[发明专利]基于进程资源依赖网络的代码风险性评估方法

说明书

技术领域

本发明涉及计算机安全领域，更具体地说，涉及一种基于进程资源依赖网络的代码风险性评估方法。

背景技术

计算机的应用已经渗透到人们生活的各个领域。然而随着计算机快速的发展，与计算机相关的安全问题也层出不穷，严重威胁到人们日常生活的正常运作。作为计算机安全的重要环节，进程对资源或对象的访问在入侵检测、恶意代码检测中起到了至关重要的作用。

现有的方法与技术往往从单一进程的角度出发，建立正常、异常进程对资源和对象的访问模式，以此作为正常、异常行为模式，采用一定的行为模式匹配的方法判断是否出现异常。这些研究往往将进程行为目的二分类，即正常或异常。通过观察指定进程对资源和对象的访问行为，往往只能分析待测代码是否异常，无法客观定量地对代码的威胁度或风险性进行分析评估。

而在现实中，代码的意图并不能简单的二分类分析，很多情况下，代码的威胁性、风险性呈现出多元化，简单的二分类会并不能准确刻画代码行为的安全性。

本发明从系统整体的角度，以复杂网络为模型，建立进程资源依赖网络。在此基础上，计算待评估代码执行前后进程资源依赖网络中计算机资源和对象的重要性排名序列，以计算机资源和对象重要性排名的变化为依据，对待评估代码的风险性、威胁值进行评估，并可基于此判断代码的恶意性，进行恶意代码检测。

发明内容

本发明所提出的方案是基于进程资源依赖网络的代码风险性评估，包括如下步骤：

(a)根据正常进程对计算机中资源和对象的访问记录，构建正常进程资源依赖网络；

(b)用Random Walk方法计算正常进程资源依赖网络中各个资源和对象的重要性指标，得到资源和对象的重要性向量I_benign；

(c)根据待评估代码对计算机中资源和对象的访问记录，构建待评估进程资源访问图，将待评估进程资源访问图和正常进程资源依赖网络合并，得到待评估进程资源依赖网络；

(d)用Random Walk方法计算待评估进程资源依赖网络中各个资源和对象的重要性指标，得到资源和对象的重要性向量I_suspicious；

(e)计算并量化I_benign和I_suspicious之间的差异，得到待评估代码的风险和威胁度值。

在本发明所述的基于进程资源依赖网络的代码风险性评估方法中，所述步骤(a)中，正常进程对计算机中资源和对象的访问记录是指在日常操作情况下，捕获一段时间内计算机上运行的正常进程对计算机中资源和对象的访问记录，访问记录至少包括进程名、访问操作类型、访问资源和对象的类型、访问资源和对象的名称和位置。

在本发明所述的基于进程资源依赖网络的代码风险性评估方法中，所述步骤(a)中，进一步包括：

(a1)提取依赖关系：已知正常进程对计算机中资源和对象的访问记录，根据进程与计算机资源和对象之间的访问操作类型，定义进程与计算机资源和对象之间的依赖关系；

(a2)根据步骤(a1)中得到的进程与计算机资源和对象之间的依赖关系，构造正常进程资源依赖网络G(V，E)，其中V表示计算机资源和对象的集合，对于υ_i表示第i个计算机资源或对象，用该资源或对象的名称和位置、节点类型两个属性来描述；E表示进程与计算机资源和对象之间的依赖关系集合，e(υ_i，υ_j)∈表示υ_i依赖于υ_j，依赖关系决定了有向边的方向。

在本发明所述的基于进程资源依赖网络的代码风险性评估方法中，所述步骤(c)中,待评估进程是指，待评估代码的执行进程；待评估进程对计算机中资源和对象的访问记录是指，执行待评估代码，捕获待评估代码的执行进程对计算机中资源和对象的访问记录，访问记录至少包括进程名、访问操作类型、访问资源和对象的路径。

在本发明所述的基于进程资源依赖网络的代码风险性评估方法中，所述步骤(c)中，进一步包括：

(c1)与步骤(a1)，(a2)类似，根据待评估进程对计算机中资源和对象的访问记录，提取待评估进程与计算机资源和对象之间的依赖关系，构造待评估进程资源访问图G_i＝(V_i，E_i)，其中V_i表示待测进程及其访问的相关计算机资源和对象的集合，E_i表示进程与计算机资源和对象之间的依赖关系，依赖关系决定了有向边的方向；