[發明專利]一種基于代碼特征的跨平臺二進制代碼匹配方法及系統在審
| 申請號: | 202310540859.0 | 申請日: | 2023-05-15 |
| 公開(公告)號: | CN116578979A | 公開(公告)日: | 2023-08-11 |
| 發明(設計)人: | 朱輝;劉欣鑫 | 申請(專利權)人: | 軟安科技有限公司 |
| 主分類號: | G06F21/56 | 分類號: | G06F21/56;G06F21/14;G06F8/41;G06F40/216;G06F40/242;G06F18/243;G06F18/213;G06F18/214;G06F18/22 |
| 代理公司: | 成都言成諾知識產權代理事務所(特殊普通合伙) 51314 | 代理人: | 張川 |
| 地址: | 610000 四川省成都*** | 國省代碼: | 四川;51 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 基于 代碼 特征 平臺 二進制 匹配 方法 系統 | ||
1.一種基于代碼特征的跨平臺二進制代碼匹配方法,其特征在于:所述方法包括:
S1、從內存dump出data或rdata段的數據提取里面的常量字符串特征,并通過算法生成常量字符串的哈希特征值;
S2、依次提取語法/文本特征,提取代碼的語義特征以及提取圖同構的特征,將所有特征按照預定順序進行首尾相接,拼接成高維的特征向量;
S3、通過隨機森林算法對所有高維的特征向量進行分類實現壓縮降維,使用分類器對降維后的特征向量進行多分類訓練,得到訓練好的分類器模型,通過該分類器模型對新的特征向量進行分類匹配,判斷新的特征向量的二進制代碼屬于哪種加密或者簽名校驗。
2.根據權利要求1所述的一種基于代碼特征的跨平臺二進制代碼匹配方法,其特征在于:所述提取語法/文本特征包括:
以指令的基礎塊為單元,去除該單元內所有二進制匯編指令的操作數只保留操作碼,以此屏蔽不同的常數項和寄存器帶來的文本差異;
對于每個操作碼求出其tf-idf值,其值越高說明該指令在當前基礎塊內的特征越明顯;
將所有操作碼轉換成字典,然后將當前基礎塊中所有操作碼的tf-idf值按照該操作碼在字典內的位置順序排列,形成該基礎塊的N-hot特征向量。
3.根據權利要求1所述的一種基于代碼特征的跨平臺二進制代碼匹配方法,其特征在于:所述提取代碼的語義特征包括:在基礎塊的最后指令執行完畢后收集所有通用寄存器的值,并按照預定順序將這些值進行排列,形成基礎塊輸出值特征向量。
4.根據權利要求1所述的一種基于代碼特征的跨平臺二進制代碼匹配方法,其特征在于:所述提取圖同構的特征包括:
運行二進制代碼文件篩選出沒有被執行的所有基礎塊和二進制代碼,通過靜態分析的方式將沒有被執行的基礎塊以及其之間的跳轉指令進行空指令操作,并將沒有被執行的二進制代碼進行空指令操作;
在基礎塊最后指令執行結束時提取通用寄存器的值作為特征,并提取基礎塊指令條數、基礎塊的入度和基礎塊的出度作為特征;
判斷跳轉指令的跳轉類型并提取作為特征,提取函數參數、函數返回值、函數調用的入度、函數調用的出度、函數代碼指令條數、函數棧空間大小、函數局部變量個數和函數內部基礎塊個數作為特征;
將提取的所有特征按照預定順序依次排列形成N維特征向量。
5.根據權利要求1所述的一種基于代碼特征的跨平臺二進制代碼匹配方法,其特征在于:所述S3的步驟具體包括:
通過隨機森林算法產生大量子樹,每個子樹抽取原特征向量特定數量的維度進行分類并以向量的形式輸出分類結果,每個子樹的高度為3,葉子節點數為8,即每個子樹生成的向量為8維,設子樹數量為L,原特征向量維度為N,N/L>8;
將隨機森林每個子樹運行結果的向量首尾拼接得到新的降維后的特征向量,使用分類器對生成的降維后的特征向量進行多分類訓練,得到訓練好的分類器模型,通過該分類器模型對新的特征向量進行分類匹配,判斷新的特征向量的二進制代碼屬于哪種加密或者簽名校驗。
6.根據權利要求1-5中任意一項所述的一種基于代碼特征的跨平臺二進制代碼匹配方法,其特征在于:所述方法還包括訓練樣本生成步驟,所述訓練樣本生成步驟包括:
將常見的加密和簽名且未被混淆的二進制代碼使用編譯器通過交叉編譯的方式編譯成不同硬件平臺、不同編譯器、不同編譯器版本、不同操作系統對應的二進制代碼文件,以增加訓練數據樣本,并通過S1和S2步驟提取特征,并拼接成高維特征向量作為訓練樣本的特征向量對分類器進行訓練。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于軟安科技有限公司,未經軟安科技有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202310540859.0/1.html,轉載請聲明來源鉆瓜專利網。
