The source code of the application is obtained by reverse engineering technology, and the code to be detected is converted into natural language text. Malicious code analysis based on high-level semantics is carried out to determine the motivation description of the code, and whether the code to be detected is malicious code is determined according to the motivation description. Based on the current mature knowledge of natural language analysis, the motivation description library of malicious programs is constructed by describing the concept of malicious programs in natural language and corresponding malicious loads. Finally, according to the natural language description library, the natural language description generated by programs is categorized by using natural language related technologies to realize the analysis and detection of malicious code. The beneficial effect is that the technical scheme of the invention can describe the code information comprehensively and accurately, and extract more abundant semantic features. Updating the malicious program motivation description library in real time can detect all malicious programs, including new malicious programs in the future.
【技术实现步骤摘要】
基于高级语义的恶意代码分析与检测方法
本专利技术涉及信息安全
,尤其涉及一种基于高级语义的恶意代码分析与检测方法。
技术介绍
恶意软件是指任何对计算机和网络存在着潜在危害的计算机软件。目前,恶意代码的数量和种类逐年增加,并且制作技术发展迅速,对全球网络环境安全带来巨大威胁。现有技术对应用恶意代码检测提供了多种不同的技术思路。如公布号为CN107688742A的专利技术专利公开了一种大规模快速移动应用APP检测和分析方法,该方法是通过反编译技术进行编译并获得应用的自然语言特征,然后通过使用面向DEX的特征图像处理技术得到该APP的DEX图像特征;利用HASH算法确定APP是否重打包应用,如确定为重打包应用,则通过判断自然语言特征、DEX图像特征及APP重打包三者的参数值之和是否超过设定阈值对APP检测和分析,该方法的本质是对APP应用特征参数进行提取和判断,并采用HASH算法对特征参数进行计算,并根据计算结果确定APP应用的安全型。又如公布号为CN107180191A的专利技术专利公开了一种基于半监督学习的恶意代码分析方法和系统,该方法通过提取恶意代码的静态特征与动态特征,然后对特征参数分析并对其进行重要性排名,根据排名进行进一步检测。又如公布号为CN106096405A的专利技术专利公开了一种基于Dalvik指令抽象的Android恶意代码检测方法,该方法首先根据现有确定恶意代码建立恶意代码检测模型,然后对待检测APP进行反编译处理获得应用特征参数,最后将待检测APP应用的特征参数与恶意代码检测模型进行比较,以此进行恶意代码检测。又如公布号CN106 ...
【技术保护点】
1.一种基于高级语义的恶意代码分析与检测方法,其特征在于:利用逆向工程技术获得应用程序的源代码,将待检测代码转换成自然语言文本,并进行基于高级语义的恶意代码分析以确定代码的动机描述,并根据动机描述确定待检测代码是否为恶意代码。
【技术特征摘要】
1.一种基于高级语义的恶意代码分析与检测方法,其特征在于:利用逆向工程技术获得应用程序的源代码,将待检测代码转换成自然语言文本,并进行基于高级语义的恶意代码分析以确定代码的动机描述,并根据动机描述确定待检测代码是否为恶意代码。2.如权利要求1所述的一种基于高级语义的恶意代码分析与检测方法,其特征在于:所述恶意代码分析与检测方法的具体步骤为:步骤一:获取应用程序的源代码;步骤二:提取源代码中的关键函数并确定关键函数之间的调用关系,同时提取串行序列;步骤三:根据提取的串行序列,在线API查询并生成自然语言文本;步骤四:构建恶意程序动机描述库,所述动机描述库根据恶意负载攻击模式描述生成基于自然语言的伪代码;步骤五:根据构建的自然语言描述库对程序生成的自然语言描述利用自然语言相关技术进行文本分类,实现恶意代码的分析与检测。3.如权利要求1所述的一种基于高级语义的恶意代码分析与检测方法,其特征在于:所述应用程序包括基于Android平台开发的APP应用。4.如权利要求1或3所述的一种基于高级语义的恶意代码分析与检测方法,其特征在于:实现针对Android平台开发的应用程序的恶意代码分析与检测方法具体为:步骤一:通过逆向工程技术获...
【专利技术属性】
技术研发人员:喻民,刘超,李松,徐根伟,王彦杰,胡建勋,
申请(专利权)人:中科信息安全共性技术国家工程研究中心有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。