[发明专利]一种恶意代码行为特征提取方法在审
| 申请号: | 201810234875.6 | 申请日: | 2018-03-21 |
| 公开(公告)号: | CN108446561A | 公开(公告)日: | 2018-08-24 |
| 发明(设计)人: | 王方伟;王长广;张运凯;赵冬梅;张林伟;侯卫红;李青茹;曾水光;赵琛 | 申请(专利权)人: | 河北师范大学 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56 |
| 代理公司: | 北京彭丽芳知识产权代理有限公司 11407 | 代理人: | 彭丽芳 |
| 地址: | 050024 河北省石*** | 国省代码: | 河北;13 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 恶意代码 行为特征提取 代码执行 数学模型 行为特征 行为特征数据 仿真分析 目标参数 数据模型 特征数据 信息通过 行为序列 虚拟执行 指令序列 输入量 准确率 | ||
1.一种恶意代码行为特征提取方法,其特征在于,包括如下步骤:
S1、根据恶意代码执行信息的不同,设定对应的行为特征,建立代码执行信息与行为特征一一对应的数学模型;
S2、通过虚拟执行器进行恶意代码的运行,提取恶意代码的执行信息,该执行信息包括执行指令序列和行为序列;
S3、以获取的代码执行信息为数据模型的输入量,得到恶意代码的行为特征数据。
2.如权利要求1所述的一种恶意代码行为特征提取方法,其特征在于,所述数学模型内设有一虚拟作动模块,用于与数学模型建立模块中的各元素建立关系后,在指定的范围内对参数进行变动,从而驱动各种仿真分析方法针对不同的参数进行计算求解。
3.如权利要求1所述的一种恶意代码行为特征提取方法,其特征在于,所述述虚拟参数作动模块所输入的数据均与仿真分析方法中的相关元素有着直接或间接的对应关系。
4.如权利要求1所述的一种恶意代码行为特征提取方法,其特征在于,所述数学模型内设有若干虚拟参数模块,为在所建立的数学模型中插入能达到直接获取相应的结果或信息目标的逻辑单元,可根据仿真分析方法的目标参数进行自定义。
5.如权利要求1所述的一种恶意代码行为特征提取方法,其特征在于,所述数学模型基于Simulink构建。
6.如权利要求1所述的一种恶意代码行为特征提取方法,其特征在于,所述步骤S3具体包括如下步骤:
S31、对恶意代码资源和组成结构的解析;
S32、对步骤S31的解析结果进行分析和归一化处理,得到执行指令序列和行为序列对应的权重;
S33、通过对执行指令序列和行为序列的解析,得到执行指令序列和行为序列对应的模糊向量;
S34、将执行指令序列和行为序列对应的权重和模糊向量输入数学模型,得到恶意代码的行为特征数据。
7.如权利要求6所述的一种恶意代码行为特征提取方法,其特征在于,所述步骤S32基于灰色关联分析法进行权重的获取。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于河北师范大学,未经河北师范大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201810234875.6/1.html,转载请声明来源钻瓜专利网。
