[发明专利]恶意代码标注方法和装置

说明书

技术领域

本发明涉及信息安全技术领域，具体而言，涉及一种恶意代码标注方法和装置。

背景技术

随着信息技术的不断发展，应用领域的不断拓展，对信息安全的要求也越来越高。现有技术中，一般是通过对恶意代码进行检测、标注，进而实现对恶意代码的防护。其中，恶意代码的检测面临着的主要问题是需要对数量巨大的可疑文件进行检测。

经发明人研究发现，产生数量巨大的可疑文件的原因主要是恶意代码制造者为了逃避检测，通过模块化的方法使恶意代码具有多样性的特征。现有的对恶意代码进行检测、标注的方法，一般包括动态标注方法和静态标注方法。其中，静态标注方法因标注特征单一而存在标注准确性低的问题。

发明内容

有鉴于此，本发明的目的在于提供一种恶意代码标注方法和装置，以解决现有技术中因标注特征单一而存在标注的准确性低的问题。

为实现上述目的，本发明实施例采用如下技术方案：

一种恶意代码标注方法，包括：

获取恶意代码的操作码文件和字节码文件；

根据所述操作码文件生成文本指纹特征；

根据所述操作码文件和字节码文件生成图像指纹特征；

结合所述文本指纹特征和所述图像指纹特征对所述恶意代码进行标注。

在本发明实施例较佳的选择中，在上述恶意代码标注方法中，所述获取恶意代码的操作码文件和字节码文件的步骤包括：

获取恶意代码；

通过反汇编器对所述恶意代码进行反汇编处理，得到所述恶意代码的操作码文件和字节码文件。

在本发明实施例较佳的选择中，在上述恶意代码标注方法中，所述根据所述操作码文件生成文本指纹特征的步骤包括：

获取所述操作码文件中的多个n-gram特征和多个segment特征；

通过随机森林算法分别对所述多个n-gram特征和所述多个segment特征按照重要度进行排序；

按照重要度分别获取预设数量个n-gram特征和预设数量个segment特征，并将获取的n-gram特征和segment特征作为文本指纹特征。

在本发明实施例较佳的选择中，在上述恶意代码标注方法中，所述根据所述操作码文件和字节码文件生成图像指纹特征的步骤包括：

根据所述操作码文件和字节码文件绘制恶意代码图像，所述恶意代码图像包括操作码图像和字节码图像；

分别获取所述操作码图像中的像素特征以及所述字节码图像中的GIST特征、SIFT特征和灰度共生矩阵特征，并将获取的像素特征、GIST特征、SIFT特征和灰度共生矩阵特征作为图像指纹特征。

在本发明实施例较佳的选择中，在上述恶意代码标注方法中，所述结合所述文本指纹特征和所述图像指纹特征对所述恶意代码进行标注的步骤包括：

通过随机森林分类器对组合后的GIST特征和SIFT特征进行分类；

通过Xgboost分类器对组合后的文本指纹特征和像素特征进行分类；

通过OVRSVMs分类器对所述灰度共生矩阵特征进行分类；

根据各分类器的分类结果以及该分类器在各分类器中的权重对所述恶意代码进行标注。

在上述基础上，本发明实施例还提供了一种恶意代码标注装置，包括：

文件获取模块，用于获取恶意代码的操作码文件和字节码文件；

文本特征生成模块，用于根据所述操作码文件生成文本指纹特征；

图像特征生成模块，根据所述操作码文件和字节码文件生成图像指纹特征；

恶意代码标注模块，用于结合所述文本指纹特征和所述图像指纹特征对所述恶意代码进行标注。

在本发明实施例较佳的选择中，在上述恶意代码标注装置中，所述文件获取模块包括：

恶意代码获取子模块，用于获取恶意代码；

文件获取子模块，用于通过反汇编器对所述恶意代码进行反汇编处理，得到所述恶意代码的操作码文件和字节码文件。

在本发明实施例较佳的选择中，在上述恶意代码标注装置中，所述文本特征生成模块包括：

文件特征获取子模块，用于获取所述操作码文件中的多个n-gram特征和多个segment特征；

特征排序子模块，用于通过随机森林算法分别对所述多个n-gram特征和所述多个segment特征按照重要度进行排序；

文本特征生成子模块，用于按照重要度分别获取预设数量个n-gram特征和预设数量个segment特征，并将获取的n-gram特征和segment特征作为文本指纹特征。