[发明专利]基于状态层的软件行为建模方法

摘要

本发明是一种基于状态层的软件行为建模方法。首先，截获软件正常执行时的系统调用序列,利用隐马尔科夫模型（以下简称隐马模型）将系统调用序列转化为状态序列；然后，根据状态序列建立状态转移图；最后，根据软件自身功能，抽取出敏感功能的状态序列，建立局部敏感功能图。该模型从系统调用的基础上抽取出更高层的行为模式，并根据软件的实际执行过程和功能建图，因此对软件行为的描述更加准确完备，存储更加简单，并对图赋予了实际的语义。该模型对软件行为的描述更加准确，隐马判断状态的正确率高达95%以上。

主权项

1.基于状态层的软件行为建模方法，其特征在于；包括以下步骤：首先进行序列模式的提取：截获软件正常执行时的系统调用序列，挖掘出所有序列模式；然后进行状态层的推导：先利用隐马模型的学习问题为每个序列模式建立一个隐马模型，再利用隐马的评估问题判定状态；最后根据状态序列建立状态转移图：在建图之前，先给出相关概念和定义；定义1STG是一个三元组，STG＝{V，E，W}；V是图中的节点，即已知状态集，E是连接图中节点的有向边的集合，W是权值，表示某条边出现次数与所有边出现总次数的比值，定义2状态距离D：为两个不同状态之间的距离，用以判断两个状态的相似程度；两状态分别对应的系统调用序列，设短的序列为l_min，序列长度为l₁，长的序列为l_max，序列长度为l₂，先将l_min的第一位与l_max的第一位对齐，处在相同位置的数值如果相同记为0，不同记为1，将记录的值相加之后除以短的序列长度l₁，记为R；然后l_min向后滑动一位，也就是将l_min的第一位与l_max的第二位对齐，再进行一次上述操作，记录R₂，直到l_min的末尾与l_max的末尾对齐为止，然后计算定义3入度in+STG中终止于某顶点的边的权值之和称为该顶点的入度；定义4出度out-STG中起始于某顶点的边的权值之和称为该顶点的出度；建图的方法和图论里的方法相同，还要满足以下两条规则：规则1小概率分支删除规则建图的时候，删除权值小于0.08的边，如果某个顶点的出度和入度都没有达到0.08，此顶点也一并删除；规则2等价状态合并规则两状态之间如果存在边，且距离D小于0.5可以合并；合并过程如下：顶点：顶点由两个变成一个边：两状态之间的边直接删除，两状态与其他状态之间的边保留；权值：因其与边相对应，所以如果保留了两条相同的边，则将其权值相加，只保留一条同样的边即可；入度：为合并之前两状态的入度之和减去两状态之间的边的权值；出度：为合并之前两状态的出度之和减去两状态之间的边的权值；状态图根据推导出的状态序列以及规则1和2直接生成，包括状态和状态之间的路径，局部敏感功能图单独建立，建图方法与状态转移图的建立方法一样，需要记录权值，其中包括状态、路径和权值。