[发明专利]恶意代码同源性分析方法和恶意代码同源性分析装置

说明书

本发明公开了一种恶意代码同源性分析方法，该方法可以包括：获取待分析代码；利用分类模型，对该待分析代码进行识别，得到识别结果；其中，该分类模型是利用预定的恶意代码样本的结构特征训练得到的；该结构特征由基于恶意代码样本切片过滤条件，并对恶意代码样本进行二进制代码过程间切片而得到；根据识别结果，确定该待分析代码所属的网络攻击组织或网络安全事件。通过该技术方案，使用分类模型对待分析代码进行分类识别，判断该待分析代码是否与已知网络攻击组织或事件的恶意代码样本具有同源性进而确定待分析代码是否为恶意代码，由此解决了如何提高分析恶意代码同源性的效率和准确率的问题。

技术领域

本申请涉及网络安全技术领域，特别是涉及一种恶意代码同源性分析方法和恶意代码同源性分析装置。

背景技术

当前网络空间安全的主要威胁之一是恶意代码通过系统漏洞或垃圾邮件等大规模传播，进而对信息系统所造成的破坏。随着网络攻防的博弈，恶意代码呈现出隐形化、多态化、多歧化特点，因此，对恶意代码进行分析十分必要。

无论是传统的基于规则的恶意代码分析方法，还是基于机器学习的启发式恶意代码分类预测方法，都需要以人工的方式提取恶意代码的结构、功能和行为特征。

举例来说，现有技术一般通过以下方式予以实施：

现有技术(一)：通过YARA提取工具来提取恶意代码文件中的关键字节序列，作为表征恶意代码的特征，添加到恶意代码特征库中，然后，再通过模式匹配识别恶意代码，以对恶意代码同源性进行分析。

现有技术(二)：与现有技术(一)不同的是提取恶意代码中的关键指令序列作为表征恶意代码的特征，以对恶意代码同源性进行分析。其中，指令序列可以是高级程序语言如JavaScript、PHP等，也可以是二进制汇编语言指令序列。

现有技术(三)：提取恶意代码中各基本块的控制流，基于恶意代码中基本块的逻辑关系，提取代码的结构特征，然后，通过代码结构匹配来识别恶意代码，以对恶意代码同源性进行分析。

现有技术(四)：通过提取恶意代码中的数据传播路径，通过污点传播技术提取恶意代码的数据流特征，利用数据流特征来识别恶意代码，以对恶意代码同源性进行分析。

然而，上述现有技术在实施过程中存在着如下缺陷：

上述现有技术(一)因为需要事先人为配置恶意代码特征数据库，且无法识别变化的、未知的恶意代码而存在无法高效分析恶意代码同源性的缺陷。

上述现有技术(二)因为忽略了恶意代码的结构特征和行为特征而存在无法高效识别恶意代码同源性的缺陷。

上述现有技术(三)因为其所提取的结构特诊无法准确地表征恶意代码的行为而存在恶意代码同源性分析准确率低的缺陷。

上述现有技术(四)因为存在“路径爆炸”情况而无法准确地提取恶意代码关键特征，从而存在恶意代码同源性分析准确率低的缺陷。

鉴于此，如何提高恶意代码同源性分析的效率和准确率低，是亟待解决的技术问题。

发明内容

本公开实施例的主要目的是提供一种恶意代码同源性分析方法和恶意代码同源性分析装置，以至少解决如何提高分析恶意代码同源性的效率和准确率的问题。

为了实现上述目的，根据本公开的一个方面，提供以下技术方案：

一种恶意代码同源性分析方法，所述方法至少包括：

获取待分析代码；

利用分类模型，对所述待分析代码进行识别，得到识别结果；其中，所述分类模型是利用预定的恶意代码样本的结构特征训练得到的；所述结构特征由基于所述恶意代码样本切片过滤条件，并对所述恶意代码样本进行二进制代码过程间切片而得到；