[发明专利]一种提取函数调用序列特征识别恶意软件自主传播的方法

权利要求书

1.一种提取函数调用序列特征识别恶意软件自主传播的方法，其特征在于，该方法包括以下步骤：

第一步，设置隔离分析环境；

（1）选择安全、可靠的虚拟环境作为隔离环境，保证恶意软件不会对分析环境造成破坏；同时，利用基于硬件层模拟的虚拟环境，使得恶意软件无法识别自身所处环境，从而诱导恶意软件的具体行为；

（2）在隔离环境中搭载虚拟操作系统，利用虚拟机监视器对虚拟操作系统中执行的恶意软件的行为进行提取；

（3）建立同虚拟操作系统进行数据交互的网络环境，保证交互双方的网络通信正常，根据恶意软件的基础类型，在隔离环境和网络环境中进行配置用于触发恶意软件的网络行为，确保恶意软件能够通过该网络叫自身传播出去；

第二步，对恶意软件及其副本进行识别；

（1）利用动态分析，对虚拟操作系统中的恶意软件进行监控，对其函数调用行为进行提取和分析；

（2)利用提取的恶意软件函数调用行为序列，分析恶意软件的自我复制行为，明确自我复制的识别机制；

（3）通过识别过程获取恶意软件的副本文件，并将所有的副本文件存储起来，用于动态污点分析；

第三步，利用动态污点分析对恶意软件及其副本进行污点分析；

（1）污点源设置：将所有恶意软件及其副本的可执行文件所在内存区域设置为污点源，利用动态污点分析观察这些污点数据在内存中的流向；

（2）检查发送缓冲区：恶意软件调用send()函数将消息发送至指定地址，当恶意软件调用该函数时，利用动态监控机制可以发现恶意软件这一行为，对发送缓冲区的每一个字节进行污点检查，若有字节被污染，则根据污点标识发现对应的污点源，判断污点源就是恶意软件的可执行文件，通过判断污点源，可以得到发送缓冲区的字节是否来源于恶意软件的可执行文件。

2.根据权利要求1 所述的一种提取函数调用序列特征识别恶意软件自主传播的方法，其特征在于，利用提取的恶意软件函数调用行为序列，分析恶意软件的自我复制行为，明确自我复制的识别机制的包括：

（1） 直接识别：copyfile函数的参数中包括了源文件的路径、文件名以及目标文件的路径、文件名，只需要根据这些信息就可以确认恶意软件的复制过程；通过copyfile函数的返回值判断函数是否成功执行完毕；如果源文件的路径存在于恶意软件列表中且copyfile函数最后操作成功，则表明恶意软件进行了一次自我复制；

（2）间接识别：首先提取createfile函数，判断该函数创建的文件是否属于恶意软件列表，如果属于，则记录该函数对应句柄号；之后分析readfile函数，将readfile函数的句柄号与之前记录的句柄号进行比较，如果相同，则将readfile函数中存放文件的内存地址存储出来；将随后执行的writefile函数对应数据地址同记录的内存地址进行匹配；若相同，则进行调用序列回溯，分析在writefile函数执行之前的createfile函数的句柄号是否同writefile函数相同；若存在createfile函数有相同的句柄号，则将createfile函数对应的文件路径记录起来，该文件路径就是恶意软件的一个副本。

3.根据权利要求1 所述的一种提取函数调用序列特征识别恶意软件自主传播的方法，其特征在于，动态污点分析观察这些污点数据在内存中的流向的方法包括以下步骤：

（1）系统监测每一个createfile()函数，利用函数参数中的文件路径，同恶意软件列表匹配，若相同则表明创建的文件句柄指向了恶意软件对应的文件；

（2）对readfile()函数进行扫描，若存在一个readfile()函数其句柄号同之前发现的createfile()函数的句柄号相同且readfile()函数成功执行，则记录下readfile()函数中对应的数据地址及数据大小，数据地址指向的地址空间存储的就是恶意软件可执行文件本身，将该空间设置为污点源。