[发明专利]一种基于频繁项集挖掘的沙箱知识库生成方法和装置

说明书

本发明提供了一种基于频繁项集挖掘的沙箱知识库生成方法和装置，方法包括：获取样本数据集并进行标注；利用沙箱对样本的主机行为和网络行为进行监控，利用样本指令嵌入算法对样本行为文件进行预处理并生成样本指令片段嵌入集合；利用多种算法获取样本家族的关联规则集合；对样本家族的关联规则集合进行分解，过滤样本合法的频繁行为模式，对剩下的频繁行为模式进行恶意样本家族标注，通过嵌入向量映射获取可读的恶意行为模式描述，生成恶意样本沙箱的行为知识库。本发明可以大规模分析样本的行为数据，提高了沙箱行为知识库的质量和生成效率，允许沙箱自动识别具有类似行为的新型恶意样本，有效检测采用混淆和其他多态变形技术的APT样本。

技术领域

本发明涉及恶意代码动态检测领域，尤其涉及一种基于频繁项集挖掘的沙箱知识库生成方法和装置。

背景技术

恶意样本是当今Internet上的主要威胁之一，从经典的计算机病毒到蠕虫、僵尸网络和APT（Advanced Persistent Threat，APT）样本，恶意样本威胁可以说无处不在。与此同时，恶意样本的数量和多样性也在不断增加，这就导致传统的特征检测技术（如反病毒程序）失效。为了防止恶意样本在网络中的快速传播，反恶意样本的开发人员在很大程度上依赖于对新颖变体的人工分析来设计相应的防御措施。但是，由于恶意样本编写者经常采用混淆技术（例如二进制打包程序，加密或自适应修改代码）来阻碍分析。因此，对恶意样本进行持续大规模分析难度较大。过去，研究人员提出了大量新颖的技术对恶意样本二进制文件的静态分析特别有效。但是，与静态分析技术相比，在运行时对二进制文件进行动态分析以监控恶意样本的行为，这种行为很难掩盖，并且通常指示恶意活动。因此，近来大量研究集中在开发用于收集和监视恶意样本运行的工具。尽管在运行时监控样本行为已经成为研究恶意样本行为的一种可靠技术手段，但仅监控不足以减轻恶意样本传播的威胁。需要的是能够自动分析恶意样本行为的能力，以便可以有效地识别和缓解新型、变种样本的检测压力。

发明内容

为了解决上述技术问题，本发明提供一种基于频繁项集挖掘的沙箱知识库生成方法和装置，能够有效地分析恶意样本的行为，从而为及时防御产品开发提供基础。同时，结合用于构建检测模式和启发式方法的前沿技术，基于频繁项集挖掘的沙箱知识库生成技术可以显著增强在与恶意样本开发者对抗中的优势。

本发明是这样实现的，提供一种基于频繁项集挖掘的沙箱知识库生成方法，包括如下步骤：

1）获取样本数据集，利用多AV扫描方法和基因图谱聚类方法对样本进行家族标注，区分白样本以及多种同源恶意样本家族，获得标注后的白样本集合和恶意样本集合，统称为标注后的样本集合；

2）获取标注后的样本集合，利用沙箱方法对白样本集合以及恶意样本集合的主机行为和网络行为进行监控，生成白样本行为文件和恶意样本行为文件，对生成的样本行为文件进行分布式预处理并提取样本指令片段，利用样本指令嵌入算法生成样本指令片段嵌入向量集合；

3）获取样本指令片段嵌入向量集合，根据样本行为模式的定义，联合利用频繁项集挖掘、关联规则生成算法和频繁项集更新算法获取白样本集合以及恶意样本集合的关联规则集合；

4）对白样本集合以及恶意样本集合的关联规则集合进行分解，利用样本的合法行为模式过滤恶意样本的频繁行为模式集合，并对不同的频繁行为模式进行恶意样本家族标注，最后通过嵌入向量映射获取可读的恶意行为模式描述，进而生成恶意样本沙箱的行为知识库。

优选地，所述步骤1）具体包括：

101）多阶段复合的恶意样本标注方法，首先获取样本数据集，利用多种杀毒软件批量对样本进行扫描；

102）对扫描结果进行分析，对于待分析样本，若，则判定为白样本，若，则判定为灰样本，过滤灰样本，若，则判定为恶意样本，其中表示多AV方法判定待分析样本为恶意样本的不重复个数，和为设定的判定阈值的下限和上限，利用多AV投票机制标注家族信息，获得恶意样本集合；