[发明专利]一种嵌入式处理器的未知恶意代码检测方法

权利要求书

1.一种嵌入式处理器的未知恶意代码检测方法，其特征在于，包括如下步骤：

(1)从嵌入式系统正常程序的运行过程中提取指令序列二进制串，存储在自体集存储器里，作为自体集；

(2)随机生成二进制串作为候选检测器，利用双阈值的海民匹配规则将候选检测器与所述自体集进行否定选择，获得检测器集；

(3)利用检测器集里的二进制串与从指令级收集到的待检测代码的行为信息二进制串进行匹配；若发生匹配则表明运行中的代码为恶意代码；

所述双阈值的海民匹配规则具体为：对于两个L位的字符串，设定双阈值为r1和r2；若L位二进制串中有至少r1位是相同的，而在相同位中，又有r2位是连续的，则表明这两个二进制串是匹配的，反之则不匹配；其中，L为正整数。

2.如权利要求1所述的未知恶意代码检测方法，其特征在于，所述步骤(1)生成自体集的过程具体如下：

(1.1)在处理器运行过程中对指令流水线进行监测，将指令的操作码和地址译码器产生的目标地址合并为二进制串；采用连续的若干个二进制串合并得到指令序列二进制串；

(1.2)判断所述指令序列二进制串与当前自体集里的每一个二进制串是否匹配；若是，则弃该二进制串；若否，则将该二进制串写进自体集里。

3.如权利要求1或2所述的未知恶意代码检测方法，其特征在于，采用CAM作为自体集存储器；其中，CAM为内容寻址存储器，CAM用于在一个时钟周期内完成对CAM里的所有元素的查找；若CAM里有与查找字相匹配的存储字，则返回该存储字的地址；由于CAM可以在一个时钟周期内完成对CAM里的所有元素的查找，可加快否定选择的匹配过程，提高检测器的生成效率。

4.如权利要求1所述的未知恶意代码检测方法，其特征在于，所述步骤(2)具体如下：

(2.1)由伪随机数发生器模块产生二进制字符串作为候选检测器；

(2.2)将候选检测器与自体集和当前检测器集里的每一个元素进行比较；若候选检测器与自体集或当前检测器集里的某个元素发生匹配则丢弃该候选检测器，若无匹配则将该候选检测器加入到检测器集里；

(2.3)重复(2.1)～(2.2)，直到当检测器集里元素的个数达到预先设定的最大值Nmax。

5.如权利要求1所述的未知恶意代码检测方法，其特征在于，所述步骤(3)具体为：

(3.1)在系统正常工作期间，对处理器运行过程中指令流水线进行监测，获取指令序列二进制串作为待检测目标；

(3.2)将待检测目标与检测器集里的每一个二进制串进行匹配；若发生匹配则将运行中的代码判定为恶意代码，可采用中断方式向处理器发出警告，中止当前程序。

6.如权利要求1或2所述的未知恶意代码检测方法，其特征在于，所述指令序列二进制串长度根据系统资源总量确定，采用32位、64位或128位；所述指令序列二进制串长度越长则资源开销越高，检测率也随之提高。