本發明公開了惡意代碼典型攻擊行為檢測方法及系統，屬于網絡安全技術領域，能夠實現對惡意代碼典型惡意行為攻擊過程的全面表征。本發明的技術方案為：在沙箱環境中運行惡意代碼，從生成的動態分析報告中提取動態系統調用API序列以及原始本體知識序列。針對每個API均計算分類貢獻度，并按照分類貢獻度從大到小進行排序，得到惡意性排序序列。順次選取API作為搜索起點，在原始本體知識序列中找到搜索起點所處的位置A，在原始本體知識序列中，從位置A開始，分別進行前向遍歷搜索和后向遍歷搜索，提取出與搜索起點同屬于一個行為類型的API對應本體知識元組，組成本體知識串。以本體知識串所代表的惡意代碼典型攻擊行為作為檢測結果。

技術領域

本發明涉及網絡安全技術領域，具體涉及惡意代碼典型攻擊行為檢測方法及系統。

背景技術

在當前的網絡空間環境下，惡意代碼已成為攻擊者發起網絡攻擊所主要依賴的武器，并且其攻擊機理越發復雜，破壞功能越發強大，由此成為網絡空間面臨的主要威脅。針對惡意代碼造成的嚴重挑戰，研究人員主要采取機器學習方法開展自動化的分析與檢測。在檢測過程中，研究人員主要采取靜態、動態或混合分析的方式提取惡意代碼的相關特征，然后采用機器學習的方法訓練分類器而開展自動化的檢測與分類。

當前針對惡意代碼的研究工作主要側重于對惡意代碼的準確檢測，即通過提取其相關特征最后給出其是否惡意性的判斷結果。當前的研究雖然能夠實現對惡意代碼的有效檢測，但在建立對惡意代碼的全面理解和認知方面仍存在明顯不足。

因為當前研究僅是提供了一個判斷程序是否為惡意代碼的結果，未對惡意代碼典型惡意行為的攻擊過程進行全面分析，從而缺乏對惡意代碼典型攻擊行為的挖掘和認知，難以實現對惡意代碼的全面理解，也不利于制定有針對性的防護措施。

發明內容

有鑒于此，本發明提供了惡意代碼典型攻擊行為檢測方法及系統，通過構建表征惡意代碼典型攻擊行為的本體知識串，能夠實現對惡意代碼典型惡意行為攻擊過程的全面表征，實現對惡意代碼典型攻擊行為的全面的挖掘和認知。

為達到上述目的，本發明的技術方案包括如下步驟：

S1、在沙箱環境中運行惡意代碼，從生成的動態分析報告中提取動態系統調用API序列以及原始本體知識序列。

S2、針對動態系統調用API序列中的每個API均計算分類貢獻度，并按照分類貢獻度從大到小進行排序，即為惡意性排序，得到惡意性排序序列

S3、按照惡意性序列順序，順次選取API作為搜索起點。

S4、在原始本體知識序列中找到搜索起點所處的位置A，在原始本體知識序列中，從位置A開始，分別進行前向遍歷搜索和后向遍歷搜索，提取出與搜索起點同屬于一個行為類型的API對應本體知識元組，組成本體知識串。

S5、以本體知識串所代表的惡意代碼典型攻擊行為作為檢測結果。

進一步地，動態系統調用API序列包括惡意代碼運行過程中系統調用的所有API；原始本體知識序列由每個API對應的本體知識元組組成；每個本體知識元組包含API及其操作對象。

進一步地，前向遍歷搜索具體為：取位置A的前一位置對應API，若前一位置對應API的行為類型與搜索起點對應API的行為類型一致，則將前一位置對應API的本體知識元組添加到前向本體知識子串中，并更新位置A為前一位置，重復執行前向遍歷搜索，直至前一位置對應API的行為類型與搜索起點對應API的行為類型不一致為止。

后向遍歷搜索具體為：取位置A的后一位置對應API，若后一位置對應API的行為類型與搜索起點對應API的行為類型一致，則將后一位置對應API的本體知識元組添加到后向本體知識子串中，并更新位置A為后一位置，重復執行后向遍歷搜索，直至后一位置對應API的行為類型與搜索起點對應API的行為類型不一致為止。