[发明专利]一种恶意代码的同源分析方法、装置及可读存储介质在审
| 申请号: | 202110825704.2 | 申请日: | 2021-07-21 |
| 公开(公告)号: | CN113935032A | 公开(公告)日: | 2022-01-14 |
| 发明(设计)人: | 黄娜 | 申请(专利权)人: | 北京天融信网络安全技术有限公司;北京天融信科技有限公司;北京天融信软件有限公司 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56;G06K9/62;G06N20/10 |
| 代理公司: | 工业和信息化部电子专利中心 11010 | 代理人: | 焉明涛 |
| 地址: | 100085 北京*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 恶意代码 同源 分析 方法 装置 可读 存储 介质 | ||
1.一种恶意代码的同源分析方法,其特征在于,包括:
获取恶意代码样本,其中所述恶意代码样本中包括不同类型的恶意代码;
反汇编所述恶意代码样本,以确定对应的汇编指令序列,所述汇编指令序列中包括若干指令,且若干指令的长度可以不同;
设置滑动窗口依序在所述汇编指令序列中滑取子序列,各子序列中至少包括三条指令;
为各滑动窗口中的子序列:
基于该子序列在前的指令和在后的指令对应的向量以及所述恶意代码样本对应的向量,输入特征提取模型进行预测;
基于所述特征提取模型输出的该子序列中其他指令的概率来调整所述恶意代码样本对应的向量,以及,调整所述特征提取模型的参数;
将训练完成后的特征提取模型来提取未知的恶意代码数据的语义特征,以进行恶意代码的同源分析。
2.如权利要求1所述的恶意代码的同源分析方法,其特征在于,还包括:
为所述汇编指令序列中的各指令:
根据语料库将该指令的操作符和操作数进行标识化;
联接标识化之后的操作符和操作数作为该指令对应的向量。
3.如权利要求1所述的恶意代码的同源分析方法,其特征在于,所述特征提取模型采用至少如下的一种网络:RNN,DNN,KNN,SVM。
4.如权利要求1所述的恶意代码的同源分析方法,其特征在于,所述恶意代码样本对应的向量是将所述汇编指令序列表示成向量的形式来获得的。
5.如权利要求1所述的恶意代码的同源分析方法,其特征在于,调整所述恶意代码样本对应的向量,以及,调整所述特征提取模型的参数是基于所述特征提取模型输出数据的反向梯度信息来调整的。
6.如权利要求1-5任一项所述的恶意代码的同源分析方法,其特征在于,还包括:
将训练完成后的特征提取模型来提取所述恶意代码样本的语义特征;
基于提取的所述恶意代码样本的语义特征进行分类,以确定若干所述恶意代码样本的语义特征类别。
7.如权利要求6所述的恶意代码的同源分析方法,其特征在于,基于提取的所述恶意代码样本的语义特征进行分类包括:
利用聚类算法对所述恶意代码样本的语义特征进行聚类;或者
利用分类算法对所述恶意代码样本的语义特征进行分类。
8.一种恶意代码同源分析方法,其特征在于,包括:
获取未知恶意代码;
利用如权利要求1-7任一项所述的同源分析方法训练获得的特征提取模型来提取所述未知恶意代码的语义特征;
为所述语义特征进行分类,以实现对所述未知恶意代码的同源分析。
9.一种恶意代码同源分析装置,其特征在于,包括处理器、存储器及通信总线;
所述通信总线用于实现处理器和存储器之间的连接通信;
所述处理器用于执行存储器中存储的一个或者多个计算机程序,以实现如权利要求1-8中任一项所述的恶意代码同源分析方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至8中任一项所述的恶意代码同源分析方法的步骤。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京天融信网络安全技术有限公司;北京天融信科技有限公司;北京天融信软件有限公司,未经北京天融信网络安全技术有限公司;北京天融信科技有限公司;北京天融信软件有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202110825704.2/1.html,转载请声明来源钻瓜专利网。
