CN115563614B - 一种应用于人工智能的软件异常行为文件溯源方法 - Google Patents

Abstract

本发明公开了一种应用于人工智能的软件异常行为文件溯源方法，具体涉及网络安全技术领域，本发明通过设置数据衍生模型，使得在通过数据衍生模型加载得出不同种类的异常数据或正常数据后，将破译后的基础运行原理进行存储直接存储至数据库衍生模型中的数据库中，使得该溯源方法在针对不同病毒数据或异常数据时可以根据数据库中衍生的数据模型以及衍生出的针对方案对病毒数据以及异常数据进行处理，增加了人工智能使用时的安全性，同时由于在接触病毒数据以及异常数据时可以自动对其进行收集以及分析，从而增加了该溯源方法的智能化程度，进一步提高了该溯源方法在面对不同情况以及数据时的处理效果。

Description

一种应用于人工智能的软件异常行为文件溯源方法

技术领域

本发明涉及网络安全技术领域，更具体地说，本发明涉及一种应用于人工智能的软件异常行为文件溯源方法。

背景技术

随着人工智能技术的迅速发展，信息化技术已经广泛应用到政府民生、科研、制造等领域，信息化带来了种种便捷的同时，随之而来诸如恶意软件以及病毒等许多安全问题，尤其是恶意软件，由于其攻击具有强隐蔽性、危害大等特点，严重威胁信息系统安全且容易导致人工智能的软件在运行的过程中出现异常行为的情况。

软件的行为是指软件运行表现形态和状态演变的过程。软件行为定义为软件运行时作为主体，依靠其自身的功能对客体的施用、操作或者动作。软件存在的不可信行为会对社会造成不同程度的损坏，所以研究软件行为的可信性成为一种必要。软件的行为可以从底层的二进制指令到高层的程序语句、函数、系统调用等不同层次刻画软件行为，根据某一层次的行为信息而构建的行为状态序列以及状态变迁，可以表征软件的正常行为特征，并用于软件行为的异常检测。

现有的方法已经从不同的角度表征了软件的行为过程，可以在一定程度上检验出软件的异常行为，增强了软件行为的可信性，但其在实际运行以及使用的过程中比并不能发掘病毒文件以及异常行为文件的根源代码，导致在处理异常行为文件以及病毒文件时仅仅只能针对当前所遇到的单一病毒文件以及异常行为文件，不仅处理范围小，且防范效果差，难以快速针对同一根源代码的病毒文件以及异常行为文件。

发明内容

为了克服现有技术的上述缺陷，本发明提供了一种应用于人工智能的软件异常行为文件溯源方法，本发明所要解决的技术问题是：在处理异常行为文件以及病毒文件时仅仅只能针对当前所遇到的单一病毒文件以及异常行为文件，不仅处理范围小，且防范效果差，难以快速针对同一根源代码的病毒文件以及异常行为文件的问题。

为实现上述目的，本发明提供如下技术方案：一种应用于人工智能的软件异常行为文件溯源方法，包括以下溯源方法：

分析软件异常行为文件，针对信息搜索、信息获取、信息转移以及信息发生的环节中的行为特征，建立特征模型以及数据库衍生模型，形成特征库以及衍生库，并针对异常行为文件以及检测出的恶意软件进行衍生得出变异病毒，其中特征模型检测方案具体包括：静态恶意软件检测、基于信息流的恶意软件检测以及动态恶意软件检测；

静态恶意软件检测技术通过检测程序的静态特征判断，静态特征具体包括：恶意软件程序在人工智能运行过程中放置的静态文件生成文件特征字符串、注册表信息、运行时打开的固定TCP/IP端口、在目标系统中的文件名、文件大小及所在目录和启动加载方式；

技术信息流的恶意软件检测具体包括：监听通信的接收报文、根据网络通信协议进行的内容分析，并将网络数据按照协议标准细致分类，其中，网络协议标准分类具体包括：按照IP分解出源IP、目的IP，按照TCP协议分解出源端口以及目的端口，按照HTTP协议分解出URL以及HTTP命令数据；

动态恶意软件检测是针对监控恶意软件对注册表的修改，对位通信信息行为，启动系统的进程并调用应用程序接口的行为，其中，综合监控到的行为结合数据库中的可疑程序是否是恶意程序进行判断；

建立数据库衍生模型，在根据上述检测对导致异常情况出现的数据流以及文件进行存储，并对异常数据倒入数据库衍生模型中，分析异常数据的基础模型，得出异常数据根目录后需要将异常的数据加载至数据库衍生模型中的隔离数据端口中对异常的数据进行加载，加载得出不同种类的异常数据或正常数据，对得出数据进行运行，其中，正常可运行数据进行删除，对依旧会导致出现异常的数据进行标注，分析异常的数据运行原理并针对异常的数据基础运行原理对其进行破译，并将破译后的基础运行原理进行存储直接存储至数据库衍生模型中的衍生库中。

作为本发明的进一步方案：所述特征库在针对恶意软件以及异常行为文件进行自动检查和分析时，需将恶意软件以及异常行为文件分成两个类别：恶意的和良性的可执行文件；

采用了三种学习算法，对使用系统资源信息、字符串和从数据集的工控恶意软件中提取出的字节序列作为不同类型的特征，学习算法包括：

应用布尔规则的算法；

应用特征的某一类概率的算法；

应用多个分类器输出的算法；

将数据挖掘方法和传统的基于签名方法比较，使用LibBFD，仅检测PE文件的子集，使用提取所有类型的二进制文件的特征，使用GNU二进制目录检索文件从而从Windows二进制文件中提取源信息，GNU二进制目录检索文件套件工具能够在Windows上分析PE二进制文件，在PE或者通用目标文件格式中，程序标题由一个COFF标题、一个选配标题、磁盘操作系统和一个文件签名组成，PE标题本文使用libBFD来提取目标格式的信息，PE二进制文件的目标格式给出了文件大小、动态链接库名称和DLLS及重定位表的函数调用的名称，从目标格式中提取特征集，用于组成每个二进制文件的特征向量；

首先，计算只在工控恶意软件类中发现的字节序列，字节序列串接在一起成为每个工控恶意软件样本唯一的签名，因此，每个工控恶意软件签名包含只在工控恶意软件类中发现的字节序列，每个样本中发现的字节序列串接在一起构成一个签名，由于训练时一个字节序列仅会在某类中发现，或在另一类中出现，测试的假阳性；

其次，使用归纳规则生成一个由资源规则组成的检测模型，被用于检测未知的工控恶意软件样本，此算法使用libBFD信息作为特征，算法是基于规则的学习者，建立规则集来确定分类，使错误总数降到最小，错误总数被定义为训练样本被规则误分类的数目。

进一步的，正例被定义为工控恶意软件，反例被定义为良性程序，初始假设Find-S由<⊥，⊥，⊥，⊥>开始，假设最具体的，因为在尽可能少的样本上为真，none，检查Table2中第一个正例<yes，yes，yes，no>，算法选择下一个最具体的假设<yes，yes，yes，no>，下一个正例，<no，no，no，yes>，不符合假设的第一个和第四个属性（“DoesithaveaGUI?”和“Doesitdeletefiles?”）、还有假设中被下一个最通用的属性代替的那些属性T。

经过两个正例的结果假设是<T，yes，yes，T>，算法越过第三个样本（反例），发现这个假设符合Table2中最后的样本，Table2列出的训练数据的最后规则是<T，yes，yes，T>，规则基于训练数据，规定一个工控恶意软件的属性是拥有一个恶意功能、危害系统安全，这符合我们在introduction中给出的工控恶意软件的定义，在样本中一个工控恶意软件是否删除文件或者是否有GUI这不重要。

本发明的有益效果在于：本发明通过设置数据衍生模型，使得在通过数据衍生模型加载得出不同种类的异常数据或正常数据后，可对得出数据进行运行，其中，正常可运行数据进行删除，对依旧会导致出现异常的数据进行标注，分析其运行原理并针对其基础运行原理对其进行破译，并将破译后的基础运行原理进行存储直接存储至数据库衍生模型中的数据库中，使得该溯源方法在针对不同病毒数据或异常数据时可以根据数据库中衍生的数据模型以及衍生出的针对方案对病毒数据以及异常数据进行处理，增加了人工智能使用时的安全性，同时由于在接触病毒数据以及异常数据时可以自动对其进行收集以及分析，从而增加了该溯源方法的智能化程度，进一步提高了该溯源方法在面对不同情况以及数据时的处理效果。

实施方式

下面将对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

一种应用于人工智能的软件异常行为文件溯源方法，包括以下溯源方法：

分析软件异常行为文件，针对信息搜索、信息获取、信息转移以及信息发生的环节中的行为特征，建立特征模型以及数据库衍生模型，形成特征库以及衍生库，并针对异常行为文件以及检测出的恶意软件进行衍生得出变异病毒，其中特征模型检测方案具体包括：静态恶意软件检测、基于信息流的恶意软件检测以及动态恶意软件检测；

静态恶意软件检测技术通过检测程序的静态特征判断，静态特征具体包括：恶意软件程序在人工智能运行过程中放置的静态文件生成文件特征字符串、注册表信息、运行时打开的固定TCP/IP端口、在目标系统中的文件名、文件大小及所在目录和启动加载方式；

技术信息流的恶意软件检测具体包括：监听通信的接收报文、根据网络通信协议进行的内容分析，并将网络数据按照协议标准细致分类，其中，网络协议标准分类具体包括：按照IP分解出源IP、目的IP，按照TCP协议分解出源端口以及目的端口，按照HTTP协议分解出URL以及HTTP命令数据；

动态恶意软件检测是针对监控恶意软件对注册表的修改，对位通信信息行为，启动系统的进程并调用应用程序接口的行为，其中，综合监控到的行为结合数据库中的可疑程序是否是恶意程序进行判断；

建立数据库衍生模型，在根据上述检测对导致异常情况出现的数据流以及文件进行存储，并对异常数据倒入数据库衍生模型中，分析异常数据的基础模型，得出异常数据根目录后需要将异常的数据加载至数据库衍生模型中的隔离数据端口中对异常的数据进行加载，加载得出不同种类的异常数据或正常数据，对得出数据进行运行，其中，正常可运行数据进行删除，对依旧会导致出现异常的数据进行标注，分析异常的数据运行原理并针对异常的数据基础运行原理对其进行破译，并将破译后的基础运行原理进行存储直接存储至数据库衍生模型中的衍生库中。

特征库在针对恶意软件以及异常行为文件进行自动检查和分析时，需将恶意软件以及异常行为文件分成两个类别：恶意的和良性的可执行文件；

采用了三种学习算法，对使用系统资源信息、字符串和从数据集的工控恶意软件中提取出的字节序列作为不同类型的特征，学习算法包括：

应用布尔规则的算法；

应用特征的某一类概率的算法；

应用多个分类器输出的算法；

将数据挖掘方法和传统的基于签名方法比较，使用LibBFD，仅检测PE文件的子集，使用提取所有类型的二进制文件的特征，使用GNU二进制目录检索文件从而从Windows二进制文件中提取源信息，GNU二进制目录检索文件套件工具能够在Windows上分析PE二进制文件，在PE或者通用目标文件格式中，程序标题由一个COFF标题、一个选配标题、磁盘操作系统和一个文件签名组成，PE标题本文使用libBFD来提取目标格式的信息，PE二进制文件的目标格式给出了文件大小、动态链接库名称和DLLS及重定位表的函数调用的名称，从目标格式中提取特征集，用于组成每个二进制文件的特征向量；

首先，计算只在工控恶意软件类中发现的字节序列，字节序列串接在一起成为每个工控恶意软件样本唯一的签名，因此，每个工控恶意软件签名包含只在工控恶意软件类中发现的字节序列，每个样本中发现的字节序列串接在一起构成一个签名，由于训练时一个字节序列仅会在某类中发现，或在另一类中出现，测试的假阳性；

其次，使用归纳规则生成一个由资源规则组成的检测模型，被用于检测未知的工控恶意软件样本，此算法使用libBFD信息作为特征，算法是基于规则的学习者，建立规则集来确定分类，使错误总数降到最小，错误总数被定义为训练样本被规则误分类的数目。

正例被定义为工控恶意软件，反例被定义为良性程序，初始假设Find-S由<⊥，⊥，⊥，⊥>开始，假设最具体的，因为在尽可能少的样本上为真，none，检查Table2中第一个正例<yes，yes，yes，no>，算法选择下一个最具体的假设<yes，yes，yes，no>，下一个正例，<no，no，no，yes>，不符合假设的第一个和第四个属性（“DoesithaveaGUI?”和“Doesitdeletefiles?”）、还有假设中被下一个最通用的属性代替的那些属性T。

经过两个正例的结果假设是<T，yes，yes，T>，算法越过第三个样本（反例），发现这个假设符合Table2中最后的样本，Table2列出的训练数据的最后规则是<T，yes，yes，T>，规则基于训练数据，规定一个工控恶意软件的属性是拥有一个恶意功能、危害系统安全，这符合我们在introduction中给出的工控恶意软件的定义，在样本中一个工控恶意软件是否删除文件或者是否有GUI这不重要。

接下来，引入NaiveBayes分类器，NaiveBayes分类器计算给出特征的一个程序是工控恶意软件的似然估计，本文使用strings和字节序列数据来计算一个二进制文件是恶意的概率，本文计算一个包含特征集F的程序的类，定义C为分类集上的一个随机变量：良性和恶意的可执行文件，本文想要计算P(C|F)，即程序在某类中的概率，程序包含特征集F，为了训练分类器，我们记录了每个类中有多少程序包含唯一特征，我们使用NaiveBayes算法，为字节序列和strings计算最可能的类。

一个工控恶意软件符合四个假设之一：

1.不调用user32.EndDialog()，调用kernel32.EnumCalendarInfoA()。

2.不调用user32.LoadIconA()，kernel32.GetTempPathA()和advapi32.dll中的其它任何函数。

3.调用shell32.ExtractAssociatedIconA()。

4.调用msvbbm.dll和theMicrosoftVisualBasicLibrary中的任何函数，如果一个二进制文件不符合Figure5中所有恶意二进制文件的假设，那么它会被标记为良性。

最后应说明的几点是：虽然，上文中已经用一般性说明及具体实施例对本发明作了详尽的描述，但在本发明的基础上，以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims (2)

1.一种应用于人工智能的软件异常行为文件溯源方法，其特征在于，包括以下溯源方法：

分析软件异常行为文件，针对信息搜索、信息获取、信息转移以及信息发生的环节中的行为特征，建立特征模型以及数据库衍生模型，形成特征库以及衍生库，并针对异常行为文件以及检测出的恶意软件进行衍生得出变异病毒，其中特征模型检测方案具体包括：静态恶意软件检测、基于信息流的恶意软件检测以及动态恶意软件检测；

静态恶意软件检测技术通过检测程序的静态特征判断，静态特征具体包括：恶意软件程序在人工智能运行过程中放置的静态文件生成文件特征字符串、注册表信息、运行时打开的固定TCP/IP端口、在目标系统中的文件名、文件大小及所在目录和启动加载方式；

技术信息流的恶意软件检测具体包括：监听通信的接收报文、根据网络通信协议进行的内容分析，并将网络数据按照协议标准细致分类，其中，网络协议标准分类具体包括：按照IP分解出源IP、目的IP，按照TCP协议分解出源端口以及目的端口，按照HTTP协议分解出URL以及HTTP命令数据；

动态恶意软件检测是针对监控恶意软件对注册表的修改，对位通信信息行为，启动系统的进程并调用应用程序接口的行为，其中，综合监控到的行为结合数据库中的可疑程序是否是恶意程序进行判断；

建立数据库衍生模型，在根据上述检测对导致异常情况出现的数据流以及文件进行存储，并对异常数据倒入数据库衍生模型中，分析异常数据的基础模型，得出异常数据根目录后需要将异常的数据加载至数据库衍生模型中的隔离数据端口中对异常的数据进行加载，加载得出不同种类的异常数据或正常数据，对得出数据进行运行，其中，正常可运行数据进行删除，对依旧会导致出现异常的数据进行标注，分析异常的数据运行原理并针对异常的数据基础运行原理对其进行破译，并将破译后的基础运行原理进行存储直接存储至数据库衍生模型中的衍生库中。

2.根据权利要求1所述的一种应用于人工智能的软件异常行为文件溯源方法，其特征在于：所述特征库在针对恶意软件以及异常行为文件进行自动检查和分析时，需将恶意软件以及异常行为文件分成两个类别：恶意的和良性的可执行文件；

采用了三种学习算法，对使用系统资源信息、字符串和从数据集的工控恶意软件中提取出的字节序列作为不同类型的特征，学习算法包括：

应用布尔规则的算法；

应用特征的某一类概率的算法；

应用多个分类器输出的算法；

将数据挖掘方法和传统的基于签名方法比较，使用LibBFD，仅检测PE文件的子集，使用提取所有类型的二进制文件的特征，使用GNU二进制目录检索文件从而从Windows二进制文件中提取源信息，GNU二进制目录检索文件套件工具能够在Windows上分析PE二进制文件，在PE或者通用目标文件格式中，程序标题由一个COFF标题、一个选配标题、磁盘操作系统和一个文件签名组成，PE标题本文使用libBFD来提取目标格式的信息，PE二进制文件的目标格式给出了文件大小、动态链接库名称和DLLS及重定位表的函数调用的名称，从目标格式中提取特征集，用于组成每个二进制文件的特征向量；

首先，计算只在工控恶意软件类中发现的字节序列，字节序列串接在一起成为每个工控恶意软件样本唯一的签名，因此，每个工控恶意软件签名包含只在工控恶意软件类中发现的字节序列，每个样本中发现的字节序列串接在一起构成一个签名，由于训练时一个字节序列仅会在某类中发现，或在另一类中出现，测试的假阳性；

其次，使用归纳规则生成一个由资源规则组成的检测模型，被用于检测未知的工控恶意软件样本，此算法使用libBFD信息作为特征，算法是基于规则的学习者，建立规则集来确定分类，使错误总数降到最小，错误总数被定义为训练样本被规则误分类的数目。