基于進程資源依賴網絡的代碼風險性評估方法技術

一種基于進程資源依賴網絡的代碼風險性評估方法，根據正常進程對計算機資源和對象的訪問記錄，構建正常進程資源依賴網絡；計算正常進程資源依賴網絡中各個資源和對象的重要性指標Ibenign；根據待評估代碼對計算機中資源和對象的訪問記錄，構建待評估進程資源訪問圖，將待評估進程資源訪問圖和正常進程資源依賴網絡合并，得到待評估進程資源依賴網絡；計算待評估進程資源依賴網絡中各個資源和對象的重要性指標，得到資源和對象的重要性向量Isuspicious；計算并量化Ibenign和Isuspicious之間的差異，得到待評估代碼的風險和威脅度值。本發明專利技術以計算機資源和對象重要性排名的變化為依據，對待評估代碼的風險性、威脅值進行評估；并判斷代碼的惡意性，進行惡意代碼檢測。

【技術實現步驟摘要】

本專利技術涉及計算機安全領域，更具體地說，涉及一種。
技術介紹
計算機的應用已經滲透到人 們生活的各個領域。然而隨著計算機快速的發展，與計算機相關的安全問題也層出不窮，嚴重威脅到人們日常生活的正常運作。作為計算機安全的重要環節，進程對資源或對象的訪問在入侵檢測、惡意代碼檢測中起到了至關重要的作用?，F有的方法與技術往往從單一進程的角度出發，建立正常、異常進程對資源和對象的訪問模式，以此作為正常、異常行為模式，采用一定的行為模式匹配的方法判斷是否出現異常。這些研究往往將進程行為目的二分類，即正常或異常。通過觀察指定進程對資源和對象的訪問行為，往往只能分析待測代碼是否異常，無法客觀定量地對代碼的威脅度或風險性進行分析評估。而在現實中，代碼的意圖并不能簡單的二分類分析，很多情況下，代碼的威脅性、風險性呈現出多元化，簡單的二分類會并不能準確刻畫代碼行為的安全性。本專利技術從系統整體的角度，以復雜網絡為模型，建立進程資源依賴網絡。在此基礎上，計算待評估代碼執行前后進程資源依賴網絡中計算機資源和對象的重要性排名序列，以計算機資源和對象重要性排名的變化為依據，對待評估代碼的風險性、威脅值進行評估，并可基于此判斷代碼的惡意性，進行惡意代碼檢測。
技術實現思路
本專利技術所提出的方案是基于進程資源依賴網絡的代碼風險性評估，包括如下步驟(a)根據正常進程對計算機中資源和對象的訪問記錄，構建正常進程資源依賴網絡；(b)用Random Walk方法計算正常進程資源依賴網絡中各個資源和對象的重要性指標，得到資源和對象的重要性向量Ib_ ;(c)根據待評估代碼對計算機中資源和對象的訪問記錄，構建待評估進程資源訪問圖，將待評估進程資源訪問圖和正常進程資源依賴網絡合并，得到待評估進程資源依賴網絡；(d)用Random Walk方法計算待評估進程資源依賴網絡中各個資源和對象的重要性指標，得到資源和對象的重要性向量Isuspicdws ;(e)計算并量化IbmigjP Isuspicd■之間的差異，得到待評估代碼的風險和威脅度值。在本專利技術所述的中，所述步驟(a)中，正常進程對計算機中資源和對象的訪問記錄是指在日常操作情況下，捕獲一段時間內計算機上運行的正常進程對計算機中資源和對象的訪問記錄，訪問記錄至少包括進程名、訪問操作類型、訪問資源和對象的類型、訪問資源和對象的名稱和位置。在本專利技術所述的中，所述步驟(a)中，進一步包括(al)提取依賴關系已知正常進程對計算機中資源和對象的訪問記錄，根據進程與計算機資源和對象之間的訪問操作類型，定義進程與計算機資源和對象之間的依賴關系;(a2)根據步驟(al)中得到的進程與計算機資源和對象之間的依賴關系，構造正常進程資源依賴網絡G(V，E)，其中V表示計算機資源和對象的集合，對于€ F，Ui表示第i個計算機資源或對象，用該資源或對象的名稱和位置、節點類型兩個屬性來描述；E表 示進程與計算機資源和對象之間的依賴關系集合，e(Ui，Uj.) G表示Ui依賴于Uj，依賴關系決定了有向邊的方向。在本專利技術所述的中，所述步驟(C)中，待評估進程是指，待評估代碼的執行進程；待評估進程對計算機中資源和對象的訪問記錄是指，執行待評估代碼，捕獲待評估代碼的執行進程對計算機中資源和對象的訪問記錄，訪問記錄至少包括進程名、訪問操作類型、訪問資源和對象的路徑。在本專利技術所述的中，所述步驟(C)中，進一步包括(Cl)與步驟(al)，(a2)類似，根據待評估進程對計算機中資源和對象的訪問記錄，提取待評估進程與計算機資源和對象之間的依賴關系，構造待評估進程資源訪問圖Gi=(ViAi)，其中Vi表示待測進程及其訪問的相關計算機資源和對象的集合,Ei表示進程與計算機資源和對象之間的依賴關系，依賴關系決定了有向邊的方向；(c2)將步驟(Cl)中得到的待評估進程資源訪問圖Gi,加入步驟(a2)中得到的正常進程資源依賴網絡G中，待評估進程資源依賴網絡G' (T , E/ )，其中V' = VUVi,E' = E U EiO在本專利技術所述的中，所述步驟(e)中，進一步包括(el)將向量Ibmign和向量Isuspicd■按照元素值從大到小進行排列，分別得到資源和對象按照重要性從高到低排列的序列T和T ';(e2)計算步驟(el)中得到的序列t和序列t，中資源和對象重要性排名差異，作為向量Ibmign和向量Isuspicd■之間的差異，即為待評估代碼的風險和威脅度值，其范圍為，且差異值越接近1，表明待評估代碼的風險和威脅度值越大。上述過程中步驟(a)和步驟(C)中的計算機資源和對象包括但不限于進程對象、文件對象、注冊表項。上述過程中步驟(a)和步驟(C)中的依賴關系包括但不限于由進程訪問資源和對象引起的信息的依賴關系。上述過程中步驟(a)和步驟(C)中進程對資源和對象的訪問操作類型包括但不限于對資源和對象的加載、讀取、創建、寫入、終止操作。上述過程中步驟(b)計算正常進程資源依賴網絡中各個資源和對象的重要性指標，包括但不局限于使用 Random Walk 的變形-PageRank, Personalized PageRank,HITS。本專利技術的有以下優點I.本專利技術以依賴網絡的形式描述進程與計算機資源和對象間的訪問關系，以有向連接的形式表示進程與資源和對象的依賴關系。從計算機安全的角度，系統化地評價計算機資源和對象的重要性。與傳統手工設置黑白名單的方法相比，該方法更具有客觀性，并能夠隨著時間的變化自動更新，提高了計算機資源和對象重要性的分析效率；2.量化分析由代碼引入的風險。傳統基于靜態、動態分析進程惡意性的方法旨在 對代碼行為進行二分類，即正?；虍惓！６谟嬎銠C系統中，代碼行為的多樣性決定了其風險性的具體性，本專利技術的基于計算機資源訪問的風險性評估方法，能更好的體現代碼行為意圖，降低分析的誤報率，具有更好的準確性和適用性。附圖說明圖I為本專利技術實施例建立的正常進程資源依賴網絡示例圖；圖2為本專利技術實施例建立的待評估進程資源訪問圖；圖3為本專利技術實施例建立的待評估進程資源依賴網絡示例圖。具體實施例方式下面舉例對本專利技術加以說明。(I)根據正常進程對資源和對象的訪問情況，建立正常進程資源依賴網絡。得到的正常進程對計算機中資源和對象的訪問記錄如下，其中使用資源和對象的全路徑名來表示其名稱和位置I :{ “Explorer, exe”，“File”，“C:\l.txt”，“ CreateFi I e，，}2 :{ “cmd. exe”，“File”，“C:\l.txt”，“ReadFile，，}3 : { “Explorer, exe，，，“Process，，，“cmd. exe，，，“ CreateProcess，，}4 {“Explorer, exe”，“File”，“C: \WIND0WS\system32\ntdll. dll，，，“LoadImage，，}其中，第一個元素表示正常進程名，第二個元素表示訪問資源和對象的節點類型，第三個元素表示訪問資源和對象的全路徑名/進程名，第四個元素表示訪問操作類型。根據訪問記錄可以得到依賴關系網絡中的節點vl= { “Explorer, exe”，“Process，，}v2= { “cmd. exe，，，“Process，本文檔來自技高網...

【技術保護點】
一種基于進程資源依賴網絡的代碼風險性評估方法，其特征在于，包括如下步驟：(a)根據正常進程對計算機資源和對象的訪問記錄，構建正常進程資源依賴網絡；(b)計算正常進程資源依賴網絡中各個資源和對象的重要性指標，得到資源和對象的重要性向量Ibenign；(c)根據待評估代碼對計算機中資源和對象的訪問記錄，構建待評估進程資源訪問圖，將待評估進程資源訪問圖和正常進程資源依賴網絡合并，得到待評估進程資源依賴網絡；(d)計算待評估進程資源依賴網絡中各個資源和對象的重要性指標，得到資源和對象的重要性向量Isuspicious；(e)計算并量化Ibenign和Isuspicious之間的差異，得到待評估代碼的風險和威脅度值。

【技術特征摘要】

【專利技術屬性】
技術研發人員：蔡忠閩，毛蔚軒，管曉宏，
申請(專利權)人：西安交通大學，
類型：發明
國別省市：