[发明专利]一种基于操作码序列的恶意软件家族分类方法

说明书

本发明涉及一种基于操作码序列的恶意软件家族分类方法，属于恶意软件家族分类与机器学习领域。主要为了解决在对恶意软件进行静态分析时，因忽视恶意软件反汇编后提取的操作码的顺序而导致误分类的问题。本发明首先对恶意软件进行反汇编并提取操作码，得到操作码序列；然后计算每个操作码的256位hash值，并将hash值顺序排列成矩阵；接下来将矩阵转化为灰度图像，并采用双线性插值法对该图像进行比例为256*3000的缩放；最后，经过卷积神经网络得到恶意软件家族分类结果。在BIG 2015上实验，结果表明本发明能达到较好的分类效果，进一步提升了恶意软件家族分类的正确率。

技术领域

本发明涉及一种基于操作码序列的恶意软件家族分类方法，属于恶意软件家族分类与机器学习领域。

背景技术

恶意软件是互联网安全最严重的威胁之一，黑客(攻击者)通过攻击系统或应用软件的安全漏洞将恶意软件植入受害者的计算机，恶意软件能窃取、修改或破坏系统上的数据，甚至摧毁整个系统。为了识别新增可疑文件的性质，进一步判断可疑文件属于哪一类恶意软件家族，需要对文件进行检测。现有的对恶意软件家族分类的方法通常分为静态分析法、动态分析法和可视化分析法：

1.静态分析

静态分析是通过提取源代码中的操作码、API调用和函数调用等信息来分析软件的执行逻辑，从而实现对恶意代码的检测和分类。这种方法可以对代码进行详尽的细粒度分析，快速地捕获语法和语义信息，从而识别出已知的恶意代码。但静态分析方法容易受到代码混淆和加密技术的干扰，无法检测出未知的恶意代码及其变体。

2.动态分析

动态分析方法是针对静态方法存在的问题提出的，其通常在虚拟环境中执行样本来分析函数调用、控制流信息、文件操作和注册表修改记录等行为信息。动态分析方法需要执行恶意代码，能够有效地识别和分类恶意代码。但动态分析方法在恶意代码的运行过程中有可能对执行恶意代码的系统产生危害，同时也存在时间开销大、耗费资源多的问题。

3.可视化分析

可视化分析是静态分析的一种。是将恶意软件代码转化为图像，通过分析图像、提取图像的特征信息，对恶意软件进行检测和分类。

综上所述，利用可视化分析方法提取恶意软件代码中操作码特征，进而转化为图像特征，再结合深度学习技术对其进行家族分类能够有效提高恶意软件家族分类的效率和准确率。但在特征提取的过程中，存在因忽视操作码的顺序而造成的误分类问题，因此本发明提出基于操作码序列的恶意软件家族分类方法。

发明内容

本发明的目的是针对在对恶意软件进行静态分析时，因忽视恶意软件反汇编后提取的操作码的顺序而导致误分类的问题，提出了一种基于操作码序列的恶意软件家族分类方法。

本发明的设计原理为：首先对获取恶意软件操作码序列；然后将操作码序列转化为hash值矩阵；接下来将矩阵转化为灰度图像，并采用双线性插值法对该图像进行缩放；最后，经过卷积神经网络得到恶意软件的家族类别。

本发明的技术方案是通过如下步骤实现的：

步骤1，获取恶意软件操作码序列。

步骤1.1，对恶意软件进行反汇编操作。

步骤1.2，按顺序提取操作码，形成操作码序列。

步骤2，将操作码序列转化为hash值矩阵。

步骤2.1，计算操作码的256位hash值。

步骤2.2，按顺序将hash值排列成矩阵，矩阵中每一行对应某个操作码的hash值。

步骤3，将hash值矩阵转化为灰度图像。