[发明专利]一种基于调用行为的恶意代码自动化同源判定方法及系统

摘要

本发明公开了一种基于调用行为的恶意代码自动化同源判定方法及系统。该方法首先提取两样本调用WinAPI的交集，基于WinAPI交集提取6类WinAPI调用行为，通过比较WinAPI的调用行为判定两样本是否同源。与手工同源判定相比，在保持高准确率的前提下大大提高了同源判定的效率，适合基于某特定样本在少量样本集中或在线实时捕获与该样本同源的其他恶意代码的场景，以快速发现不同攻击事件间的关联关系。本发明公开的系统可部署在恶意代码实时检测系统，用于快速检测与特定恶意代码同源的其他恶意代码样本，以有效防范新型恶意代码的传播，减轻危害降低损失。 1

主权项

1.一种基于恶意代码作者调用行为的恶意代码自动化同源判定方法，包括以下步骤：(1)提取每个恶意代码样本的WinAPI调用行为集合与样本中调用的WinAPI集合，所述WinAPI调用行为包括：①Proc级2‑WinAPI组合调用行为：恶意代码作者在编写函数中同时调用的两个WinAPI，表征在函数设计中的WinAPI组合调用行为；②Proc级2‑WinAPI分离调用行为：恶意代码作者在不同函数中使用的两个WinAPI，表征在函数设计中的不同WinAPI分开使用的调用行为；③Loc级2‑WinAPI组合调用行为：恶意代码作者在Loc代码段中同时调用的两个WinAPI，表征Loc代码段中的WinAPI组合调用行为；④Loc级WinAPI单独调用行为：恶意代码作者在Loc代码段中只调用了一个WinAPI，表征作者在Loc代码段中的WinAPI调用行为；⑤Loc级WinAPI序列调用行为：恶意代码作者在Loc代码段中调用的WinAPI序列，表征作者在Loc代码段中的WinAPI调用序列调用行为；⑥Loc级WinAPI调用先后次序组合调用行为：恶意代码作者在Loc代码段中调用WinAPI的先后关系，表征作者在Loc代码段中调用WinAPI的顺序调用行为；(2)提取两样本调用的WinAPI集合的WinAPI交集；(3)从两样本WinAPI调用行为集合中筛选出由WinAPI交集构成的调用行为集合；(4)依据步骤(3)中提取的调用行为集合，通过以下公式计算两样本间的同源度：其中，sim_i表示第i类行为的相似度，S′_A为样本A的WinAPI调用行为集合，为S′_A中第i类行为的集合，S′_B为样本B的WinAPI调用行为集合，为S′_B中第i类行为的集合，i＝1，2，3…6，依据设定的同源度阈值判定恶意代码样本是否同源。