[发明专利]一种恶意程序分析方法

说明书

技术领域

本发明涉及恶意程序检测领域，尤其是涉及一种恶意程序分析方法。

背景技术

传统恶意程序分析方法，作为传统软件恶意行为检测技术的核心技术，主要包括程序恶意行为检测、文件特征和行为特征比对等方法，存在汇编指令级信息缺失，难以有效检测软件中隐藏的恶意行为，无法有效应对恶意程序不断采用新的混淆和隐藏技术。

发明内容

本发明的目的在于：针对现有技术存在的问题，提供一种恶意程序分析方法，解决传统方法难以有效检测软件中隐藏的恶意行为的问题。

本发明的发明目的通过以下技术方案来实现：一种恶意程序分析方法，该方法包括步骤：(1)将恶意程序样本库映射为一个以恶意程序基因为最小单元的恶意程序基因库；(2)利用恶意程序基因库进行恶意程序分析。

作为进一步的技术方案，将恶意程序样本库映射为恶意程序基因库的方法为：基于每个恶意程序运行时的汇编指令流，提取其中的关键汇编指令流片段，并建立关键汇编指令流片段与恶意行为的语义映射。

作为进一步的技术方案，建立关键汇编指令流片段与恶意行为的语义映射的方法包括步骤：1)建立汇编指令流IS＝I₀，I₁，...，I_N中的任意汇编指令I进行抽象描述的映射关系I→ID；2)形式化恶意程序运行时的汇编指令流序列，将汇编指令流序列IS＝I₀，I₁，...，I_N映射为序列IDS＝ID₀，ID₁，...，ID_N；3)将恶意程序的样本集合中所有的恶意程序均执行步骤1)和步骤2)，得到一个恶意程序的DNA行为序列集合，同时每个恶意程序DNA行为序列对应不同的恶意程序分类；4)针对每一类恶意程序DNA行为序列，提取每一类恶意程序DNA序列集合中K个相同的平凡子序列片段；5)计算得到最优的恶意程序基因信息。

作为进一步的技术方案，步骤1)中，ID为六元组<C，OP，F，WR，d，t>，其中，C是描述指令操作码属性的三元组C＝<c，m>，c表示指令的操作码，m表示指令的操作模式；OP是描述指令操作数的多元组OP＝<n，op₁，...，op_n>，n表示指令的操作数个数，op_i指向指令的第i个操作数；F是描述指令对标志寄存器置位的九元组F＝<cf，pf，af，zf，sf，tf，if，df，of>，分别对应9个标志寄存器；WR是描述指令的内存和寄存器读写状态的三元组WR＝<wr_r，wr_m，r_m>，wr_r表示指令是否有寄存器读写，wr_m表示指令是否有内存读写，r_m表示指令对内存读写的区间；d描述指令的循环嵌套深度；t描述指令在代码中位置的时间戳。

作为进一步的技术方案，步骤2)中还包括步骤：定义两个ID间相似度SimID的计算公式：SimID＝SimC*(λ_bSimB+λ_sSimS)，根据六元组<C，OP，F，WR，d，t>，其中SimC表示两个ID间的指令语义相似度，即<C，OP>的相似度；SimB表示两个ID间的行为相似度，即<F，WR>的相似度，SimS表示两个ID间的结构相似度，即<d，t>的相似度；同时，公式需要满足如下要求：

λ_b+λ_s＝1，1≥SimC≥0，1≥SimB≥0，1≥SimS≥0。

作为进一步的技术方案，步骤5)中，计算得到最优的恶意程序基因信息的公式：其中，参数π_w表示阈值设定。

作为进一步的技术方案，利用梯度下降法求解公式第n个最优化公式

与现有技术相比，本发明具有以下优点：

1、本发明能够从底层有效语义刻画恶意程序的恶意行为，从而提高恶意程序分析和检测的匹配准确率。

2、本发明能够有效克服代码层级的加壳、加密、多态等技术，从而能够有效应对未知恶意程序的快速动态增长。

具体实施方式

下面结合具体实施例对本发明进行详细说明。

实施例