[发明专利]基于行为和代码长度的恶意样本逆向任务分配方法及系统

权利要求书

1.一种基于行为和代码长度的恶意样本逆向任务分配方法，其特征在于：利用恶意代码的函数调用图，根据恶意代码内部不同功能模块之间的差异性，辅以不同功能模块之间的代码量差异来进行逆向任务的分配，实现过程包括函数调用图的获取过程和逆向任务分配过程，所述函数调用图的获取过程，包括以下步骤，

步骤1，获取引入的动态链接库DLL的数量，根据DLL引入次序依次遍历每一个DLL文件并获取DLL文件的名称；对于每一个引入的DLL文件，获取从该DLL文件中引入的API函数列表；对于每个从DLL文件引入的API函数，获取相关的交叉引用函数列表，得到API函数的所有调用者；将函数调用关系写入有向图中；记录函数关系的同时，记录下函数对应的代码长度，系统函数代码长度记为0；

步骤2，获取每一个代码段的地址，在每一个代码段中遍历改代码段使用到的所有函数的地址；对于每一个使用到的函数，获取相应交叉引用函数列表；获取调用与被调用双方的函数名称后，将函数调用关系写入有向图中，记录函数关系的同时，记录下函数对应的代码长度，所有函数遍历完成后得到的有向图是包含代码长度信息的函数调用图；

所述逆向任务分配过程，根据函数调用图进行逆向任务分配，包括以下步骤，

步骤3，读取函数调用图中的代码长度信息，计算并记录用户自定义函数代码长度的平均值和用户自定义函数集合，准备进行函数功能模块分割；

步骤4，根据不同恶意行为具有的特征API函数进行预分配，对于每一类恶意行为特征API函数列表中的函数，从步骤2中的函数调用图中获取与函数相关的路径；从得到的路径中提取所有函数调用关系，保存到路径集合中；从得到的路径中提取所有函数节点，保存到预分配函数节点集合中，并为每个节点添加用于标记函数功能的属性；将每一类特征API函数对应的预分配函数集合作为一项任务添加到预分配任务列表中，任务列表中每一项任务包含该任务的函数节点信息和代码总长度；步骤5，将未进行预分配的节点与已进行预分配的节点分开，遍历步骤4所得函数节点集合列表，将函数节点集合列表中存在的节点从步骤3所得用户自定义函数集合中删除，最终得到未进行预分配的函数节点集合；

步骤6，按照函数代码长度进行再分配，直至所有任务列表都符合代码总长度小于代码长度平均值减去阈值的条件；

步骤7，处理未完成分配的函数节点，将剩余仍未被分配的函数节点添加到一个新的任务集合中，并计算该任务集合中所有函数的代码总长度；合并步骤6与步骤7得到任务列表，作为最终的逆向任务分配结果。

2.根据权利要求1所述基于行为和代码长度的恶意样本逆向任务分配方法，其特征在于：步骤4中，不同恶意行为具有的不同特征API函数的类别包括文件操作、服务管理、网络连接、鼠标监控、socket连接、命令执行、加解密和进程管理注册表操作。

3.根据权利要求2所述基于行为和代码长度的恶意样本逆向任务分配方法，其特征在于：步骤4的实现过程如下，

(1)预先定义9类特征API函数列表functions_of_interest[9]，每次遍历一类特征API函数；

(2)对于每一类特征API函数，判断其中的特征API函数func是否存在于函数调用图G中，不存在则继续遍历；

(3)遍历函数调用图G的所有节点作为起始节点src，调用函数all_simple_paths(G,src,func)，列出起始节点src到特征API函数func的全部路径path；

(4)从路径列表path中获取函数节点信息，添加到函数节点集合nodes中，同时记录该函数集合的代码总长度length；

(5)每一类特征API函数遍历完成之后，将得到的函数节点集合nodes和对应的长度信息length，保存至预分配任务列表autoassign_list中。