一種基于信息融合的二進(jìn)制惡意代碼威脅性評(píng)估方法
【專利摘要】本發(fā)明屬于信息的二進(jìn)制惡意代碼威脅性評(píng)估領(lǐng)域，特別是涉及一種基于信息融合的二進(jìn)制惡意代碼威脅性評(píng)估方法，其特征在于：該評(píng)估方法分為三個(gè)步驟：步驟一、基于多維n-gram的惡意代碼威脅性行為級(jí)信息融合；步驟二、基于范數(shù)度量惡意代碼威脅性屬性級(jí)信息融合；步驟三、基于層次分析的惡意代碼威脅性決策級(jí)信息融合；經(jīng)過步驟一、二、三以后，計(jì)算得到各關(guān)鍵屬性的權(quán)重，采用的公式計(jì)算惡意代碼的威脅性。本發(fā)明基于信息融合的惡意代碼威脅性評(píng)估方法，通過對惡意代碼威脅性的評(píng)估過程進(jìn)行逐層分解，針對各層不同特點(diǎn)采用不同的算法，避開了采用單一算法的缺陷，從而提高了惡意代碼威脅性評(píng)估的適應(yīng)性與可擴(kuò)展性。
【專利說明】一種基于信息融合的二進(jìn)制惡意代碼威脅性評(píng)估方法

【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于信息的二進(jìn)制惡意代碼威脅性評(píng)估領(lǐng)域，特別是涉及一種基于信息融合的二進(jìn)制惡意代碼威脅性評(píng)估方法。

【背景技術(shù)】
[0002]長期以來，惡意代碼一直是信息安全所面臨的主要威脅之一。在波及范圍上，惡意代碼的威脅無處不在；在影響程度上，惡意代碼的危害后果嚴(yán)重；在時(shí)間跨度上，惡意代碼的演化從未停頓。
[0003]惡意代碼威脅性評(píng)估即通過靜態(tài)分析、動(dòng)態(tài)分析等方法對惡意代碼進(jìn)行深入、全面、準(zhǔn)確的分析，刻畫其在實(shí)際計(jì)算環(huán)境中對信息系統(tǒng)、用戶所構(gòu)成威脅的大小。惡意代碼威脅性評(píng)估是惡意代碼分析中的一項(xiàng)重要內(nèi)容，在信息系統(tǒng)安全態(tài)勢感知、信息系統(tǒng)攻擊預(yù)警、以及信息系統(tǒng)攻擊響應(yīng)方面均有重要應(yīng)用，通過評(píng)估惡意代碼的威脅性，能夠把有限的人力、物力、財(cái)力進(jìn)行精準(zhǔn)投放，提高信息安全保障的效率與質(zhì)量。
[0004]當(dāng)前，對惡意代碼威脅性的評(píng)估在技術(shù)層面主要存在以下問題:評(píng)估數(shù)據(jù)較為單一，難以全面地刻畫惡意代碼的威脅性。傳統(tǒng)惡意代碼威脅性評(píng)估主要依據(jù)代碼的反匯編指令特征或者函數(shù)調(diào)用特征，如果惡意代碼的行為以不同形式體現(xiàn)，那么來源單一的評(píng)估數(shù)據(jù)則難以刻畫惡意代碼的行為，從而造成威脅性評(píng)估數(shù)據(jù)來源的缺失；評(píng)估算法較為簡單，難以刻畫惡意代碼威脅性的特點(diǎn)。惡意代碼的威脅性有其自身的特點(diǎn)，例如其關(guān)鍵屬性雖然有多種實(shí)現(xiàn)方式，但是實(shí)現(xiàn)方式之間并不是累加的關(guān)系，關(guān)鍵屬性對威脅性的影響主要還是源自于其中效果最好的實(shí)現(xiàn)方式，但是傳統(tǒng)評(píng)估算法難以刻畫惡意代碼威脅性評(píng)估的上述特點(diǎn)；評(píng)估模型較為籠統(tǒng)，難以細(xì)粒度刻畫評(píng)估要素之間的關(guān)系。傳統(tǒng)評(píng)估模型往往采用一種模型進(jìn)行評(píng)估，例如層次評(píng)估模型、攻擊樹模型等，但是惡意代碼威脅性在關(guān)鍵屬性、行為等層面上的特點(diǎn)未必均適用于同一種評(píng)估模型。
[0005]因此，需要設(shè)計(jì)一種能夠在一定程度上解決上述問題的惡意代碼威脅性評(píng)估方法，為信息系統(tǒng)安全態(tài)勢感知、信息系統(tǒng)攻擊預(yù)警、以及信息系統(tǒng)攻擊響應(yīng)等領(lǐng)域提供強(qiáng)有力的技術(shù)保障。


【發(fā)明內(nèi)容】

[0006]本發(fā)明針對現(xiàn)有技術(shù)存在評(píng)估數(shù)據(jù)較為單一，難以全面地刻畫惡意代碼的威脅性，評(píng)估算法較為簡單，難以刻畫惡意代碼威脅性的特點(diǎn)，評(píng)估模型較為籠統(tǒng)，難以細(xì)粒度刻畫評(píng)估要素之間的關(guān)系等問題，提出一種基于信息融合的二進(jìn)制惡意代碼威脅性評(píng)估方法。
[0007]本發(fā)明的技術(shù)方案是:一種基于信息融合的二進(jìn)制惡意代碼威脅性評(píng)估方法，該評(píng)估方法分為三個(gè)步驟:
[0008]步驟一、基于多維n-gram的惡意代碼威脅性行為級(jí)信息融合；
[0009]步驟二、基于范數(shù)度量惡意代碼威脅性屬性級(jí)信息融合；
[0010]步驟三、基于層次分析的惡意代碼威脅性決策級(jí)信息融合；
[0011]經(jīng)過步驟一、二、三以后，計(jì)算得到各關(guān)鍵屬性的權(quán)重，采用的公式

【權(quán)利要求】
1.一種基于信息融合的二進(jìn)制惡意代碼威脅性評(píng)估方法，其特征在于:該評(píng)估方法分為三個(gè)步驟: 步驟一、基于多維n-gram的惡意代碼威脅性行為級(jí)信息融合； 步驟二、基于范數(shù)度量惡意代碼威脅性屬性級(jí)信息融合； 步驟三、基于層次分析的惡意代碼威脅性決策級(jí)信息融合； 經(jīng)過步驟一、二、三以后，計(jì)算得到各關(guān)鍵屬性的權(quán)重，采用的公式
計(jì)算惡思代碼的威脅性。
2.根據(jù)權(quán)利要求1所述的基于信息融合的二進(jìn)制惡意代碼威脅性評(píng)估方法，其特征在于:所述基于多維n-gram的惡意代碼威脅性行為級(jí)信息融合，判定代碼采用了公式=Typei=funB (Behav1ril,…，Behav1rin),亦即，
Typei = Behav1rn&...&Behav1rin。
3.根據(jù)權(quán)利要求1所述的基于信息融合的二進(jìn)制惡意代碼威脅性評(píng)估方法，其特征在于:所述基于范數(shù)度量惡意代碼威脅性屬性級(jí)信息融合，采用
，其中5j?+fTibuts|代表該類型惡意代碼的第i個(gè)關(guān)鍵屬性，Typeij代表第i個(gè)關(guān)鍵屬性的第j種實(shí)現(xiàn)方式，funA代表屬性級(jí)信息融合函數(shù)。
4.根據(jù)權(quán)利要求3所述的基于信息融合的二進(jìn)制惡意代碼威脅性評(píng)估方法，其特征在于:所述基于范數(shù)度量惡意代碼威脅性屬性級(jí)信息融合，范數(shù)度量的公式為:
5.根據(jù)權(quán)利要求1所述的基于信息融合的二進(jìn)制惡意代碼威脅性評(píng)估方法，其特征在于:所述基于層次分析的惡意代碼威脅性決策級(jí)信息融合，采用
，其中Sthreat代表惡思代碼最終計(jì)算得到的威脅性度量值,
代表該類型惡意代碼的第i個(gè)關(guān)鍵屬性，funD代表決策級(jí)信息融合函數(shù)。
6.根據(jù)權(quán)利要求5所述的基于信息融合的二進(jìn)制惡意代碼威脅性評(píng)估方法，其特征在于:所述基于層次分析的惡意代碼威脅性決策級(jí)信息融合，采用層次分析法對各屬性的相對重要性進(jìn)行計(jì)算，確定權(quán)重的步驟如下: 步驟1，以惡意代碼關(guān)鍵屬性兩兩比較的結(jié)果構(gòu)造判斷矩陣， M=
i為數(shù)列的行數(shù),j為數(shù)列的 列數(shù)； 步驟2，計(jì)算重要性排序，根據(jù)判斷矩陣，求出其最大特征根λ max所對應(yīng)的特征向量ω，方程為:Μ.ω = λΜχ.ω ; 步驟3，一致性檢驗(yàn)，得到的權(quán)重分配是否合理，還需要對判斷矩陣進(jìn)行一致性檢驗(yàn)。檢 驗(yàn)公式為:
.其中，C.R.為判斷矩陣的隨機(jī)一致性比率；C.1.為判斷矩陣的一般一致性指標(biāo)，
.為判斷矩陣的平均隨機(jī)一致性指標(biāo)。
【文檔編號(hào)】G06F21/56GK104134040SQ201410361614
【公開日】2014年11月5日 申請日期:2014年7月25日 優(yōu)先權(quán)日:2014年7月25日
【發(fā)明者】龐建民, 戴超, 單征, 岳峰, 崔平非, 孫笛, 梁光輝, 張嘯川, 白虹 申請人:中國人民解放軍信息工程大學(xué)