[发明专利]一种同源恶意代码的细粒度分类识别方法

说明书

本发明公开了一种同源恶意代码的细粒度分类识别方法，包括：获取系统调用序列以及指令序列；对系统调用序列以及指令序列进行分析，得到数据流系统调用序列；通过提取语义特征序列操作提取已有同源恶意代码库的恶意语义特征；将获得的恶意语义特征组织成恶意语义特征库；获得待测代码的数据流系统调用序列，将之与恶意语义特征库中的恶意语义特征进行对比，对待测代码进行细粒度分类识别并且得出最终识别结果：是否为同源恶意代码和具体的恶意代码类别。本发明能够对同源恶意代码实施细粒度的分类识别，可以区分现有方案难以分类的恶意代码；可以避免指令混淆技术、系统调用混淆技术的干扰，进行较为准确的恶意代码分类识别。

技术领域

本发明涉及同源恶意代码检测技术领域，具体而言涉及一种同源恶意代码的细粒度分类识别方法。

背景技术

恶意代码是信息时代所面临的一个极其普遍的安全威胁，并且恶意代码会通过代码混淆技术得到数量众多的变种。这些变种代码与原代码是属于同一个家族的同源恶意代码。因此利用已有的恶意代码提取得到按家族划分的恶意语义特征有助于待测代码的分类识别工作。系统调用序列分析可以获得代码实际执行时的行为特征，这有利于同源恶意代码的特征提取。

目前的基于系统调用序列分析的同源恶意代码分类识别方案可以区分良性代码与恶意代码，但是对于恶意代码的分类识别粒度较粗，例如，在面对一部分具有相似系统调用的非同源的恶意代码时无法做到准确的分类识别。

发明内容

本发明目的在于提供一种同源恶意代码的细粒度分类识别方法，通过对系统调用关键参数的数据流进行分析，可以提取得到已有同源恶意代码库的恶意语义特征，并且将获得的恶意语义特征组织成恶意语义特征库，恶意语义特征库可以一直更新维护，从而为之后的待测代码分类识别继续提供支持。本发明利用恶意语义特征库中已有的恶意语义特征，可对待测代码进行细粒度的分类识别；不仅可以识别其是否为恶意代码，还可进一步判定其具体为哪一类恶意代码。本发明可对同源恶意代码实施细粒度的分类识别，可以区分现有方案难以分类的恶意代码；可以避免指令混淆技术、系统调用混淆技术的干扰，进行较为准确的恶意代码分类识别。

为达成上述目的，结合图1，本发明提出一种同源恶意代码的细粒度分类识别方法，所述细粒度分类识别方法包括以下步骤：

S1，获取系统调用序列以及指令序列；

S2，对系统调用序列以及指令序列进行分析，得到数据流系统调用序列，包括：

筛选出系统调用序列中每一个系统调用的系统调用名称以及关键参数，以关键参数为源头对指令序列进行反向依赖分析，获取关键参数的数据赋值指令；再利用赋值关系分析，将关键参数的数据赋值指令转化为赋值表达式；最后将系统调用名称以及系统调用关键参数赋值表达式组合得到数据流系统调用，进一步得到数据流系统调用序列；

S3，通过提取语义特征序列操作提取已有同源恶意代码库的恶意语义特征，所述提取语义特征序列操作包括：

对数据流系统调用序列进行排序预处理，将不存在依赖关系的数据流系统调用按照系统调用名称的字典序进行排序，再利用数据流系统调用序列对齐算法求解得到两个数据流系统调用序列的最大公共子序列；

S4，将获得的恶意语义特征组织成恶意语义特征库；

S5，获得待测代码的数据流系统调用序列，利用数据流系统调用序列对齐算法将之与恶意语义特征库中的恶意语义特征进行对比，对待测代码进行细粒度分类识别并且得出最终识别结果：是否为同源恶意代码和具体的恶意代码类别。

作为其中的一种优选例，步骤S1中，所述获取系统调用序列以及指令序列是指，利用Intel的动态插桩工具Pin来动态执行待分析的代码，执行过程中记录下代码的系统调用序列以及对应的指令序列，包括以下步骤：

S21，设置并且编译Pin动态执行器；