[发明专利]恶意代码同源性分析方法和装置及设备

说明书

本申请涉及一种恶意代码同源性分析方法，包括：将恶意代码样本集中的恶意代码样本进行分组，并提取出每一组中的各恶意代码样本的动态特征信息和静态特征信息；将每一组中的恶意代码样本的动态特征信息和静态特征信息进行数值化处理，得到每一组中的恶意代码样本的特征向量；采用卷积神经网络对每一组中的恶意代码样本的特征向量进行卷积运算，得到每一组中的恶意代码样本之间的特征相似度向量；基于动态BP神经网络对特征相似度向量进行分析检测，得到每一组中的恶意代码样本之间的同源性检测结果。其综合卷积神经网络和动态BP神经网络的配合，在对恶意代码同源性分析时，能够有效提高分析结果，使得对恶意代码的同源关系检测的更加准确。

技术领域

本申请涉及信息安全技术领域，尤其涉及一种恶意代码同源性分析方法和装置及设备。

背景技术

随着计算机网络的深度应用和恶意代码技术的不断发展，恶意代码已成为威胁计算机系统安全的一个重要因素。为了适应不同的攻击目标环境或实现不同的攻击目的，恶意代码的编写者会在一个原始恶意代码样本的基础上，通过修改得到不同的恶意代码。在此情况下，这些新生成的恶意代码使用的已经不再是传统恶意代码生存技术中的变形和多态技术。在eat恶意代码攻击越来越有组织性和目的性的新形势下，定义恶意代码同源性的概念，对现有的恶意代码同源性进行分析和总结已经成为当下必须的热点事件。

面对海量新出现恶意代码，基于特征码和签名的传统恶意代码分析方法已经不能满足恶意代码的检测需求，启发式方法、云检测技术以及主动防御技术被提出，并已经应用于恶意代码关联分析和同源分析。随着攻击向高级、持续(如：APT，advancedpersistentthreat)等方向发展，恶意代码攻击场景更加复杂，为了躲避检测，恶意代码不断采用多态和变形等方式。因此，发现样本中的同源关系对攻击组织溯源、运行环境还原以及攻击防范具有重要的作用。

发明内容

有鉴于此，本申请提出了一种恶意代码同源性分析方法，可以有效实现恶意代码的同源关系的检测，并且能够提高检测结果的准确度。

根据本申请的一方面，提供了一种恶意代码同源性分析方法，包括：

将恶意代码样本集中的恶意代码样本进行分组，并提取出每一组中的各恶意代码样本的动态特征信息和静态特征信息；

将每一组中的各恶意代码样本的所述动态特征信息和所述静态特征信息进行数值化处理，得到每一组中的各恶意代码样本的特征向量；

采用卷积神经网络对每一组中的各恶意代码样本的特征向量进行卷积运算，得到每一组中的各恶意代码样本之间的特征相似度向量；

基于动态BP神经网络对所述特征相似度向量进行分析检测，得到每一组中的恶意代码样本之间的同源性检测结果。

在一种可能的实现方式中，提取出每一组中的各恶意代码样本的动态特征信息，包括：

将各所述恶意代码样本提交至模拟运行环境进行运行分析，由运行分析结果中提取出各所述恶意代码样本的动态特征信息；

其中，所述动态特征信息包括：API函数调用信息、特殊字符串信息、特殊数值信息、进程行为信息、文件行为信息、网络行为信息和注册表行为信息中的至少一种。

在一种可能的实现方式中，提取出每一组中的各恶意代码样本的静态特征信息，包括：

获取所述恶意代码样本在模拟运行环境运行过程中生成的DUMP样本，然后使用反汇编工具对所述DUMP样本进行反汇编后提取出所述静态特征信息；

其中，所述静态特征信息包括：PE头部信息、样本加壳方式和对普通函数的调用信息中的至少一种。

在一种可能的实现方式中，将每一组中的各恶意代码样本的所述动态特征信息和所述静态特征信息进行数值化处理，包括：对所述动态特征信息和所述静态特征信息进行向量化处理。