[发明专利]基于三位一体综合画像的恶意代码检测及恶意性定位方法

权利要求书

1.一种基于三位一体综合画像的恶意代码检测方法，其特征在于，包括：

构建恶意代码画像，所述恶意代码画像包括基本结构画像、底层行为画像和高层行为画像；其中，采用程序PE文件的sections进行基本结构画像；采用程序运行过程中所调用的API和DLL信息进行底层行为画像；采用程序运行过程中发生的文件操作行为、注册表操作行为和网络行为进行高层行为画像；

提取样本集中各样本的PE文件的sections、调用的API和DLL信息、以及文件操作行为、注册表操作行为和网络行为特征作为恶意代码画像的特征，对分类器进行训练；

利用训练好的分类器进行恶意代码检测。

2.如权利要求1所述的基于三位一体综合画像的恶意代码检测方法，其特征在于，所述PE文件的sections特征包括sections名称及大小，以sections作为特征向量，section的size作为其特征值，生成基本结构画像的特征矩阵。

3.如权利要求2所述的基于三位一体综合画像的恶意代码检测方法其特征在于，对提取出的sections进行模糊匹配归类，并去除包含乱码、名称无意义的sections。

4.如权利要求1所述的基于三位一体综合画像的恶意代码检测方法，其特征在于，取前N个贡献度最大的API作为特征向量，API对应的出现次数作为其特征值，生成底层行为画像的API序列特征矩阵。

5.如权利要求4所述的基于三位一体综合画像的恶意代码检测方法，其特征在于，API序列特征矩阵的获得方法如下：

提取样本的API序列，统计所有样本中每个API出现的次数、每一类样本中每个API出现的次数及每一个样本中每个API出现的次数；

采用tf-idf加权方法计算每一类样本中API的贡献度并按从大到小进行排序；

选取贡献度排序前N个API组成特征向量；

基于前N个API对每一个样本进行匹配，以该API在样本中出现的次数作为其特征值；

为每一个样本生成API序列特征向量；

生成基于API序列的特征向量矩阵。

6.如权利要求1所述的基于三位一体综合画像的恶意代码检测方法，其特征在于，提取样本集合的DLL序列，以DLL序列作为特征向量，DLL对应的出现次数作为其特征值，生成基本结构画像的DLL序列特征矩阵。

7.如权利要求6所述的基于三位一体综合画像的恶意代码检测方法，其特征在于，对恶意代码样本动态分析技术报告中提取的DLL序列进行模糊匹配归类，并去除乱码DLL。

8.如权利要求1所述的基于三位一体综合画像的恶意代码检测方法，其特征在于，文件操作行为特征包括：create、recreate、open、read、write、delete、failed、move、exist文件次数统计，create、remove和enumerate文件夹次数统计；

注册表操作行为特征包括：Create、read、write、open、delete注册表值次数统计；

网络行为特征包括：采用TCP、UDP协议的不同源IP、目的IP、源端口、目的端口统计，请求的主机、请求的dead主机、请求的域，DNS请求及请求的DNS服务器统计。

9.如权利要求1所述的基于三位一体综合画像的恶意代码检测方法，其特征在于，采用机器学习算法对分类器进行训练；所述机器学习算法为随机森林法、决策树法或朴素贝叶斯法。

10.一种基于三位一体综合画像的恶意代码恶意性定位方法，其特征在于，采用如权利要求1～9任意一项所述的检测方法对恶意代码进行检测；其中，计算恶意代码画像的每一个特征的信息增益并进行排序，选取前N个信息增益最大的特征进行恶意代码检测；计算前N个信息增益最大的特征分别在其所属的基本结构画像、底层行为画像或高层行为画像的特征子集中所占的比例，所占比例越高，则其对应的画像的恶意性越明显。