[发明专利]一种基于多维度行为特征的恶意代码分类方法

说明书

一种基于多维度行为特征的恶意代码分类方法，其步骤为：S1：获得恶意代码的行为数据；S2：按照函数调用的顺序，计算相邻两个系统函数调用的时间差，构建系统函数调用的时间差信息表；S3：系统函数调用频度信息提取；从行为数据中提取系统函数调用的名称，统计每个系统函数调用的频度，建立系统函数调用的频度信息表；S4：行为分类频度信息提取；S5：将时间差信息表、系统函数调用的频度信息表、行为类别的频度信息表分别进行加权计算和归一化处理，处理时间差信息表特征，处理后合并成一新的特征空间；S6：对所有家族样本的行为特征，采用机器学习的典型分类方法，进行交叉验证。本发明具有原理简单、易实现、效果好等优点。

技术领域

本发明主要涉及到网络安全技术领域，特指一种基于多维度行为特征的恶意代码分类方法。

背景技术

随着计算机和网络技术迅速发展，恶意代码的数量呈现爆发式地增长，恶意代码的形态也愈发模块化和多样化，而恶意代码威胁的对象，已经从影响个人的电脑，发展到破坏国家的重要基础设施和社会的重要资产。恶意代码的防范，已经成为应对网络空间安全威胁的重点。

恶意代码分析是检测和防范恶意代码的重要基础。基于特征码和签名的恶意代码分析技术，在传统基于终端(主机)的恶意代码检测机制中发挥了重要的重要。然而，基于特征码和签名的恶意代码分析技术，既需要面对恶意代码数量增长带来的挑战，也需要面对需要大量人工参与分析的问题。因此，为了满足恶意代码自动分析的需求，以及应对恶意代码数量增长的挑战，恶意代码的分析检测正朝着基于云端的智能分析检测方向发展，机器学习和大数据分析技术的发展，促使恶意代码的分析检测朝着自动化分析检测和深度分析检测方面发展。

基于云端的智能分析检测技术包括基于静态的分析检测和基于动态行为的分析检测。静态分析通过程序的指令和结构来确定恶意代码的功能，其在不执行恶意代码的情况下，提取能够表达恶意代码样本的特征向量。然而，静态分析技术难以应对恶意代码采用的变种手段，如变形、多态、加壳等技术手段，从而使得静态分析技术在面对海量真实恶意代码样本时，往往变得失效。

动态分析技术通过收集恶意代码运行时的动态行为信息，如系统调用、网络访问、文件和内存修改等，基于动态行为信息进行恶意代码的分析检测。动态分析技术通过捕获恶意代码的真实行为信息进行行为分析判断来识别、检测恶意代码。基于机器学习方法对恶意代码的动态行为信息进行分类学习，是当前的研究热点。

恶意代码的动态分析提供了多维度的行为特征信息，提取多维度的行为特征，构建恶意代码的行为特征向量，设计行为深度分析的自动分析处理框架，是基于机器学习进行恶意代码动态行为分析研究的主要思路。然而，基于单一特征进行分类往往具有片面性，容易造成分类准确率的下降，而且恶意代码的特征向量存在特征维度多、单个特征维度高的特点，复杂的特征向量必然造成分类效率的下降。

因此，如何设计基于多维度行为特征的恶意代码分类技术，提高恶意代码行为分析的准确率是目前的主要研究热点。

发明内容

本发明要解决的技术问题就在于：针对现有技术存在的技术问题，本发明提供一种原理简单、易实现、效果好的基于多维度行为特征的恶意代码分类方法。

为解决上述技术问题，本发明采用以下技术方案：

一种基于多维度行为特征的恶意代码分类方法，其步骤为：

S1：获得恶意代码的行为数据；

S2：系统函数调用时间差信息提取；按照行为数据中函数调用的顺序，计算相邻两个系统函数调用的时间差，构建系统函数调用的时间差信息表；

S3：系统函数调用频度信息提取；从行为数据中提取系统函数调用的名称，统计每个系统函数调用的频度，建立系统函数调用的频度信息表；

S4：行为分类频度信息提取；