恶意代码行为特征提取方法技术

本发明专利技术公开了一种恶意代码行为特征提取方法，所述的方法包括以下步骤：步骤1、对恶意代码样本采用静态分析方法，使用反编译工具进行反汇编分析，获取到函数调用图、控制流程图；步骤2、对函数调用图、控制流程图进行优化处理，生成可执行路径集合，并为每条路径分配动态分析节点；步骤3、通过动态分析工具，使用自动单步调试方法进行动态分析，使程序按照静态分析获取的可执行路径的控制流顺序执行，并获取恶意代码API调用关联；步骤4、根据对API调用关联分析，获取该恶意代码行为特征值。本发明专利技术能够较精准地表示代码的行为特征，对恶意代码的分析检测更加准确。

【技术实现步骤摘要】
恶意代码行为特征提取方法
本专利技术涉及信息安全
及文件系统领域，具体涉及一种恶意代码行为特征提取方法。
技术介绍
随着互联网的高速发展，接入网络的终端设备数量及互联网应用呈爆炸式增长，互联网的普及也加快了恶意代码的传播，恶意代码已成为软件安全领域中一个重要的问题。为了提高恶意代码的生存性，其制造者通常会使用恶意代码混淆技术，使每次传播都出现新的变种，增加恶意代码检测难度。恶意代码检测方法可分为基于启发式的检测和基于特征的检测两大类，基于启发式的检测方法根据预先设定的规则判断恶意代码存在的可能性，但其规则生产依赖分析人员经验，容易高误报及漏报，基于特征的检测方法根据由恶意代码中提取的特征进行检测，具有效率高，低误报等优点特征的描述能力是决定基于特征的检测方法的检测能力和检测效率的主要因素，如何更有效地提取恶意代码的本质特征，降低混淆技术的干扰，从而对恶意代码变种进行精确、有效的检测，是目前恶意代码检测的重点。
技术实现思路
本专利技术克服了现有技术的不足，提供一种恶意代码行为特征提取方法。通过对恶意代码样本逆向工程获取函数调用图、控制流图，生成可执行路径集合，根据可执行路径集合，使本文档来自技高网...

【技术保护点】
一种恶意代码行为特征提取方法，其特征在于：所述的方法包括以下步骤：步骤1、对恶意代码样本采用静态分析方法，使用反编译工具进行反汇编分析，获取到函数调用图、控制流程图；步骤2、对函数调用图、控制流程图进行优化处理，生成可执行路径集合，并为每条路径分配动态分析节点；步骤3、通过动态分析工具，使用自动单步调试方法进行动态分析，使程序按照静态分析获取的可执行路径的控制流顺序执行，并获取恶意代码API调用关联；步骤4、根据对API调用关联分析，获取该恶意代码行为特征值。

【技术特征摘要】
1.一种恶意代码行为特征提取方法，其特征在于：所述的方法包括以下步骤：步骤1、对恶意代码样本采用静态分析方法，使用反编译工具进行反汇编分析，获取到函数调用图、控制流程图；步骤2、对函数调用图、控制流程图进行优化处理，生成可执行路径集合，并为每条路径分配动态分析节点；步骤3、通过动态分析工具，使用自动单步调试方法进行动态分析，使程序按照静态分析获取的可执行路径的控制流顺序执行，并获取恶意代码API调用关联；步骤4、根据对API调用关联分析，获取该恶意代码行为特征值。2.根据权利要求1所述的恶意代码行为特征提取方法，其特征在于所述的步骤1中所述获取到函数调用图、控制流程图的方法包括：通过IDAPro反汇编软件恶意代码样本进行预处理，输出得到其反汇编代码并得出恶意代码的函数调用图、控制流图。3.根据权利要求1所述的恶意代码行为特征提取方法，其特征在于所述的步骤2中所述生成可执行路径集合的方法包括：采用反向的深度优先遍历算法从底层开始处理节点，利用禁忌搜索算法初步过滤掉不合理函数，首先，在某个局部域内寻找不合理指令并存入禁忌表中，其次搜索其它域时避开禁忌表中函数，但不完全隔绝，使得禁忌表中的函数情况随搜索进行学习，若当前指令优于搜索进程中最优解，则将该指令替换到禁忌表中；然后，反复迭代直到所发现指令在禁忌表中不再改进或无法离开它时算法停止；将禁忌表指令过滤后，接着在剩下的指令中找到一个控制入口点，直至到达第一个控制转移点。4.根...

【专利技术属性】
技术研发人员：常清雪，龙昌伟，
申请(专利权)人：四川长虹电器股份有限公司，
类型：发明
国别省市：四川,51