CN104134040B - 一种基于信息融合的二进制恶意代码威胁性评估方法 - Google Patents

Abstract

本发明属于信息的二进制恶意代码威胁性评估领域，特别是涉及一种基于信息融合的二进制恶意代码威胁性评估方法，其特征在于：该评估方法分为三个步骤：步骤一、基于多维n‑gram的恶意代码威胁性行为级信息融合；步骤二、基于范数度量恶意代码威胁性属性级信息融合；步骤三、基于层次分析的恶意代码威胁性决策级信息融合；经过步骤一、二、三以后，计算得到各关键属性的权重，采用的公式计算恶意代码的威胁性。本发明基于信息融合的恶意代码威胁性评估方法，通过对恶意代码威胁性的评估过程进行逐层分解，针对各层不同特点采用不同的算法，避开了采用单一算法的缺陷，从而提高了恶意代码威胁性评估的适应性与可扩展性。

Description

一种基于信息融合的二进制恶意代码威胁性评估方法

技术领域

本发明属于信息的二进制恶意代码威胁性评估领域，特别是涉及一种基于信息融合的二进制恶意代码威胁性评估方法。

背景技术

长期以来，恶意代码一直是信息安全所面临的主要威胁之一。在波及范围上，恶意代码的威胁无处不在；在影响程度上，恶意代码的危害后果严重；在时间跨度上，恶意代码的演化从未停顿。

恶意代码威胁性评估即通过静态分析、动态分析等方法对恶意代码进行深入、全面、准确的分析，刻画其在实际计算环境中对信息系统、用户所构成威胁的大小。恶意代码威胁性评估是恶意代码分析中的一项重要内容，在信息系统安全态势感知、信息系统攻击预警、以及信息系统攻击响应方面均有重要应用，通过评估恶意代码的威胁性，能够把有限的人力、物力、财力进行精准投放，提高信息安全保障的效率与质量。

当前，对恶意代码威胁性的评估在技术层面主要存在以下问题：评估数据较为单一，难以全面地刻画恶意代码的威胁性。传统恶意代码威胁性评估主要依据代码的反汇编指令特征或者函数调用特征，如果恶意代码的行为以不同形式体现，那么来源单一的评估数据则难以刻画恶意代码的行为，从而造成威胁性评估数据来源的缺失；评估算法较为简单，难以刻画恶意代码威胁性的特点。恶意代码的威胁性有其自身的特点，例如其关键属性虽然有多种实现方式，但是实现方式之间并不是累加的关系，关键属性对威胁性的影响主要还是源自于其中效果最好的实现方式，但是传统评估算法难以刻画恶意代码威胁性评估的上述特点；评估模型较为笼统，难以细粒度刻画评估要素之间的关系。传统评估模型往往采用一种模型进行评估，例如层次评估模型、攻击树模型等，但是恶意代码威胁性在关键属性、行为等层面上的特点未必均适用于同一种评估模型。

因此，需要设计一种能够在一定程度上解决上述问题的恶意代码威胁性评估方法，为信息系统安全态势感知、信息系统攻击预警、以及信息系统攻击响应等领域提供强有力的技术保障。

发明内容

本发明针对现有技术存在评估数据较为单一，难以全面地刻画恶意代码的威胁性，评估算法较为简单，难以刻画恶意代码威胁性的特点，评估模型较为笼统，难以细粒度刻画评估要素之间的关系等问题，提出一种基于信息融合的二进制恶意代码威胁性评估方法。

本发明的技术方案是：一种基于信息融合的二进制恶意代码威胁性评估方法，该评估方法分为三个步骤：

步骤一、基于多维n-gram的恶意代码威胁性行为级信息融合；

步骤二、基于范数度量恶意代码威胁性属性级信息融合；

步骤三、基于层次分析的恶意代码威胁性决策级信息融合；

经过步骤一、二、三以后，计算得到各关键属性的权重，采用的公式 计算恶意代码的威胁性。

所述的基于信息融合的二进制恶意代码威胁性评估方法，所述基于多维n-gram的恶意代码威胁性行为级信息融合，判定代码采用了公式：

Type_i＝fun_B(Behavior_i1，…，Behavior_in)，亦即，

Type_i＝Behavior_i1&…&Behavior_in

所述的基于信息融合的二进制恶意代码威胁性评估方法，所述基于范数度量恶意代码威胁性属性级信息融合，采用表示，其中代表该类型恶意代码的第i个关键属性，Type_ij代表第i个关键属性的第j种实现方式，fun_A代表属性级信息融合函数。

所述的基于信息融合的二进制恶意代码威胁性评估方法，所述基于范数度量恶意代码威胁性属性级信息融合，范数度量的公式为：

其中，0≤w_ij≤1，Type_ij∈{0，1}。所述的基于信息融合的二进制恶意代码威胁性评估方法，所述基于层次分析的恶意代码威胁性决策级信息融合，采用表示，其中S_threat代表恶意代码最终计算得到的威胁性度量值，代表该类型恶意代码的第i个关键属性，fun_D代表决策级信息融合函数。

所述的基于信息融合的二进制恶意代码威胁性评估方法，所述基于层次分析的恶意代码威胁性决策级信息融合，采用层次分析法对各属性的相对重要性进行计算，确定权重的步骤如下：

步骤1，以恶意代码关键属性两两比较的结果构造判断矩阵，

i为数列的行数，j为数列的列数；

步骤2，计算重要性排序，根据判断矩阵，求出其最大特征根λ_max所对应的特征向量ω，方程为：M·ω＝λ_max·ω；

步骤3，一致性检验，得到的权重分配是否合理，还需要对判断矩阵进行一致性检验。检验公式为：其中，C.R.为判断矩阵的随机一致性比率；C.I.为判断矩阵的一般一致性指标，R.I.为判断矩阵的平均随机一致性指标。

本发明的有益效果是：1、本发明基于信息融合的恶意代码威胁性评估方法，通过对恶意代码威胁性的评估过程进行逐层分解，针对各层不同特点采用不同的算法，避开了采用单一算法的缺陷，从而提高了恶意代码威胁性评估的适应性与可扩展性。

2、本发明基于信息融合的恶意代码威胁性评估方法，为信息系统攻击预警提供了强有力的辅助工具，能够及时确认威胁性较高的恶意代码，进而发布预警信息，有效提高对信息系统的保护效率。

3、本发明基于信息融合的恶意代码威胁性评估方法，为信息系统攻击响应提供了强有力的辅助工具，能够对进一步确定高威胁性恶意代码的关键属性，从而采取针对性较强的响应措施。

附图说明

图1为基于信息融合的二进制恶意代码威胁性评估方法逻辑架构图；

图2为针对木马的威胁性评估方法实现架构图；

图3为威胁性评估部署架构图。

具体实施方式

实施例1：结合图1-图3，一种基于信息融合的二进制恶意代码威胁性评估方法，其特征在于：该评估方法分为三个步骤：步骤一、基于多维n-gram的恶意代码威胁性行为级信息融合；步骤二、基于范数度量恶意代码威胁性属性级信息融合；步骤三、基于层次分析的恶意代码威胁性决策级信息融合。

步骤一，基于多维n-gram的恶意代码威胁性行为级信息融合；恶意代码威胁性行为级信息融合即利用静态或者动态方法分析恶意代码对进程/线程、文件、注册表、服务、驱动、网络、系统资源等对象的操作信息，通过对分析得到的涉及上述对象的文件结构、反汇编指令、函数调用、IRP序列等信息进行融合，对恶意代码行为做出判断。行为级信息融合是恶意代码威胁性评估的基础。

利用静态或者动态方法对恶意代码分析得到的反汇编指令序列、函数调用序列、IRP序列数量众多、形式多样，本发明采用基于粗糙集的数据挖掘方法从分析数据中提取同关键代码行为相对应的内容，作为进一步分析的基础。

行为级信息融合过程需要考虑以下关键点：代码特征、实现方法、代码行为三者之间一一对应(即特定的实现方法必然具有与之对应的代码特征，并具有相应的行为)；属性的某种实现方式可以有多种实现方法(例如，启动属性的)；不同的代码特征需要采用不同的行为判定算法；

根据上述关键点，Type_i代表某种实现方式，Behavior_in代表该方式实现过程中所涉及的行为，当实现方式i所涉及的行为均满足时，判定代码采用了该方式，即

Type_i＝fun_B(Behavior_i1，…，Behavior_in)

亦即，

Type_i＝Behavior_i1&…&Behavior_in

对于某一行为Behavior_ij，I_ASM表示代码的反汇编指令序列，I_FUN表示代码的函数调用序列，I_IRP表示代码执行过程中的IRP序列。由于代码行为必然在代码的反汇编指令序列、函数调用序列、IRP序列等方面有所体现，因此一旦在其中任一层面发现代码具有相应特征，即判断代码具有相应行为，即

Behavior_ij＝I_ASM|I_FUN|I_IRP。以木马的威胁性评估为例，其行为级信息融合依据代码的汇编指令、中间表示、IRP序列、系统调用、网络连接等5类信息对代码行为进行分析。其属性级信息融合依据代码对程/线程、文件、注册表、服务、驱动、网络、系统资源、文件结构等8类信息对代码关键属性进行分析。其决策级信息融合依据启动、隐蔽、自我保护、资源消耗等4类信息对代码威胁性进行分析，最后进行其威胁性评估。

步骤二、基于范数度量恶意代码威胁性属性级信息融合；恶意代码威胁性属性级信息融合即依据分析得到的恶意代码行为，判断不同行为所构成相关属性。根据所关注恶意代码类型的不同，属性也需要进行相应调整。例如，对于木马类型的恶意代码而言，其属性级信息主要包括启动、隐蔽、自我保护、资源消耗等方面。属性级信息融合是恶意代码威胁性评估的核心。

属性级信息融合过程需要考虑以下关键点：某一属性由其实现方式决定；实现方式越多，能够增强属性能力(以启动属性为例，实现方式包括修改配置文件、修改注册表、加载系统服务等，上述方式实现数量越多，则越能保证顺利启动)；属性由其能力最强的实现方式决定(以启动属性为例，修改配置文件、修改注册表的实现方式易被检测，因此如果实现方式中包含加载系统服务，那么启动属性主要由加载系统服务来决定)；

属性级信息融合可以用下式表示，其中代表该类型恶意代码的第i个关键属性，Type_ij代表第i个关键属性的第j种实现方式，fun_A代表属性级信息融合函数：

依据上述关键点，本发明采用范数度量的方式计算特定属性的威胁性，w_ij代表第j种实现方式在第i个关键属性影响中所占的权重，该权重由专家经验获得，第i个关键属性所有实现方式的权重之和为1，Type_ij表示第i种关键属性的第j种实现方式，如果该属性采用第j种实现方式实现，则Type_ij＝1，否则Type_ij＝0。即：

其中，0≤w_ij≤1，Type_ij∈{0，1}。

以木马威胁性评估为例，S_start代表木马的启动属性，则有：

(0≤w_sj≤1，Type_si∈{0，1})

S_hide代表木马的隐蔽属性，，则有：

(0≤w_hj≤1，Type_hi∈{0，1})

S_protect代表木马的启动属性，则有：

(0≤w_pj≤1，Type_pi∈{0，1})

S_resource代表木马的启动属性，则有：

(0≤w_rj≤1，Type_ri∈{0，1})。

步骤三、基于层次分析的恶意代码威胁性决策级信息融合；

基于信息融合的二进制恶意代码威胁性评估方法依据于L0层得到的代码静态分析或者动态分析结果，结果形式以反汇编指令序列、函数调用序列、IRP序列表示。

在L1层进行恶意代码威胁性行为级信息融合即利用静态或者动态方法分析恶意代码对进程/线程、文件、注册表、服务、驱动、网络、系统资源等对象的操作信息，对恶意代码行为做出判断。

在L2层进行恶意代码威胁性属性级信息融合即依据分析得到的恶意代码行为，判断不同行为所构成相关属性。根据所关注恶意代码类型的不同，属性也需要进行相应调整。例如，对于木马类型的恶意代码而言，其属性级信息主要包括启动、隐蔽、自我保护、资源消耗等方面。

在L3层进行恶意代码威胁性决策级信息融合即依据恶意代码属性级信息融合得到的各关键属性，以及利用层次分析法获得的各关键属性权重值，进而综合评估得出恶意代码的威胁性。

在L4层根据决策级信息融合的计算结果，采用威胁值或者威胁等级划分等方式给出恶意代码的威胁性评估结果。

恶意代码威胁性决策级信息融合即依据恶意代码属性级信息融合得到的各关键属性综合评估得出恶意代码的威胁性。决策级信息融合是恶意代码威胁性评估的最终目的。

决策级信息融合过程需要考虑以下关键点：恶意代码的威胁性由其关键属性决定；不同属性的重要程度不同，因此对于威胁性的影响是不同的。

决策级信息融合可以用下式表示，其中S_threat代表恶意代码最终计算得到的威胁性度量值，代表该类型恶意代码的第i个关键属性，fun_D代表决策级信息融合函数：

为了反映不同属性的重要程度，本发明采用层次分析法对各属性的相对重要性进行计算，得到各属性的权重ω＝(w₁，w₂，…，w_n)，该权重即是相关属性对威胁性的影响程度。最后权重向量同关键属性融合值相乘即得到评估的威胁值，即：

以木马威胁性评估为例，其关键属性包括启动、隐蔽、自我保护、资源消耗等方面，利用层次分析法(AHP)确定权重的步骤如下：

①以恶意代码关键属性两两比较的结果构造判断矩阵。

以木马为例，得到4关键属性的判断矩阵M_trojan：

②计算重要性排序。根据判断矩阵，求出其最大特征根λ_max所对应的特征向量ω。方程如下：

M·ω＝λ_max·ω

所求特征向量ω经归一化，即为各评价因素的重要性排序，也就是权重分配：ω＝(w₁，w₂，…，w_n)

针对木马的判断矩阵M_trojan，则有：

M_trojan·ω＝λ_max·ω

计算得到

λ_max＝4.389

ω＝(0.0903，0.6312，0.2212，0.0572)

③一致性检验。以上得到的权重分配是否合理，还需要对判断矩阵进行一致性检验。检验使用公式：

其中，C.R.为判断矩阵的随机一致性比率；C.I.为判断矩阵的一般一致性指标。它由下式给出：

R.I.为判断矩阵的平均随机一致性指标，1～9阶的判断矩阵的R.I.值参见下表1。

表1 1至11阶矩阵随机一致性指标表

n	1	2	3	4	5	6	7	8	9	10	11
												R.I.	0	0	0.52	0.90	1.12	1.26	1.36	1.41	1.46	1.49	1.52

针对木马威胁性评估矩阵M_trojan，有λ_max＝4.389，

计算得到满足一致性。所以通过层次分析法分析得到的木马各关键属性权重是合理的。

最后，将木马的关键属性向量权重同属性级信息融合得到的各属性评估值相乘，即得到对该木马的威胁性评估结果，即：

S_{trojan_threat}＝(w₁，w₂，w₃，w₄)·(S_start，S_hide，S_protect，S_resource)^T

亦即

S_{trojan_threat}

＝(0.0903，0.6312，0.2212，0.0572)·(S_start，S_hide，S_protect，S_resource)^T

通过步骤一、二、三，分析环境由控制端测试机、服务端测试机、评估主机、网络行为采集服务器组成(其中控制端测试机、服务端测试机均可采用虚拟机方式进行部署)，控制端测试机主要负责安装木马控制端，运行所评估木马的各项功能；服务端测试机部署主机行为采集模块，负责采集主机行为相关数据；网络行为采集服务器部署网络行为采集模块，负责采集网络行为相关数据；评估主机负责对主机行为数据与网络行为数据进行分析，完成恶意代码的威胁性评估。

Claims (6)

1.一种基于信息融合的二进制恶意代码威胁性评估方法，其特征在于：该评估方法分为三个步骤：

步骤一、基于多维n-gram的恶意代码威胁性行为级信息融合；

步骤二、基于范数度量恶意代码威胁性属性级信息融合；

步骤三、基于层次分析的恶意代码威胁性决策级信息融合；

经过步骤一、二、三以后，计算得到各关键属性的权重，采用的公式 $S_{\mathrm{threat}}=(w_1,w_2,...,w_n)\·{\left(S_{{\mathrm{Attribute}}_1,...}{S}_{{\mathrm{Attribute}}_n}\right)}^T$ 计算恶意代码的威胁性。

2.根据权利要求1所述的基于信息融合的二进制恶意代码威胁性评估方法，其特征在于：所述基于多维n-gram的恶意代码威胁性行为级信息融合，判定代码采用了公式：Type_i＝fun_B(Behavior_i1，...，Behavior_in)，亦即，

Type_i＝Behavior_i1&…&Behavior_in。

3.根据权利要求1所述的基于信息融合的二进制恶意代码威胁性评估方法，其特征在于：所述基于范数度量恶意代码威胁性属性级信息融合，采用 $S_{{\mathrm{Attribute}}_i}={\mathrm{fun}}_A({\mathrm{Type}}_{i1},...,{\mathrm{Type}}_{\mathrm{in}})$ 表示，其中代表该类型恶意代码的第i个关键属性，Type_ij代表第i个关键属性的第j种实现方式，fun_A代表属性级信息融合函数。

4.根据权利要求3所述的基于信息融合的二进制恶意代码威胁性评估方法，其特征在于：所述基于范数度量恶意代码威胁性属性级信息融合，范数度量的公式为：

$S_{{\mathrm{Attribute}}_i}=\sqrt{\underset{i=1}{\overset{n}{\mathrm{\Σ}}}{(w_{\mathrm{ij}}\·{\mathrm{Type}}_{\mathrm{ij}})}^2},$ 其中，0≤w_ij≤1， ${\mathrm{\Σ}}_{j=1}^n{w}_{\mathrm{ij}}=1,$ Type_ij∈{0，1}。

5.根据权利要求1所述的基于信息融合的二进制恶意代码威胁性评估方法，其特征在于：所述基于层次分析的恶意代码威胁性决策级信息融合，采用 $S_{\mathrm{threat}}={\mathrm{fun}}_D(S_{{\mathrm{Attribute}}_1},...S_{{\mathrm{Attribute}}_n})$ 表示，其中S_threat代表恶意代码最终计算得到的威胁性度量值，代表该类型恶意代码的第i个关键属性，fun_D代表决策级信息融合函数。

6.根据权利要求5所述的基于信息融合的二进制恶意代码威胁性评估方法，其特征在于：所述基于层次分析的恶意代码威胁性决策级信息融合，采用层次分析法对各属性的相对重要性进行计算，确定权重的步骤如下：

步骤1，以恶意代码关键属性两两比较的结果构造判断矩阵，

$a_{\mathrm{ij}}>0,a_{\mathrm{ji}}=\frac{1}{a_{\mathrm{ij}}},a_{\mathrm{ii}}=1,$ i为数列的行数，j为数列的列数；

步骤2，计算重要性排序，根据判断矩阵，求出其最大特征根λ_max所对应的特征向量ω，方程为：M·ω＝λ_max·ω；

步骤3，一致性检验，得到的权重分配是否合理，还需要对判断矩阵进行一致性检验。检验公式为：其中，C.R.为判断矩阵的随机一致性比率；C.I.为判断矩阵的一般一致性指标，R.I.为判断矩阵的平均随机一致性指标。