[发明专利]一种基于局部熵的恶意代码可视化分析方法

说明书

本发明涉及一种基于局部熵的恶意代码可视化分析方法，包括以下步骤：计算恶意代码局部熵，生成的熵值序列长度记为L，之后补充个0熵值；计算局部熵的djb2哈希值；将djb2哈希值转换成RGB值；基于RGB值序列生成关于局部熵的方图；提取局部熵方图的Gist特征，并运用KNN分类算法实施分类验证。本发明可用于恶意代码检测及分类。

技术领域

本发明涉及恶意代码可视化分析技术领域，特别是涉及一种基于局部熵的恶意代码可视化分析方法。

背景技术

恶意代码的编写者通常采用自动化的手段开发恶意代码变种，使其数量迅猛增长，极大的危害信息系统安全。自动化开发的方式往往会重复利用同族恶意代码的核心功能模块，且这些模块的相似性可以通过局部熵的形式反映出来，这为辨识恶意代码族提供了有利的依据。

2015年，韩国汉阳大学的KyongSoo Han等人提出了熵图的方法，该方法计算恶意代码中每256字节块的熵值，从而生成关于局部熵的直方图，之后运用直方图比较算法(Strelkov V V.A new similarity measure for histogram comparison and itsapplication in time series analysis[J].Pattern Recognition Letters,2008,29(13):1768-1774.)来检测和分类恶意代码。如图1所示，恶意代码经局部熵计算生成熵直方图。在实施恶意代码分类的过程中，该方法将待比较的熵图以最大熵值作为熵图长度截取的对齐标准，同时兼顾两直方图间对应熵值相似度期望k1和对应最近局部极值相似度期望k2对整体相似度的影响，分别给予t1＝0.7和t2＝0.3的权重，以S＝t1*k1+t2*k2计算两直方图之间的相似度。

虽然Han K S,Lim J H,Kang B,et al.Malware analysis using visualizedimages and entropy graphs[J].International Journal ofInformation Security,2015,14(1):1-14.的方法可以在视觉上呈现同族恶意代码拥有相似的熵图区域，但该方法在实施分类时存在以下问题。1、因熵图的长度受恶意代码文件大小的影响存在着差异，只能截取部分等长区域计算相似度，这使得用于分类的特征不完整；2、以最大熵值作为截取依据的直方图相似度算法无法将比较范围准确定位于相似功能模块所形成的局部熵区域，因此无法满足该方法的分类前提，即相似模块可以用于检测恶意变种。这些因素影响了该方法在恶意代码分类应用上的准确性。

发明内容

本发明所要解决的技术问题是提供一种基于局部熵的恶意代码可视化分析方法，可用于恶意代码检测及分类。

本发明解决其技术问题所采用的技术方案是：提供一种基于局部熵的恶意代码可视化分析方法，包括以下步骤：

(1)计算恶意代码局部熵，生成的熵值序列长度记为L，之后补充个0熵值；

(2)计算局部熵的djb2哈希值；

(3)将djb2哈希值转换成RGB值；

(4)基于RGB值序列生成关于局部熵的方图；

(5)提取局部熵方图的Gist特征，并运用KNN分类算法实施分类验证。

所述步骤(2)具体为：将所得的长度为的熵值序列，以字符形式分别计算每个熵值的djb2哈希值。

所述步骤(3)中djb2哈希值为24个bit位，每8位一组计算，分别得到RGB三色通道的颜色值。

所述步骤(4)具体为：将所得的RGB值序列按每行个像素点的自然顺序依次排列，生成的关于局部熵方图。

有益效果

由于采用了上述的技术方案，本发明与现有技术相比，具有以下的优点和积极效果：