[发明专利]一种恶意样本类别检测方法和装置及设备

说明书

本发明提供一种恶意样本类别检测方法和装置及设备，包括：获取恶意样本并基于虚拟系统程序运行恶意样本得到对应的函数调用图；将函数调用图中任一函数作为调用函数，将调用函数对函数调用图中各函数是否有调用关系用不同的取值表示得到邻接矩阵；根据表示有调用关系的取值的密度分布，通过满足密度分区分割条件时对应的分区，定位属于本地函数的调用函数的分区；并将该分区映射为目标函数调用图，提取目标函数调用图的特征并输入到分类预测模型确定所述恶意样本的类别。本发明可以通过分离恶意样本的本地函数及分类预测模型，解决叠加壳保护后恶意样本特征趋于一致，同源判断的效果不理想及需要对控制流程图的大小进行标准化处理的问题。

技术领域

本发明涉及计算机技术领域，具体涉及一种恶意样本类别检测方法和装置及设备。

背景技术

随着网络信息技术的发展，恶意软件已成为危害网络公共安全的主要威胁之一，恶意软件通过恶意代码实现，恶意代码具有同源性，即不同的恶意代码是否源自同一套恶意代码或是否由同一个作者、团队编写，其是否具有内在关联性、相似性。随着开源社区的出现，基于同一家族的恶意代码被变种成功的情况层出不穷。这些恶意代码变种形成的恶意软件结构相似但不相同，配合壳保护技术的应用，恶意代码的家族特征被稀释隐藏，使得恶意代码样本的同源性判定成为了一个棘手的问题。

壳保护技术主要通过加壳器实现，加壳器属于一种封装工具，它可以在反病毒软件或复杂的恶意代码分析过程中，隐藏恶意代码的存在，还能缩小恶意代码可执行文件的大小，因此加壳器在恶意代码编写者中很受欢迎。所有的加壳器都是将一个可执行文件作为输入，输出一个新的可执行文件。被加壳的可执行文件经过压缩，加密或者其他转换，目的是使他们难以被识别，难以被逆向分析。

当前的恶意代码同源性检测功能，主要存在以下问题：

1)当前恶意代码检测，主要利用动态或静态分析获取恶意代码的特征信息，如指令序列、API(Application Programming Interface，应用程序接口)调用序列或图结构特征等。不同恶意代码样本之间的上述特征信息没有显著的差异，叠加壳保护技术后，其特征更加趋于一致，最终导致通过分析恶意代码的特征信息来进行同源判断的效果不理想；

2)程序的控制流程图以程序的执行流程为特征，展现系统各部分执行的流动过程，当前对控制流程图的处理是为了适应用在图片处理和自然语言处理中的深度学习模型，需要对控制流图的大小进行标准化的处理。

发明内容

本发明提供一种恶意样本类别检测方法和装置及设备，用以解决叠加壳保护后恶意样本特征趋于一致，同源性判断的效果不理想及需要对控制流程图的大小进行标准化处理的问题。

根据本申请实施例的第一方面，提供一种恶意样本类别检测方法，该方法包括：

获取恶意样本并基于虚拟系统程序运行所述恶意样本，得到所述恶意样本对应的函数调用图；

将所述函数调用图中任一函数作为调用函数，将调用函数对函数调用图中各函数是否有调用关系用不同的取值表示，得到邻接矩阵；

根据表示有调用关系的取值的密度分布，通过满足密度分区分割条件时对应的分区，定位属于本地函数的调用函数的分区；

将属于本地函数的调用函数的分区映射为目标函数调用图，提取所述目标函数调用图的特征并输入到分类预测模型确定所述恶意样本的类别。

可选地，通过满足密度分区分割条件时对应的分区，定位属于本地函数的调用函数的分区，包括：

以所述邻接矩阵主对角线上的元素为十字坐标的交叉点滑动十字坐标，所述交叉点每滑动到任一元素时，将所述邻接矩阵划分为四个分区；

滑动结束后，确定分区密度在滑动过程中满足分割条件时对应的交叉点位置，根据该交叉点位置对应的分区，定位属于本地函数的调用函数的分区。