[发明专利]一种识别计算机软件行为的谱方法

摘要

本发明公开了一种识别计算机软件行为的谱方法：(1)构造软件行为表示模型；(2)提取软件行为特征；(3)度量软件行为相似性。本发明的有益效果是：从表示软件行为的底层特征中抽象出高层的软件行为特征，从语义层面描述软件的行为；通过计算机程序的DHMM(离散隐马尔科夫模型)建模及谱分解方法，定量地表达程序所具有的软件行为特征，根据表示模型和行为特征的相似性识别恶意软件。

主权项

一种识别计算机软件行为的谱方法，其特征在于，它由以下步骤实现：(1)构造软件行为表示模型：用DHMM的模型参数二元组(A*，B*)表示S或G的软件行为；(2)提取软件行为特征：对矩阵A*进行谱分解，提取软件行为特征D；(3)软件行为相似性度量：根据B*和D计算两个计算机程序之间、或两个计算机程序组之间、或一个计算机程序与一个程序组之间的软件行为相似性；所述步骤(1)构造软件行为表示模型，分两种情况：第一种情况：单个计算机程序的软件行为表示模型S具有M种软件行为，每种行为与DHMM(S)的一个隐状态相对应；用模型(A*，B*)表示S的软件行为，具体实施步骤如下：设定隐状态的数目M，并给定初始状态概率分布C；输入计算机程序S；调用一种DHMM训练算法求取令P[S|A，B，C]最大化的模型参数A和B，分别记为A*和B*；第二种情况：计算机程序组的软件行为表示模型对于计算机程序组G＝{S₁，S₂，...，S_N)，G具有M种软件行为，每种行为与DHMM(S₁)，DHMM(S₂)，...，DHMM(S_N)共有的一个隐状态相对应；用模型(A*，B*)表示G的软件行为，具体实施步骤如下：设定隐状态的数目M，并给定初始状态概率分布C；输入G中的所有计算机程序S₁，S₂，...，S_N；调用一种DHMM训练算法求取令P[S₁|A，B，C]×P[S₂|A，B，C]×...×P[S_N|A，B，C]最大化的模型参数A和B，分别记为A*和B*；所述步骤(2)提取软件行为特征中，软件行为特征用M×M的矩阵D＝{d_ij}_M×M来表示，D的第i(i＝1，2，...，M)行元素构成一个行向量D_i＝<d_i1，d_i2，...，d_iM>，具体实施步骤如下：输入计算机程序S或计算机程序组G的软件行为模型(A*，B*)；对矩阵A*进行谱分解操作，将之分解为A*＝X∑X¹，其中∑是一个对角矩阵，其每一个对角线上的元素是A*的一个特征值，矩阵X的每个行向量是与特征值相对应的特征向量；将∑中的M个特征值按数值大小排序；排序后的第1个特征值所对应的X的特征向量记为D₁，第2个特征值所对应的X的特征向量记为D₂，以此类推，排序后的第i个特征值所对应的X的特征向量记为D_i，i＝1，2，...，M；所述步骤(3)使用步骤(1)输出的软件行为模型(A*，B*)和步骤(2)输出的软件行为特征D，计算两个程序之间分别用T₁和T₂表示、单个程序用T₁表示与一个程序组用T₂表示之间、或两个程序组分别用T₁和T₂表示之间的软件行为相似度或相异度，相异度越高则相似度越低，反之亦然；相似度越高表示T₁和T₂具有越相似的软件行为；软件行为相似性度量使用两种矩阵：软件行为表示模型中的B*和软件行为特征D，为区别起见，T₁的这两个矩阵用₁B*和₁D表示，T₂的矩阵用₂B*和₂D表示；具体实施步骤如下：设定矩阵间的相异度dist(Y，Z)，其中Y和Z表示任意的两个同阶矩阵；输入₁B*、₁D、₂B*和₂D；使用公式[dist(₁B*，₂B*)]^α×[dist(₁D，₂D)]^β衡量T₁和T₂之间的软件行为相异度，其中α和β是两个大于或等于0的实数。