发明名称 |
一种恶意代码行为特征提取方法 |
摘要 |
本发明公开了一种恶意代码行为特征提取方法,属于网络安全技术领域。本发明的方法为:1)运行恶意代码,提取恶意代码的执行信息;所述执行信息包括恶意代码的执行指令序列和行为序列;2)根据执行信息,构造执行代码的控制依赖图和数据依赖图;3)对控制依赖图和数据依赖图进行关联性比较,记录相关的关联性信息;4)比较不同恶意代码之间的控制依赖图和数据依赖图,根据相似性聚类,提取每类样本的特征依赖。与现有技术相比,本发明具有信息提取全面、抗干扰性强,而且对单个样本特征的变种具有一定的适用性,同时具有特征库规模小、适应范围广的特点。 |
申请公布号 |
CN102054149A |
申请公布日期 |
2011.05.11 |
申请号 |
CN200910237422.X |
申请日期 |
2009.11.06 |
申请人 |
中国科学院研究生院 |
发明人 |
王蕊;杨轶;冯登国 |
分类号 |
G06F21/22(2006.01)I |
主分类号 |
G06F21/22(2006.01)I |
代理机构 |
北京君尚知识产权代理事务所(普通合伙) 11200 |
代理人 |
邵可声 |
主权项 |
一种恶意代码行为特征提取方法,其步骤为:1)运行恶意代码,提取恶意代码的执行信息;所述执行信息包括恶意代码的执行指令序列和行为序列;2)根据执行信息,构造执行代码的控制依赖图和数据依赖图;3)对控制依赖图和数据依赖图进行关联性比较,记录相关的关联性信息;4)比较不同恶意代码之间的控制依赖图和数据依赖图,根据相似性聚类,提取每类样本的特征依赖。 |
地址 |
100049 北京市石景山区玉泉路19号(甲) |