[发明专利]恶意代码的检测方法及其系统

说明书

技术领域

本发明涉及一种恶意代码的检测方法及其系统，更具体地讲，涉及一种基于挖掘的恶意代码检测方法以及恶意代码网络行为特征分析与检测系统。

背景技术

随着互联网的普及，信息安全变得越来越重要，信息安全也成为一个备受关注的重要研究领域。由于Internet本身设计上的缺陷以及其具有的开放性，使其极易受到攻击。在Internet安全事件中，恶意代码造成的经济损失占有最大的比例，与此同时，恶意代码成为信息战、网络战的重要手段。更严重的是，恶意代码的种类、传播速度、感染数量和影响范围都在逐渐增强。

在检测恶意代码方面，已经有软件能够检测包括蠕虫和木马在内的多种恶意代码，但这些软件采用的都是特征码检测技术，对未知代码进行特征提取，然后与已知的恶意代码特征进行比较，从而判定其是否为恶意代码。这样的方法误报率低，但是必须在检测一种恶意代码之前先获得其特征，增加了计算机系统被感染和受到攻击的可能性。新出现的恶意代码也变得越来越复杂，通过采用多态和变形等模糊变换技术，恶意代码的生存能力得到了增强，基于特征码检测技术的工具一般无法识别，这给安全领域的工作带来了极大挑战。

发明内容

因此，本发明的目的在于提出一种OLAP引擎辅助的、以恶意代码主控端被控端交互行为为特征的、基于挖掘的恶意代码检测方法及其对应的原型系统。

本发明提供了一种恶意代码的检测方法，包括以下步骤：首先探测网络，监控所有的网络报文，获得第一手原始网络数据；然后提取可疑主控端行为，在知识库中特征规则的帮助下，检测可疑的恶意代码行为，根据知识库中记录的恶意代码主控端地址等信息，从网络报文中提取与这些主控端相关的行为特征数据；扩充训练集，在专家的帮助下，将代表可疑主控端行为特征的数据存储在数据库中，将可能是恶意代码新变种行为特征的数据导入训练样本池中；训练分类器，以已有样本为输入，提取其特征，建立特征词典，用来优化SVM分类器参数；刷新Cube，针对训练集的更新，关系数据库中也更新相应的事实表，对新导入的行为序列进行分片，更新各个维度表和事实表；序列挖掘，挖掘引擎在新Cube上执行新的频繁序列挖掘任务，得到新的规则；生成规则，将新规则插入规则树中，更新相关的索引等结构，以维护知识库的有效性。

其中，所述提取主控端可疑行为包括以下步骤：将网络分为全局探测和定向探测；通过全局探测，发现网络交互行为特征中与知识库特征规则完全匹配的序列，查询该序列对应的主控端IP地址及端口，查询该IP地址是否在可疑主控端集合中，如果结果为否，则扩充可疑主控端集合；通过定向探测，将可疑主控端的所有行为序列在专家的必要帮助下汇总入库，以备挖掘，如果在序列挖掘步骤中发现新的频繁行为序列，则扩充知识库中的规则。

其中，将绝对时间上的会话序列进行切片，以边界频率和边界熵为指标来确认分段边界，分段后得到的会话子序列拥有独立的相对时间，是频繁序列挖掘的基石。

其中，所述维度包括时间维度、种类维度、地理维度、ISP维度。

其中，在所述刷新步骤中增加新的维度。

其中，所述序列挖掘包括排序阶段、获取大项集阶段、转换阶段、挖掘阶段、特征选择阶段。

其中，特征选择指标包括，以恶意代码种类为维度，不同行为特征出现在不同种类中的概率的互信息和均方差。

本发明提供了一种恶意代码检测系统，包括：侦测模块，用于嗅探网络中的数据，根据可配置的规则抓取指定特征的数据报；训练样本池，用于存放初始样本，所述样本由专家预先分好类；SVM分类器，该分类器根据对训练样本的学习，能够自动对动态扩充后的数据进行分类，并负责将分类信息加载到数据库中；关系数据库，用于存放样本文件中提取出来的对应不同网络连接的行为序列，所述关系数据库支持恶意代码行为序列分片程序的访问，分片后的行为序列经过进一步清晰和转换，生成新的事实表和维度表，存放在关系数据中，供OLAP分析使用；OLAP引擎，用于读取关系数据库中的事实表和维度表，建立立体数据模式，即Cube，确定作为度量的统计值，在本系统中设定为特定行为出现的次数，确定不同的维度，提供Cube上的MDX查询接口；特征序列挖掘引擎，能够根据一种Apriori改进型算法来发现恶意代码行为序列分片中的模式，同时该算法的实现程序能够通过MDX查询接口来访问Cube中的度量值，快速发现频繁项；知识库，用来存放发现的恶意代码网络行为特征序列，并将其作为规则组织成规则树，便于查询。

其中，所述样本池能够动态扩充，实时追踪指定恶意代码主控端发出的数据，发现新的恶意代码变种。