[发明专利]一种消息格式的提取方法和装置

权利要求书

1.一种消息格式的提取方法，其特征在于，包括：

捕获恶意程序客户端的执行轨迹；

对所述执行轨迹中的输入消息处理过程进行分析，提取出恶意程序通信协议的输入消息格式。

2.根据权利要求1所述方法，其特征在于，所述捕获恶意程序客户端的执行轨迹包括：

通过二进制代码分析平台实时监控恶意程序的执行过程，捕获其对输入消息处理过程的执行轨迹。

3.根据权利要求2所述方法，其特征在于，对所述执行轨迹中的输入消息处理过程进行分析包括：

对所述执行轨迹进行污点标记，依据标记的污点传播记录来划分输入消息字段；确定消息处理过程中的函数调用关系，构建输入消息处理过程的函数关系；由输入消息处理过程的函数关系推测所述执行轨迹中函数的语义信息。

4.根据权利要求3所述方法，其特征在于，所述确定执行过程中的函数调用关系，构建输入消息处理过程的函数关系包括：

确定消息处理过程中发生的函数调用指令和函数返回指令，并由所述函数调用指令和函数返回指令确定消息处理过程中实时的函数调用栈，依据函数调用栈划分各函数层次。

5.根据权利要求3所述方法，其特征在于，所述由输入消息处理过程的函数关系推测所述执行轨迹中函数的语义信息包括：

为输入消息的每个字节分别建立语义队列，用于存放与该字节相关的系统函数；

对输入消息的每个字节执行：在执行轨迹中寻找污点标记，若所述污点标记出现在某个系统函数中，则确定此系统函数与处理过程相关，并将其加入到该污点标记的语义队列中；从而获得每个字节对应的语义队列，由所述语义队列确定所述输入消息的语义信息。

6.根据权利要求3所述方法，其特征在于，所述依据标记的污点传播记录来划分输入消息字段包括：

创建树形数据结构，初始状态包含一个根节点Root，Root代表整个输入消息；

依次遍历污点传播记录，判定污点标记序列中的污点偏移；如果当前项的污点标记序列是编号连续的污点偏移，则将此编号连续的几个污点偏移所对应的字节归为一个字段，若相同字段的节点还未被创建，则为该字段创建一个新节点；

循环执行：遍历污点传播记录，判定污点标记序列中的污点偏；如果当前项的污点标记序列包含了之前生成的节点的污点偏移，则确定所述之前生成的节点所对应的字段属于一个字段，并为其创建新节点，作为所述之前生成的节点的父节点，将所述之前生成的节点的父节点指针指向该新建节点；直到当前项的污点标记序列不再包含之前生成的节点的污点偏移；

确定所述树形数据结构中的叶子节点表示所述数输入消息的最小字段，非根且非叶子节点表示所述数输入消息的字段间的归属关系。

7.根据权利要求4至6任意一项所述方法，其特征在于，所述提取出恶意程序通信协议的输入消息格式包括：

由所述执行轨迹中函数的语义信息、输入消息字段的划分以及函数层次的划分来确定恶意程序通信协议的输入消息格式。

8.一种消息格式的提取装置，其特征在于，包括：

捕获单元，用于捕获恶意程序客户端的执行轨迹；

分析提取单元，用于对所述捕获单元捕获的执行轨迹中的输入消息处理过程进行分析，提取出恶意程序通信协议的输入消息格式。

9.根据权利要求8所述装置，其特征在于，

所述捕获单元，具体用于通过二进制代码分析平台实时监控恶意程序的执行过程，捕获其对输入消息处理过程的执行轨迹。

10.根据权利要求9所述装置，其特征在于，所述分析提取单元包括：

分析子单元，用于对所述执行轨迹进行污点标记，依据标记的污点传播记录来划分输入消息字段；确定消息处理过程中的函数调用关系，构建输入消息处理过程的函数关系；由输入消息处理过程的函数关系推测所述执行轨迹中函数的语义信息。

11.根据权利要求10所述装置，其特征在于，

所述分析子单元，用于确定执行过程中的函数调用关系，构建输入消息处理过程的函数关系包括：具体用于确定消息处理过程中发生的函数调用指令和函数返回指令，并由所述函数调用指令和函数返回指令确定消息处理过程中实时的函数调用栈，依据函数调用栈划分各函数层次。