[发明专利]一种基于动态代码序列跟踪分析的木马判定方法

说明书

技术领域

本发明涉及计算机系统领域，更具体地，涉及一种基于动态代码序列跟踪分析的木马分析方法。

背景技术

随着互联网的快速发展，木马的数量和传播速度也随之发生几何性的增；数量众多的木马程序无疑给传统的分析方式带来巨大的冲击，传统的静态扫描存在不能及时发现木马变种等诸多问题；而目前基于沙箱、虚拟机的动态分析需要人工介入严重影响了分析效率，判定的方法不够有效，存在大量的主观因素，往往基于已有的特征来进行匹配，难于有效监测未知木马和特种木马；因此判定程序是否具有恶意性是一项困难的任务。

发明内容

为了解决背景技术中存在的上述的主要问题，本发明提出了一种基于动态代码序列跟踪分析的木马判定方法，解决了已知木马的快速定位以及未知木马的判定分析问题，实现了识别已知及未知木马程序，快速识别新型变种木马的系统，显著提高了检测分析效率。

本发明的技术实现方案如下。

一种基于动态代码序列跟踪分析的木马判定方法，该方法包括以下实现步骤。

1）构造未知程序的典型代码跟踪环境，并在该跟踪环境中运行木马。

2）获取木马执行时监测到的代码执行序列及其调用顺序。

3）对代码执行序列进行编码，并计算恶意行为的拟合度。

4）判定未知程序的恶意行为拟合度及木马归属分类。

上述步骤3）中所述编码是利用编码表进行对应赋值。

上述步骤3）中所述计算恶意行为的拟合度是通过将编码后序列与规则库中的木马行为规则做相似度运算来实现。

上述步骤4）的具体实现方式是。

401）将代码执行序列编码成一个序列A。

402）在规则库中取出一条木马的行为规则序列B。

403）设置n为待检测序列A的长度，m为规则序列B的长度。

404）将序列A、B的值分别存入向量                                                、 中。

405）创建（n+1）×（m+1）阶矩阵D。

406）遍历两向量，如果[i]=[j]，则用temp记录，令temp=0，否则令temp=1。

407）在矩阵D[i，j]处赋予D[i-1，j]+1、D[i，j-1]+1、D[i-1，j-1]+temp三者的最小值。

408）遍历完两向量后，矩阵最后的一个值D[i+1，j+1]即为A、B两序列的差异值。

409）利用差异值计算A、B两序列的相似度，取值保留两位有效数字。

410）判断被分析程序的安全等级，若安全等级在中危及以上，判断被分析程序归属类别。

411）若规则库规则序列未遍历完，则再次执行步骤402）～步骤411）。

上述步骤401）是利用编码表进行不重复的单字符编码，编码后按顺序将码文组成序列A。

上述步骤405）中所述创建的（n+1）×（m+1）阶矩阵D，需要经过初始化赋值，其第一行和第一列的取值从0开始递增。

上述步骤409）中所述相似度计算，具体为A、B两序列的差异值除以m、n中较大值的结果与两位小数1.00差值的绝对值；若不是第一次完成序列A与规则序列B的相似度计算，则将相似度计算结果与上一次循环的计算结果比较，取两者较大的值，直到规则库中所有序列被遍历完后，相似度值最终会保留最大的数值。

上述步骤410）中所述判断被分析程序安全等级，包括安全等级标为Clear（安全）、安全等级标为Alarm（中危）和安全等级标为Malicious（高危）。

上述步骤410）中所述判断被分析程序安全等级，若相似度值在[0，0.68)的范围内，则将被测程序安全等级标为Clear（安全）；若相似度值在[0.68，0.87)的范围内，则将被测程序安全等级标为Alarm（中危）；若相似度值在[0.87，1.00]的范围内，则将被测程序安全等级标为Malicious（高危）。

上述步骤410）中所述判断被分析程序归属类别，是根据相似度计算最大的5个数值来匹配相应的规则序列，从而得出所属的木马归属类别。

与现有技术相比，本发明的优点在于对于判别木马的算法具有独创性。需要先建立一组典型木马行为规则序列库，对待测程序归属性分析的结果是用特定算法计算程序操作行为序列与建立的规则序列之间的相似度而得出的。

附图说明