[发明专利]一种抗干扰的环境敏感型恶意软件行为相似性评测方法和装置

权利要求书

1.一种抗干扰的环境敏感型恶意软件行为相似性评测方法，其特征在于，包括以下步骤：

1)将可疑软件放置于多种不同的执行环境中，记录可疑软件的行为序列；

2)对可疑软件的行为序列进行规范化处理；

3)对可疑软件的行为序列进行去干扰处理；

4)计算并比较去干扰处理后的行为序列的相似性；

5)基于行为序列的相似性，判断可疑软件是否为环境敏感型恶意软件；

其中，步骤4)基于余弦算法实现多行为序列相似性算法，利用所述多行为序列相似性算法计算并比较消除干扰行为后的行为序列相似性；

其中，步骤5)基于行为序列的相似性分析定义相似分数，若相似分数大于阈值，则认为可疑软件不是环境敏感型恶意软件；若相似分数小于阈值，则判断可疑软件是环境敏感型恶意软件；

令X＝{x1,x2,x3,…xn}，Y＝{y1,y2,y3,…ym}，其中x1～xn，y1～ym每一项都代表一个行为序列，令L(X)表示集合X的元素个数，L(Y)表示集合Y的元素个数，S＝X∩Y表示集合X和集合Y的交集，则所述相似分数的计算公式为：

其中，

其中，β是一个可配置的参数；x是集合X中的一个元素，y是集合Y中的一个元素；A是一个由集合X转换而来的向量集合，并且Ai∈A，同理B是一个由集合Y转换而来的向量集合，并且Bi∈B。

2.如权利要求1所述的方法，其特征在于，所述多种不同的执行环境包括沙盒环境、虚拟机环境、Hypervisor环境和调试环境，可疑软件在不同的执行环境中执行，记录其行为序列。

3.如权利要求1所述的方法，其特征在于，通过建立行为序列模型进行所述规范化处理，所述行为序列模型将行为序列作为一个四元组，所述四元组包括对象的类型、对象的名称、操作的名称以及相应的属性。

4.如权利要求3所述的方法，其特征在于，所述规范化处理包括：将BP统一的转换为小写形式或统一转换为大写形式；将SID设置为一个固定的值；执行去重操作。

5.如权利要求3所述的方法，其特征在于，通过所述去干扰处理消除干扰行为，包括：首先从头开始扫描行为序列中的每一条行为或操作，如果对于定义的四元组每一项都相同，那么记录此时的位置；然后继续执行扫描工作直到所有共同的行为序列都被找到为止；最后，根据记录的位置删除这些相同的行为序列。

6.一种采用权利要求1至5中任一权利要求所述方法的抗干扰的环境敏感型恶意软件行为相似性评测装置，其特征在于，包括：

行为序列记录模块，用于在多种不同的执行环境中执行可疑软件，并记录可疑软件的行为序列；

规范化处理模块，用于对可疑软件的行为序列进行规范化处理；

去干扰处理模块，用于对可疑软件的行为序列进行去干扰处理；

相似性计算模块，用于计算并比较去干扰处理后的行为序列的相似性；

恶意软件判定模块，用于基于行为序列的相似性，判断可疑软件是否为环境敏感型恶意软件。

7.一种服务器，其特征在于，包括存储器和处理器，所述存储器存储计算机程序，所述计算机程序被配置为由所述处理器执行，所述计算机程序包括用于执行权利要求1至5中任一权利要求所述方法中各步骤的指令。