本發明公開了一種惡意代碼可視化及變種檢測方法、系統、設備及存儲介質，所述惡意代碼可視化及變種檢測方法通過將惡意代碼轉化為一維時間序列信號，以便獲取惡意代碼的時間序列信號特征，相比提取靜態語義特征以及二維圖像紋理特征，大大減小了時間開銷；通過對惡意代碼所對應的分解能量譜進行可視化處理，便于從視覺上直觀感知各個變種的共同之處和細微差異，為理解和掌握該家族變種演化提供了依據；通過已訓練的分類模型對惡意代碼進行變種檢測，使得惡意代碼所屬分類更加快速準確。本發明的可視化分析能夠采用程序化的方式執行，相比惡意代碼靜態語義特征的分析，降低了惡意代碼分析人員的專業技術要求。

技術領域

本發明涉及信息安全技術領域，尤其涉及一種惡意代碼可視化及變種檢測方法、系統、設備及存儲介質。

背景技術

據統計目前國際上有數萬種病毒，而變種病毒卻有成百上千萬，惡意代碼變種率從2011年的每個家族變種率為5:1，到如今1000:1以上。研究表明絕大多數的新型惡意代碼都是由已知的惡意代碼變異而得，而這樣的變種惡意代碼間只有不到2％的代碼差異，這給分析惡意代碼的安全研究人員提供了變種檢測依據，通過檢測惡意代碼核心模塊的相似度來對惡意代碼進行變種檢測。惡意代碼變種檢測已經成為了惡意代碼檢測的重點和難點。

目前，惡意代碼變種檢測方法從所采用的特征角度來看，主要有以下兩種：基于靜態語義特征的方法和基于圖像紋理特征的方法。基于靜態語義特征的方法主要是從惡意代碼中提取操作碼序列、應用程序接口(API，Application Programming Interface)函數調用序列、控制流、數據流和程序依賴關系等進行分析。這種方法對程序代碼的分析依賴于反匯編代碼的精度，且通常會涉及判斷子圖同構的問題，而判斷子圖同構問題是NP完全(Non-deterministic Polynomial Complete)問題，判斷過程耗時較長。基于圖像紋理特征的可視化方法需要從圖像這種二維數據提取特征，特征提取過程比較復雜，運行效率也比較低。故上述的種種情況均反映出現有的惡意代碼變種檢測方法的效率低下的技術問題。

上述內容僅用于輔助理解本發明的技術方案，并不代表承認上述內容是現有技術。

發明內容

本發明的主要目的在于提供一種惡意代碼可視化及變種檢測方法，旨在解決現有的惡意代碼變種檢測方法的效率低下的技術問題，其可視化方法可從視覺上直觀感知各個變種的共同之處和細微差異，為理解和掌握該家族變種演化提供了依據。

為實現上述目的，本發明提供一種惡意代碼可視化及變種檢測方法，所述惡意代碼可視化及變種檢測方法包括：

獲取待檢測的惡意代碼，并基于下采樣處理將所述惡意代碼轉換為一維時間序列信號；

對所述一維時間序列信號進行小波或小波包多層分解，以將所述一維時間序列信號分解成低頻分量集與高頻分量集；

根據所述低頻分量集與高頻分量集得到所述惡意代碼對應的分解能量譜，并將所述惡意代碼對應的分解能量譜進行可視化；

利用預設惡意代碼分類模型，根據所述惡意代碼對應的分解能量譜對所述惡意代碼進行變種檢測，以確定所述惡意代碼的所屬信息。

可選地，所述低頻分量集包括第一低頻分量集與第二低頻分量集，所述高頻分量集包括第一高頻分量集與第二高頻分量集，

所述對所述一維時間序列信號進行小波或小波包多層分解，以將所述一維時間序列信號分解成低頻分量集與高頻分量集的步驟包括：

判斷所述一維時間序列信號是否符合預設信號標準；

若是，則對所述一維時間序列信號進行三層小波包分解，以將所述一維時間序列信號分解成包含多個第一低頻分量的第一低頻分量集與包含多個第一高頻分量的第一高頻分量集；