導出和驗證惡意代碼的網絡行為特徵的方法和裝置製造方法
2023-11-11 18:00:52 3
導出和驗證惡意代碼的網絡行為特徵的方法和裝置製造方法【專利摘要】本發明提供了用於導出和驗證惡意代碼的網絡行為特徵的方法和裝置。用於導出惡意代碼的網絡行為特徵的方法可以包括:獲取由惡意代碼引起的系統行為參數;基於所述系統行為參數生成系統行為特徵;以及基於所述系統行為特徵導出惡意代碼的網絡行為特徵。用於驗證惡意代碼的網絡行為特徵的方法可以包括:確定與所要驗證的網絡行為特徵相對應的網絡行為參數;獲取與所述網絡行為參數相對應的系統行為參數;基於所述系統行為參數生成系統行為特徵;以及將所述系統行為特徵與所述網絡行為特徵進行比較,以確定所述網絡行為特徵的有效性。【專利說明】導出和驗證惡意代碼的網絡行為特徵的方法和裝置【
技術領域:
】[0001]本發明一般涉及惡意代碼檢測,具體涉及用於導出和驗證惡意代碼的網絡行為特徵的方法和裝置。【
背景技術:
】[0002]目前,惡意代碼(例如,病毒、木馬等)已經廣泛採用了如多態、變形等更為高級的策略。通過這些策略,每當惡意代碼進行複製時,其一部分或其結構就可能以隨機和不可預測的方式發生改變。因此,如何檢測和抑制惡意代碼已經成為了人們所面臨的巨大挑戰。[0003]傳統的惡意代碼檢測軟體是基於特徵碼的,其可以通過特徵碼匹配的方式來檢測惡意代碼。例如,這類軟體可以將從惡意代碼中提取的特定特徵存儲在特徵資料庫中以用於隨後檢測相關的惡意代碼實例,該特徵資料庫可以持續更新以便能夠檢測到與最近更新的特徵相對應的惡意代碼。然而,儘管使用特徵資料庫的這種檢測方式可以獲得對已知惡意代碼的出色的檢測率,這種方式卻無法檢測出新的未知惡意代碼。尤其是多態和變形的出現,使得基於特徵碼的惡意代碼檢測方式的有效性大大降低。此外,惡意代碼在網際網路上的快速傳播也會導致特徵資料庫無法及時跟進更新。例如,一些行動電話病毒安全系統或惡意信息過濾器可以檢測出已知惡意病毒所涉及的統一資源定位符(URL)並且進而阻止相應的web站點,但是,這些系統或過濾器僅能夠阻止已知的移動病毒伺服器,卻不能阻止新的未知移動病毒伺服器。此外,移動病毒也可能通過改變病毒伺服器的地址來避開這些系統或過濾器的檢測。[0004]此外,存在基於系統行為的惡意代碼檢測方式。這種惡意代碼檢測方式可以包括基於啟發式特徵的檢測、基於靜態特徵的檢測和基於動態特徵的檢測等三種類型。[0005]基於啟發式特徵的檢測可以利用啟發式特徵。啟發式特徵可以指例如從Win32可移植執行體(PEPortableExecute)頭或可執行體內的字符串中提取的特徵集。[0006]基於靜態特徵的檢測可以利用通過靜態分析而導出的特徵。例如,該檢測方式可以基於通過對可執行二進位碼的反彙編而導出的彙編碼、基於例如控制流圖(CFG)的彙編碼等。然而,對二進位碼進行反彙編本身就是一個比較難解決的問題,並且尚未發現較為通用的方案。[0007]基於動態特徵的檢測是一種可以在惡意代碼執行過程中基於系統行為所執行的檢測方式。這種檢測方式可以通過監視當前執行進程的例如嘗試複製等操作來在運行時完成檢測。例如,可以基於病毒對複製的嘗試來檢測已知的和未知的病毒。例如,可以利用通過系統調用掛鈎技術而獲得的木馬的規則的可執行路徑以及所獲知的木馬的行為特性(例如,修改註冊表、註冊系統服務、修改系統文件等)來檢測和阻截木馬。[0008]此外,在入侵檢測領域存在基於網絡行為的檢測方式。在KDDCUP1999(http://www.sigkdd.0rg/kddcup/index.php?section=1999&method=info)文檔中對網絡行為特徵做出了描述。該文檔提供的網絡入侵檢測數據集(KDD99數據集)被用於測試所開發的算法以及預定義行為特徵。每個數據項包含指示網絡行為特徵的41個欄位和指示攻擊類型的I個欄位。對於數據分析工具而言,處理所有這些欄位的開銷是很昂貴的。更為重要的是,這種網絡行為特徵的描述僅僅用於入侵檢測,而並非針對惡意代碼。[0009]此外,考慮到惡意代碼的傳播越來越多地依賴於網絡通道,由網絡運營商在網絡側而不是在終端用戶側執行惡意代碼檢測和阻止將是有效的。例如,對於一些竊密病毒而言,其不能在沒有網絡的情況下上傳隱私信息。在這種情況下,網絡行為特徵集的選擇將是惡意代碼檢測的關鍵因素。例如,對於移動病毒而言,其網絡行為可以包括通過網絡的病毒傳播行為、行動裝置系統在感染後的網絡行為以及網絡側系統在感染後的網絡行為等。這些網絡行為所對應的所有網絡行為特徵都可以通過網絡數據流來實施。從而,將會存在大量的網絡行為特徵需要處理。例如數據挖掘等數據處理技術可以作為找出惡意代碼的網絡行為特徵的一種有效手段。但是,通過數據挖掘過程會挖掘出大量的網絡行為特徵,並且錯誤拒絕率(FRR:FalseRejectRate)和錯誤接受率(FAR:FalseAcceptRate)都比較高。通過調整一些特徵,可以使FRR和FAR產生波動,然而,不可能通過數據挖掘算法本身來驗證這些網絡行為特徵。[0010]因此,本領域需要能夠有效地找出惡意代碼的網絡行為特徵以及能夠高效地驗證惡意代碼的網絡行為特徵的解決方案。【
發明內容】[0011]本發明實施例提供了用於導出和驗證惡意代碼的網絡行為特徵的方法和裝置。[0012]根據一個方面,本發明實施例提供了一種用於導出惡意代碼的網絡行為特徵的方法。該方法可以包括:獲取由惡意代碼引起的系統行為參數;基於所述系統行為參數生成系統行為特徵;以及基於所述系統行為特徵導出惡意代碼的網絡行為特徵。[0013]在上述方法中,所述獲取由惡意代碼引起的系統行為參數可以包括以下至少之一:獲取與數據收發相關聯的連接相關系統行為參數;以及獲取與應用層內容相關聯的內容相關系統行為參數。[0014]在上述方法中,所述基於所述系統行為參數生成系統行為特徵可以包括以下至少之一:基於所述連接相關系統行為參數生成與數據收發相關聯的連接相關系統行為特徵;基於所述內容相關系統行為參數生成與應用層內容相關聯的內容相關系統行為特徵;以及基於所述連接相關系統行為參數和所述內容相關系統行為參數,生成與數據收發以及應用層內容都相關聯的連接和內容相關系統行為特徵。[0015]在上述方法中,所述基於所述系統行為特徵導出惡意代碼的網絡行為特徵可以包括以下至少之一:基於所述連接相關系統行為特徵導出與網絡連接相關聯的連接相關網絡行為特徵;基於所述內容相關系統行為特徵導出與應用層內容相關聯的內容相關網絡行為特徵;以及基於所述連接和內容相關系統行為特徵導出與網絡連接和應用層內容都相關聯的連接和內容相關網絡行為特徵。[0016]根據另一個方面,本發明實施例提供了一種用於導出惡意代碼的網絡行為特徵的裝置。該裝置可以包括:系統行為參數獲取器,用於獲取由惡意代碼引起的系統行為參數;系統行為特徵生成器,用於基於所述系統行為參數生成系統行為特徵;以及網絡行為特徵導出器,用於基於所述系統行為特徵導出惡意代碼的網絡行為特徵。[0017]在上述裝置中,所述系統行為參數獲取器可以進一步用於以下至少之一:獲取與數據收發相關聯的連接相關系統行為參數;以及獲取與應用層內容相關聯的內容相關系統行為參數。[0018]在上述裝置中,所述系統行為特徵生成器可以進一步用於以下至少之一:基於所述連接相關系統行為參數生成與數據收發相關聯的連接相關系統行為特徵;基於所述內容相關系統行為參數生成與應用層內容相關聯的內容相關系統行為特徵;以及基於所述連接相關系統行為參數和所述內容相關系統行為參數,生成與數據收發以及應用層內容都相關聯的連接和內容相關系統行為特徵。[0019]在上述裝置中,所述網絡行為特徵導出器可以進一步用於以下至少之一:基於所述連接相關系統行為特徵導出與網絡連接相關聯的連接相關網絡行為特徵;基於所述內容相關系統行為特徵導出與應用層內容相關聯的內容相關網絡行為特徵;以及基於所述連接和內容相關系統行為特徵導出與網絡連接和應用層內容都相關聯的連接和內容相關網絡行為特徵。[0020]根據另一個方面,本發明實施例提供了一種用於驗證惡意代碼的網絡行為特徵的方法。該方法可以包括:確定與所要驗證的網絡行為特徵相對應的網絡行為參數;獲取與所述網絡行為參數相對應的系統行為參數;基於所述系統行為參數生成系統行為特徵;以及將所述系統行為特徵與所述網絡行為特徵進行比較,以確定所述網絡行為特徵的有效性。[0021]在上述方法中,所述網絡行為特徵可以包括以下至少之一:與網絡連接相關聯的連接相關網絡行為特徵;與應用層內容相關聯的內容相關網絡行為特徵;以及與網絡連接和應用層內容都相關聯的連接和內容相關網絡行為特徵。在上述方法中,所述確定與所要驗證的網絡行為特徵相對應的網絡行為參數可以包括以下至少之一:確定與網絡連接相關聯的連接相關網絡行為參數;以及確定與應用層內容相關聯的內容相關網絡行為參數。[0022]在上述方法中,所述獲取與所述網絡行為參數相對應的系統行為參數可以包括以下至少之一:獲取與所述連接相關網絡行為參數相對應的、與數據收發相關聯的連接相關系統行為參數;以及獲取與所述內容相關網絡行為參數相對應的、與應用層內容相關聯的內容相關系統行為參數。[0023]在上述方法中,所述基於所述系統行為參數生成系統行為特徵可以包括以下至少之一:基於所述連接相關系統行為參數生成與數據收發相關聯的連接相關系統行為特徵;基於所述內容相關系統行為參數生成與應用層內容相關聯的內容相關系統行為特徵;以及基於所述連接相關系統行為參數和所述內容相關系統行為參數,生成與數據收發以及應用層內容都相關聯的連接和內容相關系統行為特徵。在上述方法中,所述將所述系統行為特徵與所述網絡行為特徵進行比較可以包括以下至少之一:將所述連接相關網絡行為特徵與所述連接相關系統行為特徵進行比較;將所述內容相關網絡行為特徵與所述內容相關系統行為特徵進行比較;以及將所述連接和內容相關網絡行為特徵與所述連接和內容相關系統行為特徵進行比較。[0024]根據另一個方面,本發明實施例提供了一種用於驗證惡意代碼的網絡行為特徵的裝置。該裝置可以包括:網絡行為參數確定器,用於確定與所要驗證的網絡行為特徵相對應的網絡行為參數;系統行為參數獲取器,用於獲取與所述網絡行為參數相對應的系統行為參數;系統行為特徵生成器,用於基於所述系統行為參數生成系統行為特徵;以及網絡行為特徵校驗器,用於將所述系統行為特徵與所述網絡行為特徵進行比較,以確定所述網絡行為特徵的有效性。[0025]通過本發明的方案,在一些方面,可以有效地導出惡意代碼的網絡行為特徵,在另一些方面,可以高效地驗證惡意代碼的網絡行為特徵。從而,本發明可以顯著地改進惡意代碼的網絡行為特徵的有效性。【專利附圖】【附圖說明】[0026]圖1示出了根據本發明實施例的用於導出惡意代碼的網絡行為特徵的裝置的結構示意圖;[0027]圖2示出了根據本發明實施例的用於導出惡意代碼的網絡行為特徵的方法的流程圖;[0028]圖3示出了根據本發明實施例的用於導出惡意代碼的網絡行為特徵的裝置的示意圖;[0029]圖4示出了根據本發明實施例的用於驗證惡意代碼的網絡行為特徵的裝置的結構示意圖;[0030]圖5示出了根據本發明實施例的用於驗證惡意代碼的網絡行為特徵的裝置在網絡中的部署的示意圖;[0031]圖6示出了根據本發明實施例的用於驗證惡意代碼的網絡行為特徵的方法的流程圖;[0032]圖7示出了根據本發明實施例的用於驗證惡意代碼的網絡行為特徵的裝置的示意圖;以及[0033]圖8示出了根據本發明實施例的用於導出或驗證惡意代碼的網絡行為特徵的設備的不意圖。【具體實施方式】[0034]本發明實施例考慮到了惡意代碼通常會依賴於網絡來傳播並且通過網絡來傳輸竊取到的私密信息等,因此,可以在網絡側通過分析網絡行為特徵來檢測並阻止惡意代碼。由於惡意代碼的網絡行為通常由惡意代碼的系統行為引發,因此,惡意代碼的行為在網絡側和終端用戶側存在對應關係,也就是說,惡意代碼的網絡行為特徵與惡意代碼的系統行為特徵之間存在對應關係。因此,本發明提出了利用惡意代碼的系統行為特徵來導出惡意代碼的網絡行為特徵,其中,從系統行為特徵導出的網絡行為特徵能夠有效地反映惡意代碼的網絡行為特徵。從而,本發明可以被用於在網絡側以較高的可靠性來識別出惡意代碼。[0035]此外,本發明實施例還考慮到了通過數據挖掘等數據處理技術可能獲得大量網絡行為特徵,並且網絡行為特徵過多會導致無法進行有效分析。因此,基於惡意代碼的網絡行為特徵與惡意代碼的系統行為特徵之間存在的對應關係,本發明提出了對網絡行為特徵進行驗證的方案。例如,本發明可以利用相對應的系統行為特徵對所要驗證的網絡行為特徵進行驗證以確定所要驗證的網絡行為特徵的有效性。由此,本發明可以進一步精簡網絡行為特徵,適應設備的實際處理能力,並以較低的成本改進惡意代碼檢測系統的性能。[0036]以下將以明確易懂的方式通過對優選實施例的說明並結合附圖來對本發明的上述特性、技術特徵、優點及其實現方式予以進一步說明。[0037]圖1示出了根據本發明實施例的用於導出惡意代碼的網絡行為特徵的裝置100的結構示意圖。[0038]裝置100可以包括系統行為參數獲取器110、系統行為特徵生成器120以及網絡行為特徵導出器130。[0039]系統行為參數獲取器110可以獲取由惡意代碼引起的系統行為參數。[0040]系統行為參數可以指終端用戶側與惡意代碼的行為相關聯的參數。系統行為參數可以包括連接相關系統行為參數和內容相關系統行為參數中的至少一個。[0041]從網絡側來看,在數據包中,協議類型、服務類型、IP位址、埠號等參數可以從數據包的包頭部分中獲得,而URL、手機號碼、短消息等參數需要從數據包的載荷部分中獲得。在本發明中,將數據包的包頭部分中包含的參數劃分為連接相關的參數,將數據包的載荷部分中包含的參數劃分為內容相關的參數。基於網絡行為與系統行為之間存在的對應關係,在終端用戶側,系統行為參數也可被相應地劃分連接相關系統行為參數和內容相關系統行為參數。[0042]連接相關系統行為參數可以指與數據收發相關聯的系統行為參數。例如,連接相關系統行為參數可以包括連接相關的應用程式編程接口(API)調用時間及其調用參數、IP位址、埠號、協議類型、服務類型等。具體地,例如,連接相關的API調用時間及其調用參數可以包括網絡API的調用時間及其調用參數、通信API的調用時間及其調用參數等。網絡API可以指例如能夠連接到網絡以進行數據收發的API等,如GRPSAP1、短消息收發API等。通信API可以指藍牙AP1、無線區域網API等。連接相關系統行為參數可以包括,但並不局限於,以上列舉的幾種參數中的一個或多個,其還可以包括其它與數據收發相關聯的參數。優選地,系統行為參數獲取器110可以進一步用於獲取與數據收發相關聯的連接相關系統行為參數。優選地,系統行為參數獲取器110可以包括連接相關系統行為參數獲取器,該連接相關系統行為參數獲取器可以用於獲取連接相關系統行為參數。[0043]內容相關系統行為參數可以指與應用層內容相關聯的系統行為參數。例如,內容相關系統行為參數可以包括URL、敏感數據、內容屬性等。URL可以是與惡意代碼相關聯的特定目的地地址等。敏感數據可以是涉及隱私或安全的數據等,例如,敏感數據可以包括用戶身份信息(例如國際移動用戶標識IMSI)、國際行動裝置標識IME1、手機號碼、短消息、彩信、通信錄、位置信息等。內容屬性可以包括文件名、文件類型、傳輸內容長度等。內容相關系統行為參數可以包括,但並不局限於,以上列舉的幾種參數中的一個或多個,其還可以包括其它與應用層內容相關聯的參數。優選地,系統行為參數獲取器110可以進一步用於獲取與應用層內容相關聯的內容相關系統行為參數。優選地,系統行為參數獲取器110可以包括內容相關系統行為參數獲取器,該內容相關系統行為參數獲取器可以用於獲取內容相關系統行為參數。例如,該內容相關系統行為參數獲取器可以通過任何已知的技術手段,如敏感數據函數的API調用、惡意代碼樣本過濾等,來獲取內容相關系統行為參數。[0044]系統行為特徵生成器120可以基於系統行為參數生成系統行為特徵。[0045]系統行為特徵可以指與系統行為相關聯的特徵。優選地,可以通過對系統行為參數進行數據處理來生成系統行為特徵。此處的數據處理可以為數理統計、數據挖掘等技術。例如,優選地,系統行為特徵生成器120可以利用數據挖掘等技術來對系統行為參數進行統計、關聯分析等處理以便得到系統行為特徵。系統行為特徵可以包括連接相關系統行為特徵、內容相關系統行為特徵以及連接和內容相關系統行為特徵中的至少一個。[0046]連接相關系統行為特徵可以指與數據收發相關聯的系統行為特徵。例如,連接相關系統行為特徵可以包括調用網絡API的頻率、IP位址的變化情況、埠號的變化情況等。連接相關系統行為特徵可以包括,但並不局限於,以上列舉的幾種特徵中的一個或多個,其還可以包括其它與數據收發相關聯的特徵。優選地,系統行為特徵生成器120可以進一步用於基於連接相關系統行為參數生成與數據收發相關聯的連接相關系統行為特徵。優選地,系統行為特徵生成器120可以包括連接相關系統行為特徵生成器,該連接相關系統行為特徵生成器可以用於基於連接相關系統行為參數生成連接相關系統行為特徵。優選地,可以通過對連接相關系統行為參數進行數據處理來生成連接相關系統行為特徵。[0047]內容相關系統行為特徵可以指與應用層內容相關聯的系統行為特徵。例如,內容相關系統行為特徵可以包括:所發送內容中包含URL、所發送內容中包含敏感數據等。具體地,例如,內容相關系統行為特徵可以是所發送內容中包含與惡意代碼相關聯的特定URL、所發送內容中包含用戶身份信息等。內容相關系統行為特徵可以包括,但並不局限於,以上列舉的幾種特徵中的一個或多個,其還可以包括其它與應用層內容相關聯的特徵。優選地,系統行為特徵生成器120可以進一步用於基於內容相關系統行為參數生成與應用層內容相關聯的內容相關系統行為特徵。優選地,系統行為特徵生成器120可以包括內容相關系統行為特徵生成器,該內容相關系統行為特徵生成器可以用於基於內容相關系統行為參數生成內容相關系統行為特徵。優選地,可以通過對內容相關系統行為參數進行數據處理來生成內容相關系統行為特徵。[0048]連接和內容相關系統行為特徵可以指與數據收發以及應用層內容均相關聯的系統行為特徵。例如,連接和內容相關系統行為特徵可以是頻繁調用網絡API發送敏感數據等。連接和內容相關系統行為特徵也可以是其它與數據收發以及應用層內容均相關聯的特徵。優選地,系統行為特徵生成器120可以進一步用於基於連接相關系統行為參數和內容相關系統行為參數,生成與數據收發以及應用層內容都相關聯的連接和內容相關系統行為特徵。優選地,系統行為特徵生成器120可以包括連接和內容相關系統行為特徵生成器,該連接和內容相關系統行為特徵生成器可以用於基於連接相關系統行為參數和內容相關系統行為參數生成連接和內容相關系統行為特徵。優選地,可以通過對連接相關系統行為參數和內容相關系統行為參數進行數據處理來生成連接和內容相關系統行為特徵。[0049]網絡行為特徵導出器130可以基於系統行為特徵導出惡意代碼的網絡行為特徵。[0050]網絡行為特徵可以指網絡側與惡意代碼的行為相關聯的特徵。網絡行為特徵可以包括連接相關網絡行為特徵、內容相關網絡行為特徵以及連接和內容相關網絡行為特徵中的至少一個。[0051]連接相關網絡行為特徵可以指與網絡連接相關聯的網絡行為特徵。例如,連接相關網絡行為特徵可以包括基本連接特徵、基於時間的數據流特徵、基於用戶的數據流特徵等。具體地,例如,基本連接特徵可以指源IP位址的變化情況、目的地IP位址的變化情況、協議類型的變化情況、服務類型的變化情況等。基於時間的數據流特徵可以指在預定時間段內收發數據包的情況等,例如,在2秒內發往某個目的地IP位址的數據包的情況、在2秒內使用某種協議類型的數據包的收發情況等。基於用戶的數據流特徵可以指一個用戶收發數據包的情況等,例如,一個用戶在指定時間段內收發數據包的情況、一個用戶發往某個目的地IP位址的數據包的情況等。連接相關網絡行為特徵可以包括,但並不局限於,以上列舉的幾種特徵中的一個或多個,其還可以包括其它與網絡連接相關聯的特徵。優選地,網絡行為特徵導出器130可以進一步用於基於連接相關系統行為特徵導出與網絡連接相關聯的連接相關網絡行為特徵。優選地,網絡行為特徵導出器130可以包括連接相關網絡行為特徵導出器,該連接相關網絡行為特徵導出器可以用於基於連接相關系統行為特徵導出連接相關網絡行為特徵。將在後面結合具體實例說明該導出過程。[0052]內容相關網絡行為特徵可以指與應用層內容相關聯的網絡行為特徵。例如,內容相關網絡行為特徵可以包括:所發送數據包中包含URL、所發送數據包中包含敏感數據等。具體地,例如,內容相關網絡行為特徵可以是所發送數據包中包含與惡意代碼相關聯的特定URL、所發送數據包中包含用戶身份信息等。內容相關網絡行為特徵可以包括,但並不局限於,以上列舉的幾種特徵中的一個或多個,其還可以包括其它與應用層內容相關聯的特徵。優選地,網絡行為特徵導出器130可以進一步用於基於內容相關系統行為特徵導出與應用層內容相關聯的內容相關網絡行為特徵。優選地,網絡行為特徵導出器130可以包括內容相關網絡行為特徵導出器,該內容相關網絡行為特徵導出器可以用於基於內容相關系統行為特徵導出內容相關網絡行為特徵。將在後面結合具體實例說明該導出過程。[0053]連接和內容相關網絡行為特徵可以指與網絡連接和應用層內容都相關聯的網絡行為特徵。例如,連接和內容相關網絡行為特徵可以是頻繁發送包含敏感信息的數據包等。連接和內容相關網絡行為特徵也可以是其它與網絡連接和應用層內容都相關聯的特徵。優選地,網絡行為特徵導出器130可以進一步用於基於連接和內容相關系統行為特徵導出與網絡連接和應用層內容都相關聯的連接和內容相關網絡行為特徵。優選地,網絡行為特徵導出器130可以包括連接和內容相關網絡行為特徵導出器,該連接和內容相關網絡行為特徵導出器可以用於基於連接和內容相關系統行為特徵導出連接和內容相關網絡行為特徵。將在後面結合具體實例說明該導出過程。[0054]可選地,作為進一步的應用,網絡行為特徵導出器130所導出的惡意代碼的網絡行為特徵可以被用作在網絡數據流中檢測惡意代碼的捕獲規則。例如,惡意代碼的網絡行為特徵可被用於創建或添加到網絡行為特徵資料庫,從而,可以利用該網絡行為特徵資料庫中的網絡行為特徵去檢測相對應的惡意代碼。[0055]圖2示出了根據本發明實施例的用於導出惡意代碼的網絡行為特徵的方法200的流程圖。[0056]在S210處,可以獲取由惡意代碼引起的系統行為參數。例如,可以由圖1所示的系統行為參數獲取器110來獲取由惡意代碼引起的系統行為參數。[0057]優選地,S210中的獲取由惡意代碼引起的系統行為參數的操作可以包括以下至少之一:獲取與數據收發相關聯的連接相關系統行為參數;以及獲取與應用層內容相關聯的內容相關系統行為參數。[0058]在S220處,可以基於系統行為參數生成系統行為特徵。例如,可以由圖1所示的系統行為特徵生成器120來基於系統行為參數生成系統行為特徵。[0059]優選地,S220中的基於系統行為參數生成系統行為特徵的操作可以包括以下至少之一:基於連接相關系統行為參數生成與數據收發相關聯的連接相關系統行為特徵;基於內容相關系統行為參數生成與應用層內容相關聯的內容相關系統行為特徵;以及基於連接相關系統行為參數和內容相關系統行為參數,生成與數據收發以及應用層內容都相關聯的連接和內容相關系統行為特徵。[0060]在S230處,可以基於系統行為特徵導出惡意代碼的網絡行為特徵。例如,可以由圖1所示的網絡行為特徵導出器130來基於系統行為特徵導出惡意代碼的網絡行為特徵。[0061]優選地,S230中的基於系統行為特徵導出惡意代碼的網絡行為特徵的操作可以包括以下至少之一:基於連接相關系統行為特徵導出與網絡連接相關聯的連接相關網絡行為特徵;基於內容相關系統行為特徵導出與應用層內容相關聯的內容相關網絡行為特徵;以及基於連接和內容相關系統行為特徵導出與網絡連接和應用層內容都相關聯的連接和內容相關網絡行為特徵。[0062]下面將以較為流行的移動惡意代碼「小媒體(xiaomeiti)」為例來進一步示例性地說明圖2所示的用於導出惡意代碼的網絡行為特徵的方法的具體實現。[0063]「小媒體」是一種通常與安全軟體、地圖軟體和辦公軟體綁定的木馬。小媒體的可執行文件為mservice.exe,該可執行文件可以搜集手機系統的各種私密信息。所述私密信息可以包括手機用戶名稱字符串、手機IMSI號碼、手機IMEI號碼、手機作業系統主版本號/次版本號/修改版本號、手機屏幕尺寸、手機物理內存大小、手機系統語言、手機型號、平臺信息、ID、聯繫人、呼叫記錄、應用軟體的帳號和密碼等信息。小媒體可以將這些私密信息通過短消息發送到特定的移動號碼,或者通過GPRS發送到指定網站的URL,如http://mob1.xiaomeit1.com。這些網站可能會對用戶的私密信息進行分析並出售給不法分子。不法分子可能進而對感染木馬的手機用戶進行簡訊詐騙、電話騷擾、甚至遠程控制等。小媒體可以由木馬開發者手工附加到其它第三方應用軟體的CAB安裝包中,然後在手機用戶下載該安裝包時傳播到手機。小媒體還可以定期地連結到網站(如mobile,xiaomeit1.com)以便嘗試下載升級包。[0064]根據本發明的實施例,可以首先獲取由小媒體引起的系統行為參數。優選地,系統行為參數可以包括連接相關系統行為參數和內容相關系統行為參數中的至少一個。[0065]由於小媒體可以調用敏感數據函數的API以獲取私密信息、調用短消息API和短消息收發API以向特定的移動號碼發送短消息、以及調用網絡API以向http://mob1.xiaomeit1.com發送信息和從http://mob1.xiaomeit1.com下載文件等,因此,所獲取的連接相關系統行為參數可以示意性地包括:[0066]【權利要求】1.一種用於導出惡意代碼的網絡行為特徵的方法,包括:獲取由惡意代碼引起的系統行為參數;基於所述系統行為參數生成系統行為特徵;以及基於所述系統行為特徵導出惡意代碼的網絡行為特徵。2.如權利要求1所述的方法,其中,所述獲取由惡意代碼引起的系統行為參數包括以下至少之一:獲取與數據收發相關聯的連接相關系統行為參數;以及獲取與應用層內容相關聯的內容相關系統行為參數。3.如權利要求2所述的方法,其中,所述基於所述系統行為參數生成系統行為特徵包括以下至少之一:基於所述連接相關系統行為參數生成與數據收發相關聯的連接相關系統行為特徵;基於所述內容相關系統行為參數生成與應用層內容相關聯的內容相關系統行為特徵;以及基於所述連接相關系統行為參數和所述內容相關系統行為參數,生成與數據收發以及應用層內容都相關聯的連接和內容相關系統行為特徵。4.如權利要求3所述的方法,其中,所述基於所述系統行為特徵導出惡意代碼的網絡行為特徵包括以下至少之一:基於所述連接相關系統行為特徵導出與網絡連接相關聯的連接相關網絡行為特徵;基於所述內容相關系統行為特徵導出與應用層內容相關聯的內容相關網絡行為特徵;以及基於所述連接和內容相關系統行為特徵導出與網絡連接和應用層內容都相關聯的連接和內容相關網絡行為特徵。5.一種用於導出惡意代碼的網絡行為特徵的裝置,包括:系統行為參數獲取器,用於獲取由惡意代碼引起的系統行為參數;系統行為特徵生成器,用於基於所述系統行為參數生成系統行為特徵;以及網絡行為特徵導出器,用於基於所述系統行為特徵導出惡意代碼的網絡行為特徵。6.如權利要求5所述的裝置,其中,所述系統行為參數獲取器進一步用於以下至少之獲取與數據收發相關聯的連接相關系統行為參數;以及獲取與應用層內容相關聯的內容相關系統行為參數。7.如權利要求6所述的裝置,其中,所述系統行為特徵生成器進一步用於以下至少之基於所述連接相關系統行為參數生成與數據收發相關聯的連接相關系統行為特徵;基於所述內容相關系統行為參數生成與應用層內容相關聯的內容相關系統行為特徵;以及基於所述連接相關系統行為參數和所述內容相關系統行為參數,生成與數據收發以及應用層內容都相關聯的連接和內容相關系統行為特徵。8.如權利要求7所述的裝置,其中,所述網絡行為特徵導出器進一步用於以下至少之基於所述連接相關系統行為特徵導出與網絡連接相關聯的連接相關網絡行為特徵;基於所述內容相關系統行為特徵導出與應用層內容相關聯的內容相關網絡行為特徵;以及基於所述連接和內容相關系統行為特徵導出與網絡連接和應用層內容都相關聯的連接和內容相關網絡行為特徵。9.一種用於導出惡意代碼的網絡行為特徵的設備,包括:存儲器,用於存儲可執行指令;處理器,用於根據所存儲的可執行指令,執行如權利要求1-4中的任意一個權利要求所包括的步驟。10.一種機器可讀介質,其上存儲有可執行指令,當所述可執行指令被執行時,使得機器執行如權利要求1-4中的任意一個權利要求所包括的步驟。11.一種用於驗證惡意代碼的網絡行為特徵的方法,包括:確定與所要驗證的網絡行為特徵相對應的網絡行為參數;獲取與所述網絡行為參數相對應的系統行為參數;基於所述系統行為參數生成系統行為特徵;以及將所述系統行為特徵與所述網絡行為特徵進行比較,以確定所述網絡行為特徵的有效性。12.如權利要求11所述的方法,其中,所述網絡行為特徵包括以下至少之一:與網絡連接相關聯的連接相關網絡行為特徵;與應用層內容相關聯的內容相關網絡行為特徵;以及與網絡連接和應用層內容都相關聯的連接和內容相關網絡行為特徵,並且其中,所述確定與所要驗證的網絡行為特徵相對應的網絡行為參數包括以下至少之一:確定與網絡連接相關聯的連接相關網絡行為參數;以及確定與應用層內容相關聯的內容相關網絡行為參數。13.如權利要求12所述的方法,其中,所述獲取與所述網絡行為參數相對應的系統行為參數包括以下至少之一:獲取與所述連接相關網絡行為參數相對應的、與數據收發相關聯的連接相關系統行為參數;以及獲取與所述內容相關網絡行為參數相對應的、與應用層內容相關聯的內容相關系統行為參數。14.如權利要求13所述的方法,其中,所述基於所述系統行為參數生成系統行為特徵包括以下至少之一:基於所述連接相關系統行為參數生成與數據收發相關聯的連接相關系統行為特徵;基於所述內容相關系統行為參數生成與應用層內容相關聯的內容相關系統行為特徵;以及基於所述連接相關系統行為參數和所述內容相關系統行為參數,生成與數據收發以及應用層內容都相關聯的連接和內容相關系統行為特徵,並且其中,所述將所述系統行為特徵與所述網絡行為特徵進行比較包括以下至少之一:將所述連接相關網絡行為特徵與所述連接相關系統行為特徵進行比較;將所述內容相關網絡行為特徵與所述內容相關系統行為特徵進行比較;以及將所述連接和內容相關網絡行為特徵與所述連接和內容相關系統行為特徵進行比較。15.一種用於驗證惡意代碼的網絡行為特徵的裝置,包括:網絡行為參數確定器,用於確定與所要驗證的網絡行為特徵相對應的網絡行為參數;系統行為參數獲取器,用於獲取與所述網絡行為參數相對應的系統行為參數;系統行為特徵生成器,用於基於所述系統行為參數生成系統行為特徵;以及網絡行為特徵校驗器,用於將所述系統行為特徵與所述網絡行為特徵進行比較,以確定所述網絡行為特徵的有效性。16.一種用於驗證惡意代碼的網絡行為特徵的設備,包括:存儲器,用於存儲可執行指令;處理器,用於根據所存儲的可執行指令,執行如權利要求11-14中的任意一個權利要求所包括的步驟。17.一種機器可讀介質,其上存儲有可執行指令,當所述可執行指令被執行時,使得機器執行如權利要求11-14中的任意一個權利要求所包括的步驟。【文檔編號】H04L29/06GK103916365SQ201210592809【公開日】2014年7月9日申請日期:2012年12月31日優先權日:2012年12月31日【發明者】隋愛芬,郭代飛,李作為,汪濤,郭濤申請人:西門子公司