技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，具體涉及一種基于圖像特征描述子的惡意樣本同源檢測(cè)方法。

背景技術(shù)

近年來惡意軟件數(shù)量不斷增長(zhǎng)，惡意代碼變種數(shù)量也急劇增加，變種成本不斷降低，惡意代碼制作組織在規(guī)避檢測(cè)或在輕微改動(dòng)上做的工作越來越多，如何快速有效地分析惡意樣本的種類和同源性一直是網(wǎng)絡(luò)安全研究的重點(diǎn)和難點(diǎn)。

目前多采用靜態(tài)分析或動(dòng)態(tài)分析的方法進(jìn)行同源性分析，但效率較低。現(xiàn)有的基于動(dòng)態(tài)行為捕獲的惡意樣本同源性分析方法能夠較全面地分析惡意代碼的文件操作、網(wǎng)絡(luò)行為等，但其主要缺點(diǎn)為系統(tǒng)開銷較大，可擴(kuò)展能力較弱，分析周期相對(duì)較長(zhǎng)；而通過靜態(tài)反匯編方式可以獲取惡意代碼的API調(diào)用序列圖，比較不同樣本之間的指令信息相似性及函數(shù)調(diào)用相似性，這在一定程度上可以避免動(dòng)態(tài)行為分析方法的系統(tǒng)開銷大、分析周期長(zhǎng)的問題，也獲得了一些成果，但該方法存在分析結(jié)果不夠精確的問題：惡意樣本通過靜態(tài)反編譯分析，獲取的API調(diào)用圖平均有上千個(gè)節(jié)點(diǎn)，有研究通過剪枝的方式去除其中一些無用節(jié)點(diǎn)，提高運(yùn)行效率，但API調(diào)用圖中仍存在大量噪聲點(diǎn)。；

也有人使用分類或聚類方法實(shí)現(xiàn)惡意樣本的自動(dòng)標(biāo)注，雖取得了一定成果，但仍存在諸多限制，如分類或聚類方法需要大量訓(xùn)練樣本，遠(yuǎn)超大多數(shù)樣本及其變種的數(shù)量。

曲武等人公開了一種實(shí)現(xiàn)惡意代碼標(biāo)注的方法及裝置(中國(guó)專利申請(qǐng)?zhí)枺篊N201410142940.4)，包括：將惡意代碼的可移植的執(zhí)行體(PE)文件進(jìn)行處理，通過信息熵摘要算法獲取惡意代碼的信息摘要簽名和基準(zhǔn)標(biāo)注和紋理特征；根據(jù)基準(zhǔn)標(biāo)注及信息摘要簽名，將屬于同一惡意代碼家族的紋理特征生成相應(yīng)的紋理特征集合；根據(jù)紋理特征集合生成第一聚類簇，將第一聚類簇進(jìn)行合并以生成第二聚類簇，結(jié)合信息摘要簽名及惡意代碼家族深度命名對(duì)第二聚類簇進(jìn)行深度標(biāo)注。該發(fā)明通過對(duì)惡意代碼進(jìn)行基準(zhǔn)標(biāo)注和深度標(biāo)度，采用信息摘要簽名及惡意代碼家族深度命名，規(guī)范了各惡意代碼家族的標(biāo)注方法，提高了對(duì)惡意代碼標(biāo)注的準(zhǔn)確性和通用性。

康緋等人提供一種基于行為特征相似性的惡意代碼同源性分析方法(中國(guó)專利申請(qǐng)?zhí)枺篊N201510296976.2)，首先基于動(dòng)態(tài)二進(jìn)制插樁平臺(tái)提取并量化表示惡意代碼的行為特征，在此基礎(chǔ)上度量不同惡意代碼之間行為特征的相似性，以行為特征的相似度反映了惡意代碼的同源性判別結(jié)果。利用該發(fā)明可以對(duì)網(wǎng)絡(luò)中收集的惡意代碼進(jìn)行同源性分析，并對(duì)后續(xù)攻擊源頭的追蹤溯源提供有力支撐。該方法能夠正確地反映了惡意代碼樣本之間的同源性，同時(shí)正確地區(qū)分了不具有同源性的惡意代碼樣本，對(duì)惡意代碼的同源性分析工作具有重要的指導(dǎo)和借鑒意義。

賈曉啟等人提出一種基于動(dòng)態(tài)語義特征的惡意代碼分析檢測(cè)方法(中國(guó)專利號(hào)：CN201310682922.0)，其步驟包括：1)將惡意樣本庫(kù)中待分析檢測(cè)的代碼動(dòng)態(tài)運(yùn)行于虛擬環(huán)境之中，監(jiān)測(cè)其運(yùn)行過程并提取出原始特征；2)篩選出代表該代碼語義特征的API名稱信息；3)建立代表該代碼語義特征的API序列語義特征集合；4)選取具有代表性的語義特征建立語義特征庫(kù)；5)將待檢測(cè)代碼的語義特征集合與語義特征庫(kù)進(jìn)行相似性檢測(cè)，得出檢測(cè)結(jié)果，即待檢測(cè)代碼是良性代碼或惡意代碼。該發(fā)明根據(jù)不同的樣本可以建立不同的語義特征，具有很好的普適性，并提出了選取具有代表性特征的方法，能夠較準(zhǔn)確地表示代碼的語義特征，對(duì)惡意代碼的分析檢測(cè)更加準(zhǔn)確、檢測(cè)成本更低。

上述實(shí)現(xiàn)方案中，曲武等人提出的方法通過信息熵摘要算法提取的紋理特征不夠明顯，該發(fā)明的工作重點(diǎn)在于通過聚類算法劃分惡意代碼家族，需要一定的人工干預(yù)，并且對(duì)于新出現(xiàn)的惡意樣本均需要與原庫(kù)中所有樣本進(jìn)行聚類，效率較低，僅適合用于標(biāo)注，而不適合快速分析樣本同源性；康緋等人提出的方案和賈曉啟等人提出的方案其本質(zhì)上屬于基于動(dòng)態(tài)行為捕獲的分析方法，其對(duì)于動(dòng)態(tài)分析方法存在的分析周期長(zhǎng)、擴(kuò)展能力弱的問題仍難以突破。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明提供了一種基于圖像特征描述子的惡意樣本同源檢測(cè)方法，能夠避免惡意樣本混淆干擾，快速分析出惡意文件的同源性，效率高、精度高、魯棒性強(qiáng)、擴(kuò)展性強(qiáng)。

本發(fā)明的基于圖像特征描述子的惡意樣本同源檢測(cè)方法，包括以下步驟：

步驟1，采用B2M算法將樣本集中的各二進(jìn)制的惡意文件轉(zhuǎn)換為矩陣；

步驟2，將各矩陣分別看做是一幅圖片，采用圖像特征提取方法定位各圖片的所有特征點(diǎn)；

步驟3，在特征點(diǎn)的鄰域中進(jìn)行特征描述子提取；

步驟4，將樣本集中屬于同一個(gè)家族的惡意文件的特征描述子的集合作為該家族的特征描述庫(kù)；