[发明专利]一种基于深度学习的恶意代码同源判定系统及其判定方法

说明书

本发明公开了一种基于深度学习的恶意代码同源判定系统及其判定方法，涉及信息安全技术领域。同源判定系统包括同源数据库模块、自动化脱壳模块、可视化模块、深度学习模块和报告生成模块。判定方法为，同源数据库模块自动从网络空间收集恶意代码，提取同源信息，更新数据库；自动化脱壳模块对恶意代码样本进行查壳和自动化脱壳，重构可执行的无壳样本；可视化模块生成表征恶意代码全局特征的灰度图序列；深度学习模块由提取抽象特征的卷积神经网络和进行序列学习的门循环单元神经网络组成。报告生成模块结合同源数据库中信息和深度学习模块的结果生成同源报告。本发明提高了系统的通用性、合理性和对随机恶意代码的同源判定能力。

技术领域

本发明涉及信息安全技术领域，尤其涉及一种基于深度学习的恶意代码同源判定系统及其判定方法。

背景技术

恶意代码同源判定(Malware Attribution)是指分析不同恶意代码源自同一组织或个人。这些恶意代码可能源自不同的家族，使用不同的编译器，通过不同加壳技术保护。

基于传统机器学习算法的恶意代码同源判定技术经过了下述发展历程。

2004年，Frantzeskou G、Gritzalis S、MacDonell S G发文提出基于源代码编程风格分析的恶意代码同源判定方法。这类方法直观，特征分析容易，但缺乏通用性，因为大多数情况下，恶意代码的源码无法拿到。

2011年，Rosenblum N、Zhu X、Miller B P发文提出基于恶意代码二进制文件分析的同源判定方法。这类方法的特点是通过逆向工程，尽可能从二进制文件中还原恶意代码的特征，再利用这些特征结合机器学习算法进行同源判定。2012年官强、刘星基于恶意代码的静态特征提出的同源性自动判定技术，2015年张永铮基于调用习惯提出的恶意代码同源判定方法以及2015年何源浩提出的一种海量恶意样本同源判定方法都属于Rosenblum N方法的类别。这类方法的缺点是反汇编耗时复杂，反编译难以实现，人工特征提取无法自动化。

Rosenblum N方法的变种是基于恶意代码运行时特征的恶意代码同源判定技术。2015年，康排提出的基于行为特征相似性分析恶意代码的同源性技术就属于此类别。但基于运行时行为特征相似性的方法需要大量的对运行上下文环境进行建模，缺乏可行性和合理性。

基于深度学习算法的恶意代码同源判定技术经过了下述发展历程。

2011年，Nataraj L、Karthikeyan S、Jacob G等发文提出基于恶意代码可视化的同源判定方法，该方法的核心思想是将恶意代码二进制文件直接转换为灰度图，再利用图片分类的方法进行同源判定，该方法给海量恶意代码的自动化同源判定提供了新思路。

近几年，Nataraj L恶意代码可视化的思想结合深度学习演化出好几个版本的恶意代码同源判定技术。但究其本质都是用一张有限的灰度图来标识恶意代码，然后利用成熟的卷积神经网络(Convolutional Neural Network，CNN)来进行同源判定。这类方法输入层向量长度固定，难以消除不同编译器带来的噪声；同时有限的灰度图无法解决恶意代码同源判定中的长期依赖问题(ong-term dependencies)，即作者的编程风格随时间缓演化；恶意代码本身具有空间和时间上的特征。最后该类方法也不能抵抗加壳技术。

综上，现有方法中还没有一种针对海量恶意代码的、通用性强的、准确率高的恶意代码同源判定技术。

因此，本领域的技术人员致力于开发一种基于深度学习的恶意代码同源判定系统及其判定方法，以期改良单一卷积神经网络在恶意代码同源判定中存在的问题，同时得到一份全面的同源判定结果。

发明内容

有鉴于现有技术的上述缺陷，本发明所要解决的技术问题是如何实现通用性强、自动化的恶意代码同源判定系统。