本發明涉及一種基于操作碼序列的惡意軟件家族分類方法，屬于惡意軟件家族分類與機器學習領域。主要為了解決在對惡意軟件進行靜態分析時，因忽視惡意軟件反匯編后提取的操作碼的順序而導致誤分類的問題。本發明首先對惡意軟件進行反匯編并提取操作碼，得到操作碼序列；然后計算每個操作碼的256位hash值，并將hash值順序排列成矩陣；接下來將矩陣轉化為灰度圖像，并采用雙線性插值法對該圖像進行比例為256*3000的縮放；最后，經過卷積神經網絡得到惡意軟件家族分類結果。在BIG 2015上實驗，結果表明本發明能達到較好的分類效果，進一步提升了惡意軟件家族分類的正確率。

技術領域

本發明涉及一種基于操作碼序列的惡意軟件家族分類方法，屬于惡意軟件家族分類與機器學習領域。

背景技術

惡意軟件是互聯網安全最嚴重的威脅之一，黑客(攻擊者)通過攻擊系統或應用軟件的安全漏洞將惡意軟件植入受害者的計算機，惡意軟件能竊取、修改或破壞系統上的數據，甚至摧毀整個系統。為了識別新增可疑文件的性質，進一步判斷可疑文件屬于哪一類惡意軟件家族，需要對文件進行檢測。現有的對惡意軟件家族分類的方法通常分為靜態分析法、動態分析法和可視化分析法：

1.靜態分析

靜態分析是通過提取源代碼中的操作碼、API調用和函數調用等信息來分析軟件的執行邏輯，從而實現對惡意代碼的檢測和分類。這種方法可以對代碼進行詳盡的細粒度分析，快速地捕獲語法和語義信息，從而識別出已知的惡意代碼。但靜態分析方法容易受到代碼混淆和加密技術的干擾，無法檢測出未知的惡意代碼及其變體。

2.動態分析

動態分析方法是針對靜態方法存在的問題提出的，其通常在虛擬環境中執行樣本來分析函數調用、控制流信息、文件操作和注冊表修改記錄等行為信息。動態分析方法需要執行惡意代碼，能夠有效地識別和分類惡意代碼。但動態分析方法在惡意代碼的運行過程中有可能對執行惡意代碼的系統產生危害，同時也存在時間開銷大、耗費資源多的問題。

3.可視化分析

可視化分析是靜態分析的一種。是將惡意軟件代碼轉化為圖像，通過分析圖像、提取圖像的特征信息，對惡意軟件進行檢測和分類。

綜上所述，利用可視化分析方法提取惡意軟件代碼中操作碼特征，進而轉化為圖像特征，再結合深度學習技術對其進行家族分類能夠有效提高惡意軟件家族分類的效率和準確率。但在特征提取的過程中，存在因忽視操作碼的順序而造成的誤分類問題，因此本發明提出基于操作碼序列的惡意軟件家族分類方法。

發明內容

本發明的目的是針對在對惡意軟件進行靜態分析時，因忽視惡意軟件反匯編后提取的操作碼的順序而導致誤分類的問題，提出了一種基于操作碼序列的惡意軟件家族分類方法。

本發明的設計原理為：首先對獲取惡意軟件操作碼序列；然后將操作碼序列轉化為hash值矩陣；接下來將矩陣轉化為灰度圖像，并采用雙線性插值法對該圖像進行縮放；最后，經過卷積神經網絡得到惡意軟件的家族類別。

本發明的技術方案是通過如下步驟實現的：

步驟1，獲取惡意軟件操作碼序列。

步驟1.1，對惡意軟件進行反匯編操作。

步驟1.2，按順序提取操作碼，形成操作碼序列。

步驟2，將操作碼序列轉化為hash值矩陣。

步驟2.1，計算操作碼的256位hash值。

步驟2.2，按順序將hash值排列成矩陣，矩陣中每一行對應某個操作碼的hash值。

步驟3，將hash值矩陣轉化為灰度圖像。