[发明专利]一种基于知识驱动的加壳代码回归检测方法及系统

说明书

本发明提出一种基于知识驱动的加壳代码回归检测方法及系统，所述方法包括：建立特征综合数据库，获取待检测加壳样本；将待检测加壳样本的解压代码放入样本解释器中进行短特征匹配，如果匹配成功，则根据短特征在推理机中对应的解密算法，对待检测加壳样本进行解密，并将解密后的数据提取短特征，录入明文知识库；否则，通过推理机直接对待检测加壳样本提取特征，录入密文知识库。本发明还相应给出该方法的系统、存储介质及程序产品。本发明的方法通过明文知识库和密文知识库组成的综合数据库，对加壳码进行协同检测，并且采用回归方式不断更新知识库，能够适应检测代码和检测方式的不断变化。

技术领域

本发明涉及计算机网络安全领域，特别涉及一种基于知识驱动的加壳代码回归检测方法及系统。

背景技术

随着计算机技术的发展和应用的普及，计算机网络也随之飞速发展，恶意代码数量成指数级增长。早期的恶意代码并没有采用过多的自我保护机制，都具有固定的特征码。因此反病毒软件可以利用病毒特征码匹配，很容易的检测出隐藏在系统中的病毒程序，但随着技术的发展，恶意代码纷纷采用自我保护技术对抗反病毒引擎的检测，如对恶意代码加壳(即加密)，使传统的检测方式准确率大幅下降。

目前对于加壳代码的检测多采用单一化检测方式，如：直接对加密密文提取归一化特征检测，但检测结果不精准；针对已知压缩算法的代码进行解压检测，但检测结果不全面；采用动态虚拟机执行方式选取关键指令检测，但检测效率不高。

发明内容

基于上述问题，本发明提出了一种基于知识驱动的加壳代码回归检测方法及系统，通过密文与明文知识库的协同检测，达到了精准、全面、高效三者的平衡，最后采用回归的方式不断更新检测知识库，用以适应检测代码和检测方式的不断变化。

首先，本发明提出一种基于知识驱动的加壳代码回归检测方法，包括：

建立特征综合数据库，获取待检测加壳样本；

将待检测加壳样本的解压代码放入样本解释器中进行短特征匹配，如果匹配成功，则根据短特征在推理机中对应的解密算法，对待检测加壳样本进行解密，并将解密后的数据提取短特征，录入明文知识库；

否则，通过推理机直接对待检测加壳样本提取特征，录入密文知识库。

所述的方法中，所述特征综合数据库由明文知识库和密文知识库组成。

所述的方法中，所述短特征包括特征内容及算法关键位置信息。

所述的方法中，所述根据短特征在推理机中对应的解密算法，对待检测加壳样本进行解密，具体为，根据短特征中的特征内容及算法关键位置信息，匹配对应解密算法进行解密。

所述的方法中，通过推理机直接对待检测加壳样本提取特征，具体为：

根据已知动态特征及静态特征，在待检测加壳样本获取相应数据，并设定各特征的分值；

根据熵权信息法，分别计算动态特征和静态特征的总体评分；

采用基于poicare度量的复分析法，对动态特征和静态特征的总体评分进行综合评估，确定选取动态特征或静态特征；

将选取的动态特征或静态特征作为待检测加壳样本的特征，录入密文知识库。

所述的方法中，在获取待检测加壳样本之后，还包括：提取待检测加壳样本的代码段特征，将所述特征的哈希值与特征综合数据库中已有的特征进行匹配，如果匹配成功则直接输出判定结果。

本发明还提出了一种基于知识驱动的加壳代码回归检测系统，包括：

数据库模块，建立特征综合数据库；

获取模块，获取待检测加壳样本；