本發(fā)明提出一種基于知識驅(qū)動的加殼代碼回歸檢測方法及系統(tǒng)，所述方法包括：建立特征綜合數(shù)據(jù)庫，獲取待檢測加殼樣本；將待檢測加殼樣本的解壓代碼放入樣本解釋器中進(jìn)行短特征匹配，如果匹配成功，則根據(jù)短特征在推理機(jī)中對應(yīng)的解密算法，對待檢測加殼樣本進(jìn)行解密，并將解密后的數(shù)據(jù)提取短特征，錄入明文知識庫；否則，通過推理機(jī)直接對待檢測加殼樣本提取特征，錄入密文知識庫。本發(fā)明還相應(yīng)給出該方法的系統(tǒng)、存儲介質(zhì)及程序產(chǎn)品。本發(fā)明的方法通過明文知識庫和密文知識庫組成的綜合數(shù)據(jù)庫，對加殼碼進(jìn)行協(xié)同檢測，并且采用回歸方式不斷更新知識庫，能夠適應(yīng)檢測代碼和檢測方式的不斷變化。

技術(shù)領(lǐng)域

本發(fā)明涉及計算機(jī)網(wǎng)絡(luò)安全領(lǐng)域，特別涉及一種基于知識驅(qū)動的加殼代碼回歸檢測方法及系統(tǒng)。

背景技術(shù)

隨著計算機(jī)技術(shù)的發(fā)展和應(yīng)用的普及，計算機(jī)網(wǎng)絡(luò)也隨之飛速發(fā)展，惡意代碼數(shù)量成指數(shù)級增長。早期的惡意代碼并沒有采用過多的自我保護(hù)機(jī)制，都具有固定的特征碼。因此反病毒軟件可以利用病毒特征碼匹配，很容易的檢測出隱藏在系統(tǒng)中的病毒程序，但隨著技術(shù)的發(fā)展，惡意代碼紛紛采用自我保護(hù)技術(shù)對抗反病毒引擎的檢測，如對惡意代碼加殼(即加密)，使傳統(tǒng)的檢測方式準(zhǔn)確率大幅下降。

目前對于加殼代碼的檢測多采用單一化檢測方式，如：直接對加密密文提取歸一化特征檢測，但檢測結(jié)果不精準(zhǔn)；針對已知壓縮算法的代碼進(jìn)行解壓檢測，但檢測結(jié)果不全面；采用動態(tài)虛擬機(jī)執(zhí)行方式選取關(guān)鍵指令檢測，但檢測效率不高。

發(fā)明內(nèi)容

基于上述問題，本發(fā)明提出了一種基于知識驅(qū)動的加殼代碼回歸檢測方法及系統(tǒng)，通過密文與明文知識庫的協(xié)同檢測，達(dá)到了精準(zhǔn)、全面、高效三者的平衡，最后采用回歸的方式不斷更新檢測知識庫，用以適應(yīng)檢測代碼和檢測方式的不斷變化。

首先，本發(fā)明提出一種基于知識驅(qū)動的加殼代碼回歸檢測方法，包括：

建立特征綜合數(shù)據(jù)庫，獲取待檢測加殼樣本；

將待檢測加殼樣本的解壓代碼放入樣本解釋器中進(jìn)行短特征匹配，如果匹配成功，則根據(jù)短特征在推理機(jī)中對應(yīng)的解密算法，對待檢測加殼樣本進(jìn)行解密，并將解密后的數(shù)據(jù)提取短特征，錄入明文知識庫；

否則，通過推理機(jī)直接對待檢測加殼樣本提取特征，錄入密文知識庫。

所述的方法中，所述特征綜合數(shù)據(jù)庫由明文知識庫和密文知識庫組成。

所述的方法中，所述短特征包括特征內(nèi)容及算法關(guān)鍵位置信息。

所述的方法中，所述根據(jù)短特征在推理機(jī)中對應(yīng)的解密算法，對待檢測加殼樣本進(jìn)行解密，具體為，根據(jù)短特征中的特征內(nèi)容及算法關(guān)鍵位置信息，匹配對應(yīng)解密算法進(jìn)行解密。

所述的方法中，通過推理機(jī)直接對待檢測加殼樣本提取特征，具體為：

根據(jù)已知動態(tài)特征及靜態(tài)特征，在待檢測加殼樣本獲取相應(yīng)數(shù)據(jù)，并設(shè)定各特征的分值；

根據(jù)熵權(quán)信息法，分別計算動態(tài)特征和靜態(tài)特征的總體評分；

采用基于poicare度量的復(fù)分析法，對動態(tài)特征和靜態(tài)特征的總體評分進(jìn)行綜合評估，確定選取動態(tài)特征或靜態(tài)特征；

將選取的動態(tài)特征或靜態(tài)特征作為待檢測加殼樣本的特征，錄入密文知識庫。

所述的方法中，在獲取待檢測加殼樣本之后，還包括：提取待檢測加殼樣本的代碼段特征，將所述特征的哈希值與特征綜合數(shù)據(jù)庫中已有的特征進(jìn)行匹配，如果匹配成功則直接輸出判定結(jié)果。

本發(fā)明還提出了一種基于知識驅(qū)動的加殼代碼回歸檢測系統(tǒng)，包括：

數(shù)據(jù)庫模塊，建立特征綜合數(shù)據(jù)庫；

獲取模塊，獲取待檢測加殼樣本；