本发明公开了一种基于行为树的恶意软件同源性分析方法,对恶意软件的行为提出了新的定义,不局限于分析API连续的短序列,而是从每种行为及行为之间的关系描述恶意软件的行为特征,行为语义更加丰富。首先,从恶意软件执行期间产生的API调用序列中,采用Inductive Miner算法构建反映恶意软件行为模型的行为树,其次,从每棵行为树中提取出行为特征,生成家族加权行为特征,基于相似度算法,将行为树转换为相似度向量,最后,应用朴素贝叶斯分类算法,训练家族分类模型。该方法可解决以往基于API序列的恶意软件同源性分析中API序列中缺乏控制结构和存在噪声的问题,提升了恶意软件家族分类能力。

• 单位
  华南理工大学