一种基于信息融合的二进制恶意代码威胁性评估方法
【专利摘要】本发明属于信息的二进制恶意代码威胁性评估领域,特别是涉及一种基于信息融合的二进制恶意代码威胁性评估方法,其特征在于:该评估方法分为三个步骤:步骤一、基于多维n-gram的恶意代码威胁性行为级信息融合;步骤二、基于范数度量恶意代码威胁性属性级信息融合;步骤三、基于层次分析的恶意代码威胁性决策级信息融合;经过步骤一、二、三以后,计算得到各关键属性的权重,采用的公式计算恶意代码的威胁性。本发明基于信息融合的恶意代码威胁性评估方法,通过对恶意代码威胁性的评估过程进行逐层分解,针对各层不同特点采用不同的算法,避开了采用单一算法的缺陷,从而提高了恶意代码威胁性评估的适应性与可扩展性。
【专利说明】一种基于信息融合的二进制恶意代码威胁性评估方法
【技术领域】
[0001]本发明属于信息的二进制恶意代码威胁性评估领域,特别是涉及一种基于信息融合的二进制恶意代码威胁性评估方法。
【背景技术】
[0002]长期以来,恶意代码一直是信息安全所面临的主要威胁之一。在波及范围上,恶意代码的威胁无处不在;在影响程度上,恶意代码的危害后果严重;在时间跨度上,恶意代码的演化从未停顿。
[0003]恶意代码威胁性评估即通过静态分析、动态分析等方法对恶意代码进行深入、全面、准确的分析,刻画其在实际计算环境中对信息系统、用户所构成威胁的大小。恶意代码威胁性评估是恶意代码分析中的一项重要内容,在信息系统安全态势感知、信息系统攻击预警、以及信息系统攻击响应方面均有重要应用,通过评估恶意代码的威胁性,能够把有限的人力、物力、财力进行精准投放,提高信息安全保障的效率与质量。
[0004]当前,对恶意代码威胁性的评估在技术层面主要存在以下问题:评估数据较为单一,难以全面地刻画恶意代码的威胁性。传统恶意代码威胁性评估主要依据代码的反汇编指令特征或者函数调用特征,如果恶意代码的行为以不同形式体现,那么来源单一的评估数据则难以刻画恶意代码的行为,从而造成威胁性评估数据来源的缺失;评估算法较为简单,难以刻画恶意代码威胁性的特点。恶意代码的威胁性有其自身的特点,例如其关键属性虽然有多种实现方式,但是实现方式之间并不是累加的关系,关键属性对威胁性的影响主要还是源自于其中效果最好的实现方式,但是传统评估算法难以刻画恶意代码威胁性评估的上述特点;评估模型较为笼统,难以细粒度刻画评估要素之间的关系。传统评估模型往往采用一种模型进行评估,例如层次评估模型、攻击树模型等,但是恶意代码威胁性在关键属性、行为等层面上的特点未必均适用于同一种评估模型。
[0005]因此,需要设计一种能够在一定程度上解决上述问题的恶意代码威胁性评估方法,为信息系统安全态势感知、信息系统攻击预警、以及信息系统攻击响应等领域提供强有力的技术保障。
【发明内容】
[0006]本发明针对现有技术存在评估数据较为单一,难以全面地刻画恶意代码的威胁性,评估算法较为简单,难以刻画恶意代码威胁性的特点,评估模型较为笼统,难以细粒度刻画评估要素之间的关系等问题,提出一种基于信息融合的二进制恶意代码威胁性评估方法。
[0007]本发明的技术方案是:一种基于信息融合的二进制恶意代码威胁性评估方法,该评估方法分为三个步骤:
[0008]步骤一、基于多维n-gram的恶意代码威胁性行为级信息融合;
[0009]步骤二、基于范数度量恶意代码威胁性属性级信息融合;
[0010]步骤三、基于层次分析的恶意代码威胁性决策级信息融合;
[0011]经过步骤一、二、三以后,计算得到各关键属性的权重,采用的公式
【权利要求】
1.一种基于信息融合的二进制恶意代码威胁性评估方法,其特征在于:该评估方法分为三个步骤: 步骤一、基于多维n-gram的恶意代码威胁性行为级信息融合; 步骤二、基于范数度量恶意代码威胁性属性级信息融合; 步骤三、基于层次分析的恶意代码威胁性决策级信息融合; 经过步骤一、二、三以后,计算得到各关键属性的权重,采用的公式
计算恶思代码的威胁性。
2.根据权利要求1所述的基于信息融合的二进制恶意代码威胁性评估方法,其特征在于:所述基于多维n-gram的恶意代码威胁性行为级信息融合,判定代码采用了公式=Typei=funB (Behav1ril,…,Behav1rin),亦即,
Typei = Behav1rn&...&Behav1rin。
3.根据权利要求1所述的基于信息融合的二进制恶意代码威胁性评估方法,其特征在于:所述基于范数度量恶意代码威胁性属性级信息融合,采用
,其中5j?+fTibuts|代表该类型恶意代码的第i个关键属性,Typeij代表第i个关键属性的第j种实现方式,funA代表属性级信息融合函数。
4.根据权利要求3所述的基于信息融合的二进制恶意代码威胁性评估方法,其特征在于:所述基于范数度量恶意代码威胁性属性级信息融合,范数度量的公式为:
5.根据权利要求1所述的基于信息融合的二进制恶意代码威胁性评估方法,其特征在于:所述基于层次分析的恶意代码威胁性决策级信息融合,采用
,其中Sthreat代表恶思代码最终计算得到的威胁性度量值,
代表该类型恶意代码的第i个关键属性,funD代表决策级信息融合函数。
6.根据权利要求5所述的基于信息融合的二进制恶意代码威胁性评估方法,其特征在于:所述基于层次分析的恶意代码威胁性决策级信息融合,采用层次分析法对各属性的相对重要性进行计算,确定权重的步骤如下: 步骤1,以恶意代码关键属性两两比较的结果构造判断矩阵, M=
i为数列的行数,j为数列的 列数; 步骤2,计算重要性排序,根据判断矩阵,求出其最大特征根λ max所对应的特征向量ω,方程为:Μ.ω = λΜχ.ω ; 步骤3,一致性检验,得到的权重分配是否合理,还需要对判断矩阵进行一致性检验。检 验公式为:
.其中,C.R.为判断矩阵的随机一致性比率;C.1.为判断矩阵的一般一致性指标,
.为判断矩阵的平均随机一致性指标。
【文档编号】G06F21/56GK104134040SQ201410361614
【公开日】2014年11月5日 申请日期:2014年7月25日 优先权日:2014年7月25日
【发明者】庞建民, 戴超, 单征, 岳峰, 崔平非, 孙笛, 梁光辉, 张啸川, 白虹 申请人:中国人民解放军信息工程大学