[发明专利]一种海量恶意代码高效检测方法

权利要求书

1.一种海量恶意代码高效检测方法，其特征在于，所述检测方法针对汇编程序样本进行恶意代码检测，该方法采用多核计算资源并行执行汇编程序样本识别步骤，所述汇编程序样本识别步骤具体为：

提取汇编程序切片，所述汇编程序切片为汇编程序样本中对指定变量产生影响的语句或表达式；所述汇编程序切片类型包括赋值语句、跳转语句、目标调用语句、堆栈操作语句、库调用语句以及变量测试语句；

基于预设的汇编程序切片类型，统计所述汇编程序样本中所提取的每种类型汇编程序切片出现的次数，作为所述汇编程序样本的特征向量；

针对所述汇编程序样本的特征向量，预先训练获得的分类器，采用所述分类器进行恶意代码识别。

2.如权利要求1所述的检测方法，其特征在于，所述指定变量为对汇编程序运行主体的性能表现产生影响的变量。

3.如权利要求1所述的检测方法，其特征在于，所述预设的汇编程序切片类型包括：

变量赋值切片ASSIGN，即使用寄存器进行赋值的语句；

常量赋值切片ASSIGN_CONSTANT，即使用常量进行赋值的语句；

目标未知判断切片CONTROL，即跳转目标为未知地址的判断语句；

目标已知判断切片CONTROL_CONSTANT，即跳转目标为已知地址的判断语句；

目标未知调用切片CALL，即调用目标未知的调用语句；

目标已知调用切片CALL_CONSTANT，即调用目标已知的调用语句；

目标未知跳转切片JUMP，即跳转目标未知的跳转语句；

目标已知跳转切片JUMP_CONSTANT，即跳转目标已知的跳转语句；

返回跳转切片JUMP_STACK，即跳转返回语句；

普通库调用切片LIBCALL，即调用库的语句；

常量库调用切片LIBCALL_CONSTANT，即包含常量的库调用语句；

终止切片HALT，即终止语句；

锁切片LOCK，即封锁总线语句；

空操作切片NOP，即空操作语句；

普通堆栈切片STACK，即普通的堆栈操作语句；

常量堆栈切片STACK_CONSTANT，即包含常量的堆栈操作语句；

变量测试切片TEST，即变量测试语句；

常量测试切片TEST_CONSTANT，即包含常量的测试语句；

未知切片UNKNOWN，即任意不能被转换的未知汇编指令。

4.如权利要求1所述的检测方法，其特征在于，所述基于预设的汇编程序切片类型，统计所述汇编程序样本中所提取的每种类型汇编程序切片出现的次数，作为所述汇编程序样本的特征向量，具体包括：

所述汇编程序切片类型包括n种，其中第i种类型的汇编程序切片记为S_i，i＝1～n；

在汇编程序样本s中，第i种类型的汇编程序切片出现的次数为N_i；

则所述汇编程序样本s的特征向量为其中label_s为所述汇编程序样本s的代码类型，包括恶意代码和良性代码两种类型。

5.如权利要求1或者4所述的检测方法，其特征在于，所述预先训练获得的分类器，具体包括如下步骤：

选取恶意代码和良性代码组成训练样本集；

对所述训练样本集中的恶意代码和良性代码执行反汇编操作，生成汇编程序训练样本，并采用标签标记所述汇编程序训练样本的代码类型；

基于预设的汇编程序切片类型，从所述汇编程序训练样本中提取汇编程序切片，统计所述汇编程序训练样本中每种类型汇编程序切片出现的次数，作为所述汇编程序训练样本的特征向量；

基于所述汇编程序训练样本的特征向量训练获得分类器。

6.如权利要求5所述的检测方法，其特征在于，所述分类器为集成分类器；

所述集成分类器由多个分类器组成，所述集成分类器的分类结果由多个分类器的分类结果通过投票机制投票获得。