[发明专利]一种海量恶意代码高效检测方法

说明书

本发明公开了一种海量恶意代码高效检测方法，能够实现对海量恶意代码的高效率的检测。该检测方法针对汇编程序样本进行恶意代码检测，该方法采用多核计算资源并行执行汇编程序样本识别步骤，汇编程序样本识别步骤具体为：提取汇编程序切片，汇编程序切片为汇编程序样本中对指定变量产生影响的语句或表达式。基于预设的汇编程序切片类型，统计汇编程序样本中所提取的每种类型汇编程序切片出现的次数，作为汇编程序样本的特征向量。针对汇编程序样本的特征向量，预先训练获得分类器，采用分类器进行恶意代码识别。

技术领域

本发明涉及信息技术领域，具体涉及一种海量恶意代码高效检测方法。

背景技术

在当今网络空间环境下，随着信息技术的飞速发展和网络应用的日益广泛，网络安全的形势也越发严峻，网络攻击呈现组织化和产业化的特征，各种类型的恶意代码层出不穷，并且变化快、种类多，数量急剧增加，规模越发庞大。

据统计2016年捕获的移动互联网恶意程序数量近205万个，恶意程序数量在近7年来保持高速增长趋势。

在此背景下，如何从海量的应用程序中，快速、准确地检测出恶意代码，已成为构筑网络安全防护之盾必须首先要解决的关键问题。

目前，在恶意代码检测方面的研究工作主要研究重点是恶意代码特征的提取过程，以及基于机器学习的分类过程。这两个过程是恶意代码检测的两个主要阶段，两者组成了一个恶意代码检测的串行处理过程。在特征提取阶段，现有研究工作主要侧重于从代码中提取各种类型的特征，并对特征进行组合以实现对代码的特征刻画；在代码分类阶段，现有的研究工作主要侧重于研究基于机器学习算法的分类方法，以实现基于代码特征对良性代码和恶意代码进行准确分类，并确保检测出恶意代码的准确率。现有研究工作存在的缺点包括：

(1)特征集合较大。现有的静态分析方法通常是在将恶意代码反汇编之后，对汇编程序中出现的汇编指令进行组合作为代码的静态特征，但是汇编指令集的规模比较庞大。比如，x86-64汇编指令集的数目就超过800。通常由恶意代码反汇编得到的汇编程序中出现的汇编指令数量都达到几百个。在此基础上将指令集进行组合生成n-grams特征，其特征集将会十分庞大。此外，汇编指令集中的很多汇编指令并不能有效反映恶意代码的特征，所以通过汇编指令组合构建特征集的方法会严重影响分析效率。

(2)传统的串行处理过程效率较低。现有的检测方法主要包括训练阶段和检测阶段，而这两个阶段分别按照“提取特征-训练分类器”和“提取特征-使用训练好的分类器检测”的步骤实施，所以传统的恶意代码检测过程本质上是一种串行处理过程。如果单从检测准确性的要求考虑，这种处理方式是能够满足要求的。但是在面临海量的恶意代码需要分析时，如果仍然采用传统的串行处理方式，就需要逐个分析恶意代码，将很难在短时间内完成海量恶意代码的检测任务。这样的话，当面临APT攻击时将很难做出快速响应。

发明内容

有鉴于此，本发明提供了一种海量恶意代码高效检测方法，能够实现对海量恶意代码的高效率的检测。

本发明的技术方案为：该检测方法针对汇编程序样本进行恶意代码检测，该方法采用多核计算资源并行执行汇编程序样本识别步骤，汇编程序样本识别步骤具体为：

提取汇编程序切片，汇编程序切片为汇编程序样本中对指定变量产生影响的语句或表达式。

基于预设的汇编程序切片类型，统计汇编程序样本中所提取的每种类型汇编程序切片出现的次数，作为汇编程序样本的特征向量。

针对汇编程序样本的特征向量，预先训练获得分类器，采用分类器进行恶意代码识别。

进一步地，指定变量为对汇编程序运行主体的性能表现产生影响的变量。

进一步地，汇编程序切片类型包括赋值语句、跳转语句、目标调用语句、堆栈操作语句、库调用语句以及变量测试语句。