[发明专利]基于三位一体综合画像的恶意代码检测及恶意性定位方法

说明书

本发明公开了一种基于三位一体综合画像的恶意代码检测及恶意性定位方法。使用本发明能够实现恶意代码的恶意性评估，并对代码恶意性部位实现准确定位。本发明在融合静态分析和动态分析方法的基础上，综合提取恶意代码的多方面主要特征，引入系统画像的思想，从基本结构、底层行为和高层行为等三个方面构建起“三位一体”的综合画像，建立能够系统准确刻画恶意代码的特征空间，实现对恶意代码的准确检测和家族分类。在此基础上，基于检测结果对三个画像部位的恶意性进行评估，由此实现对代码恶意性部位的准确定位，辅助研究人员建立起关于恶意代码的系统认知。

技术领域

本发明涉及恶意代码检测技术领域，具体涉及一种基于三位一体综合画像 的恶意代码检测及恶意性定位方法。

背景技术

恶意代码检测技术发展至今，主要经历了基于特征的检测、基于启发的检 测和基于数据挖掘的检测等几个阶段。

基于特征的检测从每一个已知恶意代码中提取独特的字符串序列作为特征， 然后采用特征匹配的方式开展检测。这种方法在检测已知恶意代码时准确率较 高且误报率较低，但难以应对恶意代码普遍采用混淆手段改变特征，导致维护 病毒特征库工作量急剧增加，以及未知恶意代码所带来的挑战。

基于启发式的检测方法基于由安全专家所确定的恶意代码和正常代码的判 决规则/模式，判断未知样本的恶意性。为保证检测的有效性和效率，这种方法 需要判决规则/模式具有通用性。但随着恶意代码制作工具的出现，恶意代码制 作过程已成为一种turn-key式的工作，恶意代码变种大规模涌现，生成判决规则 /模式所需的时间和人力消耗已难以承受。

基于数据挖掘的检测方法是当前广泛应用的检测手段，主要包括特征提取 和检测两个过程。在特征提取阶段，通常采用静态分析或动态分析的方法提取 样本的静态特征或动态特征，然后基于提取出的特征训练机器学习分类器；在 检测阶段，首先提取待检测样本的特征，然后使用训练好的分类器对其开展自 动化的检测。这一方法已成为当前恶意代码检测的主要研究方向，能够实现准 确性、有效性和效率等方面的最优化。

但是，基于数据挖掘的检测方法在应对恶意代码的不断演化更新方面，仍 然面临着诸多新的挑战，主要包括：

(1)越来越多的恶意代码采用加壳、变形或多态方式混淆自身特征，躲避 反病毒软件的检测，增加恶意代码检测的难度。当前的恶意代码越来越多地采 用加壳方式躲避检测，导致静态分析方法难以奏效；

(2)动态分析方法在检测恶意代码方面也存在诸多缺陷。比如，有些恶意 代码会在执行恶意操作之前，对运行环境进行判断，如果是处于虚拟机环境之 中，就会停止执行。这种具备对抗虚拟执行环境的恶意代码将会导致动态分析 方法失效；

(3)此外，目前的研究方法大多针对恶意代码的某一类型特征或融合部分 特征展开研究，所以往往难以有效对抗采用加壳、多态、环境侦测等手段对抗 检测的恶意代码，普遍存在一定的局限性；

(4)当前的检测结果通常只是对程序的恶意性作出判断，但程序作为一个 结构体，还需要在恶意性判决的基础上，确定出其恶意性部位，这样也能为研 究人员系统认知恶意代码，以及开展恶意代码防护提供支撑。

发明内容

有鉴于此，本发明提供了一种基于三位一体综合画像的恶意代码检测及恶 意性定位方法，能够实现恶意代码的恶意性评估，并对代码恶意性部位实现准 确定位。

本发明的基于三位一体综合画像的恶意代码检测方法，包括：

构建恶意代码画像，所述恶意代码画像包括基本结构画像、底层行为画像 和高层行为画像；其中，采用程序PE文件的sections进行基本结构画像；采用 程序运行过程中所调用的API和DLL信息进行底层行为画像；采用程序运行过 程中发生的文件操作行为、注册表操作行为和网络行为进行高层行为画像；