国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      基于行為片段共享的惡意軟件特征聚類分析方法及系統(tǒng)的制作方法

      文檔序號:6617095閱讀:306來源:國知局
      專利名稱:基于行為片段共享的惡意軟件特征聚類分析方法及系統(tǒng)的制作方法
      技術(shù)領(lǐng)域
      本發(fā)明涉及計算機(jī)網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,具體涉及一種針對分布在網(wǎng)絡(luò)各地的采集分析節(jié)點如何實現(xiàn)高效交互信息從而能夠?qū)Ρ镜貝阂廛浖颖具M(jìn)行準(zhǔn)確聚類和分析的基于行為片段共享的惡意軟件特征聚類分析方法及系統(tǒng)。
      背景技術(shù)
      根據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心互聯(lián)網(wǎng)安全威脅報告中術(shù)語的定義,惡意軟件是指在未經(jīng)授權(quán)的情況下,在信息系統(tǒng)中安裝、執(zhí)行以達(dá)到不正當(dāng)目的的程序。惡意軟件主要包括1)特洛伊木馬(Trojan Horse),以盜取用戶個人信息,甚至是遠(yuǎn)程控制用戶計算機(jī)為主要目標(biāo)的惡意軟件。2)僵尸程序,用于構(gòu)建大規(guī)模攻擊平臺的惡意軟件。按照使用的通信協(xié)議,僵尸程序可進(jìn)一步分為IRC (Internet Relay Chat)僵尸程序、HTTP (HypertextTransfer Protocol)僵尸程序、P2P (peer-to-peer)僵尸程序等。3)螺蟲,指能自我復(fù)制 和廣泛傳播,以占用系統(tǒng)和網(wǎng)絡(luò)資源為主要目的的惡意軟件。4)病毒,通過感染計算機(jī)文件進(jìn)行傳播,以破壞或篡改用戶數(shù)據(jù),影響信息系統(tǒng)正常運行為主要目的惡意軟件。惡意軟件的檢測與分析正變得越來越困難,主要表現(xiàn)在以下三個方面。I)惡意軟件數(shù)量巨大并且成指數(shù)級增長,賽門鐵克公司一系列網(wǎng)絡(luò)安全威脅報告(SymantecInternet SecurityThreat Report)指出目前惡意軟件數(shù)量巨大并成指數(shù)級增長,賽門鐵克公司在2011年共發(fā)現(xiàn)4億新的惡意軟件樣本,平均每天110萬。這樣巨大的惡意軟件樣本給惡意軟件檢測系統(tǒng)如何正確識別、歸類、描述惡意軟件帶來巨大挑戰(zhàn)。2)惡意軟件的行為呈現(xiàn)出更強(qiáng)的多樣性,通過消息加密、變換傳播途徑、多態(tài)等技術(shù),同一種惡意軟件的不同樣本表現(xiàn)出不同的行為,難以對觀察到的惡意軟件樣本進(jìn)行正確有效分析。3)惡意軟件的樣本在空間上廣泛分布并且具有很高的隱蔽性,因此單一局域網(wǎng)或企業(yè)網(wǎng)能夠觀察到的同一種惡意軟件的樣本數(shù)目非常有限。由于惡意軟件行為的多樣性,在樣本數(shù)目有限的情況下,無法獲取惡意軟件的本質(zhì)特征,分析準(zhǔn)確性無法保證。因此惡意軟件分析系統(tǒng)一般采用分布采集方式覆蓋足夠多的惡意軟件樣本。賽門鐵克公司的研究人員在網(wǎng)絡(luò)安全頂級會議 SP' 11 (IEEE Symposium on SecurityandPrivacy2011)撰寫短文(BenchmarkingComputer SecurityUsingffINE)指出該公司在全球部署了 24萬惡意軟件采集節(jié)點。當(dāng)前研究人員提出了許多惡意軟件分析方法,但其中絕大部分都是集中式分析方法。專利“一種惡意軟件行為特征提取方法”(專利號200910237422.X)提出首先在硬件模擬器運行惡意軟件,并通過在硬件模擬器翻譯層添加一反匯編引擎獲得惡意軟件的指令序列,然后采用動態(tài)污點傳播的方法構(gòu)建惡意軟件的控制依賴圖和數(shù)據(jù)依賴圖,最后根據(jù)依賴圖進(jìn)行相似性聚類,并為每類提取行為特征。學(xué)者Ulrich Bayer等在網(wǎng)絡(luò)安全國際頂級會議 NDSS2009 (16th Annual Network&Distributed System SecuritySymposium)發(fā)表論文“Scalable, Behavior-Based Malware Clustering”,與專利“一種惡意軟件行為特征提取方法”一樣首先采用動態(tài)二進(jìn)制代碼分析技術(shù)獲得惡意軟件的執(zhí)行軌跡(指令序列等),然后為了提高分析準(zhǔn)確性同時提高分析速度,作者將執(zhí)行軌跡表示成資源對象、對資源對象的操作以及操作之間的依賴關(guān)系的抽象表示,降低了惡意軟件的屬性維度,有限消除了惡意軟件在行為細(xì)節(jié)上由于采用多態(tài)技術(shù)帶來的影響,最后作者基于抽象表示對惡意軟件進(jìn)行聚類分析。除了基于惡意軟件主機(jī)行為進(jìn)行分析之外,研究成員還提出了較多的基于網(wǎng)絡(luò)流量對惡意軟件進(jìn)行分析的方法。學(xué)者Zhichun Li等在網(wǎng)絡(luò)安全國際頂級會議 SP ' 06 (IEEE Symposium on Security andPrivacy2006)發(fā)表論文“Hamsa :Fast Signature Generation for Zero-day Polymorphic WormsWithProvableAttackResilienee”,采用前綴數(shù)組提取同一類惡意軟件樣本間的共同字段,然后基于共同字段構(gòu)建惡意軟件流量特征。學(xué)者Roberto Perdisci等在網(wǎng)絡(luò)系統(tǒng)國際頂級會議 NSDI ' 10 (USENIX Symposium on Networked System Design andImplementation2010)上發(fā)表論文“Behavioral Clustering of HTTP-Based Malware andSignature Generation Using MaliciousNetwork Traces”,針對基于 HTTP 通信的惡意軟件,將惡意軟件訪問web的URL按結(jié)構(gòu)分為四部分請求方法(get、post等)、請求頁面地 址、請求參數(shù)名稱、請求參數(shù)值,賦予不同部分不同的權(quán)值,基于URL的這種結(jié)構(gòu)相似性聚類惡意軟件并為每一類提取該類內(nèi)惡意軟件樣本的URL特征。但是隨著惡意軟件樣本成指數(shù)級不斷增長,集中分析系統(tǒng)需要處理越來越多的惡意軟件樣本,同時聚類分析和特征提取都是計算開銷大的任務(wù),因此集中式惡意軟件分析面臨嚴(yán)重的計算瓶頸問題。為此不少開發(fā)人員采用不同途徑解決惡意軟件分析的計算瓶頸問題。專利“檢測惡意軟件樣本的網(wǎng)絡(luò)行為的方法及系統(tǒng)”(專利號201010107195. I)提出首先運行惡意軟件獲得其網(wǎng)絡(luò)通信行為,并從網(wǎng)絡(luò)通信行為中提取通信命令,最后測試這些通信命令追蹤惡意軟件的其它行為,以達(dá)到減少分析資源成本、降低計算開銷。學(xué)者 Jiyong Jang 在網(wǎng)絡(luò)安全頂級會議 CCS ' 11 (18th ACM Conference on Computerand Communications Security)發(fā)表論文“BitShred :Feature Hashing Malware forScalable Triage and Semantic Analysis”,提出米用屬性哈希(feature hashing)來極大的降低惡意軟件的維數(shù),降低聚類分析的計算開銷,提高惡意軟件分析的可擴(kuò)展性。然而通過降低惡意軟件屬性維數(shù)和減少分析量的方法只能有限緩減集中式系統(tǒng)的計算瓶頸問題,不能從根本上解決其分析惡意軟件的計算瓶頸問題。綜上所述,針對基于網(wǎng)絡(luò)的惡意軟件檢測,目前的單點采集分析技術(shù)存在采惡意軟件樣本有限、分析準(zhǔn)確性和有效性低的缺陷;而分布采集并集中分析的技術(shù),存在計算和通信瓶頸。且兩種惡意軟件分析技術(shù)都依賴人工專家,不能支持智能自動分析。分布式哈希表(DHT,Distributed Hash Table)通常用于分布式數(shù)據(jù)存儲和檢索,具有去中心化、可靠和良好的可擴(kuò)展性等特性。DHT網(wǎng)絡(luò)中,每個節(jié)點負(fù)責(zé)一個小范圍的路由處理及部分?jǐn)?shù)據(jù)對象(data)的存儲。DHT的基本原理是將每個數(shù)據(jù)資源對象表示成一個數(shù)據(jù)資源對象索引條目(Key,N0de)對,Key稱為關(guān)鍵字,是資源對象描述信息(如資源名、資源編號、資源內(nèi)容等)的哈希值,Node是實際存儲該資源對象的節(jié)點的描述信息(如IP地址、名稱等)。所有的數(shù)據(jù)資源對象索引條目(即所有的(Key,N0de)對)組成一個資源對象索引哈希表,只要輸入目標(biāo)資源對象的Key值(關(guān)鍵字值),就可以從該資源對象索引哈希表中查出存儲該資源對象的節(jié)點的地址或者其他描述信息。DHT的主要功能是將該資源索引哈希表分布化,將其分割成很多段小塊(局部哈希表),然后按照特定的規(guī)則把每一塊局部哈希表分配到系統(tǒng)中的一個參與節(jié)點上,使得每個節(jié)點負(fù)責(zé)維護(hù)其中的一塊局部哈希表。

      發(fā)明內(nèi)容
      本發(fā)明要解決的技術(shù)問題是提供一種分析準(zhǔn)確性高、分析性能強(qiáng)、可擴(kuò)展性好的基于行為片段共享的惡意軟件特征聚類分析方法及系統(tǒng)。為了解決上述技術(shù)問題,本發(fā)明采用的技術(shù)方案為一種基于行為片段共享的惡意軟件特征聚類分析方法,實施步驟如下I)在網(wǎng)絡(luò)中分別布置地理位置分散的采集分析節(jié)點,每一個采集分析節(jié)點負(fù)責(zé)一片網(wǎng)絡(luò)區(qū)域中惡意軟件樣本的采集和分析,在采集分析節(jié)點中建立用于構(gòu)建分布式哈希表的分布式哈希表模塊;2)所述采集分析節(jié)點將采集的惡意軟件樣本的行為分割為多個行為片段; 3)所述采集分析節(jié)點獲取行為片段的本地統(tǒng)計特性,將行為片段及其本地統(tǒng)計特性共享給分布式哈希表模塊,通過分布式哈希表模塊將行為片段及其本地統(tǒng)計特性存儲至分布式哈希表;通過不同的采集分析節(jié)點負(fù)責(zé)不同行為片段的全局特性統(tǒng)計,所述采集分析節(jié)點分別通過分布式哈希表中存儲的所述行為片段的所有本地統(tǒng)計特性統(tǒng)計獲取所負(fù)責(zé)行為片段的全局特性,并向各個發(fā)布所述行為片段的采集分析節(jié)點返回帶有全局特性的行為片段集合;4)收到帶有全局特性的行為片段集合的所述采集分析節(jié)點基于行為片段的全局特性計算行為片段集合中各個行為片段的權(quán)值,并根據(jù)惡意軟件樣本中各個行為片段的權(quán)值構(gòu)建所述惡意軟件樣本的特性向量;5)所述采集分析節(jié)點根據(jù)惡意軟件樣本的特性向量之間的距離對各個惡意軟件樣本進(jìn)行聚類得到聚類集合,分析聚類集合中的每一個聚類,提取該聚類的特征及屬性作為所述惡意軟件的綜合分析結(jié)果輸出。作為本發(fā)明基于行為片段共享的惡意軟件特征聚類分析方法的進(jìn)一步改進(jìn)所述步驟2)的詳細(xì)步驟如下;2. I)將惡意軟件樣本的行為視為順序執(zhí)行的行為序列,從所述順序執(zhí)行的行為序列中選擇固定長度的連續(xù)行為子序列作為分割得到的行為片段;或者根據(jù)惡意軟件樣本的行為操作數(shù)據(jù)之間的依賴關(guān)系建立行為依賴圖,從所述行為依賴圖中選擇獲取固定頂點數(shù)目的行為依賴子圖作為分割得到的行為片段;2. 2)采用啟發(fā)式規(guī)則選擇行為片段,得到包含多組固定數(shù)量行為片段的行為片段集合;2. 3)通過式(I)計算各個行為片段的局部特性權(quán)值; '4/,) = logHt Iol3y-(D式(I)中,F(xiàn)i為行為片段ti在正常程序行為中出現(xiàn)的頻率,Hi為惡意軟件樣本中包含該行為片段的比率;w(ti)為行為片段\的局部特性權(quán)值山為第i個行為片段;2.4)基于行為片段的局部特性權(quán)值構(gòu)建惡意軟件樣本的局部特性向量,局部特性向量的維度是行為片段按著一定順序的一個排列,某一惡意軟件樣本的局部特性向量某維的值由以下兩種情況決定如果惡意軟件樣本行為中具有該維所代表的行為片段的行為,則所述值等于該行為片段的局部特性權(quán)值;反之則所述值等于零;2. 5)通過式(2)計算行為片段集合中每一組行為片段與原始惡意軟件樣本的相似性,從所述行為片段集合中選擇相似性最大的一組行為片段作為代表行為片段;同時,如果選擇次數(shù)已達(dá)到預(yù)設(shè)次數(shù)次且行為片段集合存在一組行為片段與原始惡意軟件樣本的相似性大于等于O. 8,則停止選擇并將所述行為片段作為代表行為片段;
      權(quán)利要求
      1.一種基于行為片段共享的惡意軟件特征聚類分析方法,其特征在于實施步驟如下 1)在網(wǎng)絡(luò)中分別布置地理位置分散的采集分析節(jié)點,每一個采集分析節(jié)點負(fù)責(zé)一片網(wǎng)絡(luò)區(qū)域中惡意軟件樣本的采集和分析,在采集分析節(jié)點中建立用于構(gòu)建分布式哈希表的分布式哈希表模塊; 2)所述采集分析節(jié)點將采集的惡意軟件樣本的行為分割為多個行為片段; 3)所述采集分析節(jié)點獲取行為片段的本地統(tǒng)計特性,將行為片段及其本地統(tǒng)計特性共享給分布式哈希表模塊,通過分布式哈希表模塊將行為片段及其本地統(tǒng)計特性存儲至分布式哈希表;通過不同的采集分析節(jié)點負(fù)責(zé)不同行為片段的全局特性統(tǒng)計,所述采集分析節(jié)點分別通過分布式哈希表中存儲的所述行為片段的所有本地統(tǒng)計特性統(tǒng)計獲取所負(fù)責(zé)行為片段的全局特性,并向各個發(fā)布所述行為片段的采集分析節(jié)點返回帶有全局特性的行為片段集合; 4)在收到帶有全局特性的行為片段集合后所述采集分析節(jié)點基于行為片段的全局特性計算行為片段集合中各個行為片段的權(quán)值,并根據(jù)惡意軟件樣本中各個行為片段的權(quán)值構(gòu)建所述惡意軟件樣本的特性向量; 5)所述采集分析節(jié)點根據(jù)惡意軟件樣本的特性向量之間的距離對各個惡意軟件樣本進(jìn)行聚類得到聚類集合,分析聚類集合中的每一個聚類,提取該聚類的特征及屬性作為所述惡意軟件的綜合分析結(jié)果輸出。
      2.根據(jù)權(quán)利要求I所述的基于行為片段共享的惡意軟件特征聚類分析方法,其特征在于所述步驟2)的詳細(xì)步驟如下; . 2.1)將惡意軟件樣本的行為視為順序執(zhí)行的行為序列,從所述順序執(zhí)行的行為序列中選擇固定長度的連續(xù)行為子序列作為分割得到的行為片段;或者根據(jù)惡意軟件樣本的行為操作數(shù)據(jù)之間的依賴關(guān)系建立行為依賴圖,從所述行為依賴圖中選擇獲取固定頂點數(shù)目的行為依賴子圖作為分割得到的行為片段; .2.2)采用啟發(fā)式規(guī)則選擇行為片段,得到包含多組固定數(shù)量行為片段的行為片段集合; . 2.3)通過式(I)計算各個行為片段的局部特性權(quán)值;
      3.根據(jù)權(quán)利要求I所述的基于行為片段共享的惡意軟件特征聚類分析方法,其特征在于,所述步驟3)的詳細(xì)步驟如下 .3.I)所述采集分析節(jié)點調(diào)用分布式哈希表模塊得到所述行為片段的關(guān)鍵字值; .3.2)所述采集分析節(jié)點統(tǒng)計本采集分析節(jié)點所有惡意軟件樣本中行為包含所述行為片段的樣本數(shù)在內(nèi)的本地統(tǒng)計特性; .3.2)所述采集分析節(jié)點將所述行為片段及其本地統(tǒng)計特性封裝為分布式哈希表消息,然后將所述關(guān)鍵字值和分布式哈希表消息發(fā)送給分布式哈希表模塊,并記錄發(fā)布行為片段的采集分析節(jié)點地址;所述分布式哈希表模塊根據(jù)關(guān)鍵字值查找負(fù)責(zé)該關(guān)鍵字值的采集分析節(jié)點,并將分布式哈希表消息路由到負(fù)責(zé)該關(guān)鍵字值的采集分析節(jié)點進(jìn)行存儲; .3.3)不同的采集分析節(jié)點負(fù)責(zé)不同行為片段的全局特性統(tǒng)計,所述采集分析節(jié)點分別根據(jù)采集分析節(jié)點地址和分布式哈希表模塊返回所負(fù)責(zé)行為片段的分布式哈希表消息,統(tǒng)計包含在分布式哈希表中包含來自不同采集分析節(jié)點的同一行為片段的惡意軟件樣本數(shù)目、發(fā)布該行為片段的采集分析節(jié)點數(shù)量在內(nèi)的全局特性,將行為片段及其全局特性組裝為返回消息返回給發(fā)布行為片段的采集分析節(jié)點地址,所述采集分析節(jié)點地址對應(yīng)的采集分析節(jié)點接收各個行為片段及其全局特性得到的帶有全局特性的行為片段集合。
      4.根據(jù)權(quán)利要求I所述的基于行為片段共享的惡意軟件特征聚類分析方法,其特征在于,所述步驟4)的詳細(xì)步驟如下 .4.I)在收到帶有全局特性的行為片段集合后,所述采集分析節(jié)點根據(jù)式(3)計算所述行為片段集合中各個行為片段的權(quán)值;
      5.根據(jù)權(quán)利要求I 4中任意一項所述的基于行為片段共享的惡意軟件特征聚類分析方法,其特征在于,所述步驟5)的詳細(xì)步驟如下 .5.I)所述采集分析節(jié)點計算任意兩個惡意軟件樣本的特性向量之間的距離,距離越小則兩個惡意軟件樣本之間的相似性越大;.5.2)所述采集分析節(jié)點根據(jù)惡意軟件樣本的特性向量之間的距離,采用預(yù)先不需要知道聚類數(shù)目的聚類算法對各個惡意軟件樣本進(jìn)行聚類得到聚類集合; .5.3)所述采集分析節(jié)點遍歷所述聚類集合中的每一個聚類,提取該聚類內(nèi)所有惡意軟件樣本的共同行為作為該聚類的特征,同時統(tǒng)計該聚類內(nèi)所有惡意軟件樣本的網(wǎng)絡(luò)屬性以及本地行為屬性作為聚類的屬性,將所述聚類的特征及屬性作為所述惡意軟件的分析結(jié)果輸出。
      6.一種基于行為片段共享的惡意軟件特征聚類分析系統(tǒng),其特征在于,包括多個用于對惡意軟件進(jìn)行采集和分析的采集 分析節(jié)點,所述采 集分析節(jié)點在網(wǎng)絡(luò)中地理位置分散,每一個采集分析節(jié)點負(fù)責(zé)一片網(wǎng)絡(luò)區(qū)域中惡意軟件樣本的采集和分析,所述采集分析節(jié)點包括 行為片段分割模塊,用于將采集的惡意軟件樣本的行為分割為多個行為片段; 分布式哈希表模塊,用于構(gòu)建分布式哈希表; 行為片段協(xié)同共享模塊,用于獲取行為片段的本地統(tǒng)計特性,將行為片段及其本地統(tǒng)計特性通過行為片段協(xié)同共享模塊共享給分布式哈希表模塊,通過分布式哈希表模塊將行為片段及其本地統(tǒng)計特性存儲至分布式哈希表;通過分布式哈希表中存儲的所述行為片段的所有本地統(tǒng)計特性統(tǒng)計獲取行為片段的全局特性,并向各個發(fā)布所述行為片段的采集分析節(jié)點返回帶有全局特性的行為片段集合,不同的采集分析節(jié)點的行為片段協(xié)同共享模塊負(fù)責(zé)不同行為片段的全局特性統(tǒng)計; 惡意軟件樣本表征模塊,用于在收到帶有全局特性的行為片段集合后基于行為片段的全局特性計算行為片段集合中各個行為片段的權(quán)值,并根據(jù)惡意軟件樣本中各個行為片段的權(quán)值構(gòu)建所述惡意軟件樣本的特性向量; 惡意軟件樣本本地聚類模塊,用于根據(jù)惡意軟件樣本的特性向量之間的距離對各個惡意軟件樣本進(jìn)行聚類得到聚類集合; 惡意軟件樣本本地分析模塊,用于分析聚類集合中的每一個聚類,提取該聚類的特征及屬性作為所述惡意軟件的綜合分析結(jié)果輸出。
      7.根據(jù)權(quán)利要求6所述的基于行為片段共享的惡意軟件特征聚類分析系統(tǒng),其特征在于,所述行為片段分割模塊為連續(xù)行為子序列分割模塊或者行為依賴子圖分割模塊;所述連續(xù)行為子序列分割模塊將惡意軟件樣本的行為視為順序執(zhí)行的行為序列,從所述順序執(zhí)行的行為序列中選擇固定長度的連續(xù)行為子序列作為分割得到的行為片段;依賴子圖分割模塊根據(jù)惡意軟件樣本的行為操作數(shù)據(jù)之間的依賴關(guān)系建立行為依賴圖,從所述行為依賴圖中選擇獲取固定頂點數(shù)目的行為依賴子圖作為分割得到的行為片段;所述行為片段分割模塊還通過行為片段選擇模塊將行為片段發(fā)布給行為片段協(xié)同共享模塊,所述行為片段選擇模塊包括 行為片段選擇子模塊,用于采用啟發(fā)式規(guī)則選擇行為片段得到包含多組固定數(shù)量行為片段的行為片段集合; 行為片段代表性驗證子模塊,用于通過式(I)計算各個行為片段的局部特性權(quán)值,基于行為片段的局部特性權(quán)值構(gòu)建惡意軟件樣本的局部特性向量,局部特性向量的維度是行為片段按著一定順序的一個排列,某一惡意軟件樣本的局部特性向量某維的值由以下兩種情況決定如果惡意軟件樣本行為中具有該維所代表的行為片段的行為,則所述值等于該行為片段的局部特性權(quán)值;反之則所述值等于零;通過式(2)計算行為片段集合中每一組行為片段與原始惡意軟件樣本的相似性,從所述行為片段集合中選擇相似性最大的一組行為片段作為代表行為片段;同時,如果選擇次數(shù)已達(dá)到預(yù)設(shè)次數(shù)次且行為片段集合存在一組行為片段與原始惡意軟件樣本的相似性大于等于O. 8,則停止選擇并將所述行為片段作為代表行為片段;并將將所述代表行為片段發(fā)布給行為片段協(xié)同共享模塊;
      8.根據(jù)權(quán)利要求6所述的基于行為片段共享的惡意軟件特征聚類分析系統(tǒng),其特征在于,所述行為片段協(xié)同共享模塊包括 行為片段發(fā)布子模塊,用于調(diào)用分布式哈希表模塊得到所述行為片段的關(guān)鍵字值,統(tǒng)計本采集分析節(jié)點所有惡意軟件樣本中行為包含所述行為片段的樣本數(shù)在內(nèi)的本地統(tǒng)計特性,將所述行為片段及其本地統(tǒng)計特性封裝為分布式哈希表消息,然后將所述關(guān)鍵字值和分布式哈希表消息發(fā)布給分布式哈希表模塊; 行為片段接收子模塊,用于接收分布式哈希表模塊返回的分布式哈希表消息以及記錄發(fā)布行為片段的采集分析節(jié)點地址; 行為片段統(tǒng)計子模塊,用于在收到帶有全局特性的行為片段集合后根據(jù)采集分析節(jié)點地址和分布式哈希表模塊返回的分布式哈希表消息,統(tǒng)計包含在分布式哈希表中包含來自不同采集分析節(jié)點的同一行為片段的惡意軟件樣本數(shù)目、發(fā)布該行為片段的采集分析節(jié)點數(shù)量在內(nèi)的全局特性,不同的采集分析節(jié)點的行為片段統(tǒng)計子模塊負(fù)責(zé)不同行為片段的全局特性統(tǒng)計; 行為片段全局特性返回子模塊,用于將行為片段及其全局特性組裝為返回消息返回給發(fā)布行為片段的采集分析節(jié)點地址; 行為片段全局特性接收子模塊,用于接收其他采集分析節(jié)點的行為片段全局特性返回子模塊發(fā)送的各個行為片段及其全局特性,得到包含本采集分析節(jié)點發(fā)布的行為片段的帶有全局特性的行為片段集合; 所述分布式哈希表模塊包括 行為片段關(guān)鍵字映射子模塊,用于利用哈希函數(shù)對輸入的行為片段進(jìn)行哈希計算得到固定長度的哈希值作為行為片段的關(guān)鍵字值; 關(guān)鍵字路由子模塊,用于根據(jù)輸入的關(guān)鍵字值把包含行為片段及其本地統(tǒng)計特性的哈希路由表消息路由存儲到負(fù)責(zé)該關(guān)鍵字值的采集分析節(jié)點。
      9.根據(jù)權(quán)利要求6所述的基于行為片段共享的惡意軟件特征聚類分析系統(tǒng),其特征在于,惡意軟件樣本表征模塊包括行為片段權(quán)值計算子模塊,用于根據(jù)式(3)計算各個行為片段的權(quán)值; 惡意軟件樣本特性向量表征子模塊,用于根據(jù)惡意軟件樣本中各個行為片段的權(quán)值構(gòu)建所述惡意軟件樣本的特性向量;所述特性向量的維度是采集分析節(jié)點本地的行為片段集合按著一定順序的一個排列,任意惡意軟件樣本的特性向量某維的值由以下兩種情況決定如果惡意軟件樣本的樣本行為中具有該維所代表的行為片段的行為,則值等于該行為片段的權(quán)值;否則值等于零;
      10.根據(jù)權(quán)利要求6 9中任意一項所述的基于行為片段共享的惡意軟件特征聚類分析系統(tǒng),其特征在于,所述惡意軟件樣本本地聚類模塊包括 特性向量距離計算子模塊,用于計算任意兩個惡意軟件樣本的特性向量之間的距離,距離越小則兩個惡意軟件樣本之間的相似性越大; 惡意軟件樣本本地聚類子模塊,用于根據(jù)惡意軟件樣本的特性向量之間的距離,采用預(yù)先不需要知道聚類數(shù)目的聚類算法對各個惡意軟件樣本進(jìn)行聚類得到聚類集合; 所述惡意軟件樣本本地分析模塊遍歷所述惡意軟件樣本本地聚類子模塊輸出的聚類集合中的每一個聚類,提取該聚類內(nèi)所有惡意軟件樣本的共同行為作為該聚類的特征,同時統(tǒng)計該聚類內(nèi)所有惡意軟件樣本的網(wǎng)絡(luò)屬性以及本地行為屬性作為聚類的屬性,將所述聚類的特征及屬性作為所述惡意軟件的分析結(jié)果輸出。
      全文摘要
      本發(fā)明公開了一種基于行為片段共享的惡意軟件特征聚類分析方法及系統(tǒng),方法包括布置采集分析節(jié)點,建立分布式哈希表模塊,將采集的惡意軟件樣本的行為分割為行為片段并存儲至分布式哈希表;統(tǒng)計行為片段的全局特性并返回至采集分析節(jié)點,采集分析節(jié)點構(gòu)建惡意軟件樣本的特性向量并進(jìn)行聚類,提取聚類的特征及屬性作為惡意軟件的綜合分析結(jié)果輸出;系統(tǒng)包括多個采集分析節(jié)點,采集分析節(jié)點包括行為片段分割模塊、分布式哈希表模塊、行為片段協(xié)同共享模塊、惡意軟件樣本表征模塊、惡意軟件樣本本地聚類模塊、惡意軟件樣本本地分析模塊。本發(fā)明具有分析準(zhǔn)確性高、分析性能強(qiáng)、可擴(kuò)展性好的優(yōu)點。
      文檔編號G06F21/56GK102968591SQ20121047411
      公開日2013年3月13日 申請日期2012年11月21日 優(yōu)先權(quán)日2012年11月21日
      發(fā)明者王小峰, 陸華彪, 吳純青, 胡曉峰, 王勇軍, 趙峰, 虞萬榮, 孫浩, 王雯, 周寰 申請人:中國人民解放軍國防科學(xué)技術(shù)大學(xué)
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點贊!
      1