CN109241740B - 恶意软件基准测试集生成方法及装置 - Google Patents

恶意软件基准测试集生成方法及装置 Download PDF

Info

Publication number
CN109241740B
CN109241740B CN201811053613.6A CN201811053613A CN109241740B CN 109241740 B CN109241740 B CN 109241740B CN 201811053613 A CN201811053613 A CN 201811053613A CN 109241740 B CN109241740 B CN 109241740B
Authority
CN
China
Prior art keywords
behavior
malicious code
test set
system call
sequence
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201811053613.6A
Other languages
English (en)
Other versions
CN109241740A (zh
Inventor
庞建民
梁光辉
单征
杨冠一
岳峰
张啸川
周鑫
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Information Engineering University of PLA Strategic Support Force
Original Assignee
Information Engineering University of PLA Strategic Support Force
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Information Engineering University of PLA Strategic Support Force filed Critical Information Engineering University of PLA Strategic Support Force
Priority to CN201811053613.6A priority Critical patent/CN109241740B/zh
Publication of CN109241740A publication Critical patent/CN109241740A/zh
Application granted granted Critical
Publication of CN109241740B publication Critical patent/CN109241740B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/563Static detection by source code analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Evolutionary Computation (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明属于计算机安全技术领域,特别涉及一种恶意软件基准测试集生成方法及装置,包含:针对每个恶意代码,在其执行生命周期内监控其执行的系统调用行为,获取该恶意代码的系统调用序列流;对恶意代码系统调用序列流进行分析并聚类,生成该恶意代码系统调用行为的簇类;确定每个簇样本适应度,对聚类之后的簇按照适应度进行抽样,得到基准测试集合。本发明通过行为聚类和遗传抽样及测试集合的信息熵计算,解决不同的恶意代码检测模型间的能力比较问题,有效规避恶意代码行为分析时面临加壳加密等的不确定性;在保证样本丰富性前提下,尽可能降低基准测试集的体量,方便测试集大规模使用,对恶意代码检测技术及互联网数据安全具有重要的指导意义。

Description

恶意软件基准测试集生成方法及装置
技术领域
本发明属于计算机安全技术领域,特别涉及一种恶意软件基准测试集生成方法及装置。
背景技术
随着互联网信息技术的飞速发展,恶意代码对信息基础设施的破坏越来越严重。恶意代码在传播数量、破坏能力、抗分析能力等方面都在不断地优化和改进,对当前的安全防御构成了严重的挑战。从传统的信息窃取的计算机木马到对个人和企业信息系统进行破坏的勒索软件,还包括逐渐开始泛滥的挖矿恶意代码,都在指示恶意代码的多样化发展趋势。当前,自动化的恶意代码分析技术已经称为安全分析的主流技术,但是仍然离不开经验丰富的分析专家的配合,尤其是动态分析技术的发展,在捕获恶意代码与操作系统的交互信息上给分析专家提供了语义层次丰富的信息,相比于传统的人工调试等手段要先进和快捷很多。
随着机器学习和人工智能技术的广泛使用,基于机器学习的恶意代码判定模型被不断研究和开发,并逐渐称为当前恶意代码检测的一种主流技术。在安全分析领域,大部分对病毒检测模型的判定是用流行的恶意代码集合作为测试集,但是,不同模型的优劣并不是用同一个或同一类的测试集来判定,对于每个模型的比较和评估,无法简单通过检测率和误报率来判定,因为这些结果是基于无法横向比较的测试集合,因此,需要提出一种自动化的、有效的恶意代码检测基准测试集来帮助提高基于机器学习的恶意代码检测模型研究。
发明内容
为此,本发明提供一种恶意软件基准测试集生成方法及装置,通过行为聚类和遗传抽样及测试集合的信息熵计算,解决不同的恶意代码检测模型间的能力比较问题,有效规避代码检测过程中的不确定性,提高恶意代码检测过程中的效率和准确度。
按照本发明所提供的设计方案,一种恶意软件基准测试集生成方法,包含如下内容:
针对每个恶意代码,在其执行生命周期内监控其执行的系统调用行为,获取该恶意代码的系统调用序列流;
对恶意代码系统调用序列流进行分析并聚类,生成该恶意代码系统调用行为的簇类;
确定每个簇样本适应度,对聚类之后的簇按照适应度进行抽样,得到基准测试集合。
上述的,针对每个恶意代码,在其执行生命周期内从进程行为、文件行为、注册表行为、网络行为及内存行为五个方面对其进行系统调用行为监控。
上述的,监控系统调用行为时,通过建立系统调用使用范式监控系统调用行为的同时,获取系统调用的参数信息和返回结果,来判定系统调用执行情况。
上述的,监控系统调用行为时,若监测到进程创建行为,获取创建的子进程信息并加入到恶意代码的监控对象范围内。
上述的,系统调用序列流的分析并聚类,包含如下内容:
采用序列提纯删除恶意代码系统调用序列流中重复序列;
对存在依赖关系的系统调用序列进行合并,简化系统调用序列;针对简化后的系统调用序列,通过滑动窗口生成特征向量;
针对特征向量,利用非监督层次聚类模型进行学习,获取聚类后的簇。
优选的,采用序列提成删除重复序列过程中,将长度小于设定阈值的系统调用序列判定为短系统调用序列,标记并删除重复的短系统调用序列。
优选的,系统调用序列合并过程中,根据系统调用之间的依赖关系调整系统调用序列,合并存在父子关系的系统调用序列,依据滑动窗口生成系统调用序列对应的特征向量。
优选的,针对特征向量,依据欧几里得距离获取特征向量相似度;将特征向量相似度作为非监督层次聚类模型的输入,将两个簇数据对象之间的平均连接距离作为簇间的距离衡量标准进行学习,获取聚类后的簇。
上述的,针对每个簇中的样本通过杀毒软件标签查询获取每个样本在簇中的适应度,利用不放回抽样选定测试集中的样本;针对已选定测试集样本,利用香农信息熵评估生成的测试集,将平均信息熵大于设定阈值的测试集作为基准测试集。
一种恶意软件基准测试集生成装置,包含:行为聚类模块和抽样模块,其中,行为聚类模块包括系统调用监控层、行为提纯层和层次聚类层,
系统调用监控层,用于监控恶意代码在执行生命周期中的系统调用行为,获取该恶意代码的系统调用序列流;
行为提纯层,用于对系统调用序列流进行分析,合并存在父子关系的序列流,对重复的系统调用序列进行标记并删除;并根据系统调用之间的依赖关系调整系统调用序列,形成新的系统调用序列流;
层次聚类层,用于生成新的系统调用序列流的特征向量,依据欧几里得距离获取特征向量相似度,并将其作为非监督层次聚类模型的输入进行学习,使用平均连接距离作为输出簇间的距离衡量标准,获取聚类后的簇;
抽样模块,根据杀毒软件标签获取每个簇中样本的适应度,并利用不放回抽样选定测试集中样本;利用香农信息熵评估测试集中样本数据,将平均信息熵满足设定阈值的测试集,作为基准测试集。
本发明的有益效果:
本发明通过动态行为分析,从较高层次捕获恶意代码语义,利用非监督层次聚类学习,将初始的恶意代码训练集按照恶意代码的行为分为相应的簇类,能有效规避通过静态分析分析恶意代码行为时面临的加壳加密等不确定性;并通过基于遗传适应度的抽样,在保证样本丰富性的前提下,尽可能的降低了基准测试集的体量,方便测试集的大规模使用,进一步帮助计算机安全专家提高检测模型的能力,对恶意代码检测技术及互联网数据安全具有重要的指导意义。
附图说明:
图1为实施例中基准测试集生成方法流程图;
图2为实施例中序列流分析聚类流程图;
图3为实施例中基准测试集生成装置原理图;
图4为实施例中系统调用监控实现框架图;
图5为实施例中基于代码行为的层次聚类框架图;
图6为实施例中基于遗传算法的抽样框架图。
具体实施方式:
为使本发明的目的、技术方案和优点更加清楚、明白,下面结合附图和技术方案对本发明作进一步详细的说明。
针对不同恶意代码检测模型间的能力比较存在的不足,本发明实施例,参见图1所示,提供一种恶意软件基准测试集生成方法,包含如下内容:
101)针对每个恶意代码,在其执行生命周期内监控其执行的系统调用行为,获取该恶意代码的系统调用序列流;
102)对恶意代码系统调用序列流进行分析并聚类,生成该恶意代码系统调用行为的簇类;
103)确定每个簇样本适应度,对聚类之后的簇按照适应度进行抽样,得到基准测试集合。
通过对恶意代码的行为分析与深度处理,对不同类别恶意代码的进行抽样比较,形成最终的测试集合,充分保证测试集中恶意样本的丰富性,提高测试集的代表性和准确性。
为保证恶意代码运行全生命周期监控的完整性,本发明的再一个实施例中,在每个二进制恶意代码执行生命周期内,从进程行为、文件行为、注册表行为、网络行为及内存行为五个方面对其进行系统调用行为监控。通常情况下,该五个方面包含230个系统调用,最大程度的覆盖了恶意代码的常见行为。在对230个系统调用进行监控的时候,为了保证最大程度的获取程序的执行信息,本发明实施例中,还可通过同时建立系统调用的使用范式,保证在监测到系统调用的同时,能够获取到系统调用的参数信息和返回结果,从而判定系统调用的执行情况。同时,恶意代码在执行过程中,需要启动多个进程来互相配合完成特定的功能,在监控过程中,如果监测到进程创建行为,将获取子进程的信息,并加入到监控对象中,进一步保证代码执行周期中监控的全面完整性。
为了对抗恶意代码的混淆行为,本发明的另一个实施例中,参见图2所示,系统调用序列流的分析并聚类,包含如下内容:
201)采用序列提纯删除恶意代码系统调用序列流中重复序列;
202)对存在依赖关系的系统调用序列进行合并,简化系统调用序列;针对简化后的系统调用序列,通过滑动窗口生成特征向量;
203)针对特征向量,利用非监督层次聚类模型进行学习,获取聚类后的簇。
采用序列提成删除重复序列过程中,本发明再一个实施例中,将长度小于设定阈值的系统调用序列判定为短系统调用序列,标记并删除重复的短系统调用序列。对于重复的短系统调用序列,根据其前后的重复情况对多余的系统调用序列进行删除,通过对大量的恶意代码样本的测试得出,当短系统调用序列的长度小于等于4时,删除重复的系统调用序列长度,对后期的特征生成和相似度比较产生的影响可以忽略不计。为了对系统调用序列的语义信息进一步提升,系统调用序列合并过程中,根据系统调用之间的依赖关系调整系统调用序列,合并存在父子关系的系统调用序列,依据滑动窗口生成系统调用序列对应的特征向量。对存在依赖关系的系统调用合并,例如文件打开、文件读写、文件关闭的操作,可以通过文件句柄的依赖进行合并,这样的进一步简化了系统调用序列的长度。在特征生成过程中,采用ngram方法的滑动窗口对简化后的系统调用进行处理,生成的特征作为下一步无监督学习的输入。针对特征向量,依据欧几里得距离获取特征向量相似度;将特征向量相似度作为非监督层次聚类模型的输入,将两个簇数据对象之间的平均连接距离作为簇间的距离衡量标准进行学习,获取聚类后的簇。在层次聚类过程中,采用欧几里得距离作为样本之间的距离,在聚类的过程中,衡量簇之间的中心距离有单连接方式、全连接方式和平均连接方式,本发明实施例中采用平均连接方式,选取两个簇数据对象之间的平均距离作为簇间距离,实现了大量样本由下到上的聚类。
进行抽样获取基准测试集过程中,本发明的另一个实施例,针对每个簇中的样本通过杀毒软件标签查询获取每个样本在簇中的适应度,利用不放回抽样选定测试集中的样本;针对已选定测试集样本,利用香农信息熵评估生成的测试集,将平均信息熵大于设定阈值的测试集作为基准测试集。基于遗传算法的抽样生成基准测试集的核心部件,在进行抽样之前,计算簇中样本的可选择度或者适应度,适应度指示该样本在簇中被选择的几率,是通过批量的杀毒软件的标签来获得,本实施例中采用的杀毒软件数量可根据实际需求设定为30个。适应度越高说明该样本被杀毒软件识别的程度越高,也就意味着恶意性越明确。在确定簇中样本的适应度之后,对聚类之后的簇按照适应度进行抽样,抽样算法可设计如下:
Figure BDA0001795189330000061
基于信息熵的评估层中,根据生成的测试样本计算测试集的信息熵,信息熵的计算公式如下:
Figure BDA0001795189330000062
其中,H(X)表示测试集和的信息熵,xi表示层次聚类后的第i类样本,p(xi)表示该类样本所占的比重。为了防止由一类恶意代码组成测试集,信息熵作为生成后的集合的评估来使用,当生成后的测试集的平均信息熵大于0.8时认为符合样本丰富性的要求。
基于上述的基准测试集生成方法,本发明实施例还提供一种恶意软件基准测试集生成装置,参见图3所示,包含:行为聚类模块和抽样模块,其中,行为聚类模块包括系统调用监控层、行为提纯层和层次聚类层,
系统调用监控层,用于监控恶意代码在执行生命周期中的系统调用行为,获取该恶意代码的系统调用序列流;
行为提纯层,用于对系统调用序列流进行分析,合并存在父子关系的序列流,对重复的系统调用序列进行标记并删除;并根据系统调用之间的依赖关系调整系统调用序列,形成新的系统调用序列流;
层次聚类层,用于生成新的系统调用序列流的特征向量,依据欧几里得距离获取特征向量相似度,并将其作为非监督层次聚类模型的输入进行学习,使用平均连接距离作为输出簇间的距离衡量标准,获取聚类后的簇;
抽样模块,根据杀毒软件标签获取每个簇中样本的适应度,并利用不放回抽样选定测试集中样本;利用香农信息熵评估测试集中样本数据,将平均信息熵满足设定阈值的测试集,作为基准测试集。
行为聚类模块对二进制程序的自启动执行、系统调用的行为提纯、层次聚类分析,抽样模块对杀毒软件标签的采集和应用,抽样策略主要是对已经聚类的恶意代码进行采用,保证抽取过程的公平性和有效性。行为聚类和抽样模块的各个层之间互相连接,图3所示中,分别为:(1)在系统调用监控层面,对目标二进制文件加载后的进程进行监控,分别从进程行为、注册表行为、文件行为、网络行为、内存行为五个方面,对运行的系统调用进行挂钩,对于存在的父子进程进行顺序监控,然后将系统调用的具体信息输入到库中,完成该层的信息监控。(2)在行为提纯层,对获取到的行为监控序列流进行分析,合并存在父子关系的序列流,对重复的短系统调用序列进行标记并删除,并根据系统调用之间的依赖关系调整系统调用序列,形成新的系统调用序列流;(3)在层次聚类层,生成系统调用序列流对应的向量,依据欧几里得距离计算向量相似度,并作为层次聚类的输入,在层次聚类过程中,使用平均连接距离作为簇间的距离衡量标准。(4)抽样模块中的遗传抽样层和信息熵评估城。在遗传抽样层,根据杀毒软件的标签计算不同家族下样本的适应度,并利用不放回抽样选定测试集中的样本。在信息熵评估层,利用香农信息熵原理和计算公式,评估生成的测试集的信息熵是否满足基准测试集的要求。
监控的系统调用列表通过恶意代码的常见行为来描述,并定义了五大类下面的具体的系统调用信息;根据提纯后的序列流,重点考虑向量的生成过程和聚类过程中的连接方法选择。在相似行为的恶意代码簇中,根据杀毒软件的标签来计算不同样本的遗传适应度,并利用不放回抽样来生成测试集。对生成的基准测试集的样本进行类别属性统计,借助于香农信息熵对信息统计的鉴别原理,计算所生成的测试集的熵,同时考虑到不同测试集的大小和种类差异,最终的评估采用平均信息熵的形式。行为聚类模块在每一个恶意代码的执行生命周期内,对其执行的系统调用进行监控,截获系统调用对应的输入输出参数类别、内容和调用结束后的返回值;在特征提纯和依赖分析上,考虑到恶意代码越来越普遍的抗分析行为和后期的数据处理复杂性,对大量重复的短序列进行约简,得到恶意代码更加简洁的行为语义表示;抽样模块中,在获取每个簇中样本适应度时,杀毒软件的数量可根据需求选取30个,为了保证标签的有效性,客选取近两年来在国际三大测评机构中排名靠前的杀毒软件。基于恶意代码动态分析技术,获取程序的动态执行语义信息,作为测试集生成的基础。如图4所示,待分析样本在载入分析环境之后,启动底层的系统调用监控,监控的粒度为进程级,递归跟踪目标程序所启动的所有进程,并根据每个进程中的系统调用的执行顺序生成监控日志,考虑到操作系统的系统调用数量众多,结合恶意代码的行为特点,将需要监控的系统调用分为五大类,分别为文件操作、注册表操作、进程行为、网络行为和内存行为。对涉及到这五大类的230个系统调用进行监控,这样既能够降低监控的负荷,也能够准确的把握恶意代码的行为规律。如图5所示,系统调用序列的处理关乎最终的行为聚类的效率和可靠性,因此通过序列提纯来抵消恶意代码可能的混淆行为,通过依赖分析来提高恶意代码行为的语义信息,在特征生成阶段,采用了恶意代码分析领域常见的ngram方法来生成特征向量。如图6所示,样本在输入层次聚类模型之后,根据设定的参数,会形成多个簇,簇中的样本通过杀毒软件标签查询就能够计算每个样本在簇中的适应度,适应度作为遗传算法抽样的基础,在抽样的过程中,首先要保证具有一定识别度的恶意代码才能够被选中,被杀毒软件标记的越多,也就是适应度越高,就说明该恶意代码的恶意行为的确定性,该恶意代码就应该大概率的作为备选样本而加入到基准测试集合中,在具体的抽样过程中,采用了不放回的抽样方式,而抽样的数量可由使用者来决定,模型检测或研究所需要的数量决定了从每个簇中抽取的样本的个数。
本发明针对二进制恶意代码中基准测试集合的生成问题,通过基于行为聚类、遗传抽样和测试集合的信息熵,解决不同的恶意代码检测模型间的能力比较问题,实现自动化的、有效的恶意代码检测基准测试集生成,来帮助提高基于机器学习的恶意代码检测模型的研究,提高恶意代码检测的准确性和有效性,对代码安全检测及互联网数据安全的技术研究具有重要的指导意义。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
结合本文中所公开的实施例描述的各实例的单元及方法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已按照功能一般性地描述了各示例的组成及步骤。这些功能是以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。本领域普通技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不认为超出本发明的范围。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如:只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现,相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (7)

1.一种恶意软件基准测试集生成方法,其特征在于,包含如下内容:
针对每个恶意代码,在其执行生命周期内监控其执行的系统调用行为,获取该恶意代码的系统调用序列流;
对恶意代码系统调用序列流进行分析并聚类,生成该恶意代码系统调用行为的簇类;
确定每个簇样本适应度,对聚类之后的簇按照适应度进行抽样,得到基准测试集合;
待分析样本在载入分析环境之后,启动底层的系统调用监控,监控的粒度为进程级,递归跟踪目标程序所启动的所有进程,并根据每个进程中的系统调用的执行顺序生成监控日志;监控系统调用行为时,通过建立系统调用使用范式监控系统调用行为的同时,获取系统调用的参数信息和返回结果,来判定系统调用执行情况;
针对每个簇中的样本通过杀毒软件标签查询获取每个样本在簇中的适应度,利用不放回抽样选定测试集中的样本;针对已选定测试集样本,利用平均信息熵评估生成的测试集,将平均信息熵大于设定阈值的测试集作为基准测试集;
系统调用序列流的分析并聚类,包含如下内容:
采用序列提纯删除恶意代码系统调用序列流中重复序列;
对存在依赖关系的系统调用序列进行合并,简化系统调用序列;针对简化后的系统调用序列,通过滑动窗口生成特征向量;
针对特征向量,利用非监督层次聚类模型进行学习,获取聚类后的簇。
2.根据权利要求1所述的恶意软件基准测试集生成方法,其特征在于,针对每个恶意代码,在其执行生命周期内从进程行为、文件行为、注册表行为、网络行为及内存行为五个方面对其进行系统调用行为监控。
3.根据权利要求1所述的恶意软件基准测试集生成方法,其特征在于,监控系统调用行为时,若监测到进程创建行为,获取创建的子进程信息并加入到恶意代码的监控对象范围内。
4.根据权利要求1所述的恶意软件基准测试集生成方法,其特征在于,采用序列提纯删除重复序列过程中,将长度小于设定阈值的系统调用序列判定为短系统调用序列,标记并删除重复的短系统调用序列。
5.根据权利要求1所述的恶意软件基准测试集生成方法,其特征在于,系统调用序列合并过程中,根据系统调用之间的依赖关系调整系统调用序列,合并存在父子关系的系统调用序列,依据滑动窗口生成系统调用序列对应的特征向量。
6.根据权利要求1所述的恶意软件基准测试集生成方法,其特征在于,针对特征向量,依据欧几里得距离获取特征向量相似度;将特征向量相似度作为非监督层次聚类模型的输入,将两个簇数据对象之间的平均连接距离作为簇间的距离衡量标准进行学习,获取聚类后的簇。
7.一种恶意软件基准测试集生成装置,其特征在于,基于权利要求1所述的恶意软件基准测试集生成方法实现,包含:行为聚类模块和抽样模块,其中,行为聚类模块包括系统调用监控层、行为提纯层和层次聚类层,
系统调用监控层,用于监控恶意代码在执行生命周期中的系统调用行为,获取该恶意代码的系统调用序列流;
行为提纯层,用于对系统调用序列流进行分析,合并存在父子关系的序列流,对重复的系统调用序列进行标记并删除;并根据系统调用之间的依赖关系调整系统调用序列,形成新的系统调用序列流;
层次聚类层,用于生成新的系统调用序列流的特征向量,依据欧几里得距离获取特征向量相似度,并将其作为非监督层次聚类模型的输入进行学习,使用平均连接距离作为输出簇间的距离衡量标准,获取聚类后的簇;
抽样模块,根据杀毒软件标签获取每个簇中样本的适应度,并利用不放回抽样选定测试集中样本;利用平均信息熵评估测试集中样本数据,将平均信息熵满足设定阈值的测试集,作为基准测试集。
CN201811053613.6A 2018-09-11 2018-09-11 恶意软件基准测试集生成方法及装置 Active CN109241740B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811053613.6A CN109241740B (zh) 2018-09-11 2018-09-11 恶意软件基准测试集生成方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811053613.6A CN109241740B (zh) 2018-09-11 2018-09-11 恶意软件基准测试集生成方法及装置

Publications (2)

Publication Number Publication Date
CN109241740A CN109241740A (zh) 2019-01-18
CN109241740B true CN109241740B (zh) 2020-12-18

Family

ID=65060636

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811053613.6A Active CN109241740B (zh) 2018-09-11 2018-09-11 恶意软件基准测试集生成方法及装置

Country Status (1)

Country Link
CN (1) CN109241740B (zh)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109948336A (zh) * 2019-01-29 2019-06-28 北京中安兴坤科技有限公司 恶意代码检测方法以及装置
CN110110177B (zh) * 2019-04-10 2020-09-25 中国人民解放军战略支援部队信息工程大学 一种基于图的恶意软件家族聚类评估方法及装置
CN110197068B (zh) * 2019-05-06 2022-07-12 广西大学 基于改进灰狼算法的Android恶意应用检测方法
CN111274123A (zh) * 2019-05-14 2020-06-12 上海戎磐网络科技有限公司 基于软件基因的安全防护软件测试集自动生成方法、架构
CN110826062B (zh) * 2019-10-18 2022-02-01 北京天融信网络安全技术有限公司 恶意软件的检测方法及装置
US11593256B2 (en) 2020-03-16 2023-02-28 International Business Machines Corporation System testing infrastructure for detecting soft failure in active environment
US11609842B2 (en) 2020-03-16 2023-03-21 International Business Machines Corporation System testing infrastructure for analyzing and preventing soft failure in active environment
US11194703B2 (en) 2020-03-16 2021-12-07 International Business Machines Corporation System testing infrastructure for analyzing soft failures in active environment
US11436132B2 (en) 2020-03-16 2022-09-06 International Business Machines Corporation Stress test impact isolation and mapping
US11194704B2 (en) 2020-03-16 2021-12-07 International Business Machines Corporation System testing infrastructure using combinatorics
CN113077011A (zh) * 2021-04-26 2021-07-06 华南理工大学 基于一致性聚类的基准子集选取方法、系统和存储介质
CN113190851B (zh) * 2021-05-26 2023-07-18 北京天融信网络安全技术有限公司 恶意文档检测模型的主动学习方法、电子设备及存储介质
CN114172702A (zh) * 2021-11-26 2022-03-11 中能电力科技开发有限公司 一种电网工控系统网络安全监测方法及系统
CN118332552B (zh) * 2024-06-12 2024-08-23 北京辰信领创信息技术有限公司 恶意代码聚类方法、计算机装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106919841A (zh) * 2017-03-10 2017-07-04 西京学院 一种高效的基于旋转森林的Android恶意软件检测模型DroidDet
US9852290B1 (en) * 2013-07-12 2017-12-26 The Boeing Company Systems and methods of analyzing a software component
CN108171059A (zh) * 2017-12-26 2018-06-15 中国人民解放军战略支援部队信息工程大学 基于软件基因的恶意代码检测与识别方法及装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9852290B1 (en) * 2013-07-12 2017-12-26 The Boeing Company Systems and methods of analyzing a software component
CN106919841A (zh) * 2017-03-10 2017-07-04 西京学院 一种高效的基于旋转森林的Android恶意软件检测模型DroidDet
CN108171059A (zh) * 2017-12-26 2018-06-15 中国人民解放军战略支援部队信息工程大学 基于软件基因的恶意代码检测与识别方法及装置

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
Automatic analysis of malware behavior using machine learning;Rieck K等;《Journal of Computer Security》;20110131;639-668 *
基于改进信息增益与LDA结合的恶意软件检测研究;李扬;《中国优秀硕士学位论文全文数据库(电子期刊)》;20180315;1-8 *
基于系统调用的变形恶意代码的行为特征检测研究;吴昆明;《中国优秀硕士学位论文全文数据库(电子期刊)》;20180215;1-8 *
基于遗传算法的覆盖率驱动测试产生器;王树朋;《浙江大学学报(工学版)》;20160331;580-588 *

Also Published As

Publication number Publication date
CN109241740A (zh) 2019-01-18

Similar Documents

Publication Publication Date Title
CN109241740B (zh) 恶意软件基准测试集生成方法及装置
Saccente et al. Project achilles: A prototype tool for static method-level vulnerability detection of Java source code using a recurrent neural network
Singh et al. Dynamic behavior analysis of android applications for malware detection
CN111600919B (zh) 智能网络应用防护系统模型的构建方法和装置
CN111753303B (zh) 一种基于深度学习和强化学习的多粒度代码漏洞检测方法
CN111931179B (zh) 基于深度学习的云端恶意程序检测系统及方法
CN113419960B (zh) 用于可信操作系统内核模糊测试的种子生成方法及系统
CN113468525B (zh) 针对二进制程序的相似漏洞检测方法及装置
CN113468524B (zh) 基于rasp的机器学习模型安全检测方法
CN111428236A (zh) 一种恶意软件的检测方法、装置、设备及可读介质
CN115098292B (zh) 应用程序崩溃根原因识别方法、装置及电子设备
Bernardi et al. A fuzzy-based process mining approach for dynamic malware detection
CN117608889A (zh) 基于日志语义的异常检测方法以及相关设备
CN116663018A (zh) 一种基于代码可执行路径的漏洞检测方法及装置
CN115114627B (zh) 一种恶意软件检测方法及装置
CN111191233B (zh) 一种宏病毒处理方法、装置和存储介质
CN114021118A (zh) 基于超融合服务器系统的多元行为检测方法、系统及介质
CN113312619A (zh) 基于小样本学习的恶意进程检测方法、装置、电子设备及存储介质
Raamesh et al. An efficient reduction method for test cases
CN113094709B (zh) 风险应用的检测方法、装置和服务器
CN115033883B (zh) 一种基于策略型Fuzzer的智能合约漏洞检测方法及系统
CN113721977B (zh) 编程数据的处理方法与装置
CN118432952B (zh) 一种零信任环境下的异常检测方法、电子设备及存储介质
Nilsson et al. Log anomaly detection of structured logs in a distributed cloud system
Yan et al. Automatically detecting malicious sensitive data usage in android applications

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant