[发明专利]一种自动化检测恶意代码核心特征的方法

说明书

本发明公开了一种自动化检测恶意代码核心特征方法，属于计算机系统安全的总体设计。该方法是一种基于机器学习算法的恶意代码核心特征的方法。通过静态分析，从恶意代码实际安全意义的角度出发，提取恶意代码的图像纹理、关键API调用、关键字符串特征。通过基于归一化双特征库的随机森林树算法对提取的特征进行学习，获得恶意代码家族核心特征库。恶意代码图像特征对于恶意代码来说，具有更好的表现力。因此构建双特征子库，将恶意代码图像特征单独入库。保证每次特征融合，都能够选取到图像特征向量中的某几个特征值用于训练。这样保证了训练得到的分类器，拥有一定的准确率。

技术领域

本发明涉及计算机安全领域，尤其涉及一种自动化检测恶意代码核心特征方法，属于计算机系统安全的总体设计。

背景技术

恶意程序是当今互联网中的一个主要威胁，从经典的计算机病毒到网络蠕虫，再到僵尸网络，无一例外的把连接到网络中的计算机系统作为攻击目标。此类威胁主要由黑色产业驱动，通过系统化的利用被入侵主机达到非法目的，比如传播垃圾邮件、获取机密数据等。遗憾的是传统的安全技术，比如防病毒扫描，在恶意程序不断增长的数量及多样性背景下变得不再那么可靠，导致互联网中成千上万的主机面临恶意软件的威胁。如何能够对恶意程序进行自动化处理分析，成为了当前的研究重点。

基于机器学习算法处理恶意代码，为自动化提取恶意代码家族核心特征和检测新的恶意代码家族带来可能。机器学习用于恶意代码的分类处理，成为了当前恶意代码分析的主流。机器学习处理恶意代码主要分为三步进行，首先是对于恶意代码进行特征的提取。第二步是对于提取的恶意代码特征进行清洗和融合，构建低维度的特征。最后则是利用机器学习算法对于构建的特征进行学习，构建分类器用于恶意代码的分类聚类工作，因此特征的选取和融合是重中之重。对于常见的基于机器学习算法的恶意代码特征提取工作而言，为了能让模型的分类性能更好，更多的考虑的是恶意代码样本集中的特征属性，而没有从安全属性角度去提取恶意代码的特征。这种恶意代码特征的选取的方式，仅仅只是在样本集上拥有良好的分类效果，对于分析描述恶意代码来说并不具有实际意义，在未来恶意代码变种的研究分析中缺乏泛化性。

据Symantec统计，大部分新出现的恶意代码及其变种是在原有恶意代码基础上经过一些变换操作得来的。并且现在大多数的恶意代码研究具备了自动变形的能力。由于恶意代码变种数量的爆炸性增加，特征库中特征出现了维度爆炸。仅仅单一特征的构建，很难在恶意代码的特征提取方面取得好的结果。一方面是由于恶意代码针对使用单个特征的检测模型时，会进行相应的绕过和替换。另一方面，单个特征选取会造成模型的泛化能力不强，容易在测试数据集中过拟合，对未来恶意代码的防范分析不具有价值性。

恶意代码特征向量标识了恶意代码的本质特征，良好的特征提取算法是恶意代码变种检测的核心技术。常见的反病毒软件通常使用基于签名的方法来识别恶意代码。对于给定一组恶意代码样本，首先将该恶意代码标注为一个家族。对于同一个家族的恶意代码，应当具有相同的特征。将这些公共的特征提取出来，构建特征库，用于检测未来该恶意代码家族的变种。这些恶意代码的公共特征也称作恶意代码家族核心特征。现如今对于恶意代码家族核心特征的提取，则主要依靠研究人员的人工分析和经验。恶意代码的总体规模和增长速度为研究人员的分析工作带来了挑战，这主要体现在两点:一是如何能够在海量恶意代码数据的情况下，尽量自动或半自动地提取代表恶意代码核心本质的特征向量，为下一步自动分析或人工分析提供更为全面的总体描述信息；二是根据特征如何更为快速地对未知恶意样本进行自动聚类分类，从而提升样本的处理速度和提高人工分析效率。

发明内容

本发明为了解决在恶意代码分类检测过程中，恶意代码家族特征提取困难的问题。

本发明采用的技术方案为一种自动化检测恶意代码核心特征方法，该方法是一种基于机器学习算法的恶意代码核心特征的方法。通过静态分析，从恶意代码实际安全意义的角度出发，提取恶意代码的图像纹理、关键API调用、关键字符串特征。通过基于归一化双特征库的随机森林树算法对提取的特征进行学习，获得恶意代码家族核心特征库。