[发明专利]一种恶意代码自动化检测平台及方法

说明书

本发明涉及恶意代码自动化检测平台及方法，通过自动化采集可执行样本，对其进行筛选、检测等预处理，对可执行样本进行反汇编，提取其操作码特征，根据提取的操作码特征对样本进行向量化表示，并使用向量化表示的样本训练恶意代码分类检测模型，然后使用该训练得到的恶意代码检测模型对未知可执行样本进行检测，判断其是否是恶意代码。本发明创新性地提出使用线性扫描反汇编算法对样本进行反汇编提取操作码特征，能够更加快速、高效、准确地对样本进行检测。此外，本发明能够自动化的采集和预处理样本，并能够根据配置自动化地划分数据集、反汇编样本、提取操作码特征。

技术领域

本发明涉及一种恶意代码自动化检测平台及方法，特别是一种基于线性扫描反汇编提取操作码特征的恶意代码自动化检测平台及方法，属于信息安全技术领域。

背景技术

恶意代码，也称为恶意软件，可以定义为在一定环境下执行对计算机系统或者网络系统的机密性、完整性、可用性产生威胁，具有恶意企图的代码序列。根据恶意代码的自身运行、传播以及攻击方式的不同主要可以分为三个类别：蠕虫、病毒、木马。虽然在本发明中对恶意代码的类别进行了区分，但是通常在日常生活中，人们普遍会将所有类型的恶意代码都称为病毒。在本发明中，也不对恶意代码的具体类别进行区分，将所有类别的恶意代码统以恶意代码代称。恶意代码的传播和运行不仅会给个人带来严重危害，还可能会对企事业单位、政府机关等机构的计算机系统造成影响，甚至会窃取用户、公民敏感信息，给国家安全带来严重威胁，需要能够及时检测到恶意代码采取应对措施。当前大数据网络环境下，恶意代码数量与日俱增，恶意代码检测对抗技术越来越成熟，依靠传统恶意代码检测技术难以应对。为此，借鉴机器学习在数据分析上取得的良好成果，结合传统恶意代码分析和检测技术的安全经验，构建基于机器学习的恶意代码检测方案，通过训练分类模型来自动化地学习样本中的固有规律，实现快速、高效、智能地恶意代码检测，已经成为目前恶意代码检测工作中的一个重点研究方向。在这些研究工作中，操作码特征作为可执行样本的一种有效表示方法，引起研究人员的广泛关注。借鉴机器学习文本分类技术，基于操作码特征进行恶意代码检测也是当前研究工作中的一个热点。

虽然现有工作中(如Shabtai等人[Shabtai A,Moskovitch R,Feher C,etal.Detecting unknown malicious code by applying classification techniques onopcode patterns[J].Security Informatics,2012,1(1):1.])使用操作码特征进行恶意代码检测能够比较准确、有效地检测恶意代码，但仍然存在样本特征提取失败率高，提取效率低，训练样本利用率低等问题，影响恶意代码检测效率以及准确率。

考虑到这种基于文本分类技术的恶意代码检测，借鉴了机器学习文本分类技术，而机器学习算法又是数据驱动的算法，所以至少有两方面因素会影响恶意代码检测模型的性能。它们分别是反汇编代码的质量和用于训练恶意代码检测模型的样本数量。从这两方面因素进行入手，在样本特征提取过程中，可以使用线性扫描反汇编算法提取操作码特征替代现有研究工作中使用的递归下降反汇编算法，在反汇编代码不准确可容忍的情况下提高样本的反汇编成功率和效率，为恶意代码检测模型的训练提供更为充分和有效的训练数据。这样就可以解决现有研究工作中样本特征提取失败率高，提取效率低，训练样本利用率低等问题，提高恶意代码检测模型的检测能力以及泛化能力，具有很好的实际应用价值和研究意义。

发明内容

本发明技术解决问题：克服现有技术的不足，提供一种恶意代码自动化检测平台及方法，通过使用线性扫描反汇编算法对样本进行反汇编，提高样本反汇编和提取操作码特征的成功率和效率，增大最终用于恶意代码检测模型训练的样本数量，并实现了这一平台，来提高恶意代码检测效率和准确率，更加有效检测出可执行样本是否是恶意代码。