[发明专利]用于检测恶意程序的判定模型及恶意程序的检测方法

说明书

技术领域

本发明属于系统安全与网络安全相关领域，更进一步涉及恶意程序自动化分析和检测的方法。本发明利用已知少量恶意程序采样样本，自动建立规则库和机器学习算法判定模块，以多层次和严格控制误检的判定流程对未知恶意程序进行高准确度检测。

背景技术

在恶意程序分析和检测领域，为了解决静态特征码更新速度慢、无法应对变种和混淆恶意程序的问题，可采用规则判定或模式识别算法完成恶意程序检测。

腾讯科技（深圳）有限公司的专利申请“恶意文件检测的方法及装置”（专利号：201210222822，申请日：2012.11.07）中恶意文件检测的方法及装置。该方法可包括：获取被检测文件的文件属性；将获取的文件属性与预设的恶意文件属性类别库进行匹配，验证文件属性是否异常；当文件属性异常时，判定被检测文件为恶意文件并告警。该方法针对恶意文件，根据被检测文件自身的文件属性信息并结合预先建立的恶意文件属性类别库，对被检测文件体进行启发式的判断，准确及时的识别出恶意文件。该方法的恶意程序检测逻辑基于文件静态分析和预设的恶意文件属性类别库，不仅难以应对数目庞大的变种恶意程序，而且无法检测未知恶意程序。

张一驰等人在文献“张一弛,庞建民,赵荣彩.基于证据推理的程序恶意性判定方法[J].软件学报,23(12),3149-3160(2012)”中提出了一种采用证据推理完成程序恶意性判定的方法，是一种使用规则判定程序恶意性的方法。虽然该方法采用模糊推理取得了对变种和混淆恶意程序的判定能力，但规则判定方法本身的限制，以及该方法中采用的7个程序特征过于简单，其泛化能力依然无法得到有效保证。

彭宏等人在文献“彭宏,王军.基于支持向量机的病毒程序检测方法[J].电子学报,33(2),276-278(2005).”中提出了一种使用支持向量机检测恶意程序的方法，该方法虽然能够通过使用机器学习算法提高对未知恶意程序的检测能力，但实验结果表明其误检率较高，难以满足实际应用中对低误检率的严格要求。

综上所述，单纯基于特征码、基于规则或基于机器学习算法的恶意程序方法均存在各自的不足，如泛化检测能力的不足和误检控制能力的不足等。

发明内容

针对现有技术的缺陷或不足，本发明的目的之一是提供一种用于监测恶意程序的判定模型。

为此，本发明提供的用于监测恶意程序的判定模型，该判定模型包括判定规则集合和训练模型，该该判定模型建立方法包括：

步骤一，判定规则生成：

将由“恶意程序”样本集和“非恶意程序”样本集组成的训练样本集在API调用层、基本抽象行为层和业务抽象行为层生成判定规则集合，所述判定规则集合包括API调用层判定规则、基本抽象行为层判定规则和业务抽象行为层判定规则：

（1.1）将训练样本集在API调用层生成API调用层判定规则，该API调用层判定规则包括API调用层独立规则、API调用层敏感规则和API调用层可疑规则：

①统计训练样本集中出现的API调用，得到所有出现过的API调用；

②针对每一个出现过的API调用，分别进行如下处理：

分别计算当前API调用在“恶意程序”样本集中出现的概率和“非恶意程序”样本集中出现的概率，并计算该API调用的误检风险比率：

当前API调用在“恶意程序”样本集中出现的概率=当前API调用在“恶意程序”样本集中出现的次数÷“恶意程序”样本集中的总样本数，

当前API调用在“非恶意程序”样本集中出现的概率=当前API调用在“非恶意程序”样本集中出现的次数÷“非恶意程序”样本集中的总样本数，

当前API调用的误检风险比率=当前API调用在“非恶意程序”样本集中出现的次数÷当前API调用在“恶意程序”样本集中出现的次数，

如当前API调用的误检风险比率为r₁，且当前API调用在“恶意程序”样本集中出现的概率大于d₁，则该当前API调用定义为API调用层独立规则，其中：0≤r₁≤0.05，0.2≤d₁≤0.4；

如当前API调用的误检风险比率为r₂，且当前API调用在“恶意程序”样本集中出现的概率大于d₂，则该当前API调用定义为API调用层敏感规则，其中：0≤r₂≤0.05，0.15≤d₂≤0.35；