[发明专利]一种基于信息融合的二进制恶意代码威胁性评估方法

说明书

技术领域

本发明属于信息的二进制恶意代码威胁性评估领域，特别是涉及一种基于信息融合的二进制恶意代码威胁性评估方法。

背景技术

长期以来，恶意代码一直是信息安全所面临的主要威胁之一。在波及范围上，恶意代码的威胁无处不在；在影响程度上，恶意代码的危害后果严重；在时间跨度上，恶意代码的演化从未停顿。

恶意代码威胁性评估即通过静态分析、动态分析等方法对恶意代码进行深入、全面、准确的分析，刻画其在实际计算环境中对信息系统、用户所构成威胁的大小。恶意代码威胁性评估是恶意代码分析中的一项重要内容，在信息系统安全态势感知、信息系统攻击预警、以及信息系统攻击响应方面均有重要应用，通过评估恶意代码的威胁性，能够把有限的人力、物力、财力进行精准投放，提高信息安全保障的效率与质量。

当前，对恶意代码威胁性的评估在技术层面主要存在以下问题：评估数据较为单一，难以全面地刻画恶意代码的威胁性。传统恶意代码威胁性评估主要依据代码的反汇编指令特征或者函数调用特征，如果恶意代码的行为以不同形式体现，那么来源单一的评估数据则难以刻画恶意代码的行为，从而造成威胁性评估数据来源的缺失；评估算法较为简单，难以刻画恶意代码威胁性的特点。恶意代码的威胁性有其自身的特点，例如其关键属性虽然有多种实现方式，但是实现方式之间并不是累加的关系，关键属性对威胁性的影响主要还是源自于其中效果最好的实现方式，但是传统评估算法难以刻画恶意代码威胁性评估的上述特点；评估模型较为笼统，难以细粒度刻画评估要素之间的关系。传统评估模型往往采用一种模型进行评估，例如层次评估模型、攻击树模型等，但是恶意代码威胁性在关键属性、行为等层面上的特点未必均适用于同一种评估模型。

因此，需要设计一种能够在一定程度上解决上述问题的恶意代码威胁性评估方法，为信息系统安全态势感知、信息系统攻击预警、以及信息系统攻击响应等领域提供强有力的技术保障。

发明内容

本发明针对现有技术存在评估数据较为单一，难以全面地刻画恶意代码的威胁性，评估算法较为简单，难以刻画恶意代码威胁性的特点，评估模型较为笼统，难以细粒度刻画评估要素之间的关系等问题，提出一种基于信息融合的二进制恶意代码威胁性评估方法。

本发明的技术方案是：一种基于信息融合的二进制恶意代码威胁性评估方法，该评估方法分为三个步骤：

步骤一、基于多维n-gram的恶意代码威胁性行为级信息融合；

步骤二、基于范数度量恶意代码威胁性属性级信息融合；

步骤三、基于层次分析的恶意代码威胁性决策级信息融合；

经过步骤一、二、三以后，计算得到各关键属性的权重，采用的公式Sthreat=(w1,w2,...,wn)·(SAttribute1,...SAttributen)T]]>计算恶意代码的威胁性。

所述的基于信息融合的二进制恶意代码威胁性评估方法，所述基于多维n-gram的恶意代码威胁性行为级信息融合，判定代码采用了公式：

Type_i＝fun_B(Behavior_i1，…，Behavior_in)，亦即，

Type_i＝Behavior_i1&…&Behavior_in