[发明专利]基于行为特征相似性的恶意代码同源性分析方法有效
| 申请号: | 201510296976.2 | 申请日: | 2015-06-03 |
| 公开(公告)号: | CN104866765B | 公开(公告)日: | 2017-11-10 |
| 发明(设计)人: | 康绯;舒辉;熊小兵;肖亚南;葛雨玮 | 申请(专利权)人: | 康绯 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56 |
| 代理公司: | 郑州市华翔专利代理事务所(普通合伙)41122 | 代理人: | 王明朗 |
| 地址: | 450000 河*** | 国省代码: | 河南;41 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明提供一种基于行为特征相似性的恶意代码同源性分析方法,首先基于动态二进制插桩平台提取并量化表示恶意代码的行为特征,在此基础上度量不同恶意代码之间行为特征的相似性,以行为特征的相似度反映了恶意代码的同源性判别结果。利用本发明可以对网络中收集的恶意代码进行同源性分析,并对后续攻击源头的追踪溯源提供有力支撑。该方法能够正确地反映了恶意代码样本之间的同源性,同时正确地区分了不具有同源性的恶意代码样本,对恶意代码的同源性分析工作具有重要的指导和借鉴意义。 | ||
| 搜索关键词: | 基于 行为 特征 相似性 恶意代码 同源性 分析 方法 | ||
【主权项】:
一种基于行为特征相似性的恶意代码同源性分析方法,包括指令和数据记录模块、特征提取模块和同源性判别模块,其特征在于,分析过程如下:首先,指令和数据记录模块以动态二进制插桩平台为基础,在一个受保护的虚拟环境中执行恶意代码样本,通过插桩分析关键指令,记录程序在函数入口点、返回点和内存读写点关键位置上的数据,结合API参数格式解析库,得到库中定义的关键API的调用序列和参数信息;然后,特征提取模块以API调用序列及其参数信息作为输入,结合行为规则库,在构建API关联关系树的基础上提取行为特征;最后,同源性判别模块将两个恶意代码的行为特征作为输入,通过对行为特征相似性比较来对恶意代码的同源性进行判别最终得到结果分析报告,并将不同样本的特征写入恶意代码特征库中;所述特征提取模块包括提取API序列、API关联算法和行为提取;提取API序列:定义一个API为一个具有四个属性的向量:首先是API的名称,一个确定的API对应一个唯一的函数名称,调用时可以实现一个具体的功能;其次是API的对象,是API实现功能的目标客体;然后是与API函数有关的数据,是对其实现功能的补充说明;最后是调用时间,在实际的代码运行过程中,调用的多个API有执行的先后顺序。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于康绯,未经康绯许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201510296976.2/,转载请声明来源钻瓜专利网。
- 上一篇:自动柜员机操作系统启动控制方法及装置
- 下一篇:操作响应方法及装置
