[发明专利]基于行为和代码长度的恶意样本逆向任务分配方法及系统

说明书

本发明提供一种基于行为和代码长度的恶意样本逆向任务分配方法，利用恶意代码的函数调用图，根据恶意代码内部不同功能模块之间的差异性，辅以不同功能模块之间的代码量差异来进行逆向任务的分配，实现过程包括函数调用图的获取过程和逆向任务分配过程。本发明能够解决逆向分析恶意软件过程中逆向任务低效分发管理的问题，可以快速准确地对恶意代码分析任务进行科学性分配，减少了逆向任务分配过程中的人工干预，提升进行逆向分析任务分配的流程效率。

技术领域

本发明属于恶意代码检测与分析领域，具体涉及一种基于行为和代码长度的恶意样本逆向任务分配方法及系统。

背景技术

近年来，恶意代码日益增加，给国家、社会、个人带来了不同程度的危害，如分布式拒绝服务攻击(DDoS)、基于僵尸网络(Botnet)的攻击、勒索病毒(Ransomware)、高级可持续威胁(Advanced Persistent Threat)攻击、利用远程控制木马的信息窃取等。根据AV-TEST在2020年5月公布的数据，全网恶意代码数量规模逐年增长，在2020年已经达到的10.5519亿。目前网络安全形势严峻，网络环境的安全与健康需要依靠所有安全研究人员来维护。当前恶意代码分析形势主要是依赖人工提取特征码，相关资料显示，平均一名熟练的分析人员一天只能分析12.8个样本，供需矛盾严重。再加上近年攻击者为了躲避检测，采用了一系列对抗溯源的措施，恶意代码的质量与复杂程度大幅提高，一定程度上加大了恶意代码逆向分析的难度，给恶意样本逆向分析工作带来严峻的考验。

为了提高恶意代码的逆向分析效率，在同一个逆向分析组织中，通常会有多名分析人员对同一个恶意样本进行逆向分析。在协作的过程中，研究人员可以发挥其各自的长处，并且不用再独自一人面对庞大的恶意代码。通过多人协作进行样本分析涉及到对恶意样本逆向任务的分配问题。掌握好恶意样本的内部结构网络，能够在不破坏原有代码结构框架的基础上进行恶意样本逆向任务的分配和管理，一定程度上保证了恶意样本逆向任务的局部完整性，提高恶意样本的管理以及分配的科学性和合理性，有利于后续逆向分析结果的快速整合。如果管理者想要简化后续整合逆向分析结果的工作，在逆向任务分配的前期工作中就需要根据恶意样本局部功能之间的差别来进行分配管理。虽然在进行恶意样本逆向之前，逆向研究人员可以通过IDA、Ghidra等工具进行分析，了解恶意样本的总体功能。但是恶意样本内部和函数调用关系网结构错综复杂，单纯通过人工很难快速地整理出其内部结构网络，导致在前期逆向任务分配管理环节上消耗太多时间和精力。

发明内容

本发明针对逆向分析恶意软件过程中逆向任务低效分发的问题，提出一种基于行为和代码长度的恶意样本逆向任务分配方法及系统。

本发明的技术方案为一种基于行为和代码长度的恶意样本逆向任务分配方法，包括函数调用图的获取过程和逆向任务分配过程，

所述函数调用图的获取，包括以下步骤，

步骤1，获取引入的动态链接库DLL的数量，根据DLL引入次序依次遍历每一个DLL文件并获取DLL文件的名称；对于每一个引入的DLL文件，获取从该DLL文件中引入的API函数列表；对于每个从DLL文件引入的API函数，获取相关的交叉引用函数列表，得到API函数的所有调用者；将函数调用关系写入有向图中；记录函数关系的同时，记录下函数对应的代码长度，系统函数代码长度记为0；

步骤2，获取每一个代码段的地址，在每一个代码段中遍历改代码段使用到的所有函数的地址；对于每一个使用到的函数，获取相应交叉引用函数列表；获取调用与被调用双方的函数名称后，将函数调用关系写入有向图中，记录函数关系的同时，记录下函数对应的代码长度，所有函数遍历完成后得到的有向图是包含代码长度信息的函数调用图；

所述逆向任务分配过程，根据函数调用图进行逆向任务分配，包括以下步骤，

步骤3，读取函数调用图中的代码长度信息，计算并记录用户自定义函数代码长度的平均值和用户自定义函数集合，准备进行函数功能模块分割；