一種基于信息融合的二進制惡意代碼威脅性評估方法
【專利摘要】本發明屬于信息的二進制惡意代碼威脅性評估領域,特別是涉及一種基于信息融合的二進制惡意代碼威脅性評估方法,其特征在于:該評估方法分為三個步驟:步驟一、基于多維n-gram的惡意代碼威脅性行為級信息融合;步驟二、基于范數度量惡意代碼威脅性屬性級信息融合;步驟三、基于層次分析的惡意代碼威脅性決策級信息融合;經過步驟一、二、三以后,計算得到各關鍵屬性的權重,采用的公式計算惡意代碼的威脅性。本發明基于信息融合的惡意代碼威脅性評估方法,通過對惡意代碼威脅性的評估過程進行逐層分解,針對各層不同特點采用不同的算法,避開了采用單一算法的缺陷,從而提高了惡意代碼威脅性評估的適應性與可擴展性。
【專利說明】一種基于信息融合的二進制惡意代碼威脅性評估方法
【技術領域】
[0001]本發明屬于信息的二進制惡意代碼威脅性評估領域,特別是涉及一種基于信息融合的二進制惡意代碼威脅性評估方法。
【背景技術】
[0002]長期以來,惡意代碼一直是信息安全所面臨的主要威脅之一。在波及范圍上,惡意代碼的威脅無處不在;在影響程度上,惡意代碼的危害后果嚴重;在時間跨度上,惡意代碼的演化從未停頓。
[0003]惡意代碼威脅性評估即通過靜態分析、動態分析等方法對惡意代碼進行深入、全面、準確的分析,刻畫其在實際計算環境中對信息系統、用戶所構成威脅的大小。惡意代碼威脅性評估是惡意代碼分析中的一項重要內容,在信息系統安全態勢感知、信息系統攻擊預警、以及信息系統攻擊響應方面均有重要應用,通過評估惡意代碼的威脅性,能夠把有限的人力、物力、財力進行精準投放,提高信息安全保障的效率與質量。
[0004]當前,對惡意代碼威脅性的評估在技術層面主要存在以下問題:評估數據較為單一,難以全面地刻畫惡意代碼的威脅性。傳統惡意代碼威脅性評估主要依據代碼的反匯編指令特征或者函數調用特征,如果惡意代碼的行為以不同形式體現,那么來源單一的評估數據則難以刻畫惡意代碼的行為,從而造成威脅性評估數據來源的缺失;評估算法較為簡單,難以刻畫惡意代碼威脅性的特點。惡意代碼的威脅性有其自身的特點,例如其關鍵屬性雖然有多種實現方式,但是實現方式之間并不是累加的關系,關鍵屬性對威脅性的影響主要還是源自于其中效果最好的實現方式,但是傳統評估算法難以刻畫惡意代碼威脅性評估的上述特點;評估模型較為籠統,難以細粒度刻畫評估要素之間的關系。傳統評估模型往往采用一種模型進行評估,例如層次評估模型、攻擊樹模型等,但是惡意代碼威脅性在關鍵屬性、行為等層面上的特點未必均適用于同一種評估模型。
[0005]因此,需要設計一種能夠在一定程度上解決上述問題的惡意代碼威脅性評估方法,為信息系統安全態勢感知、信息系統攻擊預警、以及信息系統攻擊響應等領域提供強有力的技術保障。
【發明內容】
[0006]本發明針對現有技術存在評估數據較為單一,難以全面地刻畫惡意代碼的威脅性,評估算法較為簡單,難以刻畫惡意代碼威脅性的特點,評估模型較為籠統,難以細粒度刻畫評估要素之間的關系等問題,提出一種基于信息融合的二進制惡意代碼威脅性評估方法。
[0007]本發明的技術方案是:一種基于信息融合的二進制惡意代碼威脅性評估方法,該評估方法分為三個步驟:
[0008]步驟一、基于多維n-gram的惡意代碼威脅性行為級信息融合;
[0009]步驟二、基于范數度量惡意代碼威脅性屬性級信息融合;
[0010]步驟三、基于層次分析的惡意代碼威脅性決策級信息融合;
[0011]經過步驟一、二、三以后,計算得到各關鍵屬性的權重,采用的公式
【權利要求】
1.一種基于信息融合的二進制惡意代碼威脅性評估方法,其特征在于:該評估方法分為三個步驟: 步驟一、基于多維n-gram的惡意代碼威脅性行為級信息融合; 步驟二、基于范數度量惡意代碼威脅性屬性級信息融合; 步驟三、基于層次分析的惡意代碼威脅性決策級信息融合; 經過步驟一、二、三以后,計算得到各關鍵屬性的權重,采用的公式
計算惡思代碼的威脅性。
2.根據權利要求1所述的基于信息融合的二進制惡意代碼威脅性評估方法,其特征在于:所述基于多維n-gram的惡意代碼威脅性行為級信息融合,判定代碼采用了公式=Typei=funB (Behav1ril,…,Behav1rin),亦即,
Typei = Behav1rn&...&Behav1rin。
3.根據權利要求1所述的基于信息融合的二進制惡意代碼威脅性評估方法,其特征在于:所述基于范數度量惡意代碼威脅性屬性級信息融合,采用
,其中5j?+fTibuts|代表該類型惡意代碼的第i個關鍵屬性,Typeij代表第i個關鍵屬性的第j種實現方式,funA代表屬性級信息融合函數。
4.根據權利要求3所述的基于信息融合的二進制惡意代碼威脅性評估方法,其特征在于:所述基于范數度量惡意代碼威脅性屬性級信息融合,范數度量的公式為:
5.根據權利要求1所述的基于信息融合的二進制惡意代碼威脅性評估方法,其特征在于:所述基于層次分析的惡意代碼威脅性決策級信息融合,采用
,其中Sthreat代表惡思代碼最終計算得到的威脅性度量值,
代表該類型惡意代碼的第i個關鍵屬性,funD代表決策級信息融合函數。
6.根據權利要求5所述的基于信息融合的二進制惡意代碼威脅性評估方法,其特征在于:所述基于層次分析的惡意代碼威脅性決策級信息融合,采用層次分析法對各屬性的相對重要性進行計算,確定權重的步驟如下: 步驟1,以惡意代碼關鍵屬性兩兩比較的結果構造判斷矩陣, M=
i為數列的行數,j為數列的 列數; 步驟2,計算重要性排序,根據判斷矩陣,求出其最大特征根λ max所對應的特征向量ω,方程為:Μ.ω = λΜχ.ω ; 步驟3,一致性檢驗,得到的權重分配是否合理,還需要對判斷矩陣進行一致性檢驗。檢 驗公式為:
.其中,C.R.為判斷矩陣的隨機一致性比率;C.1.為判斷矩陣的一般一致性指標,
.為判斷矩陣的平均隨機一致性指標。
【文檔編號】G06F21/56GK104134040SQ201410361614
【公開日】2014年11月5日 申請日期:2014年7月25日 優先權日:2014年7月25日
【發明者】龐建民, 戴超, 單征, 岳峰, 崔平非, 孫笛, 梁光輝, 張嘯川, 白虹 申請人:中國人民解放軍信息工程大學