[發明專利]惡意代碼同源性分析方法和裝置及設備在審
| 申請號: | 202110067880.4 | 申請日: | 2021-01-19 |
| 公開(公告)號: | CN112765606A | 公開(公告)日: | 2021-05-07 |
| 發明(設計)人: | 吳來云 | 申請(專利權)人: | 南京東巽信息技術有限公司 |
| 主分類號: | G06F21/56 | 分類號: | G06F21/56;G06F8/53;G06N3/08 |
| 代理公司: | 北京市鼎立東審知識產權代理有限公司 11751 | 代理人: | 陳佳妹;賈滿意 |
| 地址: | 211100 江蘇省南*** | 國省代碼: | 江蘇;32 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 惡意代碼 同源性 分析 方法 裝置 設備 | ||
1.一種惡意代碼同源性分析方法,其特征在于,包括:
將惡意代碼樣本集中的惡意代碼樣本進行分組,并提取出每一組中的各惡意代碼樣本的動態特征信息和靜態特征信息;
將每一組中的各惡意代碼樣本的所述動態特征信息和所述靜態特征信息進行數值化處理,得到每一組中的各惡意代碼樣本的特征向量;
采用卷積神經網絡對每一組中的各惡意代碼樣本的特征向量進行卷積運算,得到每一組中的各惡意代碼樣本之間的特征相似度向量;
基于動態BP神經網絡對所述特征相似度向量進行分析檢測,得到每一組中的惡意代碼樣本之間的同源性檢測結果。
2.根據權利要求1所述的方法,其特征在于,提取出每一組中的各惡意代碼樣本的動態特征信息,包括:
將各所述惡意代碼樣本提交至模擬運行環境進行運行分析,由運行分析結果中提取出各所述惡意代碼樣本的動態特征信息;
其中,所述動態特征信息包括:API函數調用信息、特殊字符串信息、特殊數值信息、進程行為信息、文件行為信息、網絡行為信息和注冊表行為信息中的至少一種。
3.根據權利要求2所述的方法,其特征在于,提取出每一組中的各惡意代碼樣本的靜態特征信息,包括:
獲取所述惡意代碼樣本在模擬運行環境運行過程中生成的DUMP樣本,然后使用反匯編工具對所述DUMP樣本進行反匯編后提取出所述靜態特征信息;
其中,所述靜態特征信息包括:PE頭部信息、樣本加殼方式和對普通函數的調用信息中的至少一種。
4.根據權利要求1所述的方法,其特征在于,將每一組中的各惡意代碼樣本的所述動態特征信息和所述靜態特征信息進行數值化處理,包括:對所述動態特征信息和所述靜態特征信息進行向量化處理。
5.根據權利要求4所述的方法,其特征在于,對所述動態特征信息和所述靜態特征信息進行向量化處理,包括:
由所述動態特征信息和所述靜態特征信息中提取出非數值化特征信息;
使用TF-IDF方法將所述非數值化特征信息進行數值向量化。
6.根據權利要求5所述的方法,其特征在于,使用TF-IDF方法將所述非數值化特征信息進行數值向量化后,還包括將數值向量化后的非數值化特征信息與數值化特征信息進行特征合并的步驟。
7.根據權利要求1所述的方法,其特征在于,將每一組中的各惡意代碼樣板的所述動態特征信息和所述靜態特征信息進行數值化處理后,還包括:對合并后的特征信息進行歸一化處理;
其中,對合并后的特征信息進行歸一化處理時,基于轉換函數:
進行處理。
8.根據權利要求1所述的方法,其特征在于,基于動態BP神經網絡對所述特征相似度向量進行分析檢測,得到每一組中的惡意代碼樣本之間的同源性檢測結果時,所述動態BP神經網絡中的學習率基于以下優化模型實時動態調整:
優化模型為:
其中,η為所述學習率,λ的取值范圍為:0.0001≤λ≤0.001。
9.一種惡意代碼同源性分析裝置,其特征在于,包括特征信息提取模塊、特征信息處理模塊、特征相似度計算模塊和特征分析檢測模塊;
所述特征信息提取模塊,被配置為將惡意代碼樣本集中的惡意代碼樣本進行分組,并提取出每一組中的各惡意代碼樣本的動態特征信息和靜態特征信息;
所述特征信息處理模塊,被配置為將每一組中的各惡意代碼樣本的所述動態特征信息和所述靜態特征信息進行數值化處理并進行特征合并,得到每一組中的惡意代碼樣本的特征向量;
所述特征相似度計算模塊,被配置為采用卷積神經網絡對每一組中的各惡意代碼樣本的特征向量進行卷積運算,得到每一組中的各惡意代碼樣本之間的特征相似度向量;
所述特征分析檢測模塊,被配置為基于動態BP神經網絡對所述特征相似度向量進行分析檢測,得到每一組中的惡意代碼樣本之間的同源性檢測結果。
10.一種惡意代碼同源性分析設備,其特征在于,包括:
處理器;
用于存儲處理器可執行指令的存儲器;
其中,所述處理器被配置為執行所述可執行指令時實現權利要求1至8中任意一項所述的方法。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于南京東巽信息技術有限公司,未經南京東巽信息技術有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202110067880.4/1.html,轉載請聲明來源鉆瓜專利網。
- 上一篇:一種機織物密度自動識別的通用方法
- 下一篇:數據查詢方法、裝置
