[发明专利]一种恶意代码家族API序列挖掘方法

说明书

本发明是运用模式挖掘技术挖掘恶意代码家族的家族最大频繁API序列，并将其作为家族行为特征。同一恶意代码家族的恶意行为模式具有相同或相似的行为模式，恶意行为的实现必然包含关键API调用的组合，本发明用于挖掘恶意代码家族的公共频繁API序列特征，最大频繁API序列可以恢复出所有频繁API序列，同时本发明将家族内部行为演化性考虑在内，根据最大API序列在其频繁时间段的支持率进行挖掘，可以挖掘出更全面的家族API序列。

技术领域

本发明主要运用序列模式挖掘技术对恶意代码家族的家族API序列。首先提出一种挖掘家族样本动态API序列集的最大频繁API序列的方法，然后根据家族内部特征存在演化性，将样本的时间特征考虑在内，根据最大频繁API序列在其频繁时间段的支持率进行挖掘，可以挖掘出更全面的家族API序列。

背景技术

新增恶意代码中的绝大多数都是有家族性的，它们虽然有不同的代码，但它们在恶意行为模式上比较固定，拥有相同的行为模式，这说明它们中很多具有相同的目的和源。恶意代码开发者越来越趋向团队合作，通过不断更新恶意代码家族的代码来逃避杀毒软件和对抗新的分析技术，恶意代码家族内部存在演化性，其恶意行为特征也随时间在发生变化。 基于API调用序列特征并通过机器学习方法可以对恶意代码进行分类或者聚类，如何挖掘出恶意代码中具有代表性的恶意行为特征是这类方法的关键。

针对当前绝大多数新增恶意代码属于已知家族这一特点，基于家族特征的恶意代码检测是一种很不错的方法。当前基于家族特征的恶意代码检测方法虽然具有较好的效果，但是大多数挖掘家族特征的方法没有重视家族内部行为特征的演化性，所以可以进一步优化。如果能考虑到家族内部特征的差异性，能按照时间段进行区分，可以挖掘出更全面的家族API序列。本发明在传统的方法上提出改进，能够挖掘出更好的家族特征。

发明内容

本发明是通过Cuckoo恶意代码动态分析系统得到家族样本集的动态分析结果，提取样本动态API序列，最后得到家族样本的动态API序列集。提出从家族样本动态API序列集中挖掘出最大频繁API序列的方法，该方法不考虑API函数的连续性，注重的是它们之间的顺序组合关系，其不仅适用于不连续的API序列集，同时也适用于不同长度的API序列集，并且保留了原API序列中API函数的顺序性。在最大频繁API序列的基础上考虑时间因素，进一步提出本文的家族API序列挖掘方法。

采用cuckoo动态分析系统获取家族动态API序列集，使用cuckoo动态分析系统分析家族样本，得到包含API调用的动态分析记录文件；从分析记录文件中按照调用顺序提取API调用序列，得到动态API序列；提取样本的创建时间pe_timestamp，为动态API序列进行时间标记；在进行模式挖掘之前，需要为每个动态API序列进行剪枝；本发明通过去重、筛选、去重三步对动态API序列完成剪枝。

从家族样本的动态API序列集中挖掘出家族近似频繁API序列，从动态API序列集中找出所有支持度大于初始阈值Sup_min的最大API序列。

根据其频繁时间段支持率，从家族最大近似频繁API序列集中找出所有支持率大于或等于最小支持率阈值RateOfSup_min的，即为本发明挖掘的家族API序列。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1是本发明提供的家族API序列挖掘的框架图。

图2是本发明提供的动态API序列剪枝的流程图。

图3是本发明提供的搜索可扩展项的示意图。

图4是本发明提供的最大频繁API序列挖掘的流程图。