CN103065093B

CN103065093B - 一种恶意软件行为特征标识方法

Info

Publication number: CN103065093B
Application number: CN201210579642.2A
Authority: CN
Inventors: 杨岳湘; 乔勇; 曾迎之; 唐川; 叶昭晖; 李强
Original assignee: National University of Defense Technology
Current assignee: National University of Defense Technology
Priority date: 2012-12-27
Filing date: 2012-12-27
Publication date: 2014-09-17
Anticipated expiration: 2032-12-27
Also published as: CN103065093A

Abstract

本发明公开了一种恶意软件行为特征标识方法，通过沙盒或者其他分析工具获取带有时间戳的恶意软件的一个或者多个行为序列，对这些行为序列按照时间戳进行排序，并组合为当前行为序列；分析当前行为序列中可能出现的行为特征的上限；选择是否需要使用可视的单字节字符；根据行为特征的上限值和是否需要可视字符的要求，构建行为特征编码表；根据编码表，将当前行为序列转换为单字节字符序列或者多字节字符序列；对单字节字符序列或者多字节字符序列进行对数级的高重复度压缩。本发明的方法能够在不失去行为序列具有的分析价值前提下，降低运算代价和存储代价，提高或者保持恶意软件不同变种间行为序列的相似性。

Description

一种恶意软件行为特征标识方法

技术领域

本发明涉及计算机安全技术领域,具体是一种恶意软件行为特征标识方法。

背景技术

随着网络技术的日益发展，黑客攻击变得日益猖獗。恶意软件是黑客们实施入侵、维持入侵的基础工具。传统上研究人员通过对恶意软件进行逆向工程，在反汇编基础上，对恶意软件的基本行为展开静态代码分析。但由于代码混淆技术以及软件加壳技术的发展，对恶意软件的反汇编变得十分困难，并且效率低下。

由于静态代码分析的困难，研究者提出了针对恶意软件的动态行为分析方法。这种方法不再对恶意软件进行静态解析，而是让恶意软件运行在一个可控环境，通过监控其产生的行为来对恶意软件进行识别和分类。恶意软件行为序列常用来描述恶意软件的行为，并作为恶意软件自动化分析技术的重要输入参数来完成分析任务。常见的恶意行为序列表示方法有XML格式、文本格式等。

在基于机器学习方法的自动化恶意行为分析技术中，恶意行为序列都要被转换为特征向量进而进行聚类或者分类研究。现有恶意行为序列表示方法类如XML格式、文本格式等，常保存了大量与自动化分析无关的冗余内容，导致恶意软件行为特征存储上的浪费以及在转换为数学特征向量时运算上的消耗。

发明内容

本发明所要解决的技术问题是，针对现有技术不足，提供一种恶意软件行为特征标识方法，降低恶意软件自动化行为分析时的运算代价和存储代价，提高或者保持恶意软件不同变种间行为序列的相似性。

为解决上述技术问题，本发明所采用的技术方案是：一种恶意软件行为特征标识方法，该方法的步骤为：

1）通过分析工具获取带有时间戳的恶意软件的一个或者多个行为序列，其中恶意软件的每个进程对应一个行为序列，对所述行为序列按照时间戳进行排序，组合为当前行为序列；

2）分析当前行为序列中可能出现的行为特征的上限，此处的行为特征表示所述当前行为序列中描述一个特定系统行为的标识对象，设定所述行为特征上限值为UpFeatures；

3）设定布尔变量为IsVisible，选择是否需要使用可视的单字节字符，所述的可视的单字节字符是指ASCII码表中从33到126之间的可以被屏幕显示的字符，不包含控制字符；

4）根据UpFeatures和IsVisible的赋值，构建行为特征编码表；

5）根据行为特征编码表，将原有文本格式或者XML格式的行为序列编码为单字节字符序列或者多字节字符序列，从而有效减小当前行为序列的存储代价和作为机器学习方法的输入参数时带来的运算代价；

6）计算连续重复度L：在一个单字节字符序列或者多字节字符序列中，定义每一个字符为一个特征，如果一个特征在所述单字节字符序列或者多字节字符序列中连续出现的次数大于1，则认为所述特征存在连续重复度，其中连续出现的次数即为连续重复度L；

7）设定重复度压缩起始值StartNum；

8）如果L>=StartNum，则进入步骤9），否则，所述单字节字符序列或者多字节字符序列长度保持不变；

9）对所述单字节字符序列或者多字节字符序列进行对数级重复度压缩，从而提高或者保持恶意软件不同变种间行为序列的相似性。

所述步骤1）中：

规则1-1）：对同一恶意软件的多个进程对应产生的多个行为序列进行排序合并时，满足以下规则：

[1]同一进程的行为序列按时间顺序排列，越早调用的行为特征位置越靠前；

[2]在合并后的总序列中，不同进程的行为序列不交叉，把每个序列当做一个整体放入总序列；

[3]总序列中，不同进程对应的行为序列顺序按照每一个进程对应的第一个行为特征所发生的时间点进行排序，最早调用的进程排在最前。

所述步骤4）中：

规则4-1）：在构建行为特征编码表的过程中，如果IsVisible为TRUE，则表示编码表全部采用可视单字节字符。在ASCII码表中，由于可视的单字节字符为94个，即单字节对应的十进制值从33到126之间（包括33和126）的所有字符是可视的，所以可根据以下规则制定编码表：

[1]当UpFeatures<＝94时，只需在ASCII码表的33到126（此处的33和126均为十进制）之间任意选择UpFeatures个不同的ASCII字符来与行为特征一一对应构成编码表；

[2]当UpFeatures>94时,一个行为特征不能只用一个单字节字符表示，需要2个或者多个字符来表示。此字符个数最小值N可以通过如下公式判断：

94^N-1<UpFeatures<=94^N(1)

得到N值后，利用N个单字节字符表示一个行为特征，基于此原则构建编码表。由于94²已经是一个较大的数值，一般来讲，恶意软件行为特征独立数目的上限不会超过此值，因此利用2个字符来表示一个行为特征足以满足常规需求，2个单字节可视字符组合共可以表示8836个独立的行为特征。

规则4-2）：在构建行为特征编码表的过程中，如果IsVisible为FALSE，则表示编码表可不全部采用可视单字节字符。此时一个字节可以独立的对应2⁸＝256个行为特征，构建编码表的规则为：

[1]当UpFeatures<＝256时，则在0到255之间随机的选取UpFeatures个数值来对应行为特征。此时表示0到255的数值采用十六进制形式来构建编码表，定义每个数值为恒常的2个可视字符，如十进制的0用00表示，十进制的255用FF表示。在需要将编码后的行为特征存储到文件系统时，可采用文本模式或者二进制模式将十六进制字符序列存入文件系统。如果采用二进制模式，则一个行为特征虽对应两个十六进制字符，但写入文件的大小仍为一个字节；如果采用文本模式，则为2个字节。

[2]当UpFeatures>256时,一个行为特征不能只用一个字节的字符表示，需要2个或者多个字节的字符来表示。其最小字节数N可以通过如下公式判断：

256^N-1<UpFeatures<=256^N(2)

得到N值后，利用2N个十六进制字符来表示一个行为特征，基于此原则构建编码表。同理在行为序列本地化存储时，可以采用文本模式或者二进制模式。

步骤6）中的重复度是指恶意软件的行为序列中，常会因为一次动态运行的偶然情况，出现一个系统行为多次甚至上千次的被连续重复调用。在使用机器学习方法对恶意软件的行为进行聚类或者分类研究中，行为序列中行为特征的出现次序和出现次数是一个重要的考量对象，研究者希望比较不同恶意软件间的行为序列的相似性来对恶意软件进行分类或者归类，但这种意外出现的高重复度现象会显著的增大某个特征的出现次数，也就会破坏本来可能存在的恶意软件间的相似性。已有处理方法常武断的在重复度大于某个阈值时，直接去除后续出现的重复特征，这种方法虽然也会很大程度上消除重复度的影响，但显然不够灵活，不能根据不同语义环境自动调整。此处提出的对数级的重复度压缩方法，将在保持行为序列中常规行为特征不变的情况下，将意外出现的高重复度子序列压缩到一个合理长度范围，并设定了扩展系数和压缩系数，让使用者能够在不同语义环境中根据需要灵活调整长度范围。这种方法在实例分析中被证明能在有效降低行为序列长度的前提下，保持恶意软件行为分析的鲁棒性。而总行为序列长度的降低，则有助于提高运算效率和减低存储代价。

连续重复度L：在一个单字节字符序列或者多字节字符序列中，定义每一个字符为一个特征，如果一个特征在序列中连续出现的次数大于1，则认为该特征存在连续重复度，其中连续出现的次数定义为重复度L。

重复度压缩起始值StartNum：连续L个特征组成的单字节字符序列或者多字节字符序列是否需要被压缩是根据变量StartNum的大小判断的。如果L>=StartNum，则启动压缩，否则，子序列长度保持不变。这个变量StartNum被定义为重复度压缩起始值。

基于以上两个定义，定义对数级重复度压缩方法为：

newL＝StartNum+β*Round(log_α(L-StartNum))(3)

其中β为扩展系数，α为压缩系数，newL则表示步骤6）中单字节字符序列或者多字节字符序列被压缩后的新长度。Round()函数表示对括号中的值进行四舍五入。一般应用中，α取2，β取1就可以满足基本需求。

与现有技术相比，本发明所具有的有益效果为：本发明的方法能够在不失去行为序列具有的分析价值前提下，有效减小行为序列的大小，从而降低运算代价和存储代价，提高或者保持恶意软件不同变种间行为序列的相似性，从而很好地标识恶意软件行为。

附图说明

图1为本发明方法流程图；

图2为行为特征编码表构建规则框图。

具体实施方式

以下结合附图详细说明本发明的具体实施方式。

图1所示的方法可以分为恶意软件行为序列的编码方法和重复度压缩方法。

以下结合具体恶意软件malware.exe说明恶意软件行为序列的编码方法：

步骤一：获取恶意软件行为序列

使用一种沙箱XSandbox对某一恶意软件malware.exe进行动态行为分析，共获取3个进程对应的行为序列:P1,P2,P3。此处采集的行为序列为malware.exe的部分API调用序列，采用API Hook方法获取。这里给出三个进程P1,P2,P3对应的部分行为序列S1,S2,S3：

表1P1对应的部分行为序列S1

时间戳	行为序列（API特征）
		20120415132149.10	LoadLibraryA
20120415132149.10	VirtualAllocEx
		20120415132149.10	LoadLibraryA
20120415132149.10	LoadLibraryA
		20120415132149.10	VirtualAllocEx
20120415132149.10	VirtualAllocEx
		20120415132149.10	LoadLibraryA
20120415132149.20	CreateFileW
		20120415132149.20	VirtualAllocEx
20120415132149.20	VirtualAllocEx
		20120415132149.20	VirtualAllocEx
20120415132149.20	VirtualAllocEx
		20120415132149.20	VirtualAllocEx
20120415132149.20	VirtualAllocEx
		20120415132149.20	VirtualAllocEx
20120415132149.20	VirtualAllocEx
		20120415132149.20	VirtualAllocEx
20120415132149.20	VirtualAllocEx
		20120415132149.30	VirtualAllocEx

20120415132149.30	VirtualAllocEx
		20120415132149.30	VirtualAllocEx
20120415132149.30	VirtualAllocEx
		20120415132149.30	VirtualAllocEx
20120415132149.40	VirtualAllocEx
		20120415132149.40	VirtualAllocEx
20120415132149.50	VirtualAllocEx
		20120415132149.10	LoadLibraryA
20120415132149.10	VirtualAllocEx
		20120415132149.10	LoadLibraryA
20120415132149.10	LoadLibraryA
		20120415132149.10	VirtualAllocEx
20120415132149.10	VirtualAllocEx
		20120415132149.10	LoadLibraryA
20120415132149.20	CreateFileW

表2：P2对应的部分行为序列S2

时间戳	行为序列（API特征）
		20120415132141.20	ReadProcessMemory
20120415132141.30	ReadProcessMemory
		20120415132141.40	ReadProcessMemory
20120415132141.40	ReadProcessMemory
		20120415132141.50	ReadProcessMemory

表3：P3对应的部分行为序列S3

时间戳	行为序列（API特征）
		20120415132034.20	LoadLibraryA
20120415132034.20	LoadLibraryA
		20120415132034.20	LoadLibraryW
20120415132034.20	CreateFileW
		20120415132034.20	CreateRemoteThread
20120415132034.50	LoadLibraryA
		20120415132034.50	VirtualAllocEx
20120415132034.50	LoadLibraryA
		20120415132034.50	LoadLibraryA
20120415132034.50	VirtualAllocEx
		20120415132034.50	VirtualAllocEx
20120415132034.60	LoadLibraryA
		20120415132034.80	CreateFileW
20120415132034.80	VirtualAllocEx
		20120415132034.80	VirtualAllocEx
20120415132034.80	VirtualAllocEx
		20120415132034.80	VirtualAllocEx
20120415132034.80	VirtualAllocEx
		20120415132034.80	VirtualAllocEx
20120415132034.80	VirtualAllocEx
		20120415132034.80	VirtualAllocEx
20120415132034.80	VirtualAllocEx

在得到各个进程对应的行为序列后，需要根据时间戳将三个进程的行为序列合并为一个序列。排序和合并原则依据发明内容中的规则1-1）。首先是对每个单独的子序列进行排序，上文表格中的特征序列是已经排序完毕的；其次要判断如何合并三个子序列，根据每个子序列中第一个特征产生的时间戳时间来进行排序，依次为：20120415132149.10；20120415132141.20；20120415132034.20，可见S3的起始时间最早，S2其次，S1为最后。因此在合并的总序列S中，S3中的行为特征序列作为整体放在最前面，S2和S1中的行为特征序列依次放在后面。

表4：合成后的总行为序列

步骤二：总序列中行为特征中独立特征的个数的上限可以根据API Hook中挂钩的函数数目来确定，这主要根据所依赖的沙箱实现机制来确定，这里为UpFeatures＝64；

步骤三：这里定义编码表为可视字符，即IsVisibLe＝TRUE，可用类如a,b,c,1,2,3的单字节字符来组成编码表。

步骤四：构建编码表的规则如图2所示，以下为一种具体实施方式。由于IsVisible＝TRUE，且UpFeatures小于94，因此可以随机从ASCII码表的33到126之间随机挑选64个单字节字符来一一对应一个独立的行为特征，这里给出部分编码表示例。表5中不但给出了单字节编码，还给出了双字节编码，这是为了应对IsVisible为真且UpFeatures>94时，或者IsVisible为假，且UpFeatures<＝256时的情况。

表5字节级行为特征部分编码表

行为特征（此处为API函数）	单字节编	十进制编	双字节编码（16
				LoadLibraryW	A	00	00
LoadLibraryA	a	01	01
				CreateFileW	b	02	02
ReadFile	c	03	03
				MoveFileExW	d	04	04
DeleteFileW	e	05	05
				InternetConnectW	f	06	06
HttpOpenRequestW	g	07	07
				URLOpenBlockingStreamW	h	08	08
URLDownloadToFileW	i	09	09
				URLDownloadToCacheFileW	j	10	0A
CreateMutexW	k	11	0B
				……	…	…	….

基于以上编码表，则可以将表4中的行为序列转换为字节级的字符序列，得到新序列BS，BS＝{aaAbKaLaaLLabLLLLLLLLLQQQQQaLaaLLabLLLLLLLLLLLLLLLLLLaLaaLLab}。BS与表4的总序列相比，大大减小了存储空间，但在行为序列作为机器学习的输入参数时，其价值就在于行为特征构建序列的顺序以及个数，而BS即没有影响序列中行为特征的个数也没有影响特征间的先后顺序，可见本方法达到了预期目的。

对编码方法得到的新序列BS的重复度压缩方法如下：

步骤一：以上文得到的字节序列BS为例，根据重复度压缩方法中的定义，BS中具有重复度的子序列有：SS1＝{aa}，SS2＝{aa}，SS3＝{LL}，SS4＝{LLLLLLLLL}，SS5＝{QQQQQ}，SS6＝{aa}，SS7＝{LL}，SS8＝{LLLLLLLLLLLLLLLLLL}，SS9＝{aa}，SS10＝{LL}。

步骤二：这里定义重复度压缩起始值StartNum=6，以及β＝1，α＝2。根据StartNum的取值，具有重复度的子序列中只有SS4和SS8需要被压缩。

步骤三：SS4的重复度为9，根据重复度压缩方法定义，有新长度为：newL(SS4)＝6+1*Round(log₂(9-6))＝6+2＝8。SS8的重复度为18，根据重复度压缩方法定义，有新长度为：newL(SS8)＝6+1*Round(log₂(18-6))＝6+3＝9。则新序列为：newBS＝{aaAbKaLaaLLabLLLLLLLLQQQQQaLaaLLabLLLLLLLLLaLaaLLab}。

由于实验原因，这里并没有选择包含高重复度的序列，而只是计算方法的简单演示。子序列的重复度越大，对其进行的对数压缩比例就越大，就越能体现重复度压缩方法的压缩效果。

在对多个恶意软件进行聚类行为分析实验中，重复度压缩方法的使用能够有效减小输入参数的长度，但还能保证分析结果的鲁棒性，验证了本方法的使用效果。

上述发明方法实现简单，但在使用机器学习方法对多个恶意软件进行行为分析时，可有效降低运算代价和存储代价，转换后的字节级的行为序列可作为默认输入格式被多个自动化分析工具直接使用，具有较好的应用价值。

Claims

1.一种恶意软件行为特征标识方法，其特征在于，该方法的步骤为：

4）根据UpFeatures和IsVisible的赋值，构建行为特征编码表；

7）设定重复度压缩起始值StartNum；

8）如果L>=StartNum,则进入步骤9），否则，所述单字节字符序列或者多字节字符序列长度保持不变；

9）对所述单字节字符序列或者多字节字符序列进行对数级重复度压缩，从而提高或者保持恶意软件不同变种间行为序列的相似性；

所述步骤1）中，对所述序列按照时间戳进行排序时，满足以下规则：

1）同一进程的行为序列按时间顺序排列，越早调用的行为特征位置越靠前；

2）在合并后的总序列中，不同进程的行为序列不交叉，把每个行为序列当做一个整体放入总序列；

3）总序列中，不同进程对应的行为序列顺序按照每一个进程对应的第一个行为特征所发生的时间点进行排序，最早调用的进程排在最前面；

所述步骤4）中：

1）在构建行为特征编码表的过程中，如果IsVisible为TRUE，则表示编码表全部采用可视单字节字符，根据以下规则构建行为特征编码表：

当UpFeatures<=94时，在ASCII码表的33到126之间任意选择UpFeatures个不同的ASCII字符来与行为特征一一对应构成编码表，其中33和126均为十进制；

当UpFeatures>94时,一个行为特征不能只用一个单字节字符表示，需要2个或者多个字符来表示，字符个数最小值N通过如下公式计算：

94^N-1<UpFeatures<=94^N；

得到N值后，利用N个单字节字符表示一个行为特征，构建编码表；

2）在构建行为特征编码表的过程中，如果IsVisible为FALSE，则表示编码表可不全部采用可视单字节字符，此时一个字节可以独立的对应2⁸=256个行为特征，构建行为特征编码表的规则为：

当UpFeatures<=256时，则在0到255之间随机的选取UpFeatures个数值来对应行为特征，此时表示0到255的数值采用十六进制形式来构建行为特征编码表；

当UpFeatures>256时,一个行为特征不能只用一个字节的字符表示，需要2个或者多个字节的字符来表示，最小字节数N通过如下公式计算：

256^N-1<UpFeatures<=256^N (2)

得到N值后，利用2N个十六进制字符来表示一个行为特征，构建行为特征编码表；

所述步骤9）中，利用如下公式对所述单字节字符序列或者多字节字符序列进行对数级重复度压缩：

newL=StartNum+β*Round(log_α(L-StartNum)，

其中，β为扩展系数，α为压缩系数，newL表示所述单字节字符序列或者多字节字符序列被压缩后的长度，Round()函数表示对括号中的值进行四舍五入，L为连续重复度，StartNum为重复度压缩起始值，如果L>=StartNum,则启动压缩，否则，所述单字节字符序列或者多字节字符序列长度保持不变。

2.根据权利要求1所述的恶意软件行为特征标识方法，其特征在于，所述压缩系数α为2；扩展系数β为1。

3.根据权利要求1所述的恶意软件行为特征标识方法，其特征在于，所述步骤1）中，所述分析工具为沙箱XSandbox。