[发明专利]恶意代码分析中行为能力的度量方法

摘要

一种恶意代码分析中行为能力的度量方法，步骤为：S1：行为类别划分；将恶意代码的常见函数调用API进行分类，将同一类型的函数调用划分到相同的类别当中；S2：API调用序列提取并去重；记录每个恶意代码样本执行过程中的行为轨迹，从中提取API调用序列，进行去重；S3：动态行为频率值统计；S4：行为频率值归一化；S5：计算行为类别的广义重要度；S6：样本和家族行为能力计算；构成单个样本的行为能力对同一家族中所有的恶意代码样本，根据每个行为类别的期望及重要度，计算某家族的行为能力c_f；S7：行为能力对比；以作为单个样本行为能力，与其他样本进行比较；以c_f作为家族行为能力，与其他家族进行对比。本发明具有原理简单、易实现、效果好等优点。

主权项

1.一种恶意代码分析中行为能力的度量方法，其特征在于，步骤为：S1：行为类别划分；将恶意代码的常见函数调用API进行分类，将同一类型的函数调用划分到相同的类别当中，形成恶意代码的行为类型集；S2：API调用序列提取并去重；记录每个恶意代码样本执行过程中的行为轨迹，从中提取其API调用序列，并进行去重处理；S3：动态行为频率值统计；按照API的类别划分，对恶意代码样本的API调用序列进行分类统计，获取每个类别的出现频率；S4：行为频率值归一化；对恶意代码样本的每个行为类别出现频率进行归一化处理；S5：计算行为类别的广义重要度；S6：样本和家族行为能力计算；构成单个样本s_j(1≤j≤Q)的行为能力对同一家族中所有的恶意代码样本，根据每个行为类别的期望及重要度，计算某家族的行为能力c_f；S7：行为能力对比；以作为单个样本行为能力，与其他样本进行比较；以c_f作为家族行为能力，与其他家族进行对比；所述步骤S5中每个行为类别b_i的广义重要度定义为δ(b_i)，计算方式如下：构造决策系统D＝(S,B,V,ψ)，其中S＝{s₁,s₂,..,s_N}是样本集，B＝{b₁,b₂,...,b_M}是行为属性集，V∈[0,1]是归一化之后的样本行为属性集合，ψ:S×B→V是样本行为属性值的映射关系，样本集S上的家族划分关系为F＝{f₁,f₂,...,f_r}，且有其中r为家族的数量，则任意属性b_i的广义重要度δ(b_i)：其中d(b_l,f_i)表示行为属性b_l对应家族f_i的属性值范围，表示任意两个属性值范围的交集的最大区间；所述步骤S6中每个样本的行为能力计算为：根据步骤S4得到的归一化后的行为频率p_k＝y(b_i,s_j)，对某个行为类别b_i，同一家族所有样本的行为频率总和为那么行为类别的b_i期望值：则每个家族的行为能力计算为：