[发明专利]一种恶意代码行为特征提取方法

说明书

技术领域

本发明属于网络安全技术领域，具体涉及一种恶意代码行为特征提取方法。

背景技术

随着计算机在各领域应用的日益广泛，恶意代码已成为当前互联网和计算机安全的主要威胁之一，恶意代码检测成为软件及系统安全的重要问题。随着计算机技术的不断发展，恶意代码呈现出传播速度快、感染能力强、破坏力大的特点，造成越来越严重的安全影响甚至经济损失。随着恶意代码技术的发展，其利用混淆技术以及隐藏技术，可在短时间内产生大量变种，传统的基于代码特征的特征提取和匹配方法已无法对其进行有效防护。因此，提高恶意代码特征提取的准确性和所提取特征的适应性成为当前亟待解决的问题。

现有的恶意代码特征提取方法，可分为静态分析提取和动态分析提取。由于一般无法获得恶意代码源代码，静态提取方法一般需先对代码进行反汇编，然后提取特征。静态提取通常依赖于反汇编技术，恶意代码可使用混淆技术使反汇编无法顺利进行，从而无法有效提取代码特征；但静态提取方法分析代码全面，不局限于单一路径，可辅助动态分析。动态提取方法在恶意代码执行过程中提取特征，所分析的代码即为实际执行的代码。为避免实际执行代码会对操作系统产生恶意影响，产生了利用虚拟机的调试分析方法，如VMware、VirtualPC等虚拟机系统，但恶意代码可通过检查代码执行时间等方法检查其在虚拟机上执行，从而改变行为对抗分析。

当前的恶意代码特征提取技术，通常使用如下几种特征形式：

1.提取指令序列特征

目前商用恶意代码检测工具多使用简单的指令序列作为特征进行匹配，此方法必须使用不同的特征来表示即使简单的变种，特征数据库大，且易被简单的混淆技术绕过。

2.提取API调用序列

使用恶意代码与系统交互的API调用序列作为特征，记录指令序列使用序列匹配方法或者有限状态机，判断恶意行为。恶意代码采用重排顺序无关的系统调用，或插入无关API调用的方法可躲避基于此类特征的检测。

3.提取系统消息和事件序列

使用系统的状态变化作为恶意代码行为的描述，监控代码和系统的交互，记录系统消息和事件序列作为特征。此方法描述仍然针对于恶意代码行为的顺序，因此容易被混淆手段反制。

4.统计信息特征

使用统计信息，如使用操作码的频率分布，记录恶意代码执行的操作类型，对每种类型的系统调用个数进行统计。根据统计规律指定特定的指令分布作为特征。恶意代码通过垃圾代码插入的混淆技术可使此类特征匹配失效。

5.使用差异子图

提取恶意代码与正常代码的行为，将其构成CFG控制流图，并将CFG进行对比，获取差异子图作为特征，由于有些行为正常代码和恶意代码均会产生，只是在特定上下文中或次数不同而界定为恶意，此时只提取差异子图不足以描述恶意代码特征；且如何选用作比较的正常代码会对准确性及特征大小产生影响。

随着恶意代码技术的发展，变形、加壳等技术给特征提取及检测带来了很大的困难，尤其是混淆技术，恶意代码通过垃圾代码插入、等价指令替换、寄存器重分配、代码变换(如改变指令顺序，插入jump等跳转指令)等方式，使其代码特征表象产生变化，与传统方式提取的特征无法匹配，成功躲避基于传统特征的检测。

综上所述，目前恶意代码特征提取的主要问题有：分析及跟踪恶意代码以提取特征的系统与恶意代码拥有相等的权限，复杂的隐藏技术可绕过分析使特征无法提取；未能全面提取数据依赖和控制依赖信息表示特征，特征准确性不高；提取多针对单一恶意代码样本，对利用混淆技术产生的变种无法检测，特征适应性不强；轻微混淆技术产生的变种即产生新的特征，特征库庞大，带来存储以及匹配时间复杂度隐患。

发明内容

本发明的目的在于提供一种恶意代码行为特征提取方法，通过在模拟硬件环境里执行恶意代码，分析虚拟CPU上的指令，获取恶意代码运行中的行为依赖关系并构建恶意代码的控制依赖图和数据依赖图，并通过对恶意代码行为依赖图和数据依赖图的统计，提取恶意代码行为特征用于检测。

本发明的主要内容如下：

1、将获取到的恶意代码样本放入硬件模拟器环境中，在硬件模拟器上运行恶意代码，获取执行信息。

2、监控硬件模拟器的虚拟CPU，根据执行代码信息，构造执行代码的控制依赖图和数据依赖图。

3、根据控制依赖图和数据依赖图记录的相关信息，对相同的系统函数进行比较，记录关联性。

4、对控制依赖图和数据依赖图进行预处理，缩减循环，识别其中的可删除调用和等价调用。统计依赖图的行为轮廓信息。