[发明专利]基于系统调用的恶意程序行为识别方法和系统

说明书

技术领域

本发明涉及软件行为识别分析技术领域，尤其是涉及基于系统调用的恶意程序行为识别方法和系统。

背景技术

近年来，恶意程序的数量在持续增长，世界范围内拥有大量待分析的恶意程序样本，由恶意代码引发的信息安全事件造成了巨大的经济损失。安全研究人员和软件用户迫切希望准确有效地对恶意程序进行识别。程序行为识别其核心技术是对程序的行为语义结构的类型和功能特征进行特征抽取和鉴别分类的技术，按照技术原理划分，当前的程序行为识别技术分为静态分析技术与动态分析技术。

其中，静态分析技术能够覆盖到所有执行流程，保证了分析的全面性，但是由于静态分析的代码和实际执行的代码存在的不一致性，恶意代码常常采用自我保护技术，产生了大量可用于分析的执行路径分支，且其中大部分是冗余路径，使得需要进行分析的程序分支数骤增。动态分析技术在近年有了长足的发展，但仍然存在一些局限，主要体现在缺乏对系统调用进行监控，从而很难对内核级别的恶意代码进行分析。另一方面，动态分析覆盖的执行路径数有限，从而很难保证恶意代码分析的完整性，对分析检测的准确性造成影响。

发明内容

有鉴于此，本发明的目的在于提供基于系统调用的恶意程序行为识别方法和系统，使用二进制工具分析程序行为，并从多个维度提取程序特征，提高系统的准确率和效率，大大降低系统的安全风险。

第一方面，本发明实施例提供了基于系统调用的恶意程序行为识别方法，包括：

获取特征样本，对所述特征样本进行预处理，得到系统调用信息；

将所述系统调用信息进行分类，构建三元组模型；

将所述三元组模型中的元素进行量化，根据量化的元素得到所述系统调用的相似度，并根据所述系统调用的相似度得到系统调用序列的相似度；

将所述特征样本进行挖掘聚类，得到挖掘结果，将所述挖掘结果与检测结果进行比对，得到比对概率；

根据所述比对概率确定所述特征样本的安全状态。

结合第一方面，本发明实施例提供了第一方面的第一种可能的实施方式，其中，所述获取特征样本，对所述特征样本进行预处理，得到系统调用信息包括：

载入所述特征样本；

对所述特征样本进行二进制插桩，得到所述系统调用信息；

记录所述系统调用信息。

结合第一方面，本发明实施例提供了第一方面的第二种可能的实施方式，其中，所述将所述系统调用信息进行分类，构建三元组模型包括：

将所述系统调用信息按照功能划分，得到多个类别信息；

分别提取多个所述类别信息对应的参数特征信息；

统计每一类别所述系统调用执行的时间戳；

按照所述类别信息、所述参数特征信息和所述时间戳构建所述三元组模型。

结合第一方面的第二种可能的实施方式，本发明实施例提供了第一方面的第三种可能的实施方式，其中，所述将所述三元组模型中元素进行量化包括：

提取所述系统调用的语义部分的特征信息；

通过所述语义部分的特征信息对所述三元组模型中的所述类别信息、所述参数特征信息和所述时间戳进行量化。

结合第一方面，本发明实施例提供了第一方面的第四种可能的实施方式，其中，所述根据量化的元素得到所述系统调用的相似度包括：

根据下式计算所述系统调用的相似度：

Sim_function＝category*V_category+parameter*V_parameter+time*V_time

其中，Sim_function为所述系统调用的相似度，category为类别，parameter为参数特征，time为时间戳，V_category、V_parameter、V_time分别代表给category、parameter、time分配的权值。

结合第一方面，本发明实施例提供了第一方面的第五种可能的实施方式，其中，所述特征样本进行挖掘聚类，得到挖掘结果，将所述挖掘结果与检测结果进行比对，得到比对概率，包括：

将各类别中所述系统调用的数量和所述系统调用序列的相似度进行聚类挖掘，采用聚类算法并设定阈值，得到所述挖掘结果；