[发明专利]基于进程资源依赖网络的代码风险性评估方法

权利要求书

1.一种基于进程资源依赖网络的代码风险性评估方法，其特征在于，包括如下步骤：

(a)根据正常进程对计算机资源和对象的访问记录，构建正常进程资源依赖网络；

(b)计算正常进程资源依赖网络中各个资源和对象的重要性指标，得到资源和对象的重要性向量I_benign；

(c)根据待评估代码对计算机中资源和对象的访问记录，构建待评估进程资源访问图，将待评估进程资源访问图和正常进程资源依赖网络合并，得到待评估进程资源依赖网络；

(d)计算待评估进程资源依赖网络中各个资源和对象的重要性指标，得到资源和对象的重要性向量I_suspicious；

(e)计算并量化I_benign和I_suspicious之间的差异，得到待评估代码的风险和威胁度值。

2.根据权利要求1所述的方法，其特征在于：所述步骤(a)中，正常进程对计算机中资源和对象的访问记录是指在日常操作情况下，捕获一段时间内计算机上运行的正常进程对计算机中资源和对象的访问记录，访问记录至少包括进程名、访问操作类型、访问资源和对象的类型、访问资源和对象的名称和位置；计算机资源和对象包括文件资源对象、注册表资源对象、进程对象、线程对象。

3.根据权利要求1所述的方法，其特征在于，所述步骤a)具体为：

(a1)提取依赖关系：已知正常进程对计算机中资源和对象的访问记录，根据进程与资源和对象之间的访问操作类型，定义进程与计算机资源和对象之间的依赖关系；依赖关系描述了进程访问资源和对象引起的信息依赖关系，包括：如果访问操作类型为“读取”、“加载”，则进程依赖于对应的计算机资源或对象；如果访问操作类型为“创建”、“写入”、“修改”“执行”、“终止”，则对应计算机资源或对象依赖于进程；

(a2)根据步骤(a1)中得到的进程与计算机资源和对象之间的依赖关系，构造正常进程资源依赖网络G(V，E)，其中V表示计算机资源和对象的集合，对于υ_i表示第i个计算机资源或对象，用该资源或对象的名称和位置、节点类型两个属性来描述；E表示进程与计算机资源和对象之间的依赖关系集合，e(υ_i，υ_i)∈表示υ_i依赖于υ_j，依赖关系决定了有向边的方向。

4.根据权利要求3所述的方法，其特征在于：所述步骤(a2)中，节点类型包括“进程”、“线程”、“文件”、“注册表”、“计算机网络地址”。

5.根据权利要求1所述的方法，其特征在于：所述步骤(c)中,待评估进程是指，待评估代码的执行进程；待评估进程对计算机中资源和对象的访问记录是指，执行待评估代码，捕获待评估代码的执行进程对计算机中资源和对象的访问记录，访问记录至少包括进程名、访问操作类型、访问资源和对象的名称和位置。

6.根据权利要求1所述的方法，其特征在于，所述步骤(c)具体为：

(c1)根据待评估进程对计算机中资源和对象的访问记录，提取待评估进程与计算机资源和对象之间的依赖关系，构造待评估进程资源访问图G_i＝(V_i，E_i)，其中V_i表示待测进程及其访问的相关计算机资源和对象的集合，E_i表示进程与计算机资源和对象之间的依赖关系，依赖关系决定了有向边的方向；

(c2)将步骤(c1)中得到的待评估进程资源访问图G_i，加入步骤(a2)中得到的正常进程资源依赖网络G中，待评估进程资源依赖网络G′(V′，E′)，其中V′＝V∪V_i，E′＝E∪E_i。