[发明专利]一种未知代码的属性判断方法

权利要求书

1.一种未知代码的属性判断方法，其特征是，基于相似性哈希算法，具体包括以下方法：

对未知样本进行沙盒分析，生成未知样本的API调用序列日志；

计算未知样本的API调用序列日志的相似性哈希值，量化与各类恶意代码的平均相似程度。

2.根据权利要求1所述的方法，其特征是，在上述步骤之前还需要生成未知样本的对照标准值，具体包括以下步骤：

搜集不同类别的恶意代码样本；

对所搜集的样本进行沙盒分析，生成所搜集样本的API调用序列日志；

计算所搜集样本的API调用序列日志的相似性哈希值。

3.根据权利要求2所述的方法，其特征是，样本的搜集包括以下方法：

在每种恶意代码下选择典型的样本N个，N为正整数；N值的选取由判断精度的本地策略决定。

4.根据权利要求2所述的方法，其特征是，对所搜集的样本进行沙盒分析，生成所搜集样本的API调用序列日志包括以下方法：

使用开源沙盒Cuckoo环境对恶意样本进行批量化分析；

将选定样本上传至配置好的虚拟机中运行，得到样本的行为数据，样本的行为数据即API调用序列日志。

5.根据权利要求1所述的方法，其特征是，对未知样本进行沙盒分析，生成未知样本的API调用序列日志包括以下方法：

对于选定的未知代码程序，上传至Cuckoo沙盒进行行为分析，得到未知样本的API调用序列日志。

6.根据权利要求1所述的方法，其特征是，计算未知样本的API调用序列日志的相似性哈希值，量化与各类恶意代码的平均相似程度包括以下方法：

对未知样本的行为日志文件，计算其哈希值Hash_未；

比较Hash_未与所搜集样本的API调用序列日志哈希值的相似度，得到相似度分数M，M介于0与100之间；

对于每一类恶意代码，便可以得到相似度分数M₁，M₂，…,M_N；

计算未知代码与该类恶意代码的平均相似程度A＝(M₁+M₂+…+M_N)/N。

7.根据权利要求6所述的方法，其特征是，所述相似度分数M为0表示Hash_未与所搜集样本的API调用序列日志哈希值完全不同；

相似度分数M为100表示Hash_未与所搜集样本的API调用序列日志哈希值完全相同。

8.根据权利要求1所述的方法，其特征是，还包括根据预设的两类威胁门限值T1、T2进行对未知样本的分析和判定，具体包括以下方法：

平均相似度低于第一类门限值T1的未知代码视作正常，平均相似度介于第一类门限值T1和第二类门限值T2之间的未知代码视作可疑，平均相似度高于第二类门限值T2的未知代码视作高危。

9.根据权利要求8所述的方法，其特征是，还包括可视化判断结果，具体包括以下方法：以恶意代码的类别为极坐标系极轴方向，均匀划分整个二维极坐标平面，使用雷达图的方式呈现对未知代码属性判断的结果，各个极轴方向上的极径长度即为每个类别下的平均相似度分数。