[发明专利]基于反汇编代码结构和语义特征的恶意软件家族分类方法

说明书

本发明公开一种基于反汇编和深度学习的恶意软件家族分类方法，包括以下步骤：(1)使用反汇编技术对二进制文件进行解析，得到文件的汇编代码表示，创建文件的控制流图；(2)使用自然语言处理中经典的预训练方法以及经典模型对汇编代码进行编码，得到汇编代码的向量表示；(3)使用针对图结构的神经网络对文件进行分类，确定恶意软件的家族。

技术领域

本发明涉及恶意软件分析领域，特别是涉及一种恶意软件家族分类方法。

背景技术

恶意软件是一种旨在对目标终端进行破坏、控制、窃取等操作的软件。互联网发展至今，个人电脑用户群体已经非常庞大，而恶意软件也一直是网络安全的一个重大威胁。甚至随着互联网的发展，恶意软件的影响进一步扩大，技术不断进步。2017年，WannaCry勒索病毒全球大爆发，至少150个国家、30万名用户中招，造成损失达80亿美元，已经影响到金融，能源，医疗等众多行业，造成严重的危机管理问题。同时，随着比特币挖矿等技术的出现，恶意软件作者开始利用恶意软件进行挖矿牟取暴利。因此，反恶意软件技术也需要及时做出反应，实现更加准确高效的恶意软件检测。

大多数的恶意软件都是来源于一些特定的家族，是一些已有恶意软件的变体，对恶意软件进行家族分类可以帮助我们发现大部分的恶意软件，也是对于恶意软件进行进一步分析的一种重要方式。来自于同一家族的恶意软件会表现出极大的相似性，大多的都只是简单的变体，这就给对恶意软件进行家族分类提供了可能性。

PE(Portable Executable)文件是指可移植的可执行文件，是微软Windows操作系统上最常见的程序文件，PE文件是二进制文件，可以直接在Windows操作系统中运行(如.exe文件)，或者被间接执行(如.dll文件)。

具体涉及的技术如下：

1.基于IDA pro的反汇编技术

反汇编技术是指将二进制可执行文件进行反汇编，得到对应的汇编代码的过程。作为汇编过程的反过程，可以提供二进制文件的代码逻辑，现有的反汇编工具中最具代表性的就是IDA Pro^[3]，通过IDA Pro软件可以批量对二进制PE文件进行反汇编，得到PE文件的汇编代码，从而为进一步的分析提供帮助。

2.自然语言模型Word2Vec

Word2Vec^[1]是自然语言处理领域常用的词嵌入模型，用于将基本的词映射到向量空间，生成词向量用于后续的处理。Word2Vec是一种简单的神经网络模型，但是可以快速准确的建立词的向量表达，主要的模型类型有词袋模型和Skip-gram模型两种。

3.深度学习模型Long Short-Term Memory(LSTM)

LSTM是一种循环神经网络(RNN)，主要是为了解决长序列训练过程中的梯度消失和梯度爆炸问题而提出的模型。相比普通的RNN，LSTM能够在更长的序列中有更好的表现。

4.预训练模型

预训练模型是指利用大数据集的训练数据，先行训练出可以表示语义信息的模型，用于下游任务。在自然语言处理领域，预训练模型是一种迁移学习的应用，利用几乎无限的文本，学习输入句子的每一个成员的上下文相关的表示，从而隐式地学习到了通用的语法语义知识。利用预训练模型可以将从开放领域学到的知识迁移到下游任务，以改善低资源任务，对低资源语言处理也非常有利。使用预训练模型+微调机制具备很好的可扩展性，在支持一个新任务时，只需要利用该任务的标注数据进行微调即可。

5.深度学习模型Structure2vec