本發(fā)明公開了一種同源惡意代碼的細(xì)粒度分類識(shí)別方法，包括：獲取系統(tǒng)調(diào)用序列以及指令序列；對(duì)系統(tǒng)調(diào)用序列以及指令序列進(jìn)行分析，得到數(shù)據(jù)流系統(tǒng)調(diào)用序列；通過提取語義特征序列操作提取已有同源惡意代碼庫的惡意語義特征；將獲得的惡意語義特征組織成惡意語義特征庫；獲得待測(cè)代碼的數(shù)據(jù)流系統(tǒng)調(diào)用序列，將之與惡意語義特征庫中的惡意語義特征進(jìn)行對(duì)比，對(duì)待測(cè)代碼進(jìn)行細(xì)粒度分類識(shí)別并且得出最終識(shí)別結(jié)果：是否為同源惡意代碼和具體的惡意代碼類別。本發(fā)明能夠?qū)ν磹阂獯a實(shí)施細(xì)粒度的分類識(shí)別，可以區(qū)分現(xiàn)有方案難以分類的惡意代碼；可以避免指令混淆技術(shù)、系統(tǒng)調(diào)用混淆技術(shù)的干擾，進(jìn)行較為準(zhǔn)確的惡意代碼分類識(shí)別。

技術(shù)領(lǐng)域

本發(fā)明涉及同源惡意代碼檢測(cè)技術(shù)領(lǐng)域，具體而言涉及一種同源惡意代碼的細(xì)粒度分類識(shí)別方法。

背景技術(shù)

惡意代碼是信息時(shí)代所面臨的一個(gè)極其普遍的安全威脅，并且惡意代碼會(huì)通過代碼混淆技術(shù)得到數(shù)量眾多的變種。這些變種代碼與原代碼是屬于同一個(gè)家族的同源惡意代碼。因此利用已有的惡意代碼提取得到按家族劃分的惡意語義特征有助于待測(cè)代碼的分類識(shí)別工作。系統(tǒng)調(diào)用序列分析可以獲得代碼實(shí)際執(zhí)行時(shí)的行為特征，這有利于同源惡意代碼的特征提取。

目前的基于系統(tǒng)調(diào)用序列分析的同源惡意代碼分類識(shí)別方案可以區(qū)分良性代碼與惡意代碼，但是對(duì)于惡意代碼的分類識(shí)別粒度較粗，例如，在面對(duì)一部分具有相似系統(tǒng)調(diào)用的非同源的惡意代碼時(shí)無法做到準(zhǔn)確的分類識(shí)別。

發(fā)明內(nèi)容

本發(fā)明目的在于提供一種同源惡意代碼的細(xì)粒度分類識(shí)別方法，通過對(duì)系統(tǒng)調(diào)用關(guān)鍵參數(shù)的數(shù)據(jù)流進(jìn)行分析，可以提取得到已有同源惡意代碼庫的惡意語義特征，并且將獲得的惡意語義特征組織成惡意語義特征庫，惡意語義特征庫可以一直更新維護(hù)，從而為之后的待測(cè)代碼分類識(shí)別繼續(xù)提供支持。本發(fā)明利用惡意語義特征庫中已有的惡意語義特征，可對(duì)待測(cè)代碼進(jìn)行細(xì)粒度的分類識(shí)別；不僅可以識(shí)別其是否為惡意代碼，還可進(jìn)一步判定其具體為哪一類惡意代碼。本發(fā)明可對(duì)同源惡意代碼實(shí)施細(xì)粒度的分類識(shí)別，可以區(qū)分現(xiàn)有方案難以分類的惡意代碼；可以避免指令混淆技術(shù)、系統(tǒng)調(diào)用混淆技術(shù)的干擾，進(jìn)行較為準(zhǔn)確的惡意代碼分類識(shí)別。

為達(dá)成上述目的，結(jié)合圖1，本發(fā)明提出一種同源惡意代碼的細(xì)粒度分類識(shí)別方法，所述細(xì)粒度分類識(shí)別方法包括以下步驟：

S1，獲取系統(tǒng)調(diào)用序列以及指令序列；

S2，對(duì)系統(tǒng)調(diào)用序列以及指令序列進(jìn)行分析，得到數(shù)據(jù)流系統(tǒng)調(diào)用序列，包括：

篩選出系統(tǒng)調(diào)用序列中每一個(gè)系統(tǒng)調(diào)用的系統(tǒng)調(diào)用名稱以及關(guān)鍵參數(shù)，以關(guān)鍵參數(shù)為源頭對(duì)指令序列進(jìn)行反向依賴分析，獲取關(guān)鍵參數(shù)的數(shù)據(jù)賦值指令；再利用賦值關(guān)系分析，將關(guān)鍵參數(shù)的數(shù)據(jù)賦值指令轉(zhuǎn)化為賦值表達(dá)式；最后將系統(tǒng)調(diào)用名稱以及系統(tǒng)調(diào)用關(guān)鍵參數(shù)賦值表達(dá)式組合得到數(shù)據(jù)流系統(tǒng)調(diào)用，進(jìn)一步得到數(shù)據(jù)流系統(tǒng)調(diào)用序列；

S3，通過提取語義特征序列操作提取已有同源惡意代碼庫的惡意語義特征，所述提取語義特征序列操作包括：

對(duì)數(shù)據(jù)流系統(tǒng)調(diào)用序列進(jìn)行排序預(yù)處理，將不存在依賴關(guān)系的數(shù)據(jù)流系統(tǒng)調(diào)用按照系統(tǒng)調(diào)用名稱的字典序進(jìn)行排序，再利用數(shù)據(jù)流系統(tǒng)調(diào)用序列對(duì)齊算法求解得到兩個(gè)數(shù)據(jù)流系統(tǒng)調(diào)用序列的最大公共子序列；

S4，將獲得的惡意語義特征組織成惡意語義特征庫；

S5，獲得待測(cè)代碼的數(shù)據(jù)流系統(tǒng)調(diào)用序列，利用數(shù)據(jù)流系統(tǒng)調(diào)用序列對(duì)齊算法將之與惡意語義特征庫中的惡意語義特征進(jìn)行對(duì)比，對(duì)待測(cè)代碼進(jìn)行細(xì)粒度分類識(shí)別并且得出最終識(shí)別結(jié)果：是否為同源惡意代碼和具體的惡意代碼類別。

作為其中的一種優(yōu)選例，步驟S1中，所述獲取系統(tǒng)調(diào)用序列以及指令序列是指，利用Intel的動(dòng)態(tài)插樁工具Pin來動(dòng)態(tài)執(zhí)行待分析的代碼，執(zhí)行過程中記錄下代碼的系統(tǒng)調(diào)用序列以及對(duì)應(yīng)的指令序列，包括以下步驟：

S21，設(shè)置并且編譯Pin動(dòng)態(tài)執(zhí)行器；