[发明专利]基于行为特征相似性的恶意代码同源性分析方法

权利要求书

1.一种基于行为特征相似性的恶意代码同源性分析方法，包括指令和数据记录模块、特征提取模块和同源性判别模块，其特征在于，分析过程如下：

首先，指令和数据记录模块以动态二进制插桩平台为基础，在一个受保护的虚拟环境中执行恶意代码样本，通过插桩分析关键指令，记录程序在函数入口点、返回点和内存读写点关键位置上的数据，结合API参数格式解析库，得到库中定义的关键API的调用序列和参数信息；

然后，特征提取模块以API调用序列及其参数信息作为输入，结合行为规则库，在构建API关联关系树的基础上提取行为特征；

最后，同源性判别模块将两个恶意代码的行为特征作为输入，通过对行为特征相似性比较来对恶意代码的同源性进行判别最终得到结果分析报告，并将不同样本的特征写入恶意代码特征库中；

所述特征提取模块包括提取API序列、API关联算法和行为提取；提取API序列：定义一个API为一个具有四个属性的向量：首先是API的名称，一个确定的API对应一个唯一的函数名称，调用时可以实现一个具体的功能；其次是API的对象，是API实现功能的目标客体；然后是与API函数有关的数据，是对其实现功能的补充说明；最后是调用时间，在实际的代码运行过程中，调用的多个API有执行的先后顺序。

2.根据权利要求1所述的基于行为特征相似性的恶意代码同源性分析方法，其特征在于，所述指令和数据记录模块以记录为主，通过对call指令进行插桩，获取函数调用前的信息，包括调用点地址及函数的输入参数信息；同时对ret指令进行插桩，获取函数调用后的信息，包括函数返回地址以及函数的输出信息。

3.根据权利要求1所述的基于行为特征相似性的恶意代码同源性分析方法，其特征在于，API关联算法：根据在动态二进制插桩平台下执行恶意代码的记录可以获得一组API序列，行为特征提取的目标，就是从恶意代码执行的API序列中，抽取出对应的行为信息；行为特征提取的过程可以分为两步，首先是利用关联关系对API集合进行划分，划分的目的是将对特定对象操作的API划分到一个集合中，然后根据行为规则对每个子集进行行为提取。

4.根据权利要求3所述的基于行为特征相似性的恶意代码同源性分析方法，其特征在于，将API分为5大类：创建型API是指新建一个对象，该对象会被后续的API引用；引用创建型API是一种过渡创建型API，在引用某个对象的同时，以此为基础新建另一个对象；引用型API是最常见的API，使用对象进行操作，不创建新的对象；结束型API表示当前的对象操作结束；独立型API不涉及对象信息，能够独立完成某项功能；对5种类型的API采取不同的处理方法。