[发明专利]基于深度学习的恶意代码同源判定方法

说明书

本发明提供了一种基于深度学习的恶意代码同源判定方法，包括：利用IDA工具，对于待判定的恶意代码进行反汇编，通过正则表达式匹配得到其中核心二进制内容，同时去除无用信息；接收二进制内容作为输入，利用恶意代码可视化算法，将二进制内容映射为恶意代码图像；利用恶意代码图像与标签值组成的样本集，对深度学习模型卷积神经网络进行训练，得到成熟的判定模型。接收待判定的恶意代码作为输入，完成同源判定。本发明通过恶意代码可视化算法，将同源判定任务转化为图像分类任务，结合深度学习判定模型，实现了一个可用的恶意代码同源判定方法。实现比现有系统更高判定准确率的同源判定技术。

技术领域

本发明涉及互联网信息安全技术领域，具体地，涉及的是一种基于深度学习的恶意代码同源判定方法，通过恶意代码可视化算法，将同源判定任务转化为图像分类任务，结合深度学习判定模型，实现了一个可用的恶意代码同源判定方法。

背景技术

互联网时代到来，信息技术迅猛发展，它在为人们提供种种便利的同时，也带来了潜在的信息安全问题，尤其是网络安全问题，它威胁着用户信息财产的安全，而恶意代码的泛滥就是其中之一。恶意代码指的是所有携带恶意攻击的软件的实现代码，它是一种违背了目标系统安全策略的程序代码，其目的包括造成系统信息的泄露与资源滥用、破坏目标系统的完整性与可用性。

针对爆发式增长的恶意代码，安全研究人员对恶意代码分析技术做出深入研究。结果发现，很多新型的恶意代码都是来自于已有的恶意代码的变种。代码编写者利用变形、加壳、多态、代码扰乱等技术对原有代码做处理，以躲避例如特征码匹配等传统恶意代码检测技术，这些代码往往具有高度相似的结构、雷同的函数调用顺序与代码编写习惯等。对未知恶意代码进行同源性判定能够找出与其具有相似特征的、已记录在库的同源恶意代码，从而做出快速响应与处理。

恶意代码可视化思想用于恶意代码分析研究已有学者进行一定研究，该思想最早是由加利福尼亚大学的Nataraj和Karthikeyan在2011年提出的，利用图像中的纹理特征对恶意代码进行分析与检测。而近年来，伴随着深度学习技术的迅猛发展，卷积神经网络在图像识别领域展现出卓越性能，为恶意代码图像的分类判定提供新的模型选择。

目前没有发现同本发明类似技术的说明或报道，也尚未收集到国内外类似的资料。

发明内容

本发明针对现有技术存在的上述不足，提供了一种基于深度学习的恶意代码同源判定方法，该方法使用发展日益成熟的深度学习判定模型，完成一个可用的有价值的恶意代码同源判定方法。该方法利用一种恶意代码可视化算法将恶意代码映射为灰度图像，将同源判定问题转化为图像分类问题，结合深度学习的卷积神经网络模型，实现比现有系统更高判定准确率的同源判定技术。

本发明是通过以下技术方案实现的。

一种基于深度学习的恶意代码同源判定方法，包括以下步骤：

步骤S1，恶意代码预处理：对于待判定的恶意代码进行反汇编，通过正则表达式匹配得到其中核心二进制内容，同时去除无用信息；

步骤S2，恶意代码可视化：接收步骤S1中得到的核心二进制内容作为输入，利用恶意代码可视化算法，将核心二进制内容映射为恶意代码图像；

步骤S3，基于深度学习的同源判定：利用步骤S2中得到的恶意代码图像与标签值组成的样本集，对深度学习模型卷积神经网络进行训练，得到成熟的判定模型；接收待判定的恶意代码作为输入，完成同源判定。

优选地，步骤S1中，利用IDA工具，对于待判定的恶意代码进行反汇编，得到汇编代码，并将汇编代码作为处理对象；对汇编代码标注代码段、数据段和资源段，并将代码段与数据段作为恶意代码核心内容，忽略汇编代码的资源段；利用正则表达式匹配方法提取恶意代码核心内容的二进制串，即得到核心二进制内容。

优选地，步骤S1中，所述无用信息，是指汇编代码中存在的用于提高访问效率的数据对齐伪指令。