[发明专利]一种恶意代码行为特征提取方法

权利要求书

1.一种恶意代码行为特征提取方法，其步骤为：

1)运行恶意代码，提取恶意代码的执行信息；所述执行信息包括恶意代码的执行指令序列和行为序列；

2)根据执行信息，构造执行代码的控制依赖图和数据依赖图；

3)对控制依赖图和数据依赖图进行关联性比较，记录相关的关联性信息；

4)比较不同恶意代码之间的控制依赖图和数据依赖图，根据相似性聚类，提取每类样本的特征依赖。

2.如权利要求1所述的方法，其特征在于所述指令执行序列的提取方法为：将所述恶意代码运行于一硬件模拟器上；然后在所述硬件模拟器翻译层添加一反汇编引擎；在指令被翻译之后，执行之前记录恶意代码样本执行的所有指令以及寄存器的信息。

3.如权利要求2所述的方法，其特征在于所述行为序列提取方法为：

1)在恶意代码进程加载之后，执行之前，通过虚拟机读取进程的内存及进程加载的动态库中的导出表；

2)通过比较导出表中API名称与API表中的名称，从导出表中获取对应API的地址并将其加入到API表中；所述API表包括API名称、API地址及API参数和返回值；

3)恶意代码执行中，将当前CPU的EIP值与API表中函数地址的参数逐一做匹配比较；所述EIP值为CPU当前执行的指令所在的位置；

4)当EIP值和API表中的函数地址相同时，读取堆栈获得函数的参数和返回地址，将返回地址记录在函数列表中，当EIP值和函数列表中的返回地址相同时，读取函数的返回值。

4.如权利要求1所述的方法，其特征在于采用动态污点传播的方法构建所述控制依赖图和数据依赖图，其方法为：

1)将感兴趣的数据标记为污点，同时创建影子内存，记录污点内存被访问的状态；

2)在恶意代码执行过程中监控系统调用，当发生新的系统调用时，查询记录的污点传播过程，找到产生该污点的系统调用；

3)在两个系统调用之间建立依赖关系，同时根据操作对于变量和污点的使用情况，确定调用之间是控制依赖还是数据依赖关系，从而得到控制依赖图和数据依赖图。

5.如权利要求1或4所述的方法，其特征在于通过比较所述控制依赖图中的函数地址和所述数据依赖图中的函数地址，对所述控制依赖图和数据依赖图进行关联性比较；其方法为：首先对比数据依赖图和控制依赖图的系统调用地址，然后在含有相同系统调用地址的控制依赖图与数据依赖图间建立关联关系。

6.如权利要求4所述的方法，其特征在于对所述控制依赖图和数据依赖图进行预处理，识别并删除控制依赖图和数据依赖图中的可删除调用；所述可删除调用为：将对操作系统产生影响的函数构成一敏感函数集合，在污点传播中，产生了污点，但到其被漂白为止，未发生任何传播，或者发生了传播，其控制集合为空，没有任何敏感操作与之产生数据或控制依赖关系；如果某单个系统调用为所述可删除调用，则从所述控制依赖图或数据依赖图中删掉该系统调用的节点和边；如果某个控制依赖图或者数据依赖图从污点开始的所有系统调用操作都没有引起系统状态的改变，则将该图删除。

7.如权利要求6所述的方法，其特征在于对所述控制依赖图和数据依赖图中的循环进行缩减，其方法为：

1)采用自然循环识别算法识别所述恶意代码中的循环；

2)根据每一次循环的过程，计算执行时污点是否连续，如果发现相同的污点传播过程在一条路径上执行，则对该路径进行缩减；缩减的方法是：首先识别自然循环的开始和结束，然后分析每一次循环对于污点内存的操作地址和长度，如果后一次循环读取的起始地址等于前一次循环读取的起始地址和读取长度之和，则将该指令和系统调用缩减为一条指令，缩减后的指令起始为前一次循环的起始地址，长度为两次循环读取的长度之和。

8.如权利要求7所述的方法，其特征在于对所述控制依赖图和数据依赖图中的等价调用进行统一，其方法为：建立一行为等价系统调用库，在该库中设置行为序列，同时将多种等价行为序列映射为相同的内容。