[发明专利]一种恶意代码自动识别方法

权利要求书

1.一种恶意代码自动识别方法，其步骤包括：

1.1解析待分析的可执行程序样本，得到该程序中的函数结点与函数调用信息；

1.2根据上述函数结点与函数调用信息，提取各构件头函数及其直接或间接调用的所有函数，得到以各构件头函数为标识的待分析构件；

1.3将所得各待分析构件逐次与已知恶意行为构件库中存入的各已知恶意行为构件进行相似性比较，直至一待分析构件与一已知恶意行为构件相似，或比较完所有待分析构件；

1.4如存在待分析构件和已知恶意行为构件库中的已知恶意行为构件相似，则判定该程序包含恶意行为。

2.如权利要求1所述的恶意代码自动识别方法，其特征在于，使用反汇编器解析步骤1.1所述的待分析的可执行程序样本。

3.如权利要求1所述的恶意代码自动识别方法，其特征在于通过识别调度函数所调用的函数得到步骤1.2所述的构件头函数。

4.如权利要求1所述的恶意代码自动识别方法，其特征在于通过识别直接或间接调用一组关键API的函数得到步骤1.2所述的构件头函数。

5.如权利要求1所述的恶意代码自动识别方法，其特征在于通过识别被程序中不同函数段重复调用的函数得到步骤1.2所述的构件头函数。

6.如权利要求1所述的恶意代码自动识别方法，其特征在于，步骤1.3所述的相似性比较包括以下步骤：

6.1对待分析构件和已知恶意行为构件的函数调用图进行拓扑排序：

将函数调用图中的函数结点排成一个序列，使得除非出现递归调用，该序列中排在前面的函数结点对应的函数不会调用排在其后面的函数结点对应的函数；

6.2沿序列设置待分析构件和已知恶意行为构件中的函数结点权重：

如果一个函数结点对应的函数未调用任何函数，则该结点的权重设置为1，如果一个函数结点对应的函数调用了其他函数，不包括递归调用的情况，则该结点的权重设置为1加上被调用函数对应的函数结点的权重；

6.3沿序列计算待分析构件中各个函数和已知恶意行为构件中每个函数之间的相似度：

当两个函数都是API时，若相同，则相似度记为1，若不同，相似度记为0；当一个函数是API，而另外一个不是时，相似度记为0；当两个函数都不是API时，其相似度为其调用的函数集合中的函数的加权相似度之和，当该函数相似度低于一个预设的阈值时，则定义这两个函数的相似度为0；

6.4相似性比较结果判断：

若待分析构件中存在不少于一个函数使得该函数和已知恶意构件头函数之间的相似度高于预设阈值，则认为该待分析构件和已知恶意构件相似。

7.如权利要求6所述的相似性比较步骤，其特征在于所述的预设阈值为0.8。

8.如权利要求1所述的恶意代码自动识别方法，其特征在于若可执行程序样本被判定为包含恶意行为，对该可执行程序样本中与已知恶意行为构件库中不相似的其他构件进行分析，将确认为恶意行为构件的构件，按照已知恶意行为构件库要求的格式存入已知恶意行为构件库中。

9.如权利要求1所述的恶意代码自动识别方法，其特征在于，构建步骤1.3所述的已知恶意行为构件库的步骤包括：

9.1解析已知的恶意程序样本，得到该程序中的函数结点与函数调用信息；

9.2根据已知恶意程序的特征，从a)所得函数中提取各构件头函数及其直接或间接调用的所有函数，得到以各构件头函数为标识的构件；

9.3分析上述各构件，识别出恶意行为构件，将恶意行为构件按照设定的格式存入已知恶意行为构件库。

10.如权利要求9所述的已知恶意行为构件库的构建方法，其特征在于使用反汇编器解析步骤

9.1所述的解析已知恶意程序样本。