技術(shù)領(lǐng)域

本發(fā)明涉及惡意程序檢測領(lǐng)域，尤其是涉及一種惡意程序分析方法。

背景技術(shù)

傳統(tǒng)惡意程序分析方法，作為傳統(tǒng)軟件惡意行為檢測技術(shù)的核心技術(shù)，主要包括程序惡意行為檢測、文件特征和行為特征比對等方法，存在匯編指令級信息缺失，難以有效檢測軟件中隱藏的惡意行為，無法有效應(yīng)對惡意程序不斷采用新的混淆和隱藏技術(shù)。

發(fā)明內(nèi)容

本發(fā)明的目的在于：針對現(xiàn)有技術(shù)存在的問題，提供一種惡意程序分析方法，解決傳統(tǒng)方法難以有效檢測軟件中隱藏的惡意行為的問題。

本發(fā)明的發(fā)明目的通過以下技術(shù)方案來實現(xiàn)：一種惡意程序分析方法，該方法包括步驟：(1)將惡意程序樣本庫映射為一個以惡意程序基因為最小單元的惡意程序基因庫；(2)利用惡意程序基因庫進行惡意程序分析。

作為進一步的技術(shù)方案，將惡意程序樣本庫映射為惡意程序基因庫的方法為：基于每個惡意程序運行時的匯編指令流，提取其中的關(guān)鍵匯編指令流片段，并建立關(guān)鍵匯編指令流片段與惡意行為的語義映射。

作為進一步的技術(shù)方案，建立關(guān)鍵匯編指令流片段與惡意行為的語義映射的方法包括步驟：1)建立匯編指令流IS＝I₀，I₁，...，I_N中的任意匯編指令I(lǐng)進行抽象描述的映射關(guān)系I→ID；2)形式化惡意程序運行時的匯編指令流序列，將匯編指令流序列IS＝I₀，I₁，...，I_N映射為序列IDS＝ID₀，ID₁，...，ID_N；3)將惡意程序的樣本集合中所有的惡意程序均執(zhí)行步驟1)和步驟2)，得到一個惡意程序的DNA行為序列集合，同時每個惡意程序DNA行為序列對應(yīng)不同的惡意程序分類；4)針對每一類惡意程序DNA行為序列，提取每一類惡意程序DNA序列集合中K個相同的平凡子序列片段；5)計算得到最優(yōu)的惡意程序基因信息。

作為進一步的技術(shù)方案，步驟1)中，ID為六元組<C，OP，F(xiàn)，WR，d，t>，其中，C是描述指令操作碼屬性的三元組C＝<c，m>，c表示指令的操作碼，m表示指令的操作模式；OP是描述指令操作數(shù)的多元組OP＝<n，op₁，...，op_n>，n表示指令的操作數(shù)個數(shù)，op_i指向指令的第i個操作數(shù)；F是描述指令對標志寄存器置位的九元組F＝<cf，pf，af，zf，sf，tf，if，df，of>，分別對應(yīng)9個標志寄存器；WR是描述指令的內(nèi)存和寄存器讀寫狀態(tài)的三元組WR＝<wr_r，wr_m，r_m>，wr_r表示指令是否有寄存器讀寫，wr_m表示指令是否有內(nèi)存讀寫，r_m表示指令對內(nèi)存讀寫的區(qū)間；d描述指令的循環(huán)嵌套深度；t描述指令在代碼中位置的時間戳。

作為進一步的技術(shù)方案，步驟2)中還包括步驟：定義兩個ID間相似度SimID的計算公式：SimID＝SimC*(λ_bSimB+λ_sSimS)，根據(jù)六元組<C，OP，F(xiàn)，WR，d，t>，其中SimC表示兩個ID間的指令語義相似度，即<C，OP>的相似度；SimB表示兩個ID間的行為相似度，即<F，WR>的相似度，SimS表示兩個ID間的結(jié)構(gòu)相似度，即<d，t>的相似度；同時，公式需要滿足如下要求：

λ_b+λ_s＝1，1≥SimC≥0，1≥SimB≥0，1≥SimS≥0。

作為進一步的技術(shù)方案，步驟5)中，計算得到最優(yōu)的惡意程序基因信息的公式：其中，參數(shù)π_w表示閾值設(shè)定。

作為進一步的技術(shù)方案，利用梯度下降法求解公式第n個最優(yōu)化公式

與現(xiàn)有技術(shù)相比，本發(fā)明具有以下優(yōu)點：

1、本發(fā)明能夠從底層有效語義刻畫惡意程序的惡意行為，從而提高惡意程序分析和檢測的匹配準確率。

2、本發(fā)明能夠有效克服代碼層級的加殼、加密、多態(tài)等技術(shù)，從而能夠有效應(yīng)對未知惡意程序的快速動態(tài)增長。

具體實施方式

下面結(jié)合具體實施例對本發(fā)明進行詳細說明。

實施例