[发明专利]一种恶意程序分析方法

权利要求书

1.一种恶意程序分析方法，其特征在于，该方法包括步骤：

(1)将恶意程序样本库映射为一个以恶意程序基因为最小单元的恶意程序基因库；

(2)利用恶意程序基因库进行恶意程序分析。

2.根据权利要求1所述的一种恶意程序分析方法，其特征在于，将恶意程序样本库映射为恶意程序基因库的方法为：基于每个恶意程序运行时的汇编指令流，提取其中的关键汇编指令流片段，并建立关键汇编指令流片段与恶意行为的语义映射。

3.根据权利要求2所述的一种恶意程序分析方法，其特征在于，建立关键汇编指令流片段与恶意行为的语义映射的方法包括步骤：

1)建立汇编指令流IS＝I₀，I₁，...，I_N中的任意汇编指令I进行抽象描述的映射关系I→ID；

2)形式化恶意程序运行时的汇编指令流序列，将汇编指令流序列IS＝I₀，I₁，...，I_N映射为序列IDS＝ID₀，ID₁，...，ID_N；

3)将恶意程序的样本集合中所有的恶意程序均执行步骤1)和步骤2)，得到一个恶意程序的DNA行为序列集合，同时每个恶意程序DNA行为序列对应不同的恶意程序分类；

4)针对每一类恶意程序DNA行为序列，提取每一类恶意程序DNA序列集合中K个相同的平凡子序列片段；

5)计算得到最优的恶意程序基因信息。

4.根据权利要求3所述的一种恶意程序分析方法，其特征在于，步骤1)中，ID为六元组<C，OP，F，WR，d，t>，其中，C是描述指令操作码属性的三元组C＝＜c，m＞，c表示指令的操作码，m表示指令的操作模式；OP是描述指令操作数的多元组OP＝<n，op₁，...，op_n>，n表示指令的操作数个数，op_i指向指令的第i个操作数；F是描述指令对标志寄存器置位的九元组F＝(cf，pf，af，zf，sf，tf，if，df，of＞，分别对应9个标志寄存器；WR是描述指令的内存和寄存器读写状态的三元组WR＝＜wr_r，wr_m，r_m＞，wr_r表示指令是否有寄存器读写，wr_m表示指令是否有内存读写，r_m表示指令对内存读写的区间；d描述指令的循环嵌套深度；t描述指令在代码中位置的时间戳。

5.根据权利要求3所述的一种恶意程序分析方法，其特征在于，步骤2)中还包括步骤：定义两个ID间相似度SimID的计算公式：SimID＝SimC*(λ_bSimB+λ_sSimS)，根据六元组<C，OP，F，WR，d，t>，其中SimC表示两个ID间的指令语义相似度，即<C，OP>的相似度；SimB表示两个ID间的行为相似度，即<F，WR>的相似度，SimS表示两个ID间的结构相似度，即<d，t>的相似度；同时，公式需要满足如下要求：λ_b+λ_s＝1，1≥SimC≥0，1≥SimB≥0，1≥SimS≥0。