[发明专利]一种结合API模糊处理技术的恶意软件对抗样本生成方法有效
| 申请号: | 202011239328.0 | 申请日: | 2020-11-09 |
| 公开(公告)号: | CN112231703B | 公开(公告)日: | 2022-08-05 |
| 发明(设计)人: | 罗森林;张荣倩;潘丽敏;闫晗;张笈 | 申请(专利权)人: | 北京理工大学 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56;G06N3/12 |
| 代理公司: | 暂无信息 | 代理人: | 暂无信息 |
| 地址: | 100081 *** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 结合 api 模糊 处理 技术 恶意 软件 对抗 样本 生成 方法 | ||
1.一种结合API模糊处理技术的恶意软件对抗样本生成方法,其特征在于所述方法包括如下步骤:
步骤1,向原始的API调用序列中插入无关的API向量,初步实现恶意软件特征功能的混淆,首先,确定一个有序集合V,其包含PE程序可以调用的所有API函数;其次,在API的随机位置i插入一个新的已编码API向量,位置i…n中的API被退回一个位置;最后,根据修改后的API调用序列生成二进制恶意软件特征向量XP,具体包括:设l为攻击所用的API调用序列的长度,X为长度为l的API恶意序列,把X分成个长度为n的wj,其中n为wj中API调用个数,在每个wj中随机选择一个API位置i∈{1…n},在位置i插入一个API向量:其中⊥表示串联操作,插入API后,位置i…n中的API被退回一个位置,最后一个API调用被推出并从中删除,从推出的API将作为wj+1的开始;根据修改后的API调用序列生成二进制恶意软件特征向量XP,其大小为|V|,指示原始PE样本是否已使用API函数,通过添加冗余代码初步实现恶意软件特征功能的混淆;
步骤2,对样本实施混淆操作,隐藏API的函数功能,首先,初始化一个只采用二进制值表示的混淆向量M,指示有序集V中对应的API函数是否应该混淆;然后,对样本实施函数调用重定向的混淆操作;
步骤3,把修改后的样本馈送到恶意软件分类器,检查它是否实现了错误分类,利用遗传算法解决优化问题。
2.根据权利要求1所述的一种结合API模糊处理技术的恶意软件对抗样本生成方法,其特征在于:步骤2中实施具体的API混淆操作,构造一个调用指令来实现功能函数调用的重定向过程,使函数名不直接出现在反汇编代码中,最终隐藏API的函数功能,模糊处理后的样本特征向量变为XP⊙M,其中⊙表示逐元素相乘。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京理工大学,未经北京理工大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202011239328.0/1.html,转载请声明来源钻瓜专利网。
