[发明专利]一种基于沙盒动态行为识别可疑攻击代码的方法

摘要

一种基于沙盒动态行为识别可疑攻击代码的方法，包括：建立沙盒系统；根据常见恶意程序的API调用序列构建攻击树模型；判断可疑程序的PE文件是否经过加壳、变形等；将存在加壳变形行为的可疑程序引入沙盒，分析API调用序列；计算可疑代码在攻击树中的危险指数，如果达到规定的阈值，则识别告警。本发明的优点是通过将程序引入沙盒中，获取未知程序的API行为序列，减少了未知程序可能对系统造成的危害，构建攻击树模型，通过计算程序的静态危险指数来判断是否可能为恶意代码，提高了对未知程序检测的敏感度。

主权项

1.一种基于沙盒动态行为识别可疑攻击代码的方法，包括以下步骤：1)、建立沙盒，沙盒系统包括沙盒子系统，行为获取系统，行为分析系统，系统界面；2)、构建攻击树模型，对大量恶意代码行为进行分析，根据恶意代码最常用的API序列构建攻击树模型的特征库；具体包括：以传统攻击树为基础，对每个节点加入了权值集合，于是攻击树T可表示为一个三元组：T＝(V,E,Weight)，其中T为以节点为集合元素的非空有限集合；E为树中边的集合；Weight为节点权值集合；根据恶意程序中常见的API行为序列及序列间的关系，构建攻击树，并作为匹配依据。每一个未知程序都对应一个静态危险指数，记作danger(T)，通过对程序的计算得出，此值可以量化未知程序与恶意程序的相似程度，值越高代表危险系数越大，越接近恶意程序，节点静态危险指数的计算公式为：其中叶节点的初始danger值为1，非叶结点的初始danger值为0，非叶结点实际值由子节点计算得来；weight(parent)为当前parent节点的权重值，weight(child)为当前节点下所有子节点的权重值，两者皆由其调用的API及参数决定；danger(parent)为当前parent节点的危险值；danger(child)为当前节点下所有子节点的危险值；n为当前节点API调用序列的总数；m为在攻击树中匹配到的API调用序列数；3)、判断可疑程序的PE文件是否经过加壳、变形等，如果是则可以引入沙盒中，没有则可以静态解析PE文件提取API调用序列；4)、将存在加壳、变形的可疑攻击行为的代码引入沙盒，模拟应用程序的执行以及可疑代码的执行，监视执行代码的所有动作，包括API调用序列；5)、如有目标进程下载外部文件行为，则可判别为可疑代码，计算可疑代码在攻击树中的静态危险指数，如果达到规定的阈值，则识别告警。