CN115203699A - 一种基于行为特征的病毒识别方法和系统 - Google Patents

一种基于行为特征的病毒识别方法和系统 Download PDF

Info

Publication number
CN115203699A
CN115203699A CN202211126525.0A CN202211126525A CN115203699A CN 115203699 A CN115203699 A CN 115203699A CN 202211126525 A CN202211126525 A CN 202211126525A CN 115203699 A CN115203699 A CN 115203699A
Authority
CN
China
Prior art keywords
program
virus
behavior feature
feature set
behavior
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202211126525.0A
Other languages
English (en)
Other versions
CN115203699B (zh
Inventor
刘长喜
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Wangteng Technology Co ltd
Original Assignee
Beijing Wangteng Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Wangteng Technology Co ltd filed Critical Beijing Wangteng Technology Co ltd
Priority to CN202211126525.0A priority Critical patent/CN115203699B/zh
Publication of CN115203699A publication Critical patent/CN115203699A/zh
Application granted granted Critical
Publication of CN115203699B publication Critical patent/CN115203699B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/561Virus type analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • General Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本申请公开了一种基于行为特征的病毒识别方法和系统,该方法包括:获取合法程序行为特征集、病毒程序行为特征集和目标程序行为特征集,构建病毒模糊行为特征库;利用病毒模糊行为特征库,计算合法程序行为特征集、病毒程序行为特征集和目标程序行为特征集的隶属度矩阵;基于合法程序行为特征集和病毒程序行为特征集的隶属度矩阵,将目标程序行为特征集的隶属度矩阵按两类加以识别,构造用于识别目标程序的模糊识别矩阵,本发明提供一种基于行为特征的病毒识别方法能够对新型病毒准确识别。

Description

一种基于行为特征的病毒识别方法和系统
技术领域
本申请涉及一种病毒识别方法和系统,特别涉及一种基于行为特征的病毒识别方法和系统。
背景技术
随着互联网技术的发展和普及,利用广泛开放的网络环境进行全球通信已经成为时代发展的趋势,人们日常的经济和社会生活也越来越依赖互联网,但是网络技术给人们带来巨大便利的同时也带来了各种各样的安全威胁。
病毒程序已经成为威胁互联网安全的主要因素之一,目前病毒检测的主流技术主要是特征码检测技术,而该技术提取特征码滞后,无法检测未知新型病毒,亟需一种新的病毒识别方案,对病毒代码进行准确识别。
发明内容
(一)申请目的
基于此,为了防止基于特征码识别的病毒查杀技术对病毒识别迟滞,且基于特征码识别所获取的特征码体量过大,更新迅速,影响识别效率,本申请公开了以下技术方案。
(二)技术方案
本申请公开了一种基于行为特征的病毒识别方法,包括:
获取合法程序行为特征集、病毒程序行为特征集和目标程序行为特征集,构建病毒模糊行为特征库;
利用病毒模糊行为特征库,计算合法程序行为特征集、病毒程序行为特征集和目标程序行为特征集的隶属度矩阵;
基于合法程序行为特征集和病毒程序行为特征集的隶属度矩阵,将目标程序行为特征集的隶属度矩阵按两类加以识别,构造用于识别目标程序的模糊识别矩阵。
在一种可能的实施方式中,所述合法程序行为特征集、病毒程序行为特征集和目标程序行为特征集的获取方法包括:
对合法程序、病毒程序和目标程序进行数据流分析,提取并分析关键数据和属性;
通过可回溯的动态污点传播技术,跟踪分析合法程序、病毒程序和目标程序的数据处理流程;
在合法程序、病毒程序和目标程序的植入阶段、安装阶段、启动运行阶段以及网络通信阶段分别提取合法程序、病毒程序和目标程序的行为特征,构建合法程序行为特征集、病毒程序行为特征集和目标程序行为特征集。
在一种可能的实施方式中,所述病毒模糊行为特征库的构建方法包括:
统计各行为特征在合法程序行为特征集中出现的频率及在病毒程序行为特征集中出现的频率;
计算各行为特征的类间频率均方差,按照类间频率均方差大小排序,选取前若干个行为特征构建病毒模糊行为特征库。
在一种可能的实施方式中,所述病毒模糊行为特征库中的行为特征均为有别于合法程序行为特征集的病毒通适性行为特征。
在一种可能的实施方式中,所述合法程序行为特征集、病毒程序行为特征集和目标程序行为特征集的隶属度矩阵的计算方法包括:
根据合法程序行为特征集、病毒程序行为特征集和目标程序行为特征集中的每个行为特征是否出现在病毒模糊行为特征库中进行定义,构建合法程序行为特征集、病毒程序行为特征集和目标程序行为特征集的指标特征矩阵;
计算任一行为特征在合法程序中出现的频率值、在病毒程序中出现的频率值以及在目标程序出现的频率值;
构建合法程序行为特征集、病毒程序行为特征集和目标程序行为特征集的隶属函数,并获取合法程序行为特征集、病毒程序行为特征集和目标程序行为特征集的隶属度矩阵。
在一种可能的实施方式中,所述合法程序行为特征集、病毒程序行为特征集和目标程序行为特征集的隶属函数利用正态分布偏大型模糊分布构建。
在一种可能的实施方式中,所述模糊识别矩阵为目标程序从属于类别合法程序或病毒程序的相对隶属度,根据隶属度原则判断目标程序为合法程序或病毒程序。
作为本申请的第二方面,本申请还公开了一种基于行为特征的病毒识别系统,包括:
模糊行为特征库模块,获取合法程序行为特征集、病毒程序行为特征集和目标程序行为特征集,构建病毒模糊行为特征库;
隶属度矩阵模块,利用病毒模糊行为特征库,计算合法程序行为特征集、病毒程序行为特征集和目标程序行为特征集的隶属度矩阵;
模糊识别矩阵模块,基于合法程序行为特征集和病毒程序行为特征集的隶属度矩阵,将目标程序行为特征集的隶属度矩阵按两类加以识别,构造用于识别目标程序的模糊识别矩阵。
(三)有益效果
1、本申请公开的一种基于行为特征的病毒识别方法和系统,通过对程序的行为特征进行获取,取代了对传统的特征码获取,行为特征占用开销小,提升了病毒识别效率。
2、本申请公开的一种基于行为特征的病毒识别方法和系统,通过将目标程序二分值分类,实现了对目标程序的准确识别,对于不断更新的病毒程序,基于行为特征的病毒识别方法具有重要意义。
附图说明
以下参考附图描述的实施例是示例性的,旨在用于解释和说明本申请,而不能理解为对本申请的保护范围的限制。
图1是本申请公开的一种基于行为特征的病毒识别方法的流程示意图。
图2是本申请公开的一种基于行为特征的病毒识别方法的行为特征提取流程图。
图3是本申请公开的一种基于行为特征的病毒识别方法的行为特征集关系图。
图4是本申请公开的一种基于行为特征的病毒识别系统的结构框图。
具体实施方式
为使本申请实施的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行更加详细的描述。
下面参考图1详细描述本申请公开的一种基于行为特征的病毒识别方法实施例。如图1所示,本实施例公开的方法主要包括步骤S100~S300。
S100,获取合法程序行为特征集、病毒程序行为特征集和目标程序行为特征集,构建病毒模糊行为特征库。
其中,合法程序行为特征集、病毒程序行为特征集和目标程序行为特征集的获取方法包括步骤S101~S103。
S101,对合法程序、病毒程序和目标程序进行数据流分析,提取并分析关键数据和属性;
S102,通过可回溯的动态污点传播技术,跟踪分析合法程序、病毒程序和目标程序的数据处理流程;
S103,如图2所示,在合法程序、病毒程序和目标程序的植入阶段、安装阶段、启动运行阶段以及网络通信阶段分别提取合法程序、病毒程序和目标程序的行为特征,构建合法程序行为特征集、病毒程序行为特征集和目标程序行为特征集。
其中,病毒模糊行为特征库的构建方法包括步骤S1031~S1032。
S1031,统计各行为特征在合法程序行为特征集中出现的频率及在病毒程序行为特征集中出现的频率;
S1032,计算各行为特征的类间频率均方差,按照类间频率均方差大小排序,选取前若干个行为特征构建病毒模糊行为特征库。
具体的,病毒模糊行为特征库中的行为特征均为有别于合法程序行为特征集的病毒通适性行为特征。
如图3所示,病毒程序行为特征集包含有合法程序行为特征集,病毒通适性行为特征为病毒程序行为特征集中除开合法程序行为特征集的行为特征,在病毒通适性行为特征选取的行为特征即为病毒模糊行为特征库。
具体的,该病毒通适性行为特征在植入阶段、安装阶段、启动运行阶段以及网络通信阶段归纳如下:
植入阶段的该病毒通适性行为特征包括:利用操作系统或一些常用软件的漏洞进行攻击植入、与病毒结合成复合的恶意程序植入、利用端口植入以及利用交互脚本植入等。
安装阶段的病毒通适性行为特征包括:自动压缩或者解压缩文件、文件自我删除、设置自启动、修改系统时间、关闭、增加或修改服务、修改系统配置文件以及修改文件关联等。
启动运行阶段的病毒通适性行为特征包括:隐藏进程、调用进程、关闭特定进程以及利用远程线程等技术注入其它进程等。
网络通信阶段的病毒通适性行为特征包括:伪装系统进程或路径通信、绑定侦听端口以及拷贝或创建文件到系统目录等。
S200,利用病毒模糊行为特征库,计算合法程序行为特征集、病毒程序行为特征集和目标程序行为特征集的隶属度矩阵。
其中,合法程序行为特征集、病毒程序行为特征集和目标程序行为特征集的隶属度矩阵的计算方法包括步骤S201~S203。
S201,根据合法程序行为特征集、病毒程序行为特征集和目标程序行为特征集中的每个行为特征是否出现在病毒模糊行为特征库中进行定义,构建合法程序行为特征集、病毒程序行为特征集和目标程序行为特征集的指标特征矩阵;
S202,计算任一行为特征在合法程序中出现的频率值、在病毒程序中出现的频率值以及在目标程序出现的频率值;
S203,构建合法程序行为特征集、病毒程序行为特征集和目标程序行为特征集的隶属函数,并获取合法程序行为特征集、病毒程序行为特征集和目标程序行为特征集的隶属度矩阵。
具体的,该合法程序行为特征集、病毒程序行为特征集和目标程序行为特征集的隶属函数利用正态分布偏大型模糊分布构建。
S300,基于合法程序行为特征集和病毒程序行为特征集的隶属度矩阵,将目标程序行为特征集的隶属度矩阵按两类加以识别,构造用于识别目标程序的模糊识别矩阵。
具体的,该模糊识别矩阵为目标程序从属于类别合法程序或病毒程序的相对隶属度,根据隶属度原则判断目标程序为合法程序还是病毒程序。
下面参考图4详细描述本申请公开的一种基于行为特征的病毒识别系统实施例。如图4所示,本实施例公开的系统包括:
模糊行为特征库模块,获取合法程序行为特征集、病毒程序行为特征集和目标程序行为特征集,构建病毒模糊行为特征库;
隶属度矩阵模块,利用病毒模糊行为特征库,计算合法程序行为特征集、病毒程序行为特征集和目标程序行为特征集的隶属度矩阵;
模糊识别矩阵模块,基于合法程序行为特征集和病毒程序行为特征集的隶属度矩阵,将目标程序行为特征集的隶属度矩阵按两类加以识别,构造用于识别目标程序的模糊识别矩阵。
本文中的模块、单元或组件的划分仅仅是一种逻辑功能的划分,在实际实现时可以有其他的划分方式,例如多个模块和/或单元可以结合或集成于另一个系统中。作为分离部件说明的模块、单元、组件在物理上可以是分开的,也可以是不分开的。作为单元显示的部件可以是物理单元,也可以不是物理单元,即可以位于一个具体地方,也可以分布到网格单元中。因此可以根据实际需要选择其中的部分或全部的单元来实现实施例的方案。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。

Claims (8)

1.一种基于行为特征的病毒识别方法,其特征在于,包括:
获取合法程序行为特征集、病毒程序行为特征集和目标程序行为特征集,构建病毒模糊行为特征库;
利用病毒模糊行为特征库,计算合法程序行为特征集、病毒程序行为特征集和目标程序行为特征集的隶属度矩阵;
基于合法程序行为特征集和病毒程序行为特征集的隶属度矩阵,将目标程序行为特征集的隶属度矩阵按两类加以识别,构造用于识别目标程序的模糊识别矩阵。
2.如权利要求1所述的基于行为特征的病毒识别方法,其特征在于,所述合法程序行为特征集、病毒程序行为特征集和目标程序行为特征集的获取方法包括:
对合法程序、病毒程序和目标程序进行数据流分析,提取并分析关键数据和属性;
通过可回溯的动态污点传播技术,跟踪分析合法程序、病毒程序和目标程序的数据处理流程;
在合法程序、病毒程序和目标程序的植入阶段、安装阶段、启动运行阶段以及网络通信阶段分别提取合法程序、病毒程序和目标程序的行为特征,构建合法程序行为特征集、病毒程序行为特征集和目标程序行为特征集。
3.如权利要求2所述的基于行为特征的病毒识别方法,其特征在于,所述病毒模糊行为特征库的构建方法包括:
统计各行为特征在合法程序行为特征集中出现的频率及在病毒程序行为特征集中出现的频率;
计算各行为特征的类间频率均方差,按照类间频率均方差大小排序,选取前若干个行为特征构建病毒模糊行为特征库。
4.如权利要求3所述的基于行为特征的病毒识别方法,其特征在于,所述病毒模糊行为特征库中的行为特征均为有别于合法程序行为特征集的病毒通适性行为特征。
5.如权利要求4所述的基于行为特征的病毒识别方法,其特征在于,所述合法程序行为特征集、病毒程序行为特征集和目标程序行为特征集的隶属度矩阵的计算方法包括:
根据合法程序行为特征集、病毒程序行为特征集和目标程序行为特征集中的每个行为特征是否出现在病毒模糊行为特征库中进行定义,构建合法程序行为特征集、病毒程序行为特征集和目标程序行为特征集的指标特征矩阵;
计算任一行为特征在合法程序中出现的频率值、在病毒程序中出现的频率值以及在目标程序出现的频率值;
构建合法程序行为特征集、病毒程序行为特征集和目标程序行为特征集的隶属函数,并获取合法程序行为特征集、病毒程序行为特征集和目标程序行为特征集的隶属度矩阵。
6.如权利要求5所述的基于行为特征的病毒识别方法,其特征在于,所述合法程序行为特征集、病毒程序行为特征集和目标程序行为特征集的隶属函数利用正态分布偏大型模糊分布构建。
7.如权利要求6所述的基于行为特征的病毒识别方法,其特征在于,所述模糊识别矩阵为目标程序从属于类别合法程序或病毒程序的相对隶属度,根据隶属度原则判断目标程序为合法程序或病毒程序。
8.一种基于行为特征的病毒识别系统,其特征在于,包括:
模糊行为特征库模块,获取合法程序行为特征集、病毒程序行为特征集和目标程序行为特征集,构建病毒模糊行为特征库;
隶属度矩阵模块,利用病毒模糊行为特征库,计算合法程序行为特征集、病毒程序行为特征集和目标程序行为特征集的隶属度矩阵;
模糊识别矩阵模块,基于合法程序行为特征集和病毒程序行为特征集的隶属度矩阵,将目标程序行为特征集的隶属度矩阵按两类加以识别,构造用于识别目标程序的模糊识别矩阵。
CN202211126525.0A 2022-09-16 2022-09-16 一种基于行为特征的病毒识别方法和系统 Active CN115203699B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211126525.0A CN115203699B (zh) 2022-09-16 2022-09-16 一种基于行为特征的病毒识别方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211126525.0A CN115203699B (zh) 2022-09-16 2022-09-16 一种基于行为特征的病毒识别方法和系统

Publications (2)

Publication Number Publication Date
CN115203699A true CN115203699A (zh) 2022-10-18
CN115203699B CN115203699B (zh) 2022-12-27

Family

ID=83572104

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211126525.0A Active CN115203699B (zh) 2022-09-16 2022-09-16 一种基于行为特征的病毒识别方法和系统

Country Status (1)

Country Link
CN (1) CN115203699B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1801030A (zh) * 2004-12-31 2006-07-12 福建东方微点信息安全有限责任公司 一种区分有害程序行为的方法
CN101281571A (zh) * 2008-04-22 2008-10-08 白杰 防御未知病毒程序的方法
CN101604363A (zh) * 2009-07-10 2009-12-16 珠海金山软件股份有限公司 基于文件指令频度的计算机恶意程序分类系统及分类方法
US20150288707A1 (en) * 2012-12-21 2015-10-08 Huawei Technologies Co., Ltd. Virus Detecting Method and Device
CN109284610A (zh) * 2018-09-11 2019-01-29 腾讯科技(深圳)有限公司 一种病毒程序检测方法、装置及检测服务器

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1801030A (zh) * 2004-12-31 2006-07-12 福建东方微点信息安全有限责任公司 一种区分有害程序行为的方法
CN101281571A (zh) * 2008-04-22 2008-10-08 白杰 防御未知病毒程序的方法
CN101604363A (zh) * 2009-07-10 2009-12-16 珠海金山软件股份有限公司 基于文件指令频度的计算机恶意程序分类系统及分类方法
US20150288707A1 (en) * 2012-12-21 2015-10-08 Huawei Technologies Co., Ltd. Virus Detecting Method and Device
CN109284610A (zh) * 2018-09-11 2019-01-29 腾讯科技(深圳)有限公司 一种病毒程序检测方法、装置及检测服务器

Also Published As

Publication number Publication date
CN115203699B (zh) 2022-12-27

Similar Documents

Publication Publication Date Title
CN109753800B (zh) 融合频繁项集与随机森林算法的Android恶意应用检测方法及系统
US10033694B2 (en) Method and device for recognizing an IP address of a specified category, a defense method and system
CN101448007B (zh) 一种结构化查询语言sql攻击防御方法
CN100444075C (zh) 用于移动/智能终端的病毒特征提取和检测系统及方法
CN107517216B (zh) 一种网络安全事件关联方法
CN109933984B (zh) 一种最佳聚类结果筛选方法、装置和电子设备
JP7120350B2 (ja) セキュリティ情報分析方法、セキュリティ情報分析システム、及び、プログラム
US20160219068A1 (en) Method and apparatus for automatically identifying signature of malicious traffic using latent dirichlet allocation
US10454967B1 (en) Clustering computer security attacks by threat actor based on attack features
CN110674360B (zh) 一种用于数据的溯源方法和系统
CN107871080A (zh) 大数据混合式Android恶意代码检测方法及装置
US11916937B2 (en) System and method for information gain for malware detection
US10296743B2 (en) Method and device for constructing APK virus signature database and APK virus detection system
CN103235918B (zh) 可信文件的收集方法及系统
CN114491524A (zh) 一种应用于智慧网络安全的大数据通讯系统
Zhang et al. Tsdroid: A novel android malware detection framework based on temporal & spatial metrics in iomt
Lajevardi et al. Markhor: malware detection using fuzzy similarity of system call dependency sequences
Feichtner et al. Obfuscation-resilient code recognition in Android apps
de Amorim et al. Identifying meaningful clusters in malware data
CN115203699B (zh) 一种基于行为特征的病毒识别方法和系统
Alshehri APP-NTS: a network traffic similarity-based framework for repacked Android apps detection
CN103593614B (zh) 一种未知病毒检索方法
CN114579711A (zh) 诈骗应用程序的识别方法、装置、设备及存储介质
CN114817925A (zh) 基于多模态图特征的安卓恶意软件检测方法及系统
CN114511330A (zh) 一种基于改进的cnn-rf的以太坊庞氏骗局检测方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant