一种基于分布式API特征分析的恶意软件检测系统及方法与流程

技术特征：
1.一种基于分布式api(应用程序接口，application programming interface)特征分析的恶意软件检测系统，其特征在于，包括：样本下载模块、任务下发模块、沙箱系统状态监控模块、沙箱系统任务调度模块、特征提取模块及检测报告生成模块。2.根据权利要求1所述的基于分布式api特征分析的恶意软件检测系统，其特征在于，所述样本下载模块，利用当前公开、常见的数据爬取技术从公开知名的软件分析服务网站爬取大量带有具体类型标签的恶意软件样本；并从公开的软件下载仓库获取良性软件。3.根据权利要求1所述的基于分布式api特征分析的恶意软件检测系统，其特征在于，所述任务下发模块根据分布式沙箱的负载均衡状态将待测样本分配到一个最优的沙箱节点，并定时监测当前任务的执行状态，直到该样本的api被执行完毕。4.根据权利要求1所述的基于分布式api特征分析的恶意软件检测系统，其特征在于，所述沙箱系统状态监控模块实时监控每个沙箱节点的运行健康状态，负责任务状态统计、节点历史负载量统计、节点当前任务状态统计、节点硬件状态统计(包括磁盘、cpu、内存等)、样本检测结果等，同时配置了自动报警功能，当节点硬件资源某项使用率指标过高时，会自动告警。5.根据权利要求1所述的基于分布式api特征分析的恶意软件检测系统，其特征在于，所述沙箱系统任务调度模块利用个性化负载均衡策略调度不同沙箱节点的任务编排，利用客户端/服务器架构实时监控沙箱集群的工作健康状态，根据每个沙箱节点的承载能力及资源利用情况，按照优化策略批量调度软件样本到对应的沙箱节点，提高每台沙箱节点的利用率，保证整个沙箱集群的稳定性和高效性。6.根据权利要求1所述的基于分布式api特征分析的恶意软件检测系统，其特征在于，所述特征提取模块实现对待测样本api执行序列特征进行提取。提取包括但不限于软件样本在执行过程中涉及的函数调用、文件操作、进程执行、网络请求等行为，并将其映射为可计算的数值向量。7.根据权利要求1所述的基于分布式api特征分析的恶意软件检测系统，其特征在于，所述检测报告生成模块利用卷积神经网络学习恶意软件的静态特征，利用基于注意力机制的循环神经网络学习恶意软件的动态时序行为模式，最终利用堆叠算法融合多个基础模型，并生成检测报告，记录恶意执行序列和最终的检测结果。8.一种基于分布式api特征分析的恶意软件检测方法，其特征在于，包括以下步骤：步骤(1)、软件样本采集，利用当前公开、常见的数据爬取技术从公开知名的软件分析服务网站爬取大量带有具体类型标签的恶意软件样本，然后编写自动化爬虫从公开的软件下载仓库获取良性软件，将搜集的恶意与良性软件样本等比例混合，构建训练样本数据集；步骤(2)、软件样本提交，将搜集的恶意与良性软件样本提交到分布式沙箱集群，依据负载均衡及最优化资源分配策略，将软件样本下发到适当的沙箱节点，每个软件样本的运行报告会保存到相应的数据库进行备份，并实时监控每个沙箱的运行状态和健康情况，实时向中心服务器回传软件样本的运行情况、沙箱节点的运行健康状态；步骤(3)、构建恶意软件动静态特征，基于步骤(2)所述的软件运行报告，记录每个软件样本在执行过程中涉及的函数调用、文件操作、进程执行、网络请求等行为，并将其存入相应的数据库备份，同时进行数据解析以及动静态特征提取，并将其映射为可计算的数值向量；
步骤(4)、恶意软件基础检测模型训练，首先设计了基于动静特征的融合检测模型，利用分析工具从样本中提取字符串、引用的动态链接库、汇编序列等静态信息，利用沙箱运行软件提取动态api函数调用序列，利用卷积神经网络学习静态恶意软件特征，利用循环神经网络学习动态的恶意api时序行为模式，分别得到基于动静态特征的基础检测模型；步骤(5)、恶意软件检测，基于步骤(4)所述的恶意软件基础检测模型，利用堆叠算法和自注意力机制学习每个基础检测模型的权重，训练一个集成多个检测模型优点的恶意软件检测模型，实现对未知软件的检测，特别是解决对加壳、混淆的恶意软件的检测。

技术总结
本发明提出一种基于分布式API特征分析的恶意软件检测系统及方法，打破传统基于静态、单机式恶意软件检测系统和方法的缺陷，解决传统恶意软件检测系统无法检测加壳恶意软件和单机沙箱运行效率低下的弊端，其基本思想是：将分布式沙箱和动态API特征分析优点相结合，搭建一个具有负载均衡与健康状态管理的分布式沙箱系统以高效获取多个软件样本的API执行序列；然后从提取的API执行序列提取动静态特征；最后将提取的动静态特征输入到不同感受野的卷积神经网络学习恶意函数执行的序列特征，使用循环神经网络学习恶意函数执行的时序行为模式。本发明可以动态地检测恶意的函数执行方式和行为模式，能够有效检测经加壳、混淆后的恶意程序。的恶意程序。的恶意程序。


技术研发人员：张长河 林奇伟 闫翔宇 王剑辉
受保护的技术使用者：北京卫达信息技术有限公司
技术研发日：2021.08.13
技术公布日：2021/12/6