[发明专利]一种未知代码的属性判断方法

说明书

本发明实施例公开了一种未知代码的属性判断方法，基于相似性哈希算法，具体包括以下方法：搜集不同类别的恶意代码样本；对所搜集的样本进行沙盒分析，生成所搜集样本的API调用序列日志；计算所搜集样本的API调用序列日志的相似性哈希值；对未知样本进行沙盒分析，生成未知样本的API调用序列日志；计算未知样本的API调用序列日志的相似性哈希值，量化与各类恶意代码的平均相似程度；实现对未知代码的分析和判定，可视化判断结果。

技术领域

本发明涉及系统安全技术领域，具体地说是一种未知代码的属性判断方法。

背景技术

主机安全保护的关键在于对恶意代码攻击的检测与识别能力。现有的恶意代码属性判断，大多通过静态特征码匹配的方式，即使用特征库匹配后的表项标签，对未知样本进行打标。例如，Trojan/Win32.TSGeneric就标记了Windows操作系统下的一类木马软件。然而，特征库的更新速度常常落后于恶意代码爆发式的变异速度，导致对于未知代码的判定具有滞后性和高误判率。此外，不同杀毒软件厂商对同一样本的标记不仅命名格式大相径庭，分类结果也往往不尽相同；同时，随着如WannaCry等混合型攻击的出现，病毒、蠕虫、木马之间的界限已不再明显，单一的恶意代码属性标记很难准确反映或定义代码的整体行为。

发明内容

本发明实施例中提供了一种未知代码的属性判断方法，以解决现有技术对于未知代码的判定具有滞后性和高误判率，单一的恶意代码属性标记很难准确反映或定义代码的整体行为的问题

为了解决上述技术问题，本发明实施例公开了如下技术方案：

一种未知代码的属性判断方法，基于相似性哈希算法，具体包括以下方法：

对未知样本进行沙盒分析，生成未知样本的API调用序列日志；

计算未知样本的API调用序列日志的相似性哈希值，量化与各类恶意代码的平均相似程度。

在第一种可能实现的方式中，在上述步骤之前还需要生成未知样本的对照标准值，具体包括以下步骤：

搜集不同类别的恶意代码样本；

对所搜集的样本进行沙盒分析，生成所搜集样本的API调用序列日志；

计算所搜集样本的API调用序列日志的相似性哈希值。

在第二种可能实现的方式中，样本的搜集包括以下方法：

在每种恶意代码下选择典型的样本N个，N为正整数；N值的选取由判断精度的本地策略决定。

在第三种可能实现的方式中，对所搜集的样本进行沙盒分析，生成所搜集样本的API调用序列日志包括以下方法：

使用开源沙盒Cuckoo环境对恶意样本进行批量化分析；

将选定样本上传至配置好的虚拟机中运行，得到样本的行为数据，样本的行为数据即API调用序列日志。

在第四种可能实现的方式中，对未知样本进行沙盒分析，生成未知样本的API调用序列日志包括以下方法：

对于选定的未知代码程序，上传至Cuckoo沙盒进行行为分析，得到未知样本的API调用序列日志。

在第五种可能实现的方式中，计算未知样本的API调用序列日志的相似性哈希值，量化与各类恶意代码的平均相似程度包括以下方法：

对未知样本的行为日志文件，计算其哈希值Hash_未；

比较Hash_未与所搜集样本的API调用序列日志哈希值的相似度，得到相似度分数M，M介于0与100之间；