[发明专利]一种动静态特征结合的僵尸程序检测与分类方法

说明书

本发明公开了一种动静态特征结合的僵尸程序检测与分类方法，基于静态特征信息，进行僵尸程序检测；检测过程中的特征选择采用了采用改进的TF‑IDF算法，改进的TF‑IDF算法是在TF‑IDF算法计算TF‑IDF权重时加入类区分度因子GF，用于表征特征项在某一类别中的出现程度与在其他所有类别中出现程度的比例；运行检测的僵尸程序，提取僵尸程序运行的API序列和网路流量信息，处理获得僵尸程序家族分类特征；基于僵尸程序家族分类特征，对僵尸程序进行分类。本发明能够自动进行分类，降低耗时，提高分类效率。

技术领域

本发明涉及信息安全技术领域，具体涉及一种动静态特征结合的僵尸程序 检测与分类方法。

背景技术

僵尸程序是攻击者完成入侵某台计算机之后，在被感染的计算机上部署的 用于完成攻击目的的恶意程序。在被感染的计算机上部署僵尸程序组成僵尸网 络，攻击者就能够实施各种攻击手段。

近年来，物联网技术得以迅速发展，这使得网络攻击者将目标瞄准到了物 联网设备上，寄生于物联网设备的僵尸程序开始大批量出现。云计算技术的进 步使僵尸程序的发展得以增速，攻击者只需要在云端花费很低的成本申请虚机 资源，就可以利用这些资源快速构建僵尸网络，发起僵尸网络攻击变得更加低 廉迅速，一些攻击者采用非法盗取的信用卡进行支付，这就隐藏了攻击者的身 份，无法做到实名制的管理。并且在云环境中，用户数目很大，良莠不齐，用 户并不能都具有很好的安全观念，虚机操作系统和应用的可利用漏洞或弱口令 数目很多，这就导致很多虚拟机被入侵，成为了僵尸网络的“肉鸡”。

目前针对僵尸程序的研究主要针对的是僵尸程序的入侵检测上，对僵尸程 序根据家族进行分类的研究较少。主要是对恶意代码的源码以及反汇编生成的 asm格式文件和bytes文件进行分析。

目前针对僵尸程序的研究主要针对的是僵尸程序的入侵检测上，对僵尸程 序进行家族分类的研究较少。僵尸程序的检测方法有：

1)使用面向对象的关联挖掘方法在Windows API的执行序列上进行检测。

2)在反编译文件中提取与数据流相关的API，然后用改进的K-邻近算法来 检测僵尸程序。

3)基于语义的检测方法，该方法认为恶意代码的行为与语义特征息息相关， 采用抽象解释方法检测恶意行为从而检测恶意程序。

4)对P2P僵尸程序反汇编，进而分析其传播和恶意行为，对僵尸程序特性 进行了总结，利用僵尸程序的特性对僵尸程序进行检测。

5)通过模拟真实的环境让恶意代码运行，从而捕捉恶意软件与系统的交互 来获取其行为特征。

如：捕获僵尸程序运行时的api、对僵尸网络产生的流量进行分析。

目前对僵尸程序的研究，主要还是集中在僵尸程序的入侵检测上，对其进 行家族分类的相关研究较少，僵尸程序的家族分类仍是一个有待攻克的难题。

当前对僵尸程序进行家族分类时，主要采用的是人工逆向工程方法，该方 法不仅耗时长，效率低下，而且对分析人员的专业素养要求较高，这些问题是 的人工逆向分析难以解决大批量的僵尸程序。

发明内容

有鉴于此，本发明提出了一种动静态特征结合的僵尸程序分类方法，能够 自动进行分类，降低耗时，提高分类效率。

为了解决上述技术问题，本发明是这样实现的。

一种动静态特征结合的僵尸程序检测与分类方法，基于静态特征信息，进 行僵尸程序检测；检测过程中的特征选择采用了采用改进的TF-IDF算法，改进 的TF-IDF算法是在TF-IDF算法计算TF-IDF权重时加入类区分度因子GF，用 于表征特征项在某一类别中的出现程度与在其他所有类别中出现程度的比例；