[发明专利]一种基于图编辑距离的恶意软件检测方法

说明书

本发明提出一种基于图编辑距离的恶意软件检测方法，在保证一定准确率的情况下，提升了图编辑距离的计算效率。该方法包括：从恶意软件的apk文件中提取静态的函数调用图；根据所述静态的函数调用图中的敏感API函数提取得到敏感子图；采用禁忌搜索算法计算所述敏感子图的图编辑距离；根据所述图编辑距离对软件进行检测。

技术领域

本发明属于恶意软件攻击技术领域，具体涉及一种基于图编辑距离的恶意软件检测方法。

背景技术

将函数调用图作为软件特征进行恶意软件的检测是近年来较为流行的方式，相比于其他方式更能准确代表软件的行为和意图。目前将函数调用图作为软件特征并进行检测主要分为如下几种：

(1)函数调用图的整体信息。这是对函数调用图信息的简单提取，包括图的节点和边的数量等，作为应用软件的特征向量。Lee YR等使用二进制可执行文件中的函数调用图的结构信息，即将函数调用图看作是控制流图(CFG)，采用CFG的四元组信息，即CFG的块总数，CFG中的边缘总数，引用其他函数的边的总数，以及函数的大小(函数中的指令数)，作为函数调用图的结构信息进行调用图的函数匹配，并用软件家族内部和家族间的相似性对比实验验证了该特征的有效性。

(2)函数调用图之间的图编辑距离。该方法将两个应用软件的函数调用图的编辑距离作为相似度。这种特征计算方法的优点是准确率比较高，缺点是直接计算图编辑距离是一个NP难题，因为要计算出所有图编辑操作组合的代价和，才能得到最小图编辑距离，这将使得该方法所需时间、空间资源都非常多，而且不符合现代恶意软件检测的实时性要求。因此，可以通过改善图编辑距离的计算效率，牺牲一定精确度的方式，合理使用图编辑距离作为应用软件的特征。Kostakis等使用模拟退火(Simulated Annealing，SA)的方法改善图编辑距离的计算效率，在对软件家族内部和软件家族之间的图编辑距离的计算中得到了非常好的计算效率和准确率。

(3)函数调用图里某些特征的直方图。利用函数调用图中的某些特征，如函数结构等，可以获得函数的分布情况，作为函数调用图的特征参与到函数调用图之间相似度的计算中去。Gascon H以进程为单位，将基于汇编代码的函数调用转换成直方图，并将n-gram、马尔可夫链结合作为特征，用最短图内核计算图之间的相似度，通过对比实验证明了使用图形的特征表示比使用向量的特征表示得到了更好的分类精度。

(4)函数调用路径。该方法从某一特定节点出发，向下或向上查找另一特定节点的调用路径，将这些路径组合成一个应用软件的特征集。在进行两个应用软件的相似度比较时，可以使用字符编辑距离计算两个路径的距离。罗文塽以敏感API为中心，提取函数调用图中的非用户操作序列，得到了很好的召回率。

(5)最大公共子图。该方法通过搜索两个应用软件函数调用图中的最大公共子图，并使用剪枝、设置步长等方法增加最大公共子图的容错性和适应性，以最大公共子图的规模作为两个应用软件之间的相似度。该计算方法也是NP难题，需要消耗许多资源。但是在进行软件家族的分类任务时效果较好。

(6)最大频繁子图。该方法从函数调用图中提取出现频率较高的子图，作为应用软件的特征。Alireza K使用图形挖掘算法，从汇编代码的操作码图中提取频繁子图作为程序的微签名，在检测已知软件家族的新成员的实验中获得了良好的效果。

在现有的将函数调用图作为软件特征的实验中，大部分研究者都把精力放在了如何计算两个函数调用图之间的相似性方面。函数调用图相似性的计算方法有图编辑距离、频繁子图、最大公共子图、图的同构算法以及基于局部邻域和控制流图的匹配函数等。但图编辑距离和最大公共子图的计算都属于NP难题，在规模较大的图上运行算法会导致时间复杂度非常高。因此一些学者对图编辑距离进行了近似计算，另一些将语言模型n-gram应用于函数调用图的特征向量提取方法，虽然这些方法能提升计算效率，但是准确性会有所下降。在使用函数调用图进行距离计算时，最大的问题就是函数调用图的规模太大。