【技术实现步骤摘要】
一种基于系统调用控制流图的恶意代码同源性分析方法
本专利技术涉及网络安全
,尤其涉及一种基于系统调用控制流图的恶意代码同源性分析方法。
技术介绍
恶意代码数量大量增加,但新出现恶意代码大都是已有恶意代码的变种,其核心功能没有发生太大变化。恶意代码变种多采用混淆技术逃避毒检测实施攻击。同源性最早是指在分子进化研究中,两种核酸分子的核苷酸序列之间或两种蛋白质分子的氨基酸序列之间的相似程度。应用到软件领域的同源性分析是指将两款软件从源代码到软件功能上进行比较,找出它们是否相同或者相似,并给出相似度描述两款软件的相似程度。恶意代码的同源性分析多采用基于特征识别的方法进行。早期,通过提取恶意代码的序列段作为特征码,采用序列匹配的方式对目标代码进行识别。序列段可以是反编译之后的操作码序列,也可以是代码执行过程中的动态系统调用序列。但加入了混淆技术的恶意代码变种往往不能被简单的序列匹配识别出来。随后基于行为特征的研究方法被提出,将关注点放在目标代码的实际行为而非代码结构,以此抵抗恶意代码混淆技术。常用的行为特征表示方法包括指令块控制流图、函数调用图等,以上几种行为特征在引...
【技术保护点】
1.一种基于系统调用控制流图的恶意代码同源性分析方法,其特征在于,包括:步骤一、构造待分析程序的系统调用控制流图;所述系统调用控制流图是由系统调用节点构成的有向无权图,边的方向表示系统调用执行的先后关系;步骤二、比较不同待分析程序的系统调用控制流图,以根据图相似度作为同源性分析的相似性度量,实现同源性分析。
【技术特征摘要】
1.一种基于系统调用控制流图的恶意代码同源性分析方法,其特征在于,包括:步骤一、构造待分析程序的系统调用控制流图;所述系统调用控制流图是由系统调用节点构成的有向无权图,边的方向表示系统调用执行的先后关系;步骤二、比较不同待分析程序的系统调用控制流图,以根据图相似度作为同源性分析的相似性度量,实现同源性分析。2.如权利要求1所述的方法,其特征在于,所述步骤一为:定义没有被其他函数调用的函数为入口函数;递归遍历程序中各入口函数的指令块控制流图;针对每个指令块控制流图,当遇到“CALL”指令时,判断被调用函数是内部函数还是系统调用函数;若被调用的是系统调用函数,则创建名为此系统调用的节点;各节点按所属指令块在指令块控制流图的相对位置相连接,从而建立系统调用图;若被调用的是内部函数,则遍历此内部函数的指令块控制流图,按照为系统调用函数建立系统调用图的方式,建立该内部函数的系统调用图,按照该内部函数的调用位置,将该内部函数的系统调用图插入上一级系统调用图;当此递归遍历过程结束时,得到一张只包含系统调用节点的系统调用控制流图。3.如权利要求2所述的方法,其特征在于,步骤一在进行递归遍历之前,进一步对所述指令块控制流图进行剪枝,只保留含有“CALL”指令的基本块和控制流。4.如权利要求3所述的方法,其特征在于,所述剪枝为:针对指令块控制流图中不含有“CALL”指令的基本块A,分别保存它的前继基本块和后继基本块,每个前继基本块分别与每个后继基本块连接,然后删除基本块A以其跳转分支;若基本块A为函数入口或出口,在删除基本块A之前更新其入口节点和出口节点。5.如权利要求2所述的方法,其特征在于,步骤一所述各节点按所属指令块在指令块控制流图的相对位置相连接的方式为:对于属于同一基本块的多个节点,按照执行顺序,顺序相连;然后根据基本块在指令块控制流图中的位置,相连后的首节点与所属基本块的前继基本块相连,尾节点与所属基本块与后继基本块相连。6.如权利要求2所述的方法,其特征在于,对于调用内部节点的情况,进一步判断调用函数的返回参数is_cross参数值是否为1;如果为1,则表示前继节点和后继节点之间存在通路,在将该内部函数的系统调用图插入上一级系统调用图之后,进一步将当前内部函数的前继节点和后继节点相连;如果is_cross参数值是否为0,则只需要执行所述插入的操...
【专利技术属性】
技术研发人员:王勇,史小东,梁杰,孙青煜,张继,刘振岩,薛静锋,
申请(专利权)人:北京理工大学,中国信息安全测评中心,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。