本發(fā)明涉及軟件行為識(shí)別分析
技術(shù)領(lǐng)域：
，尤其是涉及基于系統(tǒng)調(diào)用的惡意程序行為識(shí)別方法和系統(tǒng)。
背景技術(shù)：
：近年來，惡意程序的數(shù)量在持續(xù)增長(zhǎng)，世界范圍內(nèi)擁有大量待分析的惡意程序樣本，由惡意代碼引發(fā)的信息安全事件造成了巨大的經(jīng)濟(jì)損失。安全研究人員和軟件用戶迫切希望準(zhǔn)確有效地對(duì)惡意程序進(jìn)行識(shí)別。程序行為識(shí)別其核心技術(shù)是對(duì)程序的行為語義結(jié)構(gòu)的類型和功能特征進(jìn)行特征抽取和鑒別分類的技術(shù)，按照技術(shù)原理劃分，當(dāng)前的程序行為識(shí)別技術(shù)分為靜態(tài)分析技術(shù)與動(dòng)態(tài)分析技術(shù)。其中，靜態(tài)分析技術(shù)能夠覆蓋到所有執(zhí)行流程，保證了分析的全面性，但是由于靜態(tài)分析的代碼和實(shí)際執(zhí)行的代碼存在的不一致性，惡意代碼常常采用自我保護(hù)技術(shù)，產(chǎn)生了大量可用于分析的執(zhí)行路徑分支，且其中大部分是冗余路徑，使得需要進(jìn)行分析的程序分支數(shù)驟增。動(dòng)態(tài)分析技術(shù)在近年有了長(zhǎng)足的發(fā)展，但仍然存在一些局限，主要體現(xiàn)在缺乏對(duì)系統(tǒng)調(diào)用進(jìn)行監(jiān)控，從而很難對(duì)內(nèi)核級(jí)別的惡意代碼進(jìn)行分析。另一方面，動(dòng)態(tài)分析覆蓋的執(zhí)行路徑數(shù)有限，從而很難保證惡意代碼分析的完整性，對(duì)分析檢測(cè)的準(zhǔn)確性造成影響。技術(shù)實(shí)現(xiàn)要素：有鑒于此，本發(fā)明的目的在于提供基于系統(tǒng)調(diào)用的惡意程序行為識(shí)別方法和系統(tǒng)，使用二進(jìn)制工具分析程序行為，并從多個(gè)維度提取程序特征，提高系統(tǒng)的準(zhǔn)確率和效率，大大降低系統(tǒng)的安全風(fēng)險(xiǎn)。第一方面，本發(fā)明實(shí)施例提供了基于系統(tǒng)調(diào)用的惡意程序行為識(shí)別方法，包括：獲取特征樣本，對(duì)所述特征樣本進(jìn)行預(yù)處理，得到系統(tǒng)調(diào)用信息；將所述系統(tǒng)調(diào)用信息進(jìn)行分類，構(gòu)建三元組模型；將所述三元組模型中的元素進(jìn)行量化，根據(jù)量化的元素得到所述系統(tǒng)調(diào)用的相似度，并根據(jù)所述系統(tǒng)調(diào)用的相似度得到系統(tǒng)調(diào)用序列的相似度；將所述特征樣本進(jìn)行挖掘聚類，得到挖掘結(jié)果，將所述挖掘結(jié)果與檢測(cè)結(jié)果進(jìn)行比對(duì)，得到比對(duì)概率；根據(jù)所述比對(duì)概率確定所述特征樣本的安全狀態(tài)。結(jié)合第一方面，本發(fā)明實(shí)施例提供了第一方面的第一種可能的實(shí)施方式，其中，所述獲取特征樣本，對(duì)所述特征樣本進(jìn)行預(yù)處理，得到系統(tǒng)調(diào)用信息包括：載入所述特征樣本；對(duì)所述特征樣本進(jìn)行二進(jìn)制插樁，得到所述系統(tǒng)調(diào)用信息；記錄所述系統(tǒng)調(diào)用信息。結(jié)合第一方面，本發(fā)明實(shí)施例提供了第一方面的第二種可能的實(shí)施方式，其中，所述將所述系統(tǒng)調(diào)用信息進(jìn)行分類，構(gòu)建三元組模型包括：將所述系統(tǒng)調(diào)用信息按照功能劃分，得到多個(gè)類別信息；分別提取多個(gè)所述類別信息對(duì)應(yīng)的參數(shù)特征信息；統(tǒng)計(jì)每一類別所述系統(tǒng)調(diào)用執(zhí)行的時(shí)間戳；按照所述類別信息、所述參數(shù)特征信息和所述時(shí)間戳構(gòu)建所述三元組模型。結(jié)合第一方面的第二種可能的實(shí)施方式，本發(fā)明實(shí)施例提供了第一方面的第三種可能的實(shí)施方式，其中，所述將所述三元組模型中元素進(jìn)行量化包括：提取所述系統(tǒng)調(diào)用的語義部分的特征信息；通過所述語義部分的特征信息對(duì)所述三元組模型中的所述類別信息、所述參數(shù)特征信息和所述時(shí)間戳進(jìn)行量化。結(jié)合第一方面，本發(fā)明實(shí)施例提供了第一方面的第四種可能的實(shí)施方式，其中，所述根據(jù)量化的元素得到所述系統(tǒng)調(diào)用的相似度包括：根據(jù)下式計(jì)算所述系統(tǒng)調(diào)用的相似度：Simfunction＝category*Vcategory+parameter*Vparameter+time*Vtime其中，Simfunction為所述系統(tǒng)調(diào)用的相似度，category為類別，parameter為參數(shù)特征，time為時(shí)間戳，Vcategory、Vparameter、Vtime分別代表給category、parameter、time分配的權(quán)值。結(jié)合第一方面，本發(fā)明實(shí)施例提供了第一方面的第五種可能的實(shí)施方式，其中，所述特征樣本進(jìn)行挖掘聚類，得到挖掘結(jié)果，將所述挖掘結(jié)果與檢測(cè)結(jié)果進(jìn)行比對(duì)，得到比對(duì)概率，包括：將各類別中所述系統(tǒng)調(diào)用的數(shù)量和所述系統(tǒng)調(diào)用序列的相似度進(jìn)行聚類挖掘，采用聚類算法并設(shè)定閾值，得到所述挖掘結(jié)果；從知識(shí)數(shù)據(jù)庫中選取與所述挖掘結(jié)果相關(guān)的所述檢測(cè)結(jié)果，將所述挖掘結(jié)果與所述檢測(cè)結(jié)果進(jìn)行比對(duì)，得到所述比對(duì)概率，并將所述挖掘結(jié)果作為所述檢測(cè)結(jié)果存入所述知識(shí)數(shù)據(jù)庫中。結(jié)合第一方面，本發(fā)明實(shí)施例提供了第一方面的第六種可能的實(shí)施方式，其中，所述檢測(cè)結(jié)果包括正常樣本和惡意樣本，所述根據(jù)所述比對(duì)概率確定所述特征樣本的安全狀態(tài)包括：當(dāng)所述挖掘結(jié)果與所述正常樣本進(jìn)行比對(duì)時(shí)，得到正常概率；當(dāng)所述挖掘結(jié)果與所述惡意樣本進(jìn)行比對(duì)時(shí)，得到惡意概率；當(dāng)所述正常概率大于所述惡意概率時(shí)，所述特征樣本為正常程序狀態(tài)；當(dāng)所述正常概率小于所述惡意概率時(shí)，所述特征樣本為惡意程序狀態(tài)。第二方面，本發(fā)明實(shí)施例還提供基于系統(tǒng)調(diào)用的惡意程序行為識(shí)別系統(tǒng)，包括：特征提取模塊、系統(tǒng)調(diào)用分類器、比對(duì)模塊和數(shù)據(jù)挖掘模塊；所述特征提取模塊，與所述系統(tǒng)調(diào)用分類器相連接，用于獲取特征樣本，對(duì)所述特征樣本進(jìn)行預(yù)處理，得到系統(tǒng)調(diào)用信息；所述系統(tǒng)調(diào)用分類器，與所述比對(duì)模塊相連接，用于將所述系統(tǒng)調(diào)用信息進(jìn)行分類，構(gòu)建三元組模型；所述比對(duì)模塊，與所述數(shù)據(jù)挖掘模塊相連接，用于將所述三元組模型中元素進(jìn)行量化，根據(jù)量化的元素得到所述系統(tǒng)調(diào)用的相似度，并根據(jù)所述系統(tǒng)調(diào)用的相似度得到系統(tǒng)調(diào)用序列的相似度；所述數(shù)據(jù)挖掘模塊，與所述比對(duì)模塊相連接，用于將所述特征樣本進(jìn)行挖掘聚類，得到挖掘結(jié)果，將所述挖掘結(jié)果與檢測(cè)結(jié)果進(jìn)行比對(duì)，得到比對(duì)概率，并根據(jù)所述比對(duì)概率確定所述特征樣本的安全狀態(tài)。結(jié)合第二方面，本發(fā)明實(shí)施例提供了第二方面的第一種可能的實(shí)施方式，其中，所述檢測(cè)結(jié)果包括正常樣本和惡意樣本，所述數(shù)據(jù)挖掘模塊，還用于在所述挖掘結(jié)果與所述正常樣本進(jìn)行比對(duì)的情況下，得到正常概率；在所述挖掘結(jié)果與所述惡意樣本進(jìn)行比對(duì)的情況下，得到惡意概率。結(jié)合第二方面，本發(fā)明實(shí)施例提供了第二方面的第一種可能的實(shí)施方式，其中，所述數(shù)據(jù)挖掘模塊，還用于在所述正常概率大于所述惡意概率的情況下，確定所述特征樣本為正常程序狀態(tài)；在所述正常概率小于所述惡意概率的情況下，確定所述特征樣本為惡意程序狀態(tài)。本發(fā)明實(shí)施例提供了基于系統(tǒng)調(diào)用的惡意程序行為識(shí)別方法和系統(tǒng)，包括獲取特征樣本，對(duì)特征樣本進(jìn)行預(yù)處理，得到系統(tǒng)調(diào)用信息；將系統(tǒng)調(diào)用信息進(jìn)行分類，構(gòu)建三元組模型；將三元組模型中的元素進(jìn)行量化，根據(jù)量化的元素得到系統(tǒng)調(diào)用的相似度，并根據(jù)系統(tǒng)調(diào)用的相似度得到系統(tǒng)調(diào)用序列的相似度；將特征樣本進(jìn)行挖掘聚類，得到挖掘結(jié)果，將挖掘結(jié)果與檢測(cè)結(jié)果進(jìn)行比對(duì)，得到比對(duì)概率，根據(jù)比對(duì)概率確定特征樣本的安全狀態(tài)。本發(fā)明使用二進(jìn)制工具分析程序行為，并從多個(gè)維度提取程序特征，提高系統(tǒng)的準(zhǔn)確率和效率，大大降低系統(tǒng)的安全風(fēng)險(xiǎn)。本發(fā)明的其他特征和優(yōu)點(diǎn)將在隨后的說明書中闡述，并且，部分地從說明書中變得顯而易見，或者通過實(shí)施本發(fā)明而了解。本發(fā)明的目的和其他優(yōu)點(diǎn)在說明書、權(quán)利要求書以及附圖中所特別指出的結(jié)構(gòu)來實(shí)現(xiàn)和獲得。為使本發(fā)明的上述目的、特征和優(yōu)點(diǎn)能更明顯易懂，下文特舉較佳實(shí)施例，并配合所附附圖，作詳細(xì)說明如下。附圖說明為了更清楚地說明本發(fā)明具體實(shí)施方式或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對(duì)具體實(shí)施方式或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹，顯而易見地，下面描述中的附圖是本發(fā)明的一些實(shí)施方式，對(duì)于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動(dòng)的前提下，還可以根據(jù)這些附圖獲得其他的附圖。圖1為本發(fā)明實(shí)施例一提供的基于系統(tǒng)調(diào)用的惡意程序行為識(shí)別方法流程圖；圖2為本發(fā)明實(shí)施例一提供的基于系統(tǒng)調(diào)用的惡意程序行為識(shí)別方法中步驟S100的流程圖；圖3為本發(fā)明實(shí)施例一提供的基于系統(tǒng)調(diào)用的惡意程序行為識(shí)別方法中步驟S110的流程圖；圖4為本發(fā)明實(shí)施例一提供的基于系統(tǒng)調(diào)用的惡意程序行為識(shí)別方法中步驟S120的流程圖；圖5為本發(fā)明實(shí)施例一提供的基于系統(tǒng)調(diào)用的惡意程序行為識(shí)別方法中步驟S130的流程圖；圖6為本發(fā)明實(shí)施例一提供的基于系統(tǒng)調(diào)用的惡意程序行為識(shí)別方法中步驟S140的流程圖；圖7為本發(fā)明實(shí)施例二提供的基于系統(tǒng)調(diào)用的惡意程序行為識(shí)別系統(tǒng)的結(jié)構(gòu)示意圖。圖標(biāo)：10-特征提取模塊；20-系統(tǒng)調(diào)用分類器；30-比對(duì)模塊；40-數(shù)據(jù)挖掘模塊。具體實(shí)施方式為使本發(fā)明實(shí)施例的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚，下面將結(jié)合附圖對(duì)本發(fā)明的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例是本發(fā)明一部分實(shí)施例，而不是全部的實(shí)施例。基于本發(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例，都屬于本發(fā)明保護(hù)的范圍。目前，靜態(tài)分析技術(shù)能夠覆蓋到所有執(zhí)行流程，保證了分析的全面性，但是由于靜態(tài)分析的代碼和實(shí)際執(zhí)行的代碼存在的不一致性，惡意代碼常常采用自我保護(hù)技術(shù)，產(chǎn)生了大量可用于分析的執(zhí)行路徑分支，其中大部分是冗余路徑，使得需要進(jìn)行分析的程序分支數(shù)驟增。動(dòng)態(tài)分析技術(shù)在近年有了長(zhǎng)足的發(fā)展，但仍然存在一些局限，主要體現(xiàn)在缺乏對(duì)系統(tǒng)調(diào)用進(jìn)行監(jiān)控，從而很難對(duì)內(nèi)核級(jí)別的惡意代碼進(jìn)行分析。另一方面，動(dòng)態(tài)分析覆蓋的執(zhí)行路徑數(shù)有限，從而很難保證惡意代碼分析的完整性，對(duì)分析檢測(cè)的準(zhǔn)確性造成影響?；诖耍景l(fā)明實(shí)施例提供基于系統(tǒng)調(diào)用的惡意程序行為識(shí)別方法和系統(tǒng)。為便于對(duì)本實(shí)施例進(jìn)行理解，首先對(duì)本發(fā)明實(shí)施例所公開的一種基于系統(tǒng)調(diào)用的惡意程序行為識(shí)別方法進(jìn)行詳細(xì)介紹。實(shí)施例一：圖1為本發(fā)明實(shí)施例一提供的基于系統(tǒng)調(diào)用的惡意程序行為識(shí)別方法流程圖。參照?qǐng)D1，基于系統(tǒng)調(diào)用的惡意程序行為識(shí)別方法包括以下步驟：步驟S100，獲取特征樣本，對(duì)特征樣本進(jìn)行預(yù)處理，得到系統(tǒng)調(diào)用信息；步驟S110，將系統(tǒng)調(diào)用信息進(jìn)行分類，構(gòu)建三元組模型；步驟S120，將三元組模型中的元素進(jìn)行量化，根據(jù)量化的元素得到系統(tǒng)調(diào)用的相似度，并根據(jù)系統(tǒng)調(diào)用的相似度得到系統(tǒng)調(diào)用序列的相似度；步驟S130，將特征樣本進(jìn)行挖掘聚類，得到挖掘結(jié)果，將挖掘結(jié)果與檢測(cè)結(jié)果進(jìn)行比對(duì)，得到比對(duì)概率；步驟S140，根據(jù)比對(duì)概率確定特征樣本的安全狀態(tài)。具體地，如圖2所示，上述實(shí)施例基于系統(tǒng)調(diào)用的惡意程序行為識(shí)別方法中，步驟S100可采用如下步驟實(shí)現(xiàn)，包括：步驟S201，載入特征樣本；步驟S202，對(duì)特征樣本進(jìn)行二進(jìn)制插樁，得到系統(tǒng)調(diào)用信息；步驟S203，記錄系統(tǒng)調(diào)用信息。這里，采用二進(jìn)制插樁工具，對(duì)程序動(dòng)態(tài)執(zhí)行過程中的系統(tǒng)調(diào)用以及其參數(shù)進(jìn)行記錄。具體地，如圖3所示，上述實(shí)施例基于系統(tǒng)調(diào)用的惡意程序行為識(shí)別方法中，步驟S110可采用如下步驟實(shí)現(xiàn)，包括：步驟S301，將系統(tǒng)調(diào)用信息按照功能劃分，得到多個(gè)類別信息；步驟S302，分別提取多個(gè)類別信息對(duì)應(yīng)的參數(shù)特征信息；步驟S303，統(tǒng)計(jì)每一類別系統(tǒng)調(diào)用執(zhí)行的時(shí)間戳；步驟S304，按照類別信息、參數(shù)特征信息和時(shí)間戳構(gòu)建三元組模型。這里，對(duì)每一個(gè)系統(tǒng)調(diào)用的結(jié)構(gòu)與特征進(jìn)行分析，統(tǒng)計(jì)各個(gè)類別系統(tǒng)調(diào)用出現(xiàn)的頻率，并且建立系統(tǒng)調(diào)用三元組模型；其中，三元組模型Table＜category,parameter,time>包括以下三個(gè)元素：category表示該系統(tǒng)調(diào)用所屬的類別。我們將所有系統(tǒng)調(diào)用按照?qǐng)?zhí)行時(shí)的功能劃分成五大類：注冊(cè)表操作類型、文件操作類型、進(jìn)程控制類型、內(nèi)存管理類型、網(wǎng)絡(luò)管理類型。其中每一類別又按照操作性質(zhì)等規(guī)則又劃分了如表1的子類別：表1系統(tǒng)調(diào)用的分類parameter表示系統(tǒng)調(diào)用函數(shù)所傳進(jìn)來的參數(shù)信息，根據(jù)不同的分類類型記錄需要提取的相關(guān)特征，如表2所示：表2系統(tǒng)調(diào)用提取的參數(shù)特征類別提取的參數(shù)特征注冊(cè)表操作KeyHandle、ObjectAttributes、SetData等文件操作FileHandle、Buffer、Routine等進(jìn)程控制ProcessHandle、ThreadHandle、AttributeList等內(nèi)存管理BaseAddress、MemoryInformation等網(wǎng)絡(luò)管理InputBuffer、OutputBuffer、IP、Port等time為時(shí)間戳，表示該系統(tǒng)調(diào)用執(zhí)行時(shí)所在的位置。具體地，如圖4所示，上述實(shí)施例基于系統(tǒng)調(diào)用的惡意程序行為識(shí)別方法中，步驟S120中將三元組模型中的元素進(jìn)行量化，可采用如下步驟實(shí)現(xiàn)，包括：步驟S401，提取系統(tǒng)調(diào)用的語義部分的特征信息；步驟S402，通過語義部分的特征信息對(duì)三元組模型中的類別信息、參數(shù)特征信息和時(shí)間戳進(jìn)行量化。具體地，上述實(shí)施例基于系統(tǒng)調(diào)用的惡意程序行為識(shí)別方法中，步驟S120中根據(jù)量化的元素得到所述系統(tǒng)調(diào)用的相似度，可采用如下步驟實(shí)現(xiàn)，包括：根據(jù)公式(1)計(jì)算所述系統(tǒng)調(diào)用的相似度：Simfunction＝category*Vcategory+parameter*Vparameter+time*Vtime(1)其中，Simfunction為系統(tǒng)調(diào)用的相似度，category為類別，parameter為參數(shù)特征，time為時(shí)間戳，Vcategory、Vparameter、Vtime分別代表給category、parameter、time分配的權(quán)值。這里，將上述結(jié)果做歸一化表示后輸出；進(jìn)一步的，并根據(jù)系統(tǒng)調(diào)用的相似度得到系統(tǒng)調(diào)用序列的相似度包括：根據(jù)公式(2)計(jì)算系統(tǒng)調(diào)用序列的相似度：Simsequence[i][j]＝max(Sim[i-1][j],Sim[i][j-1],Sim[i-1][j-1]+Simfunction[i][j])(2)其中，Simsequence[i][j]表示兩個(gè)系統(tǒng)調(diào)用序列的相似度，Simsequence[i]包括i個(gè)系統(tǒng)調(diào)用的相似度，Simsequence[j]包括j個(gè)系統(tǒng)調(diào)用的相似度，最終輸出的結(jié)果即是Simsequence[lena][lenb]，lena、lenb分別代表兩個(gè)系統(tǒng)調(diào)用序列的長(zhǎng)度。具體地，如圖5所示，上述實(shí)施例基于系統(tǒng)調(diào)用的惡意程序行為識(shí)別方法中，步驟S130可采用如下步驟實(shí)現(xiàn)，包括：步驟S501，將各類別中系統(tǒng)調(diào)用的數(shù)量和系統(tǒng)調(diào)用序列的相似度進(jìn)行聚類挖掘，采用聚類算法并設(shè)定閾值，得到挖掘結(jié)果；步驟S502，從知識(shí)數(shù)據(jù)庫中選取與挖掘結(jié)果相關(guān)的檢測(cè)結(jié)果，將挖掘結(jié)果與檢測(cè)結(jié)果進(jìn)行比對(duì)，得到比對(duì)概率，并將挖掘結(jié)果作為檢測(cè)結(jié)果存入知識(shí)數(shù)據(jù)庫中。這里，為了提升系統(tǒng)的準(zhǔn)確性和挖掘速度，采用聚類算法，在每一類別的數(shù)據(jù)中選取最具有代表性的一種或幾種，設(shè)定閾值，將多條數(shù)據(jù)合并，降低了算法的空間復(fù)雜度，也提升了系統(tǒng)的效率，因此，本系統(tǒng)可以支持大數(shù)據(jù)背景下的惡意程序行為檢測(cè)；進(jìn)一步的，聚類和挖掘是一個(gè)不斷迭代的過程。挖掘－聚類－挖掘－聚類，先挖掘數(shù)據(jù)，然后得到結(jié)果去聚類，之后通過聚類的結(jié)果不斷提升挖掘的準(zhǔn)確性，不斷對(duì)比挖掘結(jié)果和檢測(cè)結(jié)果，不斷學(xué)習(xí)，提升自己下一次判斷的準(zhǔn)確率；具體地，首先進(jìn)行原始挖掘過程，在系統(tǒng)初始情況下有一部分相關(guān)的挖掘結(jié)論，隨著程序樣本的不斷增多，進(jìn)行增量挖掘過程，在系統(tǒng)運(yùn)行期間，讀取上次增量挖掘之后的檢測(cè)結(jié)果，并從先驗(yàn)知識(shí)庫中讀取有關(guān)程序的樣本知識(shí)，然后將檢測(cè)結(jié)果融入到知識(shí)數(shù)據(jù)庫中，使得這些先驗(yàn)知識(shí)庫的中心發(fā)生少量變化以適應(yīng)最新的檢測(cè)結(jié)果，并不斷校正先驗(yàn)知識(shí)產(chǎn)生的挖掘算法。其中，本系統(tǒng)調(diào)用的增量挖掘算法包括貝葉斯分類模型、決策樹分類模型等對(duì)數(shù)據(jù)進(jìn)行增量挖掘，最后將挖掘結(jié)果重新存入挖掘結(jié)果中，替換原本結(jié)果形成新的增量挖掘庫，使其能夠?qū)υ撔碌膼阂鈽颖具M(jìn)行識(shí)別，增強(qiáng)數(shù)據(jù)挖掘的準(zhǔn)確率。例如：將需要測(cè)試的程序特征樣本A進(jìn)行挖掘，將上次挖掘過的作為檢測(cè)結(jié)果B存入增量挖掘的知識(shí)數(shù)據(jù)庫中，然后從庫中選取與我們特征樣本相關(guān)的檢測(cè)結(jié)果‘A，將特征樣本A和檢測(cè)結(jié)果‘A，進(jìn)行比對(duì)，得到一個(gè)比對(duì)概率，下次判別時(shí)，將A作為檢測(cè)結(jié)果存入庫中。具體地，如圖6所示，上述實(shí)施例基于系統(tǒng)調(diào)用的惡意程序行為識(shí)別方法中，步驟S140可采用如下步驟實(shí)現(xiàn)，包括：步驟S601，當(dāng)挖掘結(jié)果與正常樣本進(jìn)行比對(duì)時(shí)，得到正常概率；步驟S602，當(dāng)挖掘結(jié)果與惡意樣本進(jìn)行比對(duì)時(shí)，得到惡意概率；步驟S603，當(dāng)正常概率大于惡意概率時(shí)，特征樣本為正常程序狀態(tài)；步驟S604，當(dāng)正常概率小于惡意概率時(shí)，特征樣本為惡意程序狀態(tài)。其中，檢測(cè)結(jié)果包括正常樣本和惡意樣本，通過兩種不同樣本與挖掘結(jié)果進(jìn)行比對(duì)，得到正常概率與惡意概率，再將兩者進(jìn)行比較，來確定特征樣本的安全狀態(tài)。本發(fā)明實(shí)施例提供的基于系統(tǒng)調(diào)用分類與序列比對(duì)的惡意程序行為識(shí)別方法，從底層系統(tǒng)調(diào)用的角度出發(fā)，將系統(tǒng)調(diào)用分類，統(tǒng)計(jì)各個(gè)類別出現(xiàn)的數(shù)量，并聲稱系統(tǒng)調(diào)用序列的相似度，最終通過數(shù)據(jù)挖掘的過程保證系統(tǒng)的最終結(jié)果。該方法從多個(gè)維度描述程序的行為特征，能夠更準(zhǔn)確和快速地識(shí)別惡意軟件行為，提升系統(tǒng)的安全性。實(shí)施例二：參照?qǐng)D7，基于系統(tǒng)調(diào)用的惡意程序行為識(shí)別系統(tǒng)，包括特征提取模塊10、系統(tǒng)調(diào)用分類器20、比對(duì)模塊30和數(shù)據(jù)挖掘模塊40；特征提取模塊10，與系統(tǒng)調(diào)用分類器20相連接，用于獲取特征樣本，對(duì)特征樣本進(jìn)行預(yù)處理，得到系統(tǒng)調(diào)用信息；系統(tǒng)調(diào)用分類器20，與比對(duì)模塊30相連接，用于將系統(tǒng)調(diào)用信息進(jìn)行分類，構(gòu)建三元組模型；比對(duì)模塊30，與數(shù)據(jù)挖掘模塊40相連接，用于將三元組模型中元素進(jìn)行量化，根據(jù)量化的元素得到系統(tǒng)調(diào)用的相似度，并根據(jù)系統(tǒng)調(diào)用的相似度得到系統(tǒng)調(diào)用序列的相似度；數(shù)據(jù)挖掘模塊40，與比對(duì)模塊30相連接，用于將特征樣本進(jìn)行挖掘聚類，得到挖掘結(jié)果，將挖掘結(jié)果與檢測(cè)結(jié)果進(jìn)行比對(duì)，得到比對(duì)概率，并根據(jù)比對(duì)概率確定特征樣本的安全狀態(tài)。進(jìn)一步的，檢測(cè)結(jié)果包括正常樣本和惡意樣本，數(shù)據(jù)挖掘模塊40，還用于在挖掘結(jié)果與正常樣本進(jìn)行比對(duì)的情況下，得到正常概率；在挖掘結(jié)果與惡意樣本進(jìn)行比對(duì)的情況下，得到惡意概率。進(jìn)一步的，數(shù)據(jù)挖掘模塊40，還用于在正常概率大于惡意概率的情況下，確定特征樣本為正常程序狀態(tài)；在正常概率小于惡意概率的情況下，確定特征樣本為惡意程序狀態(tài)。本發(fā)明實(shí)施例提供的基于系統(tǒng)調(diào)用的惡意程序行為識(shí)別系統(tǒng)，與上述實(shí)施例提供的基于系統(tǒng)調(diào)用的惡意程序行為識(shí)別方法具有相同的技術(shù)特征，所以也能解決相同的技術(shù)問題，達(dá)到相同的技術(shù)效果。本發(fā)明實(shí)施例所提供的基于系統(tǒng)調(diào)用的惡意程序行為識(shí)別方法和系統(tǒng)的計(jì)算機(jī)程序產(chǎn)品，包括存儲(chǔ)了程序代碼的計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，所述程序代碼包括的指令可用于執(zhí)行前面方法實(shí)施例中所述的方法，具體實(shí)現(xiàn)可參見方法實(shí)施例，在此不再贅述。所屬領(lǐng)域的技術(shù)人員可以清楚地了解到，為描述的方便和簡(jiǎn)潔，上述描述的系統(tǒng)和裝置的具體工作過程，可以參考前述方法實(shí)施例中的對(duì)應(yīng)過程，在此不再贅述。另外，在本發(fā)明實(shí)施例的描述中，除非另有明確的規(guī)定和限定，術(shù)語“安裝”、“相連”、“連接”應(yīng)做廣義理解，例如，可以是固定連接，也可以是可拆卸連接，或一體地連接；可以是機(jī)械連接，也可以是電連接；可以是直接相連，也可以通過中間媒介間接相連，可以是兩個(gè)元件內(nèi)部的連通。對(duì)于本領(lǐng)域的普通技術(shù)人員而言，可以具體情況理解上述術(shù)語在本發(fā)明中的具體含義。所述功能如果以軟件功能單元的形式實(shí)現(xiàn)并作為獨(dú)立的產(chǎn)品銷售或使用時(shí)，可以存儲(chǔ)在一個(gè)計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中。基于這樣的理解，本發(fā)明的技術(shù)方案本質(zhì)上或者說對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分或者該技術(shù)方案的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來，該計(jì)算機(jī)軟件產(chǎn)品存儲(chǔ)在一個(gè)存儲(chǔ)介質(zhì)中，包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備(可以是個(gè)人計(jì)算機(jī)，服務(wù)器，或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例所述方法的全部或部分步驟。而前述的存儲(chǔ)介質(zhì)包括：U盤、移動(dòng)硬盤、只讀存儲(chǔ)器(ROM，Read-OnlyMemory)、隨機(jī)存取存儲(chǔ)器(RAM，RandomAccessMemory)、磁碟或者光盤等各種可以存儲(chǔ)程序代碼的介質(zhì)。在本發(fā)明的描述中，需要說明的是，術(shù)語“中心”、“上”、“下”、“左”、“右”、“豎直”、“水平”、“內(nèi)”、“外”等指示的方位或位置關(guān)系為基于附圖所示的方位或位置關(guān)系，僅是為了便于描述本發(fā)明和簡(jiǎn)化描述，而不是指示或暗示所指的裝置或元件必須具有特定的方位、以特定的方位構(gòu)造和操作，因此不能理解為對(duì)本發(fā)明的限制。此外，術(shù)語“第一”、“第二”、“第三”僅用于描述目的，而不能理解為指示或暗示相對(duì)重要性。最后應(yīng)說明的是：以上所述實(shí)施例，僅為本發(fā)明的具體實(shí)施方式，用以說明本發(fā)明的技術(shù)方案，而非對(duì)其限制，本發(fā)明的保護(hù)范圍并不局限于此，盡管參照前述實(shí)施例對(duì)本發(fā)明進(jìn)行了詳細(xì)的說明，本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解：任何熟悉本
技術(shù)領(lǐng)域：
的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)，其依然可以對(duì)前述實(shí)施例所記載的技術(shù)方案進(jìn)行修改或可輕易想到變化，或者對(duì)其中部分技術(shù)特征進(jìn)行等同替換；而這些修改、變化或者替換，并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明實(shí)施例技術(shù)方案的精神和范圍，都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。因此，本發(fā)明的保護(hù)范圍應(yīng)所述以權(quán)利要求的保護(hù)范圍為準(zhǔn)。當(dāng)前第1頁1 2 3