[发明专利]一种恶意代码的同源分析方法、装置及可读存储介质

说明书

本发明公开了一种恶意代码的同源分析方法、装置及可读存储介质，包括：获取恶意代码样本，其中恶意代码样本中包括不同类型的恶意代码；反汇编恶意代码样本，以确定对应的汇编指令序列，汇编指令序列中包括若干指令，且若干指令的长度可以不同；基于子序列在前的指令和在后的指令对应的向量以及所述恶意代码样本对应的向量，输入特征提取模型进行预测训练；将训练完成后的特征提取模型来提取未知的恶意代码数据的语义特征，以进行恶意代码的同源分析。本公开的方法能够适用于不同长度的恶意代码的同源分析，解决现有技术由于代码中指令数量不同而产生的输入长度不一致问题。

技术领域

本发明涉及信息安全领域，尤其涉及一种恶意代码的同源分析方法、装置及可读存储介质。

背景技术

恶意代码同源分析(Homology Analysis)，是通过恶意代码内外部特性，以及生成和传播的规律，分析恶意代码之间衍生的关联性。恶意代码类型多种多样，包括计算机病毒、蠕虫、木马程序、后门程序、逻辑炸弹等。每一类恶意代码往往会在以下几个方面存在相似性：(1)功能性代码，为了实现相同的恶意功能，关键的代码片段可能相似，这些相似代码片段也被称为基因码，如Duqu与Stuxnet，它们的DLL注入、RPC服务等关键功能代码高度相似；(2)系统函数调用，恶意行为的操作通常依赖对操作系统函数的调用，调用的函数名称、频次、顺序等可能存在相似；(3)功能行为，每一类恶意代码都有针对性的破坏行为，如勒索软件会读写用户数据、远程控制木马会查看屏幕或摄像头，功能行为的相似性反映在文件、进程、网络及注册表等方面。

现有的同源分析研究多属于动态方法，根据恶意代码运行状态中的函数调用、行为片段等进行相似性分析。动态方法需要独立的运行环境，而且效率较低。

发明内容

本发明实施例提供一种恶意代码的同源分析方法、装置及可读存储介质，能够适用于不同长度的恶意代码的同源分析，解决现有技术由于代码中指令数量不同而产生的输入长度不一致问题。

第一方面，本发明实施例提供恶意代码的同源分析方法，包括：获取恶意代码样本，其中所述恶意代码样本中包括不同类型的恶意代码；反汇编所述恶意代码样本，以确定对应的汇编指令序列，所述汇编指令序列中包括若干指令，且若干指令的长度可以不同；设置滑动窗口依序在所述汇编指令序列中滑取子序列，各子序列中至少包括三条指令；为各滑动窗口中的子序列：基于该子序列在前的指令和在后的指令对应的向量以及所述恶意代码样本对应的向量，输入特征提取模型进行预测；基于所述特征提取模型输出的该子序列中其他指令的概率来调整所述恶意代码样本对应的向量，以及，调整所述特征提取模型的参数；将训练完成后的特征提取模型来提取未知的恶意代码数据的语义特征，以进行恶意代码的同源分析。

第二方面，本发明实施例提供一种恶意代码同源分析方法，包括：获取未知恶意代码；利用述的同源分析方法训练获得的特征提取模型来提取所述未知恶意代码的语义特征；为所述语义特征进行分类，以实现对所述未知恶意代码的同源分析。

第三方面，本发明实施例提供一种恶意代码同源分析装置，包括处理器、存储器及通信总线；所述通信总线用于实现处理器和存储器之间的连接通信；所述处理器用于执行存储器中存储的一个或者多个计算机程序，以实现前述的恶意代码同源分析方法的步骤。

第四方面，本发明实施例提供一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现前述的方法的步骤。

本发明实施例提出的特征提取模型能够在训练完成之后，适用于不同长度的恶意代码的同源分析，解决现有技术由于代码中指令数量不同而产生的输入长度不一致问题。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明