本發明提供一種惡意樣本類別檢測方法和裝置及設備，包括：獲取惡意樣本并基于虛擬系統程序運行惡意樣本得到對應的函數調用圖；將函數調用圖中任一函數作為調用函數，將調用函數對函數調用圖中各函數是否有調用關系用不同的取值表示得到鄰接矩陣；根據表示有調用關系的取值的密度分布，通過滿足密度分區分割條件時對應的分區，定位屬于本地函數的調用函數的分區；并將該分區映射為目標函數調用圖，提取目標函數調用圖的特征并輸入到分類預測模型確定所述惡意樣本的類別。本發明可以通過分離惡意樣本的本地函數及分類預測模型，解決疊加殼保護后惡意樣本特征趨于一致，同源判斷的效果不理想及需要對控制流程圖的大小進行標準化處理的問題。

技術領域

本發明涉及計算機技術領域，具體涉及一種惡意樣本類別檢測方法和裝置及設備。

背景技術

隨著網絡信息技術的發展，惡意軟件已成為危害網絡公共安全的主要威脅之一，惡意軟件通過惡意代碼實現，惡意代碼具有同源性，即不同的惡意代碼是否源自同一套惡意代碼或是否由同一個作者、團隊編寫，其是否具有內在關聯性、相似性。隨著開源社區的出現，基于同一家族的惡意代碼被變種成功的情況層出不窮。這些惡意代碼變種形成的惡意軟件結構相似但不相同，配合殼保護技術的應用，惡意代碼的家族特征被稀釋隱藏，使得惡意代碼樣本的同源性判定成為了一個棘手的問題。

殼保護技術主要通過加殼器實現，加殼器屬于一種封裝工具，它可以在反病毒軟件或復雜的惡意代碼分析過程中，隱藏惡意代碼的存在，還能縮小惡意代碼可執行文件的大小，因此加殼器在惡意代碼編寫者中很受歡迎。所有的加殼器都是將一個可執行文件作為輸入，輸出一個新的可執行文件。被加殼的可執行文件經過壓縮，加密或者其他轉換，目的是使他們難以被識別，難以被逆向分析。

當前的惡意代碼同源性檢測功能，主要存在以下問題：

1)當前惡意代碼檢測，主要利用動態或靜態分析獲取惡意代碼的特征信息，如指令序列、API(Application Programming Interface，應用程序接口)調用序列或圖結構特征等。不同惡意代碼樣本之間的上述特征信息沒有顯著的差異，疊加殼保護技術后，其特征更加趨于一致，最終導致通過分析惡意代碼的特征信息來進行同源判斷的效果不理想；

2)程序的控制流程圖以程序的執行流程為特征，展現系統各部分執行的流動過程，當前對控制流程圖的處理是為了適應用在圖片處理和自然語言處理中的深度學習模型，需要對控制流圖的大小進行標準化的處理。

發明內容

本發明提供一種惡意樣本類別檢測方法和裝置及設備，用以解決疊加殼保護后惡意樣本特征趨于一致，同源性判斷的效果不理想及需要對控制流程圖的大小進行標準化處理的問題。

根據本申請實施例的第一方面，提供一種惡意樣本類別檢測方法，該方法包括：

獲取惡意樣本并基于虛擬系統程序運行所述惡意樣本，得到所述惡意樣本對應的函數調用圖；

將所述函數調用圖中任一函數作為調用函數，將調用函數對函數調用圖中各函數是否有調用關系用不同的取值表示，得到鄰接矩陣；

根據表示有調用關系的取值的密度分布，通過滿足密度分區分割條件時對應的分區，定位屬于本地函數的調用函數的分區；

將屬于本地函數的調用函數的分區映射為目標函數調用圖，提取所述目標函數調用圖的特征并輸入到分類預測模型確定所述惡意樣本的類別。

可選地，通過滿足密度分區分割條件時對應的分區，定位屬于本地函數的調用函數的分區，包括：

以所述鄰接矩陣主對角線上的元素為十字坐標的交叉點滑動十字坐標，所述交叉點每滑動到任一元素時，將所述鄰接矩陣劃分為四個分區；

滑動結束后，確定分區密度在滑動過程中滿足分割條件時對應的交叉點位置，根據該交叉點位置對應的分區，定位屬于本地函數的調用函數的分區。