[发明专利]一种基于图像特征描述子的恶意样本同源检测方法

说明书

技术领域

本发明涉及网络安全技术领域，具体涉及一种基于图像特征描述子的恶意样本同源检测方法。

背景技术

近年来恶意软件数量不断增长，恶意代码变种数量也急剧增加，变种成本不断降低，恶意代码制作组织在规避检测或在轻微改动上做的工作越来越多，如何快速有效地分析恶意样本的种类和同源性一直是网络安全研究的重点和难点。

目前多采用静态分析或动态分析的方法进行同源性分析，但效率较低。现有的基于动态行为捕获的恶意样本同源性分析方法能够较全面地分析恶意代码的文件操作、网络行为等，但其主要缺点为系统开销较大，可扩展能力较弱，分析周期相对较长；而通过静态反汇编方式可以获取恶意代码的API调用序列图，比较不同样本之间的指令信息相似性及函数调用相似性，这在一定程度上可以避免动态行为分析方法的系统开销大、分析周期长的问题，也获得了一些成果，但该方法存在分析结果不够精确的问题：恶意样本通过静态反编译分析，获取的API调用图平均有上千个节点，有研究通过剪枝的方式去除其中一些无用节点，提高运行效率，但API调用图中仍存在大量噪声点。；

也有人使用分类或聚类方法实现恶意样本的自动标注，虽取得了一定成果，但仍存在诸多限制，如分类或聚类方法需要大量训练样本，远超大多数样本及其变种的数量。

曲武等人公开了一种实现恶意代码标注的方法及装置(中国专利申请号：CN201410142940.4)，包括：将恶意代码的可移植的执行体(PE)文件进行处理，通过信息熵摘要算法获取恶意代码的信息摘要签名和基准标注和纹理特征；根据基准标注及信息摘要签名，将属于同一恶意代码家族的纹理特征生成相应的纹理特征集合；根据纹理特征集合生成第一聚类簇，将第一聚类簇进行合并以生成第二聚类簇，结合信息摘要签名及恶意代码家族深度命名对第二聚类簇进行深度标注。该发明通过对恶意代码进行基准标注和深度标度，采用信息摘要签名及恶意代码家族深度命名，规范了各恶意代码家族的标注方法，提高了对恶意代码标注的准确性和通用性。

康绯等人提供一种基于行为特征相似性的恶意代码同源性分析方法(中国专利申请号：CN201510296976.2)，首先基于动态二进制插桩平台提取并量化表示恶意代码的行为特征，在此基础上度量不同恶意代码之间行为特征的相似性，以行为特征的相似度反映了恶意代码的同源性判别结果。利用该发明可以对网络中收集的恶意代码进行同源性分析，并对后续攻击源头的追踪溯源提供有力支撑。该方法能够正确地反映了恶意代码样本之间的同源性，同时正确地区分了不具有同源性的恶意代码样本，对恶意代码的同源性分析工作具有重要的指导和借鉴意义。

贾晓启等人提出一种基于动态语义特征的恶意代码分析检测方法(中国专利号：CN201310682922.0)，其步骤包括：1)将恶意样本库中待分析检测的代码动态运行于虚拟环境之中，监测其运行过程并提取出原始特征；2)筛选出代表该代码语义特征的API名称信息；3)建立代表该代码语义特征的API序列语义特征集合；4)选取具有代表性的语义特征建立语义特征库；5)将待检测代码的语义特征集合与语义特征库进行相似性检测，得出检测结果，即待检测代码是良性代码或恶意代码。该发明根据不同的样本可以建立不同的语义特征，具有很好的普适性，并提出了选取具有代表性特征的方法，能够较准确地表示代码的语义特征，对恶意代码的分析检测更加准确、检测成本更低。

上述实现方案中，曲武等人提出的方法通过信息熵摘要算法提取的纹理特征不够明显，该发明的工作重点在于通过聚类算法划分恶意代码家族，需要一定的人工干预，并且对于新出现的恶意样本均需要与原库中所有样本进行聚类，效率较低，仅适合用于标注，而不适合快速分析样本同源性；康绯等人提出的方案和贾晓启等人提出的方案其本质上属于基于动态行为捕获的分析方法，其对于动态分析方法存在的分析周期长、扩展能力弱的问题仍难以突破。

发明内容

有鉴于此，本发明提供了一种基于图像特征描述子的恶意样本同源检测方法，能够避免恶意样本混淆干扰，快速分析出恶意文件的同源性，效率高、精度高、鲁棒性强、扩展性强。

本发明的基于图像特征描述子的恶意样本同源检测方法，包括以下步骤：

步骤1，采用B2M算法将样本集中的各二进制的恶意文件转换为矩阵；

步骤2，将各矩阵分别看做是一幅图片，采用图像特征提取方法定位各图片的所有特征点；

步骤3，在特征点的邻域中进行特征描述子提取；

步骤4，将样本集中属于同一个家族的恶意文件的特征描述子的集合作为该家族的特征描述库；