本申請公開了一種軟件函數調用行為數據的處理方法及裝置。該方法包括：獲取以序列化數據表征的軟件函數調用行為數據；將軟件函數調用行為數據從序列化數據轉換為層次化結構數據；在二維平面上基于層次化結構數據進行樹形布局，以獲得繪圖屬性數據；以及根據繪圖屬性數據繪制樹狀調用圖，其中，根據函數被調用的先后順序將函數節點放置在樹狀調用圖的不同層級上，并通過函數節點之間的連接線唯一表征對應的函數調用，從而樹狀調用圖有效地避免相互交錯的函數節點和調用邊，增強可讀性，還能清晰地顯示出完整的調用鏈路。

技術領域

本公開涉及計算機技術領域，具體而言，涉及一種軟件函數調用行為數據的處理方法及裝置。

背景技術

隨著信息技術的迅猛發展，各種功能的軟件層出不窮，但同時惡意軟件也日益泛濫。為了進行軟件分析，首先需要獲取到軟件函數調用行為數據。軟件函數調用行為數據Opcode是一種動態行為數據，安全專家往往會基于Opcode來構造指令頻率特征、文本向量特征以及序列的二進制圖像等，并將這些特征輸入到基于機器學習和深度學習的神經網絡、支持向量機、樸素貝葉斯等模型中去，以識別各種軟件中的惡意軟件，但是這種方式雖然在準確率、檢測速度上取得了較大的突破，但往往依賴于安全專家的經驗。

目前有一些人機協同的方法，通過引導可視化交互，進一步提升分析和識別的準確度和效率。如繪制樣本Opcode的調用圖，調用圖既可用于構造成樣本特征輸入到惡意文件檢測器中去，又可以作為圖表輔助分析，具有較好的解釋性。然而，基于現有方法構建出的調用圖仍然存在一些問題：(1)可讀性較差：存在大量節點和交錯的調用邊；(2)非關鍵節點混淆布局：所有函數的等價表示導致主次不分明，在軟件分析中，安全專家往往會更加關注敏感函數的調用；(3)所蘊含的信息維度單一：傳統的調用圖強調函數調用行為，但沒有展示出函數的參數信息以及帶污點參數的傳遞行為。總之，安全人員缺少一種可讀性強、可解釋性好的調用圖，來對軟件中的函數調用行為進行解釋和分析，并據此識別惡意軟件。

發明內容

有鑒于此，本公開的目的是提供一種軟件函數調用行為數據的處理方法及裝置，以解決現有方法構建出的調用圖存在的以上問題。

根據本公開的第一方面，提供一種軟件函數調用行為數據的處理方法，包括：

獲取以序列化數據表征的軟件函數調用行為數據；

將所述軟件函數調用行為數據從序列化數據轉換為層次化結構數據；

在二維平面上基于所述層次化結構數據進行樹形布局，以獲得繪圖屬性數據；以及

根據所述繪圖屬性數據繪制樹狀調用圖，其中，根據函數被調用的先后順序將函數節點放置在所述樹狀調用圖的不同層級上，并通過函數節點之間的連接線表征函數調用。

可選地，所述繪圖屬性數據包括節點數組和連接對象數組，所述節點數組用于記錄每個函數節點的屬性信息，所述連接對象數組用于記錄函數節點之間的連接邊的屬性信息，則所述根據所述繪圖屬性數據繪制樹狀調用圖包括：

根據所述節點數組繪制所述函數節點；以及

根據所述連接對象數組繪制所述函數節點之間的連接邊。

可選地，所述軟件函數調用行為數據來自于在沙箱中運行的惡意軟件。

可選地，還包括：將所述節點數組中的每個函數節點的函數名與敏感函數庫進行對比，以判斷該函數是否為敏感函數，并據此為每個函數節點添加一個相應的布爾屬性；則在所述根據所述節點數組繪制函數節點的步驟中，采用不同顏色區分敏感函數和非敏感函數。

可選地，在所述根據所述節點數組繪制函數節點的步驟中，將所述函數節點繪制為圓角矩形，并在圓角矩形中繪制圓環圖，以表征函數的參數個數和參數的帶污點狀況，并且，圓環個數表示參數個數，圓環的顏色表征參數的帶污點狀況。