[发明专利]基于系统调用的恶意程序行为识别方法和系统

权利要求书

1.一种基于系统调用的恶意程序行为识别方法，其特征在于，包括：

获取特征样本，对所述特征样本进行预处理，得到系统调用信息；

将所述系统调用信息进行分类，构建三元组模型；

将所述三元组模型中的元素进行量化，根据量化的元素得到所述系统调用的相似度，并根据所述系统调用的相似度得到系统调用序列的相似度；

将所述特征样本进行挖掘聚类，得到挖掘结果，将所述挖掘结果与检测结果进行比对，得到比对概率；

根据所述比对概率确定所述特征样本的安全状态。

2.根据权利要求1所述的基于系统调用的恶意程序行为识别方法，其特征在于，所述获取特征样本，对所述特征样本进行预处理，得到系统调用信息包括：

载入所述特征样本；

对所述特征样本进行二进制插桩，得到所述系统调用信息；

记录所述系统调用信息。

3.根据权利要求1所述的基于系统调用的恶意程序行为识别方法，其特征在于，所述将所述系统调用信息进行分类，构建三元组模型包括：

将所述系统调用信息按照功能划分，得到多个类别信息；

分别提取多个所述类别信息对应的参数特征信息；

统计每一类别所述系统调用执行的时间戳；

按照所述类别信息、所述参数特征信息和所述时间戳构建所述三元组模型。

4.根据权利要求3所述的基于系统调用的恶意程序行为识别方法，其特征在于，所述将所述三元组模型中元素进行量化包括：

提取所述系统调用的语义部分的特征信息；

通过所述语义部分的特征信息对所述三元组模型中的所述类别信息、所述参数特征信息和所述时间戳进行量化。

5.根据权利要求1所述的基于系统调用的恶意程序行为识别方法，其特征在于，所述根据量化的元素得到所述系统调用的相似度包括：

根据下式计算所述系统调用的相似度：

Sim_function＝category^*V_category+parameter*V_parameter+time*V_time

其中，Sim_function为所述系统调用的相似度，category为类别，parameter为参数特征，time为时间戳，V_category、V_parameter、V_time分别代表给category、parameter、time分配的权值。

6.根据权利要求1所述的基于系统调用的恶意程序行为识别方法，其特征在于，所述特征样本进行挖掘聚类，得到挖掘结果，将所述挖掘结果与检测结果进行比对，得到比对概率，包括：

将各类别中所述系统调用的数量和所述系统调用序列的相似度进行聚类挖掘，采用聚类算法并设定阈值，得到所述挖掘结果；

从知识数据库中选取与所述挖掘结果相关的所述检测结果，将所述挖掘结果与所述检测结果进行比对，得到所述比对概率，并将所述挖掘结果作为所述检测结果存入所述知识数据库中。

7.根据权利要求1所述的基于系统调用的恶意程序行为识别方法，其特征在于，所述检测结果包括正常样本和恶意样本，所述根据所述比对概率确定所述特征样本的安全状态包括：

当所述挖掘结果与所述正常样本进行比对时，得到正常概率；

当所述挖掘结果与所述恶意样本进行比对时，得到恶意概率；

当所述正常概率大于所述恶意概率时，所述特征样本为正常程序状态；

当所述正常概率小于所述恶意概率时，所述特征样本为恶意程序状态。