[发明专利]基于状态层的软件行为建模方法

说明书

技术领域：

本发明旨在建立软件行为模型，保证行为安全，属于信息安全领域。 

背景技术：

软件行为是指软件运行时的表现形态和状态演变过程。软件行为模型就是指根据软件的行为信息建立的行为状态序列以及状态的变迁，可以表征软件的正常行为特征，并用于异常检测。 

目前，软件行为的建模方法有静态和动态两种。针对软件行为的静态分析多集中在代码层，直接对源代码进行分析，可以把握程序的循环跳转分支，但静态分析并不能反映软件的真实运行状态，并受到源码不可得和软件抗逆向分析技术等限制。动态分析多集中于系统层的系统调用，是主机入侵检测的研究热点。大部分动态建模从系统调用入手是因为：1）系统调用是操作系统提供给应用程序访问系统资源的接口,所以调用状况在一定程度上能够反映程序的行为特征；2）系统调用序列及其片段数量有限，分析起来比较简便；3）各操作系统的系统调用函数版本间变化非常小，比较稳定。所以目前看来，其为描述软件行为最合适的对象。因此现有研究对软件行为的定义大都围绕系统调用展开，并引申出行为轨迹和功能轨迹的定义来描述软件行为。软件的行为轨迹即系统调用序列。功能轨迹的定义各不相同，但基本上集中于检查点场景和时间戳，有些还会附加内存占用率和CPU使用率。建模的方式大多借鉴入侵检测的建模方法，基于统计学、机器学习、数据挖掘、文本分类、有限状态自动机等方法。动静结合的混合模型越来越多，分析的因素也越来越全面。 

现有的建模方法虽然看似全面，但都没有从软件的实际功能出发，不能准确的描述软件行为；过于全面的分析会导致模型复杂，实用性不强，例如动静结合的Dyck模型和HFA模型，包含了控制流分析，数据流分析，上下文和环境变量分析，使得模型过于复杂，实用性不强。 

发明内容：

针对上述问题，本发明提出了在系统调用序列的基础上，抽象出状态层，再根据软件的执行过程和自身功能建立状态转移图的建模方法。模型的建立只需截获系统调用序列，简单易行，实用性强。 

本发明包括以下步骤： 

首先截获软件正常执行时的系统调用序列，本专利借鉴TERESIAS算法和Apriori算法的思想，先对序列进行分组，然后开始第一次扫描，找到出现次数最多的序列模式，记录并将其从序列中删除，之后序列自然分组，继续扫描剩余序列中的频繁序列模式，直到所有序列模式都被找到为止。 

然后将找到的序列模式定义为状态，比如序列模式1定义为状态1，具体的对应工作由隐马模型完成。先利用隐马的学习问题为每个序列模式建立一个隐马模型，再利用隐马的评估问题判定状态。 

最后根据状态序列建立状态转移图，在建图之前，先给出相关概念和定义。 

定义1STG（State transition graph）是一个三元组，STG-{V，E，W}。 

■V是图中的节点，即已知状态集。 

■E是连接图中节点的有向边的集合，表示任意两个相邻元素之间的关系。 

■W是权值，表示某条边出现次数与所有边出现总次数的比值，和集合E中的向量一一对应。 

定义2状态距离D（distance）为两个不同状态之间的距离，用以判断两个状态的相似程度。这里比较的是两状态分别对应的系统调用序列，设短的序列为l_min，序列长度为l₁，长的序列为l_max，序列长度为l₂，先将l_min的第一位与l_max的第一位对齐，处在相同位置的数值如果相同记为0，不同记为1，将记录的值相加之后除以短的序列长度l₁，记为R₁。然后l_min向后滑动一位，也就是将l_min的第一位与l_max的第二位对齐，再进行一次上述操作，记录R₂，直到l_min的末尾与l_max的末尾对齐为止，然后计算 

定义3入度in+STG中终止于某顶点的边的权值之和称为该顶点的入度。 

定义4出度out-STG中起始于某顶点的边的权值之和称为该顶点的出度。 

建图的方法和图论里的方法类似，还要满足以下两条规则： 

规则1小概率分支删除规则