[发明专利]恶意代码同源性分析方法和恶意代码同源性分析装置

权利要求书

1.一种恶意代码同源性分析方法，其特征在于，所述方法至少包括：

获取待分析代码；

利用分类模型，对所述待分析代码进行识别，得到识别结果；其中，所述分类模型是利用预定的恶意代码样本的结构特征训练得到的；所述结构特征由基于所述恶意代码样本切片过滤条件，并对所述恶意代码样本进行二进制代码过程间切片而得到；所述恶意代码样本二进制代码过程间切片通过以下方式实现：生成所述恶意代码样本的系统依赖图；所述生成所述恶意代码样本的系统依赖图的步骤，具体包括：对所述恶意代码样本所有过程执行过程内切片，生成程序依赖图；

解析出所述恶意代码样本的过程间依赖关系；所述过程间依赖关系描述包括以下一项或几项的关系：父过程调用点与子过程入口点的关系、父过程实参输入与子过程形参输入的关系、子过程形参输出与父过程实参输出的关系；

依据所述过程间依赖关系，在所述程序依赖图中添加边特征，得到所述恶意代码样本的所述系统依赖图；

基于恶意代码过滤条件，分析所述系统依赖图中的节点代码，以实现所述恶意代码样本二进制代码过程间切片；所述恶意代码切片过滤条件是通过采集多源威胁情报中的典型恶意行为，并将其映射到所述恶意代码样本的所述二进制代码中的关键实现而构建的；

根据所述识别结果，确定所述待分析代码所属的网络攻击组织或网络安全事件。

2.根据权利要求1所述的一种恶意代码同源性分析方法，其特征在于，所述分类模型通过以下方式实现：

获取所述预定的恶意代码样本的多维特征向量；

确定神经网络；

将所述预定的恶意代码样本的多维特征向量作为所述神经网络的输入，并对所述神经网络进行训练，得到所述分类模型。

3.根据权利要求2所述的一种恶意代码同源性分析方法，其特征在于，获取所述预定的恶意代码样本的多维特征向量的步骤，具体包括：

获取所述恶意代码样本的二进制代码；

通过图嵌入网络方法，提取所述恶意代码样本二进制代码过程间切片的结构特征；

对所述恶意代码样本的二进制代码进行反汇编，得到所述恶意代码样本的基本块；

解析所述恶意代码样本的所述基本块；

从解析结果中提取所述基本块的统计特征；

结合所述结构特征和所述统计特征，生成所述恶意代码样本的所述多维特征向量。

4.根据权利要求1所述的一种恶意代码同源性分析方法，其特征在于，基于恶意代码过滤条件，分析所述系统依赖图中的节点代码，以实现所述恶意代码样本二进制代码过程间切片的步骤，具体包括：

基于恶意代码过滤条件，将节点代码中的多赋值指令转换为中间表示；

将中间表示作为多赋值指令的子过程；

降低切片粒度；

基于所述多赋值指令的子过程和降低切片粒度的结果，执行所述二进制代码过程间切片。

5.根据权利要求1所述的一种恶意代码同源性分析方法，其特征在于，基于恶意代码过滤条件，将节点代码中的多赋值指令转换为中间表示的步骤，具体包括：

基于所述恶意代码过滤条件，将所述节点代码中的所述多赋值指令转换为一组单赋值指令；

将所述一组单赋值指令作为子过程，添加到所述系统依赖图中；

对所述系统依赖图执行二进制代码过程间切片，得到所述中间表示。

6.根据权利要求1所述的方法，其特征在于，根据所述识别结果，确定所述待分析代码所属的网络攻击组织或网络安全事件的步骤，具体包括：

如果所述识别结果表示所述待分析代码与所述预定的恶意代码样本相匹配，则将所述待分析代码与所述预定的恶意代码样本确定为同源性恶意代码；其中，所述预定的恶意代码样本与预定的网络攻击组织或预定的网络安全事件相关联。