[发明专利]一种恶意样本类别检测方法和装置及设备

权利要求书

1.一种恶意样本类别检测方法，其特征在于，该方法包括：

获取恶意样本并基于虚拟系统程序运行所述恶意样本，得到所述恶意样本对应的函数调用图；

将所述函数调用图中任一函数作为调用函数，将调用函数对函数调用图中各函数是否有调用关系用不同的取值表示，得到邻接矩阵；

根据表示有调用关系的取值的密度分布，以所述邻接矩阵主对角线上的元素为十字坐标的交叉点滑动十字坐标，所述交叉点每滑动到任一元素时，将所述邻接矩阵划分为四个分区；滑动结束后，确定分区密度在滑动过程中满足分割条件时对应的交叉点位置，根据该交叉点位置对应的分区，定位属于本地函数的调用函数的分区；

将属于本地函数的调用函数的分区映射为目标函数调用图，提取所述目标函数调用图的特征并输入到分类预测模型确定所述恶意样本的类别。

2.根据权利要求1所述的方法，其特征在于，确定分区密度在滑动过程中满足分割条件时对应的交叉点位置，根据该交叉点位置对应的分区，定位属于本地函数的调用函数的分区，包括：

当第一象限分区和第三象限分区的密度之和小于预设阈值时，确定满足分割条件；

确定满足分割条件时交叉点位置，将该交叉点位置对应的分区中第四象限分区，定位为本地函数的调用函数的分区。

3.根据权利要求2所述的方法，其特征在于，确定满足分割条件时交叉点位置，包括：

若满足分割条件的交叉点位置为多个时，确定第一象限分区和第三象限分区的密度之和最小对应的交叉点位置。

4.根据权利要求1～3任一所述的方法，其特征在于，确定分区密度在滑动过程中满足分割条件时对应的交叉点位置，还包括：

根据滑动过程中不同指定分区的密度分布是否出现差异特征，确定所述恶意样本的壳函数是否为指定类型的壳函数；

若是指定类型的壳函数，确定分区密度在滑动过程中满足分割条件时对应的交叉点位置，将该交叉点位置对应的分区中的第四象限分区，定位为属于本地函数的调用函数的分区。

5.根据权利要求4所述的方法，其特征在于，满足以下全部公式时，确定不同指定分区的密度分布是否出现差异特征，包括：

d(A₀)-d(A₁)≥|σ₁|，d(A₀)-d(A₃)≥|σ₂|

d(A₂)-d(A₁)≥|σ₃|，d(A₂)-d(A₃)≥|σ₄|

其中，d(A₀)为第一象限分区的密度，d(A₁)为第二象限分区的密度，d(A₂)为第三象限分区的密度，d(A₃)为第四象限分区的密度，σ₁、σ₂、σ₃、σ₄为设定值。

6.根据权利要求4所述的方法，其特征在于，还包括：

若确定所述恶意样本的壳函数为非指定类型的壳函数，则将所述函数调用图作为目标函数调用图。

7.根据权利要求1所述的方法，其特征在于，提取所述目标函数调用图的特征并输入到分类预测模型确定所述恶意样本的类别，包括：

将所述目标函数调用图中的各函数展开得到各函数对应的控制流程图，所述控制流程图由基本块构成，每个基本块为一段有序指令；

通过图嵌入技术提取所述控制流程图的特征并映射为低维向量后，输入到分类预测模型确定所述恶意样本的类别。

8.根据权利要求7所述的方法，其特征在于，通过图嵌入技术提取所述控制流程图的特征，包括：

提取控制流程图中每个基本块最长的机器码指令长度、机器码指令条数以及每个基本块调用其他基本块及被其他基本块调用的次数作为所述特征。