本發明公開了一種基于圖論的代碼復用識別方法及系統，其中，所述方法包括：解析待檢測樣本和已知惡意樣本形成抽象語法樹；將形成的抽象語法樹轉化為與平臺無關的中間表示語言；根據所述中間表示語言獲取所有函數的調用關系，繪制函數調用流圖；利用圖算法處理已知惡意樣本相關的函數調用流圖形成圖形特征數據庫；利用圖算法處理待檢測樣本的函數調用流圖形成圖形特征數據；利用待檢測樣本的圖形特征數據匹配所述圖形特征數據庫，確定待檢測樣本與已知惡意樣本的代碼復用程度。本發明通過分析代碼相似性來判斷惡意代碼的同源性，不僅可以用來匹配惡意代碼家族，而且可以追溯攻擊者。

技術領域

本發明涉及信息安全技術領域，尤其涉及一種基于圖論的代碼復用識別方法及系統。

背景技術

由于惡意攻擊者一般不會一次次的重復寫同一個模塊，所以可以通過代碼的相似性來判斷惡意代碼同源性，用來匹配家族，追溯攻擊者。

目前的代碼復用識別依賴于字符串提取和最長公共子序列算法，速度較慢且擁有較高的錯誤率，并且無法根據已有特征來形成新的特征，只能單調地進行模式匹配。

發明內容

針對上述技術問題，本發明通過圖算法對待檢測樣本和已知惡意樣本進行處理形成圖形特征數據，最終根據圖形的特征進行代碼復用的判別，進而判斷惡意代碼的同源性并最終追溯攻擊者。

本發明采用如下方法來實現：一種基于圖論的代碼復用識別方法，包括：

解析待檢測樣本和已知惡意樣本形成抽象語法樹；

將形成的抽象語法樹轉化為與平臺無關的中間表示語言；

根據所述中間表示語言獲取所有函數的調用關系，繪制函數調用流圖；

利用圖算法處理已知惡意樣本相關的函數調用流圖形成圖形特征數據庫；

利用圖算法處理待檢測樣本的函數調用流圖形成圖形特征數據；

利用待檢測樣本的圖形特征數據匹配所述圖形特征數據庫，確定待檢測樣本與已知惡意樣本的代碼復用程度。

進一步地，所述利用待檢測樣本的圖形特征數據匹配所述圖形特征數據庫，確定待檢測樣本與已知惡意樣本的代碼復用程度，具體包括：

若待檢測樣本的圖形特征數據與圖形特征數據庫中的某一已知惡意樣本的相似度超過預設閾值，則判定待檢測樣本與該已知惡意樣本存在代碼復用。

更進一步地，所述預設閾值為大于等于35%。

進一步地，還包括：利用開源代碼和歷史代碼作為訓練數據來提高圖形特征數據庫的識別準確率。

本發明采用如下系統來實現：一種基于圖論的代碼復用識別系統，包括：

抽象語法樹生成模塊，用于解析待檢測樣本和已知惡意樣本形成抽象語法樹；

中間表示語言生成模塊，用于將形成的抽象語法樹轉化為與平臺無關的中間表示語言；

函數調用流圖繪制模塊，用于根據所述中間表示語言獲取所有函數的調用關系，繪制函數調用流圖；

圖形特征數據庫生成模塊，用于利用圖算法處理已知惡意樣本相關的函數調用流圖形成圖形特征數據庫；

圖形特征數據生成模塊，用于利用圖算法處理待檢測樣本的函數調用流圖形成圖形特征數據；

復用判定模塊，用于利用待檢測樣本的圖形特征數據匹配所述圖形特征數據庫，確定待檢測樣本與已知惡意樣本的代碼復用程度。

進一步地，所述復用判定模塊，具體用于：