[发明专利]一种用于快速准确检测零日恶意软件的图论方法

说明书

本发明公开了一种用于快速准确检测零日恶意软件的图论方法MalZero，其特征在于：从API调用图中提取的特征建立分类器模，良性软件和恶意软件在各自的API调用图中会存在不同的图论性质，从API调用图中提取的图论特征能够用来被有效地、高效地区分恶意软件和良性软件。它涉及三个模块：图构建、特征提取、图分类。本发明MalZero，可在终端主机上快速、准确检测恶意软件，在存储空间和检测时间方面具有高效率，由于较低的开销，MalZero可以补充在终端主机现有的恶意软件检测方案。

技术领域

本发明涉及计算机领域，具体而言，涉及一种用于快速准确检测零日恶意软件的图论方法。

背景技术

根据“PandaLabs”发布的威胁报告，每天平均有73000种新型恶意攻击程序被释放[1]。近期一份关于漏洞数据库的研究报告表明，约90％的软件漏洞在发布时间就被恶意软件利用[19]。恶意软件检测是困难的，因为在恶意软件启动时，新型(或者提前未知)的恶意软件的特征是不可用的。恶意软件检测不得不集中在终端主机，因为基于网络的安全装置，比如防火墙、入侵检测和预防系统，主要依赖于恶意软件特征，而基于特征的检测方法几乎不能检测到新的恶意软件。现有可用在终端主机上的防病毒软件依赖于基于特征的恶意软件检测方法，是无效的。近期爆发的愚人节病毒和闪回恶意软件进一步为现有商用防病毒软件的无效性提供了证据[18]。

一个在终端主机上的非特征恶意软件检测方法需要满足四点要求：高识别率，低假正率，低计算和存储复杂度和对恶意软件混淆的鲁棒性。高识别率是关键，因为即使一个简单的未识别的恶意软件可能感染主机，甚至破坏恶意软件检测程序。低假正率是期望的，因为虚警对用户来说是很讨厌的，经常引起用户关闭恶意软件检测程序。低计算和存储复杂度是重要的，因为主机的计算和存储资源有限。对恶意软件混淆的鲁棒性是决定性的，因为恶意软件从一台主机传播到另一台主机时，经常混淆自己。

因为预先未知恶意软件的特征是不可用的，非特征恶意软件检测必须依赖于程序行为。此前基于行为的非特征恶意软件检测方法分为两类：基于序列的方法和基于图的方法。基于序列的方法识别程序指令序列中的子序列，子序列的存在或缺失可以作为恶意软件检测的基本指纹[2][14]。基于序列的方法是有效的，但是对于垃圾插入和重新排序之类的混淆是脆弱的。大多数基于图的方法存储了大量已知恶意软件的行为图，对于给定的程序，在数据库中寻找最相似的行为图[9][10][23]。如果存在和给定程序相似的已知恶意软件行为图，那么给定软件就被分类的恶意攻击软件；否则，就被分类为良性软件。在图的数据库中搜索和给定图相似的图具有高的计算代价。

如图1所示，是良性软件时间序列图。图2是恶意软件时间序列图。图3是良性软件API调用图。图4为恶意软件API调用图。

发明内容

针对现有技术中存在的问题，本发明的目的是提出了MalZero，一种在终端主机准确、有效并且鲁棒的非特征恶意软件识别方法。

为了实现上述发明目的，本发明采用的技术方案为：一种用于快速准确检测零日恶意软件的图论方法MalZero，其特征在于：从API调用图中提取的特征建立分类器模型，良性软件和恶意软件在各自的API调用图中会存在不同的图论性质，从API调用图中提取的图论特征能够用来被有效地、高效地区分恶意软件和良性软件。它涉及三个关键模块：图构建、特征提取、图分类。

所述图构建：给定一个未知程序的API调用序列<a₁,a₂,…,a_m>，按步骤构建API调用图；对于给定序列中每个唯一的API调用a_i(1≤i≤m)，创建一个顶点表示为V(a_i)；对于给定序列中任意两个连续的API调用a_ia_i+1，当a_i和a_i+1是两个唯一的API调用，从顶点V(a_i)到顶点V(a_i+1)创建一条直连边。