一、技術領域：

本發明涉及一種針對計算機惡意行為代碼的多層標注和檢測方法，屬于計算機安全技術領域，特別適用于二進制可執行代碼中惡意行為代碼的分析與識別技術。

二、背景技術：

長期以來，計算機病毒一直困擾著計算機專家和用戶。計算機病毒的復制能力、傳播能力和破壞能力使它嚴重威脅計算機的正常使用。最近幾年，網絡的飛速發展使計算機病毒的傳布更加便捷，計算機病毒程序的數量成爆炸性增長方式，對計算機系統和信息安全造成了嚴重的威脅。簡單的計算機病毒生成工具的出現使計算機病毒的編寫成為普遍現象，這些都使計算機病毒防御的形勢日益嚴峻。

代碼混淆技術是一種能夠有效抵抗代碼逆向分析，從而保護軟件自身知識產權的一項技術，但隨著該技術應用于惡意軟件的編寫工作，對目標程序的分析以及對已知病毒的檢測都造成了很大干擾。傳統惡意代碼分析的手段主要依賴計算機病毒專家的人工分析，尤其是針對二進制可執行代碼的分析工作來說，工作繁雜冗長，不僅容易出錯，而且耗時不菲，不能夠滿足社會應對計算機病毒的能力需求。當前惡意代碼檢測方面使用的技術主要為特征碼掃描技術，即在目標二進制代碼中搜尋或匹配特定的特征碼序列或正則表達式，從而判定目標文件中是否包含特定特征碼信息。這種方法具有掃描速度快、開銷較小等優點，而且也積累了數量龐大的病毒特征碼庫。但另一方面，該方法無法有效應對各種多態和變形病毒產生的變體，也無法有效檢測出經過混淆變形的病毒特征碼，對于新的特征碼提取工作需要由病毒專家來完成，造成查毒軟件總是落后于病毒出現之后一段較長時間。因此需要推出新型惡意代碼分析輔助工具和檢測工具，從而幫助計算機安全專家提高工作效率，并且進一步提升計算機安全防護類軟件的防護能力。

三、發明內容：

本發明針對二進制代碼中惡意行為的檢測問題，提出一種基于程序語義分析的多層軟件惡意行為的標注方法，以及在此標注方法上的惡意行為監測系統，主要用于解決未知計算機病毒的分析效率問題和在更高層面上計算機惡意行為的檢測問題。

技術方案：

本發明共分為兩個部分：程序語義多層標注方法Multilayer?Denotation?onProgram?Semantics(MDPS)和基于多層標注的惡意行為檢測策略。

標注子模塊在每一層針對特定的分析目標對象(分別為二進制代碼、線性指令序列、過程控制流圖、文件過程調用圖和應用程序文件)進行標注；檢測子模塊基于適應不同分析目標對象的分析策略和算法對標注信息在各個層面對惡意行為進行檢測；標注及檢測的各層之間利用分析過程中產生的中間檢測結果傳遞信息，不同層次的分析相對于其他層次來說是獨立的。

MDPS在逆向分析并提升的過程中，從五個不同層面對未知二進制程序進行標注，這五個層面分別為：二進制語義層L0、線性指令語義層L1、控制流圖語義層L2、過程調用圖語義層L3和應用程序級語義層L4。其中二進制語義層面L0的分析用于獲取二進制文件的文件字段、惡意代碼特征碼、文件屬性等信息，并進行標注；線性指令語義層面L1對那些指令間存在線性執行順序關系的指令序列進行標注，通常為基本塊內部的指令序列；控制流圖語義層面L2在控制流圖的基礎上，重點考慮對過程內基本塊之間的聯系和特征進行標注；過程調用圖語義層面L3分析當前文件內部存在的調用圖信息，其標注的主要對象為函數過程；應用程序級語義層面L4結合L0層獲取的動態鏈接文件彼此之間的關聯信息，對當前整個應用程序進行全面分析和標注。

在多層標注信息的基礎上，基于各個層分別對程序行為進行定義，并結合該定義構造惡意行為分析庫。程序行為Program?Behavior(PB)是指一系列有效語句的序列列表，PB中語句之間的關系運算定義如下：

PB→ε

|???α

|???PB·α

|???PB||PB

|???PB:PB

|???PB～PB

|???(PB)⁺

其中的關系符號解釋如下

ε　　表示空序列行為；

α　　表示單個語句；

-????表示線性順序，即不可互換位置，滿足左結合規則；滿足傳遞性質；

||???表示兩端的子項可以整體互換位置，滿足左結合規則；滿足交換和傳???????遞性質；

：???表示兩端的子項中選取其中一項，滿足左結合規則；滿足交換和傳遞???????性質；