[发明专利]一种基于操作码频率的恶意代码可视化分析方法

说明书

本发明涉及一种基于操作码频率的恶意代码可视化分析方法，包括以下步骤：提取恶意代码的操作码字符序列，将操作码字符序列转换为常数序列；对得到的常数序列进行归一化操作；将归一化后的常数序列转换成RGB值，得到RGB颜色序列；将RGB颜色序列按指定顺序重新排列后填充图片；根据得到的图片进行可视化分析。本发明能够提高分析效率，并适用于恶意样本的相似性比较。

技术领域

本发明涉及恶意代码分析技术领域，特别是涉及一种基于操作码频率的恶意代码可视化分析方法。

背景技术

恶意代码利用计算机系统漏洞能窃取、修改或破坏系统上的数据，甚至摧毁整个系统，是当前信息系统安全的最大威胁。因此，为了让安全分析人员快速鉴别新增可疑文件的性质，将可视化技术引入恶意代码分析领域，借助图像分类在人工智能领域的优势，解决恶意代码分类问题，是当前网络安全研究的前沿热点。

2013年，韩国汉阳大学的KyongSoo Han等人提出了图像矩阵的方法，该方法将恶意代码静态分析得到的二进制信息转换成图像矩阵上的RGB像素点，之后通过比较图像矩阵之间的相似度来识别、检测和分类恶意代码。如图1所示，恶意代码经反汇编软件(如IDAPro或OllyDbg)进行静态分析，可以提取到操作码指令；这些指令以基本块为单位分别进行SimHash和djb2哈希计算，以此得到该基本块映射于图像矩阵上像素点的坐标值和RGB颜色值。在实施恶意代码分类的过程中，该方法将图像矩阵划分为22n个区域，并随机选取其中2n个区域(该方法选取n＝2)计算对应像素点之间基于向量角的距离，这些距离的平均值即为两个恶意代码样本之间的相似度。

然而，Han K S,Lim J H,Im E G.Malware analysis method usingvisualization of binary files[C].Research in Adaptive and ConvergentSystems.ACM,2013:317-321.的方法仅选取图像矩阵的部分区域计算相似度，且只分析了三类恶意代码族的9个样本，这使其在应用上缺乏普适性；同时，鉴于哈希值的唯一性，只有完全相同的基本块才能以相同的颜色出现在图像矩阵的同一位置，而实现相同恶意功能的基本块并不一定是由完全相同的操作码序列构成，这会导致实现相似功能的同族恶意代码所生成的图像矩阵在视觉感知上并不相似。

发明内容

本发明所要解决的技术问题是提供一种基于操作码频率的恶意代码可视化分析方法，能够提高分析效率，并适用于恶意样本的相似性分析。

本发明解决其技术问题所采用的技术方案是：提供一种基于操作码频率的恶意代码可视化分析方法，包括以下步骤：

(1)提取恶意代码的操作码字符序列，将操作码字符序列转换为常数序列；

(2)对得到的常数序列进行归一化操作；

(3)将归一化后的常数序列转换成RGB值，得到RGB颜色序列；

(4)将RGB颜色序列按指定顺序重新排列后填充图片；

(5)根据得到的图片进行可视化分析。

所述步骤(1)中将各操作码字符按对应关系转换成[0,253]之间的常数，得到常数序列。

所述步骤(2)具体为将常数序列缩放至固定长度为2¹⁶的常数序列。将原常数序列记为C[i]，表示原序列中第i个常数值，i是[1,L]之间的整数，L为原常数序列的长度。按下述方式缩放至固定长度为2¹⁶(即65536)的常数序列(记为C’[j]，表示新序列中第j个常数值，j是[1,2¹⁶]之间的整数)，设缩放比为：r＝L/2¹⁶，如果则C’[j]＝C[i]。

所述步骤(3)中将常数序列中常数值C’[j]转换为RGB颜色值r(C’[j])，g(0)，b(C’[j])，以此构成紫红色系明暗像素点。