[发明专利]基于多环境的逃避行为检测方法

权利要求书

1.一种基于多环境的逃避行为检测方法，包括如下步骤：

S1. 获取待分析的程序；

S2. 采用多环境虚拟化沙箱分析步骤S1获取的待分析程序；

S3. 提取每一个样例在每一个沙箱中的行为分析报告中的API调用序列；

S4. 将步骤S3获取的API调用序列转换为API字符序列；

S5. 基于Smith-waterman算法，对同一个样例在不同沙箱中的API字符序列进行对比检测；具体为采用如下步骤进行对比检测：

1）将步骤S4获取的API字符序列作为输入；

2）采用Smith-waterman算法，实现两个API字符序列之间的最优对齐；

3）将步骤2）得到的字符序列中的差异点置空；

S6. 提取步骤S5中的对比检测结果中的差异子序列；

S7. 计算步骤S6得到的差异子序列的Levenshtein距离，并对同一个样例在多环境下的API字符序列进行两两对比，从而判定待分析的程序是否存在逃避检测行为；具体为采用如下步骤进行判定：

ⅰ. 计算两个序列之间的编辑距离；编辑距离的计算公式为，其中S1和S2表示经过API序列对比之后存在的差异子序列，为差异子序列S1和S2之间的编辑距离，为差异子序列S1和S2相同所需要经过的编辑次数，为差异子序列S1和S2的最大长度；

ⅱ. 获取两个序列之间的最大长度；

ⅲ. 计算编辑距离与最大长度的比例，从而得到Levenshtein距离；

ⅳ. 根据两个子序列之间的Levenshtein距离判断是否存在逃避行为。

2.根据权利要求1所述的基于多环境的逃避行为检测方法，其特征在于步骤S2所述的采用多环境虚拟化沙箱分析步骤S1获取的待分析程序，具体为采用如下步骤进行待分析程序的分析：

A. 采用自动化动态分析工具，对待分析程序进行自动化行为捕获；

B. 采用若干种虚拟机工具搭建若干种不同的沙箱，并将待分析的程序在在所搭建的沙箱中进行运行，从而促使待分析的程序在不同环境下展现不隐藏的行为；

C. 获取待分析程序的行为报告，并提取行为报告中待分析程序的API调用信息；

D. 根据步骤C获取的API调用信息，对比API种类和API调用次数，从而筛选出可能存在的逃避行为。

3.根据权利要求2所述的基于多环境的逃避行为检测方法，其特征在于所述的自动化动态分析工具为Cuckoo；所述的虚拟机工具分别为VirtualBox工具、KVM工具和VMware工具。

4.根据权利要求3所述的基于多环境的逃避行为检测方法，其特征在于步骤S3所述的提取每一个样例在每一个沙箱中的行为分析报告中的API调用序列，具体为采用如下步骤提取API调用序列：

a. 过滤掉无行为的样例报告；

b. 过滤掉无API调用的样例报告；

c. 提取API调用序列；

d. 提取API调用种类和数量。

5.根据权利要求4所述的基于多环境的逃避行为检测方法，其特征在于步骤S4所述的将步骤S3获取的API调用序列转换为API字符序列，具体为采用如下步骤进行转换：

（1）将获取的API调用序列按照进程进行切割；

（2）将步骤（1）得到的切割后序列，根据API调用时间的顺序，将API序列映射成为一个字符序列。

6.根据权利要求5所述的基于多环境的逃避行为检测方法，其特征在于步骤S6所述的提取步骤S5中的对比检测结果中的差异子序列，具体为采用如下步骤提取差异子序列：

Ⅰ. 获取步骤S5得到的对比结果中两个序列中的置空位；

Ⅱ. 截取某一序列中置空位在另一个对应序列中对应位置上的字符，从而得到差异子序列。

7.根据权利要求6所述的基于多环境的逃避行为检测方法，其特征在于步骤ⅳ所述的根据两个子序列之间的Levenshtein距离判断是否存在逃避行为，具体为采用如下规则判定是否存在逃避行为：

将同一个样例在各种环境下的API字符序列进行两两对比：若对比中存在一次对比的Levenshtein距离低于设定的阈值，则认定待检测的程序存在逃避检测行为；否则认为待检测的程序不存在逃避检测行为。