本发明专利技术涉及一种基于空间填充曲线的恶意代码可视化分析方法,包括以下步骤:将恶意代码原文件分别生成希尔伯特图和格雷图;将恶意代码的局部熵生成“之”形图;借助纹理分析方法和卷积神经网络,分别对希尔伯特图和格雷图提取Gist特征,以最近邻原则实施分类,而对“之”形图采用VGG19网络提取图像特征,以支持向量机实施分类。本发明专利技术不仅可用于恶意代码的检测及分类,还能在恶意代码分析时使分析人员直观的了解某恶意样本是否存在加密或压缩。
【技术实现步骤摘要】
一种基于空间填充曲线的恶意代码可视化分析方法
本专利技术涉及恶意代码可视化分析
,特别是涉及一种基于空间填充曲线的恶意代码可视化分析方法。
技术介绍
提取指纹特征是一种标识恶意代码的常见方法,但由于恶意样本数量急剧增殖,新增指纹特征如不及时更新就会延误恶意代码检测。传统的方法还包括静态和动态的代码分析:静态分析是通过代码反汇编,检查程序的控制流来查找恶意模式;动态分析是在虚拟环境中运行恶意代码,通过其行为刻画其属性。然而,静态方法只能在恶意代码不使用混淆技术时才能提供较全面的信息;动态方法只能在虚拟环境满足触发条件时才能观察到恶意行为。因此,为了克服现有分析技术的缺点,提高安全分析人员工作效率,将可视化技术引入恶意代码分析领域,借助图像处理技术在人工智能领域的优势,来解决恶意代码识别与分类的问题,是当前网络安全研究的热点。2011年,L.Nataraj等人提出了利用由恶意代码生成的灰度图纹理进行分类的方法。如图1所示,该方法将二进制文件每8位转换为像素的灰度值,以此将恶意文件转换成灰度图;随后,该方法提取灰度图的Gist纹理特征,运用K-NearestNeighbor(KNN)分类算法验证,取得了较高的分类正确率。虽然NatarajL,KarthikeyanS,JacobG,etal.Malwareimages:visualizationandautomaticclassification[C].InternationalSymposiumonVisualizationforCyberSecurity.ACM,2011:1-7.的方法在视觉上可以反映出同族恶意代码具有相似的图案纹理,也在分类方面获得了较优的结果,但该方法在恶意样本分析时存在以下问题:1、该方法生成的灰度图与恶意样本原文件大小成正比,如果原文件数据量较大,则大型的灰度图文件会被系统误判为解压炸弹拒绝服务攻击(DecompressionBombDosAttack),从而导致分析程序终止;2、恶意代码中的可打印字符能提示该样本的功能,但从灰度图的表征中无法显见;且恶意代码常用混淆技术隐藏其恶意活动,而灰度图无法直观的反映样本是否存在加密或加壳的情况。
技术实现思路
本专利技术所要解决的技术问题是提供一种基于空间填充曲线的恶意代码可视化分析方法,能使分析人员直观的了解某恶意样本是否存在加密或压缩。本专利技术解决其技术问题所采用的技术方案是:提供一种基于空间填充曲线的恶意代码可视化分析方法,包括以下步骤:(1)将恶意代码原文件分别生成希尔伯特图和格雷图;(2)将恶意代码的局部熵生成“之”形图;(3)借助纹理分析方法和卷积神经网络,分别对希尔伯特图和格雷图提取Gist特征,以最近邻原则实施分类,而对“之”形图采用VGG19网络提取图像特征,以支持向量机实施分类。所述步骤(1)具体为:先将恶意样本规范为固定长度的字节序列;在此基础上,将新的字节序列以不同色系区别标记可打印字符和非可打印字符,再将标记了RGB颜色值的像素序列分别以8阶Hilbert曲线和8阶Gray曲线遍历256*256二维平面的顺序填充图像,分别生成希尔伯特图和格雷图。所述新的字节序列以绿色系和品红色系区别标记可打印字符和非可打印字符。所述步骤(2)具体为:将恶意样本的局部熵规范化为固定长度的熵值序列,通过扩展熵值范围,以不同色系区别标记不同阈值范围的熵值,再将标记有RGB颜色值的像素序列按Zigzag曲线扫描256*256二维平面的顺序映射为“之”形图。以红、绿两种色系区别标记不同阈值范围的熵值。有益效果由于采用了上述的技术方案,本专利技术与现有技术相比,具有以下的优点和积极效果:本专利技术在视觉分析方面,能使分析人员直观的了解某恶意样本是否存在加密或压缩,也能从图像中掌握可打印字符在恶意样本中的信息分布;在类内分析方面,能使分析人员就同族样本的相似图案区域研究该族的演化发展趋势;在分析效率方面,本专利技术无须反汇编或沙箱运行,且能以程序自动化的方式操作,提高了分析效率,降低了对分析人员业务水平的要求;在检测分类方面,本专利技术充分利用了不同的空间填充曲线在恶意代码识别和分类上的优势,在确定待测样本归属时能提供较全面的判据。附图说明图1是现有技术中灰度图纹理分类方法示意图;图2是Rootkit.Win32.Podnuha类样本.alo的可视化图,其中图2A为格雷图、图2B为希尔伯特图、图2C之形图;图3是Backdoor.Win32.Rukap类样本.geu的可视化图,其中图3A为格雷图、图3B为希尔伯特图、图3C之形图;图4是Backdoor.Win32.Rukap类样本.kl的可视化图,其中图4A为格雷图、图4B为希尔伯特图、图4C之形图;图5是Backdoor.Win32.Rukap类样本.lc的可视化图,其中图5A为格雷图、图5B为希尔伯特图、图5C之形图;图6是本专利技术的流程图。具体实施方式下面结合具体实施例,进一步阐述本专利技术。应理解,这些实施例仅用于说明本专利技术而不用于限制本专利技术的范围。此外应理解,在阅读了本专利技术讲授的内容之后,本领域技术人员可以对本专利技术作各种改动或修改,这些等价形式同样落于本申请所附权利要求书所限定的范围。本专利技术的实施方式涉及一种基于空间填充曲线的恶意代码可视化分析方法,该方法以同族恶意代码的可视化表征相似而异族恶意代码的可视化表征差异较大为前提,利用空间填充曲线的局部自相似性。如图6所示,先将恶意样本规范为固定长度的字节序列;在此基础上,将新的字节序列以绿色系和品红色系区别标记可打印字符和非可打印字符,再将标记了RGB颜色值的像素序列分别以8阶Hilbert曲线和8阶Gray曲线遍历256*256二维平面的顺序填充图像,分别生成希尔伯特图和格雷图;与此同时,将恶意样本的局部熵也规范化为固定长度的熵值序列,通过扩展熵值范围,以红、绿两种色系区别标记不同阈值范围的熵值,再将标记有RGB颜色值的像素序列按Zigzag曲线扫描256*256二维平面的顺序映射为“之”形图。该方法在分类验证时,借助纹理分析方法和卷积神经网络,分别对希尔伯特图、格雷图提取Gist特征,以最近邻原则(NearestNeighbor)实施分类,而对“之”形图采用VGG19网络提取图像特征,以支持向量机(SVM)实施分类。用于验证本专利技术分类正确率和识别正确率的样本包括VXHeavens官方网站下载的24类共计7162个以卡巴斯基命名规则命名的恶意样本,以及9175个微软操作系统上正常的可执行文件。实施例1一种基于空间填充曲线的恶意代码可视化分析方法,具体为:步骤1:以Rootkit.Win32.Podnuha类样本.alo为例,其文件大小为205824字节,该序列以十进制表示为77-90-80-0-0-2-0-0-0-4-0-15-0-255-255-0-0……,按步长Step=205824/65536=3.140625采样,则新序列为77-0-0-4-0-0……;接着给字节标记RGB值:字节77为可打印字符,只使用绿色通道,故RGB值标记为(0,77,0),字节0为非可打印字符,同时使用红色和蓝色通道,故其RGB值标记为(0,0,0),同理字节4为非可打印字符,其RGB值标记为(4,0,4)……;本文档来自技高网...
【技术保护点】
1.一种基于空间填充曲线的恶意代码可视化分析方法,其特征在于,包括以下步骤:(1)将恶意代码原文件分别生成希尔伯特图和格雷图;(2)将恶意代码的局部熵生成“之”形图;(3)借助纹理分析方法和卷积神经网络,分别对希尔伯特图和格雷图提取Gist特征,以最近邻原则实施分类,而对“之”形图采用VGG19网络提取图像特征,以支持向量机实施分类。
【技术特征摘要】
1.一种基于空间填充曲线的恶意代码可视化分析方法,其特征在于,包括以下步骤:(1)将恶意代码原文件分别生成希尔伯特图和格雷图;(2)将恶意代码的局部熵生成“之”形图;(3)借助纹理分析方法和卷积神经网络,分别对希尔伯特图和格雷图提取Gist特征,以最近邻原则实施分类,而对“之”形图采用VGG19网络提取图像特征,以支持向量机实施分类。2.根据权利要求1所述的基于空间填充曲线的恶意代码可视化分析方法,其特征在于,所述步骤(1)具体为:先将恶意样本规范为固定长度的字节序列;在此基础上,将新的字节序列以不同色系区别标记可打印字符和非可打印字符,再将标记了RGB颜色值的像素序列分别以8阶Hilbert曲线和8阶Gray曲线遍历25...
【专利技术属性】
技术研发人员:任卓君,陈光,卢文科,
申请(专利权)人:东华大学,
类型:发明
国别省市:上海,31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。