[发明专利]一种基于KNN的虚拟平台威胁行为分析方法及系统

权利要求书

1.一种基于KNN的虚拟平台威胁行为分析方法，其特征在于：包括以下步骤：

步骤1：提取虚拟平台中的内存数据；

步骤2：对所述内存数据进行分析，得到威胁源数据；

步骤3：利用K-邻近算法对所述威胁源数据的威胁软件进行识别，若不存在威胁软件，则结束算法；若存在威胁软件，则利用线索数据库完成所述威胁软件的行为还原后，结束算法。

2.根据权利要求1所述的一种基于KNN的虚拟平台威胁行为分析方法，其特征在于，所述步骤1具体为：

步骤101：利用Vcenter组件登陆虚拟平台的管理服务器；

步骤102：Vcenter组件通过所述管理服务器暂停虚拟机，并下载扩展名为VSMM的虚拟机文件，即内存数据。

3.根据权利要求1所述的一种基于KNN的虚拟平台威胁行为分析方法，其特征在于，所述步骤2具体为：

步骤201：遍历所述内存数据，确定所述内存数据中线索数据的类型；

步骤202：根据所述线索数据的类型在内存中的储存结构获取线索结构体数据；

步骤203：利用所述线索结构体数据，获取威胁源数据。

4.根据权利要求1所述的一种基于KNN的虚拟平台威胁行为分析方法，其特征在于，所述步骤3中，利用K-邻近算法对威胁软件进行识别包括训练过程和识别过程；

训练过程具体为：

步骤301：将已有的威胁软件和正常软件分别运行于虚拟平台上；

步骤302：利用步骤1-2的方法分别提取所述威胁软件和正常软件的威胁源数据，从所述威胁软件的威胁源数据中提取威胁行为特征向量作为训练集A，从所述正常软件的威胁源数据中提取威胁行为特征向量作为训练集B，将所述训练集A和训练集B输入K-邻近算法进行训练；

步骤303：经过所述K-邻近算法识别后，输出识别结果，所述识别结果中威胁软件所在类别为A，正常软件所在类别为B；

识别过程具体为：

步骤311：将待识别软件运行于虚拟平台上；

步骤312：利用步骤1-2的方法提取所述待识别软件的威胁源数据，从所述威胁源数据中提取威胁行为特征向量将所述威胁行为特征向量输入训练后的K-邻近算法中进行识别，得出识别结果。

5.根据权利要求4所述的一种基于KNN的虚拟平台威胁行为分析方法，其特征在于，所述步骤312中，利用训练后的K-邻近算法对威胁软件进行识别包括：

步骤3121：计算待识别软件中威胁行为特征向量与训练集A中威胁行为特征向量及训练集B中的威胁行为特征向量之间的欧式距离D_i；

步骤3122：对所述欧式距离D_i按从小到大进行排名；

步骤3123：获取排名前k个欧式距离D_i对应的威胁行为特征向量；

步骤3124：确定前k个威胁行为特征向量在类别A或B中的频率；

步骤3125：出现频率最高的类别为待识别软件的最终类别。

6.根据权利要求5所述的一种基于KNN的虚拟平台威胁行为分析方法，其特征在于，威胁行为特征向量威胁行为特征向量威胁行为特征向量中均包含：隐藏威胁行为、注册表篡改行为、启动行为、网络连接行为、遍历行为、反追踪行为。

7.根据权利要求1所述的一种基于KNN的虚拟平台威胁行为分析方法，其特征在于，利用线索数据库还原所述威胁行为具体为：

步骤321：获取威胁软件的行为特征，并将所述行为特征储存至线索数据库；

步骤322：将威胁软件的行为特征与线索数据库中的行为特征进行比对，完成威胁软件的行为还原。

8.一种基于KNN的虚拟平台威胁行为分析系统，其特征在于：包括

威胁信息提取模块：用于查找和提取虚拟平台的内存数据，并对所述内存数据进行固化；

威胁数据处理模块：用于提取所述内存数据中的威胁源数据，并获取软件的行为特征；

威胁行为分析模块：用于对所述威胁源数据中的威胁软件进行识别和还原；

威胁行为呈现模块：用于对整个威胁行为分析过程进行呈现。