[发明专利]恶意代码典型攻击行为检测方法及系统

权利要求书

1.恶意代码典型攻击行为检测方法，其特征在于，包括如下步骤：

S1、在沙箱环境中运行恶意代码，从生成的动态分析报告中提取动态系统调用API序列以及原始本体知识序列；

S2、针对所述动态系统调用API序列中的每个API均计算分类贡献度，并按照分类贡献度从大到小进行排序，即为恶意性排序，得到恶意性排序序列

S3、按照所述恶意性排序序列顺序，顺次选取API作为搜索起点；

S4、在所述原始本体知识序列中找到所述搜索起点所处的位置A，在所述原始本体知识序列中，从位置A开始，分别进行前向遍历搜索和后向遍历搜索，提取出与所述搜索起点同属于一个行为类型的API对应本体知识元组，组成本体知识串；

S5、以所述本体知识串所代表的恶意代码典型攻击行为作为检测结果。

2.如权利要求1所述的方法，其特征在于，所述动态系统调用API序列包括所述恶意代码运行过程中系统调用的所有API；

所述原始本体知识序列由每个API对应的本体知识元组组成；每个本体知识元组包含API及其操作对象。

3.如权利要求1所述的方法，其特征在于，所述前向遍历搜索具体为：

取位置A的前一位置对应API，若前一位置对应API的行为类型与所述搜索起点对应API的行为类型一致，则将前一位置对应API的本体知识元组添加到前向本体知识子串中，并更新位置A为前一位置，重复执行前向遍历搜索，直至前一位置对应API的行为类型与所述搜索起点对应API的行为类型不一致为止；

所述后向遍历搜索具体为：

取位置A的后一位置对应API，若后一位置对应API的行为类型与所述搜索起点对应API的行为类型一致，则将后一位置对应API的本体知识元组添加到后向本体知识子串中，并更新位置A为后一位置，重复执行后向遍历搜索，直至后一位置对应API的行为类型与所述搜索起点对应API的行为类型不一致为止；

所述前向遍历搜索和后向遍历搜索结束后，得到的前向本体知识子串和后向本体知识子串组合为本体知识串。

4.如权利要求1、2或3所述的方法，其特征在于，所述S3中，顺次取恶意性第i位API作为搜索起点，i初始值为1；

所述S4中，增加对所述本体知识串中本体知识元组数量的判断，若所述本体知识串中本体知识元组数量小于设定阈值，则i自增1，返回S3；

所述设定阈值依据经验进行设定。

5.如权利要求1、2或3所述的方法，其特征在于，API的行为类型主要包括文件操作、系统操作、进程/线程操作、注册表操作、存储操作、内核操作、网络操作、设备操作、窗口操作以及文本操作。

6.恶意代码典型攻击行为检测系统，其特征在于，包括数据采集模块、数据预处理模块、本体知识串提取模块以及行为检测模块；

所述数据采集模块，用于在沙箱环境中运行恶意代码，从生成的动态分析报告中提取动态系统调用API序列以及原始本体知识序列，送入所述数据预处理模块；

所述数据预处理模块，用于针对所述动态系统调用API序列中的每个API均计算分类贡献度，并按照分类贡献度从大到小进行排序，即为恶意性排序，得到恶意性排序序列送入所述本体知识串提取模块；

所述本体知识串提取模块，用于按照所述恶意性排序序列顺序，顺次选取API作为搜索起点；在所述原始本体知识序列中找到所述搜索起点所处的位置A，在所述原始本体知识序列中，从位置A开始，分别进行前向遍历搜索和后向遍历搜索，提取出与所述搜索起点同属于一个行为类型的API对应本体知识元组，组成本体知识串，送入所述行为检测模块；

所述行为检测模块，用于以所述本体知识串所代表的恶意代码典型攻击行为作为检测结果。

7.如权利要求6所述的系统，其特征在于，所述动态系统调用API序列包括所述恶意代码运行过程中系统调用的所有API；

所述原始本体知识序列由每个API对应的本体知识元组组成；每个本体知识元组包含API及其操作对象。