[发明专利]基于行为片段共享的恶意软件特征融合分析方法及系统

权利要求书

1.一种基于行为片段共享的恶意软件特征融合分析方法，其特征在于实施步骤如下：

1)在网络中分别部署地理位置分散的节点，每一个节点负责一片网络区域中恶意软件样本的采集和分析，在节点中建立用于构建分布式哈希表的分布式哈希表模块；

2)各个节点采集恶意软件样本并分割为长度固定的行为片段集合，统计本地具有所述行为片段集合中各个行为片段行为的本地恶意软件样本数得到行为片段集合的本地统计特性；

3)各个节点将行为片段集合及其本地统计特性发布共享至分布式哈希表，通过分布式哈希表的节点聚拢来自不同节点的相同行为片段并统计聚拢所述行为片段的全局特性，将带有全局特性的行为片段集合返回给共享行为片段集合及其本地统计特性的源节点；

4)所述源节点根据恶意软件的行为片段及其全局特性构成的恶意软件的行为特征计算具有相似行为特征的候选邻居节点集，向候选邻居节点集中的远程节点发送恶意软件对应的源行为特征，候选邻居节点集中的远程节点将收到的源行为特征与本地的目的行为特征比较判断目的行为特征是否为源行为特征的邻居行为特征，将判断结果作为行为特征邻居关系返回源节点，所述源节点根据远程节点返回的行为特征邻居关系构造行为特征邻接关系图；

5)在所述特征邻接关系图的基础上分布式生成融合树，将所述融合树中的行为特征进行融合，将所述融合树的根行为特征作为恶意软件特征融合分析结果输出。

2.根据权利要求1所述的基于行为片段共享的恶意软件特征融合分析方法，其特征在于，所述步骤2)的详细步骤如下：

2.1)将恶意软件样本的行为视为顺序执行的行为序列，从所述顺序执行的行为序列中选择固定长度的连续行为子序列作为分割得到的长度固定的行为片段集合；或者根据恶意软件样本的行为操作数据之间的依赖关系建立行为依赖图，从所述行为依赖图中选择获取固定顶点数目的行为依赖子图作为分割得到的长度固定的行为片段集合；

2.2)统计本地具有所述行为片段集合中各个行为片段行为的本地恶意软件样本数得到行为片段集合的本地统计特性并输出。

3.根据权利要求1所述的基于行为片段共享的恶意软件特征融合分析方法，其特征在于，所述步骤3)的详细步骤如下：

3.1)各个节点调用分布式哈希表模块得到所述行为片段的关键字值，将所述行为片段及其本地统计特性封装为分布式哈希表消息，然后将所述关键字值和分布式哈希表消息发送给分布式哈希表模块；所述分布式哈希表模块根据关键字值查找负责该关键字值的采集分析节点，并将分布式哈希表消息路由到负责该关键字值的节点进行存储；

3.2)不同节点负责不同行为片段，通过分布式哈希表模块将不同节点的相同行为片段聚拢到同一节点并记录发布行为片段的源节点地址，所述节点通过分布式哈希表模块存储的行为片段及其本地统计特性，根据行为片段及其源节点、源节点本地具有所述行为片段行为的本地恶意软件样本数进行统计全局特性，所述行为片段的全局特性包括行为片段、源节点地址、源节点本地具有所述行为片段行为的本地恶意软件样本数的三元对集合；然后将带有全局特性的行为片段集合发送给源节点地址，源节点地址对应的源节点收到带有全局特性的行为片段集合。