【技术实现步骤摘要】
恶意程序控制指令识别方法及装置
本专利技术涉及计算机
,特别是涉及一种恶意程序控制指令识别方法及装置。
技术介绍
伴随着计算机技术的发展,恶意程序越来越多的出现在日常生活中,对企业的信息安全以及人们的正常生活产生不良影响。例如,现有的僵尸网络恶意程序即通过感染传播的手段,将大量恶意程序客户端植入到多个主机之中,然后不法分子可通过僵尸网络服务器发送控制指令操纵被控制的多个主机发起DDOS(拒绝服务攻击)攻击。例如,不法分子可操纵被控制的多个主机同时向某个网站发起大量请求,使该网站的服务器负载增加,从而影响用户正常的浏览服务。因此,为遏制恶意程序造成的危害,通常需要先对恶意程序的控制指令进行识别,然后再通过数据包分析将附带有恶意程序控制指令的数据包截获,从而在全局控制恶意程序的危害。然而,现有技术中对恶意程序控制指令的识别方法,通常通过人工的方式静态的分析恶意程序的代码,或者动态的分析数据包的统计特征,其识别准确度均较低。
技术实现思路
基于此,有必要提供一种能提高识别准确率的恶意程序控制指令识别方法。一种恶意程序控制指令识别方法,包括:监控恶意程序的注入过程,获取注入进程和注入地址;监控与所述注入进程对应的输入数据,获取与所述输入数据对应的执行轨迹;对所述执行轨迹进行筛选,筛选得到与所述注入地址对应的执行轨迹;根据筛选得到的执行轨迹计算代码覆盖率,根据所述代码覆盖率定位对应控制指令判断逻辑的覆盖单元;根据所述对应控制指令判断逻辑的覆盖单元获取标准控制指令集。此外,还有必要提供一种能提高识别准确率的恶意程序控制指令识别装置。一种恶意程序控制指令识别装置,包括 ...
【技术保护点】
一种恶意程序控制指令识别方法,包括:监控恶意程序的注入过程,获取注入进程和注入地址;监控与所述注入进程对应的输入数据,获取与所述输入数据对应的执行轨迹;对所述输入数据对应的执行轨迹进行筛选,筛选得到与所述注入地址对应的执行轨迹;根据筛选得到的执行轨迹计算代码覆盖率,根据所述代码覆盖率定位对应控制指令判断逻辑的覆盖单元;根据所述对应控制指令判断逻辑的覆盖单元获取标准控制指令集。
【技术特征摘要】
1.一种恶意程序控制指令识别方法,包括:监控恶意程序的注入过程,获取注入进程和注入地址;监控与所述注入进程对应的输入数据,获取与所述输入数据对应的执行轨迹;对所述输入数据对应的执行轨迹进行筛选,筛选得到与所述注入地址对应的执行轨迹;根据筛选得到的执行轨迹计算代码覆盖率,根据所述代码覆盖率定位对应控制指令判断逻辑的覆盖单元;根据所述对应控制指令判断逻辑的覆盖单元获取标准控制指令集。2.根据权利要求1所述的恶意程序控制指令识别方法,其特征在于,所述对所述输入数据对应的执行轨迹进行筛选,筛选得到与所述注入地址对应的执行轨迹的步骤还包括:获取所述输入数据对应的执行轨迹中包含的系统函数调用指令;移除所述系统函数调用指令对应的覆盖单元。3.根据权利要求1所述的恶意程序控制指令识别方法,其特征在于,所述对所述输入数据对应的执行轨迹进行筛选,筛选得到与所述注入地址对应的执行轨迹的步骤还包括:获取所述输入数据对应的执行轨迹中包含的与所述注入进程对应的调用指令;移除所述注入进程对应的调用指令对应的覆盖单元。4.根据权利要求1所述的恶意程序控制指令识别方法,其特征在于,所述对所述输入数据对应的执行轨迹进行筛选,筛选得到与所述注入地址对应的执行轨迹的步骤还包括:获取所述输入数据对应的执行轨迹包含的覆盖单元及所述执行轨迹包含的覆盖单元的运行次数,根据所述包含的覆盖单元和运行次数计算所述执行轨迹之间的相似度;获取相似度阈值;将相似度大于所述相似度阈值的执行轨迹归一化。5.根据权利要求4所述的恶意程序控制指令识别方法,其特征在于,所述获取所述输入数据对应的执行轨迹包含的覆盖单元及所述执行轨迹包含的覆盖单元的运行次数,根据所述包含的覆盖单元和运行次数计算所述执行轨迹之间的相似度的步骤为:获取所述输入数据对应的执行轨迹包含的内存地址相同且运行次数相同的相同覆盖单元个数、内存地址不同的特有覆盖单元个数以及内存地址相同但运行次数不同的近似覆盖单元个数;根据所述相同覆盖单元个数、特有覆盖单元个数和近似覆盖单元个数计算所述输入数据对应的执行轨迹之间的相似度。6.根据权利要求1所述的恶意程序控制指令识别方法,其特征在于,所述根据筛选得到的执行轨迹计算代码覆盖率包括:获取筛选得到的执行轨迹的覆盖单元及其运行次数;计算所述覆盖单元在所述筛选得到的执行轨迹中各自的出现次数;根据所述出现次数计算代码覆盖率。7.根据权利要求6所述的恶意程序控制指令识别方法,其特征在于,所述根据所述代码覆盖率定位对应控制指令判断逻辑的覆盖单元的步骤为:根据所述代码覆盖率获取出现次数为1的分支覆盖单元和每个筛选得到的执行轨迹均包含的且运行次数不同的条件判断覆盖单元;根据所述分支覆盖单元和条件判断覆盖单元定位对应控制指令判断逻辑的覆盖单元。8.根据权利要求7所述的恶意程序控制指令识别方法,其特征在于,所述根据所述分支覆盖单元和条件判断覆盖单元定位对应控制指令判断逻辑的覆盖单元的步骤为:获取所述分支覆盖单元的分支时间戳和所述条件判断覆盖单元的判断时间戳;获取运行时间戳在所述分支时间戳和所述判断时间戳之间的覆盖单元,并根据获取到的覆盖单元、分支覆盖单元和条件判断覆盖单元定位判断指令执行序列。9.根据权利要求1至8任一项所述的恶意程序控制指令识别方法,其特征在于,所述根据所述对应控制指令判断逻辑的覆盖单元获取标准控制指令集步骤之后还包括:根据所述标准控制指令集生成测试指令;通过修改函数调用参数值输入测试指令,获取测试执行轨迹;根据所述测试执行轨迹校验所述标准控制指令集。10...
【专利技术属性】
技术研发人员:王志,邹赞,张晓康,贾春福,刘露,
申请(专利权)人:腾讯科技深圳有限公司,南开大学,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。