[发明专利]基于行为片段共享的恶意软件特征融合分析方法及系统

说明书

技术领域

本发明涉及计算机网络安全技术领域，具体涉及一种基于行为片段共享的恶意软件特征融合分析方法及系统。

背景技术

根据国家互联网应急中心互联网安全威胁报告中术语的定义，恶意软件是指在未经授权的情况下，在信息系统中安装、执行以达到不正当目的的程序。恶意软件主要包括：1)特洛伊木马(Trojan Horse)，以盗取用户个人信息，甚至是远程控制用户计算机为主要目标的恶意软件。2)僵尸程序，用于构建大规模攻击平台的恶意软件。按照使用的通信协议，僵尸程序可进一步分为：IRC(Internet Relay Chat)僵尸程序、HTTP(Hypertext Transfer Protocol)僵尸程序、P2P(peer-to-peer)僵尸程序等。3)蠕虫，指能自我复制和广泛传播，以占用系统和网络资源为主要目的恶意软件。4)病毒，通过感染计算机文件进行传播，以破坏或篡改用户数据，影响信息系统正常运行为主要目的恶意软件。

恶意软件的检测与分析正变得越来越困难，主要表现在以下三个方面。1)恶意软件数量巨大并且成指数级增长，赛门铁克公司一系列网络安全威胁报告(Symantec Internet SecurityThreat Report)指出目前恶意软件数量巨大并成指数级增长，赛门铁克公司在2011年共发现4亿新的恶意软件样本，平均每天110万。这样巨大的恶意软件样本给恶意软件检测系统如何正确识别、归类、描述恶意软件带来巨大挑战。2)恶意软件的行为呈现出更强的多样性，通过消息加密、变换传播途径、多态等技术，同一种恶意软件的不同样本表现出不同的行为，难以对观察到的恶意软件样本进行正确有效分析。3)恶意软件的样本在空间上广泛分布并且具有很高的隐蔽性，因此单一局域网或企业网能够观察到的同一种恶意软件的样本数目非常有限。由于恶意软件行为的多样性，在样本数目有限的情况下，无法获取恶意软件的本质特征，分析准确性无法保证。因此恶意软件分析系统一般采用分布采集方式覆盖足够多的恶意软件样本。赛门铁克公司的研究人员在网络安全顶级会议SP′11(IEEE Symposium on SecurityandPrivacy2011)撰写短文(Benchmarking Computer SecurityUsingWINE)指出该公司在全球部署了24万恶意软件采集节点。

美国国防部定义信息融合为：信息融合是一个组合数据和信息以估计或预测实体(entity)状态的过程。本发明研究分布在网络各地的分析节点间恶意软件分析结果融合是信息融合在网络安全方面的应用，是一类特殊的信息融合。