[发明专利]代码特征集构建方法、检测方法、装置、设备及程序产品

说明书

本发明公开了一种代码特征集构建方法、检测方法、装置、设备及程序产品，涉及计算机技术领域。代码特征集构建方法包括以下步骤：对可执行文件进行反汇编处理，以获得可执行文件中目标函数的基本块数据与控制流图；对基本块数据进行特征提取，以获得目标函数的文本信息特征；根据控制流图，生成目标函数对应的有向无环图结构邻接矩阵；根据文本信息特征与邻接矩阵，构建目标函数的代码特征集。本发明可对目标函数的代码进行细粒度更高的特征提取。

技术领域

本发明涉及计算机技术领域，尤其涉及一种代码特征集构建方法、检测方法、装置、设备及程序产品。

背景技术

现有的恶意代码特征提取方法，可分为静态分析提取和动态分析提取。其中，由于一般无法获得恶意代码源代码，静态提取方法一般需先对代码进行反汇编，对反汇编得到的代码提取文本特征。然后基于提取到的文本特征进行安全检测或者对比。

因此，但是目前的软件特征提取方法存在提取文本特征较少，不够详细的问题，进而导致检测结果准确率还有待提高。

发明内容

本发明的主要目的在于提供一种代码特征集构建方法、检测方法、装置、设备及程序产品，旨在解决目前的软件特征提取方法存在提取特征较少，不够详细的问题。

为实现上述目的，本发明实施例提供一种代码特征集构建方法，方法包括以下步骤：

对可执行文件进行反汇编处理，以获得可执行文件中目标函数的基本块数据与控制流图；

对基本块数据进行特征提取，以获得目标函数的文本信息特征；

根据控制流图，生成目标函数对应的有向无环图结构邻接矩阵；

根据文本信息特征与邻接矩阵，构建目标函数的代码特征集。

在一实施例中，根据控制流图，生成目标函数对应的有向无环图结构邻接矩阵的步骤，包括：

遍历控制流图，以提取出控制流图中所有非回路访问路径；

基于所有非回路访问路径，生成邻接矩阵。

在一实施例中，遍历控制流图，以提取出控制流图中所有非回路访问路径的步骤，包括：

将控制流图中的根节点作为当前访问节点；其中，非回路访问路径的开始节点为根节点；

根据控制流图中的访问流向信息，从控制流图的未访问节点中提取出当前访问节点的后继节点；

基于后继节点更新当前提取节点，以获得更新后的当前提取节点；

根据控制流图中的访问流向信息，判断更新后的当前提取节点是否与根节点形成闭环；

若更新后的当前提取节点不与根节点形成闭环，则将更新后的当前提取节点记录至非回路访问路径中，根据控制流图中的访问流向信息，从访问节点库的未访问节点中提取出更新后的当前提取节点的后继节点，并返回至基于后继节点更新当前提取节点，以获得更新后的当前提取节点的步骤，循环至更新后的当前提取节点无后继节点；

若更新后的当前提取节点与根节点形成闭环，则将该回路访问路径上的所有后继节点标记为已访问，并返回根据控制流图中的访问流向信息，从访问节点库的未访问节点中提取出当前提取节点的后继节点的步骤；

基于非回路访问路径中的已记录节点，获得一条非回路访问路径；

跳转至控制流图中与顶点最近的一个未访问分支节点处，将未访问分支节点作为更新后的当前提取节点，并返回执行根据控制流图中的访问流向信息，判断更新后的当前提取节点是否与根节点形成闭环的步骤，循环至控制流图中的所有节点均被访问。

在一实施例中，文本信息特征包括以下特征的至少一者：