一种基于本体的计算机病毒分析系统及其特征提取方法

摘要

提供一种基于本体的计算机病毒分析系统及病毒特征提取方法，其在Pin平台上获得关键系统调用及内存信息，根据已有知识提取数据依赖关系与控制依赖关系，构建行为依赖图来表示描述病毒语义的行为特征，以此建立计算机病毒本体系统，在病毒样本增加的情况下实现自适应的特征学与本体构建。本发明通过提取计算机病毒的特征与本体构建使得细粒度地发现病毒行为与指令之间的关系，描述计算机病毒，从而达到准确分析与判断计算机病毒的目的。

主权项

一种基于本体的计算机病毒分析系统，其特征在于，在Pin平台上获得关键系统调用及内存信息，根据已有知识提取数据依赖关系与控制依赖关系，构建行为依赖图来表示描述病毒语义的行为特征，以此建立计算机病毒本体系统，在病毒样本增加的情况下实现自适应的特征学习与本体构建；基于本体的计算机病毒分析系统包括如下模块：(1)Pin平台处理模块，其对计算机病毒样本使用Pin平台上编写的程序进行处理，输出为轨迹文件，轨迹文件包含病毒样本的关键系统调用流程及内存信息；(2)具有自动更新的功能规则库模块，其使用经验知识，通过研究计算机病毒典型行为的编程实现手段，使用提取数据依赖关系与控制依赖关系来表示已知计算机病毒的典型行为；(3)规则匹配模块，规则匹配模块对Pin平台处理后输出的样本轨迹文件进行逐行分析，得出该样本轨迹文件的全部函数与数据的顺序与依赖关系，与规则库中的规则进行匹配，输出匹配具体结果，使用本体知识对匹配具体结果进行处理与分类；(4)本体管理模块，其具有构建与查询功能，所建立的本体以OWL格式文件的形式存在；所建立的本体具有一般本体的通用性，对已知病毒利用已知特征，使用本体知识通过protégéapi手动构建本体；(5)本体的自适应学习模块，对于不断增加的病毒样本，使用聚类算法，在病毒本体知识树添加新出现的病毒特征与病毒种类；(6)本体相似度计算模块，对给出规则匹配结果的病毒样本，进行属性的相似度计算，给出病毒本体知识树中位置，得出病毒分析的最终结果。