[发明专利]一种恶意程序行为特征库构建方法及装置

说明书

本发明涉及计算机安全领域，尤其是一种恶意程序行为特征库构建方法及装置。本发明针对现有技术存在的问题，提供一种恶意程序行为特征库构建方法及装置。本发明通过机器自动提取行为，并按照行为的恶意值排序来自动构建恶意程序行为特征库，能够极大的提高恶意程序的行为提取效率，减少人工参与的程度本发明获得样本文件集中n个样本文件的行为操作；然后对所有样本文件的行为操作进行相似行为操作的合并；计算行为的恶意值=tf*idf*vf；其中tf为每条行为出现的频率；ldf为每条行为的逆向样本频率；vf为计算行为的恶意频率数，根据行为的恶意值进行排序，确定恶意行为特征，构建恶意程序行为特征库。

技术领域

本发明涉及计算机安全领域，尤其是一种恶意程序行为特征库构建方法及装置。

背景技术

随着个人电脑和手机的广泛应用，信息安全日益成为现代社会重要的研究方向。对恶意程序的检测手段也从单纯的静态特性值检测，发展到对恶意程序动态行为的检测。恶意程序动态检测主要通过提取程序的行为，与已知的恶意行为特征库进行对比。而目前构建恶意行为特征库主要是靠人工对恶意程序进行分析，主要采用特征字符串或特征关键字匹配技术，通过抽取关键特征字组成特征字库，针对被检测样本进行扫描，一旦在其内发现有特定特征字，即表明被检测样本归属该特征字所代表的病毒种类。此方法运行速度快、误报频率低、但需要不断的对特征字进行更新扩充。同时无法检测新型恶意程序，旧型恶意程序变种也可以通过调整指令序列等方法躲避基于匹配的检测。随着恶意程序的变种能力日益增强，新的恶意程序的产生速度加快，靠人工分析来构建恶意程序的行为特征库的方式就显得效率十分低下。

发明内容

本发明所要解决的技术问题是：针对现有技术存在的问题，提供一种恶意程序行为特征库构建方法及装置。本发明通过机器自动提取行为，并按照行为的恶意值排序来自动构建恶意程序行为特征库，能够极大的提高恶意程序的行为提取效率，减少人工参与的程度。

本发明采用的技术方案如下：

一种恶意程序行为特征库构建方法包括：

步骤1：收集样本文件，并标注样本文件是恶意文件还是正常文件，形成样本文件集；

步骤2：将样本文件集的第n个样本文件放到沙箱运行，提取出样本文件运行时的行为操作，每个行为操作包括：样本文件类型、行为操作类型、行为操作名称、行为操作的附加参数；将第n个样本文件的行为操作加入行为列表中，并根据该样本文件是恶意文件还是正常文件对该样本文件行为进行标记，获得第n个样本文件的行为操作；

步骤3：重复步骤2，获得样本文件集中n个样本文件的行为操作；然后对所有样本文件的行为操作进行相似行为操作的合并；

步骤4：计算行为的恶意值＝tf*idf*vf；其中tf为每条行为出现的频率；idf为每条行为的逆向样本频率；vf为计算行为的恶意频率数，根据行为的恶意值进行排序，确定恶意行为特征，构建恶意程序行为特征库。

进一步的，所述步骤3中对所有样本文件的行为操作进行相似行为操作的合并具体过程是：

步骤31：将行为操作列表中相同行为操作类型划分在同一列表中，然后在每个列表中根据行为操作名称判断行为操作所述的文件类型是否一致，若一致，则执行步骤32；否则，不合并；

步骤32：判断行为操作的附加参数是否相似，若相似，则合并行为操作；否则，不合并。

进一步的，当行为操作类型是网络类型时，则不对行为操作类型的附加参数值进行比较，比较行为操作的名称是否一致即可,若行为操作名称一致,则相似，进行合并行为操作；否则，不合并。

进一步的，所述步骤32行为操作的附加参数相似判断依据是：多个行为操作的附加参数中至少有一个参数相似；