||
1.惡意代碼典型攻擊行為檢測方法,其特征在于,包括如下步驟:
S1、在沙箱環(huán)境中運行惡意代碼,從生成的動態(tài)分析報告中提取動態(tài)系統(tǒng)調(diào)用API序列以及原始本體知識序列;
S2、針對所述動態(tài)系統(tǒng)調(diào)用API序列中的每個API均計算分類貢獻度,并按照分類貢獻度從大到小進行排序,即為惡意性排序,得到惡意性排序序列
S3、按照所述惡意性排序序列順序,順次選取API作為搜索起點;
S4、在所述原始本體知識序列中找到所述搜索起點所處的位置A,在所述原始本體知識序列中,從位置A開始,分別進行前向遍歷搜索和后向遍歷搜索,提取出與所述搜索起點同屬于一個行為類型的API對應(yīng)本體知識元組,組成本體知識串;
S5、以所述本體知識串所代表的惡意代碼典型攻擊行為作為檢測結(jié)果。
2.如權(quán)利要求1所述的方法,其特征在于,所述動態(tài)系統(tǒng)調(diào)用API序列包括所述惡意代碼運行過程中系統(tǒng)調(diào)用的所有API;
所述原始本體知識序列由每個API對應(yīng)的本體知識元組組成;每個本體知識元組包含API及其操作對象。
3.如權(quán)利要求1所述的方法,其特征在于,所述前向遍歷搜索具體為:
取位置A的前一位置對應(yīng)API,若前一位置對應(yīng)API的行為類型與所述搜索起點對應(yīng)API的行為類型一致,則將前一位置對應(yīng)API的本體知識元組添加到前向本體知識子串中,并更新位置A為前一位置,重復(fù)執(zhí)行前向遍歷搜索,直至前一位置對應(yīng)API的行為類型與所述搜索起點對應(yīng)API的行為類型不一致為止;
所述后向遍歷搜索具體為:
取位置A的后一位置對應(yīng)API,若后一位置對應(yīng)API的行為類型與所述搜索起點對應(yīng)API的行為類型一致,則將后一位置對應(yīng)API的本體知識元組添加到后向本體知識子串中,并更新位置A為后一位置,重復(fù)執(zhí)行后向遍歷搜索,直至后一位置對應(yīng)API的行為類型與所述搜索起點對應(yīng)API的行為類型不一致為止;
所述前向遍歷搜索和后向遍歷搜索結(jié)束后,得到的前向本體知識子串和后向本體知識子串組合為本體知識串。
4.如權(quán)利要求1、2或3所述的方法,其特征在于,所述S3中,順次取惡意性第i位API作為搜索起點,i初始值為1;
所述S4中,增加對所述本體知識串中本體知識元組數(shù)量的判斷,若所述本體知識串中本體知識元組數(shù)量小于設(shè)定閾值,則i自增1,返回S3;
所述設(shè)定閾值依據(jù)經(jīng)驗進行設(shè)定。
5.如權(quán)利要求1、2或3所述的方法,其特征在于,API的行為類型主要包括文件操作、系統(tǒng)操作、進程/線程操作、注冊表操作、存儲操作、內(nèi)核操作、網(wǎng)絡(luò)操作、設(shè)備操作、窗口操作以及文本操作。
6.惡意代碼典型攻擊行為檢測系統(tǒng),其特征在于,包括數(shù)據(jù)采集模塊、數(shù)據(jù)預(yù)處理模塊、本體知識串提取模塊以及行為檢測模塊;
所述數(shù)據(jù)采集模塊,用于在沙箱環(huán)境中運行惡意代碼,從生成的動態(tài)分析報告中提取動態(tài)系統(tǒng)調(diào)用API序列以及原始本體知識序列,送入所述數(shù)據(jù)預(yù)處理模塊;
所述數(shù)據(jù)預(yù)處理模塊,用于針對所述動態(tài)系統(tǒng)調(diào)用API序列中的每個API均計算分類貢獻度,并按照分類貢獻度從大到小進行排序,即為惡意性排序,得到惡意性排序序列送入所述本體知識串提取模塊;
所述本體知識串提取模塊,用于按照所述惡意性排序序列順序,順次選取API作為搜索起點;在所述原始本體知識序列中找到所述搜索起點所處的位置A,在所述原始本體知識序列中,從位置A開始,分別進行前向遍歷搜索和后向遍歷搜索,提取出與所述搜索起點同屬于一個行為類型的API對應(yīng)本體知識元組,組成本體知識串,送入所述行為檢測模塊;
所述行為檢測模塊,用于以所述本體知識串所代表的惡意代碼典型攻擊行為作為檢測結(jié)果。
7.如權(quán)利要求6所述的系統(tǒng),其特征在于,所述動態(tài)系統(tǒng)調(diào)用API序列包括所述惡意代碼運行過程中系統(tǒng)調(diào)用的所有API;
所述原始本體知識序列由每個API對應(yīng)的本體知識元組組成;每個本體知識元組包含API及其操作對象。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于北京理工大學(xué);中國人民解放軍戰(zhàn)略支援部隊航天工程大學(xué),未經(jīng)北京理工大學(xué);中國人民解放軍戰(zhàn)略支援部隊航天工程大學(xué)許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202010826647.5/1.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
