[发明专利]一种基于软件基因的软件同源性分析方法和装置

说明书

本发明提供了一种基于软件基因的软件同源性分析方法和装置，涉及网络安全的技术领域，包括：获取待分析软件；对待分析软件的代码执行片段化操作，得到待分析软件的软件基因组；对软件基因组中的每个软件基因执行归一化操作，得到目标软件基因组；基于软件基因库确定目标软件基因组中的每个软件基因所属的预设软件，并确定待分析软件所属的软件家族，其中，软件基因库中包含各个预设软件的软件基因和每个软件基因的标识信息，标识信息用于表征软件基因所属的预设软件，以及用于表征软件基因所属的预设软件所属的软件家族，解决了现有的软件同源性分析方法在确定待分析软件所属的软件家族时的准确性较低技术问题。

技术领域

本发明涉及网络安全技术领域，尤其是涉及一种基于软件基因的软件同源性分析方法和装置。

背景技术

随着互联网科技的发展，黑客为了获取利益，通常会编写恶意软件，或在正常软件中植入病毒，对他人的设备进行攻击和资料窃取，特别是在对他人设备进行高级可持续性威胁攻击时，黑客通常会利用到特殊的木马病毒对设备进行攻击。

同时，为了针对恶意软件的攻击，需要对恶意软件的来源进行判断，通过判定出恶意软件所属的家族或组织，进而制定针对性的防护计划。

但是，现有的方法很难从恶意软件的代码层面判断出恶意软件的来源，且判断的准确率较低。

针对上述问题，还未提出有效的解决方案。

发明内容

有鉴于此，本发明的目的在于提供一种基于软件基因的软件同源性分析方法和装置，以缓解了现有的软件同源性分析方法在确定待分析软件所属的软件家族时的准确性较低技术问题。

第一方面，本发明实施例提供了一种基于软件基因的软件同源性分析方法，该方法包括：获取待分析软件；对所述待分析软件的代码执行片段化操作，得到所述待分析软件的软件基因组；对所述软件基因组中的每个软件基因执行归一化操作，得到目标软件基因组；基于软件基因库确定所述目标软件基因组中的每个软件基因所属的预设软件，并确定所述待分析软件所属的软件家族，其中，所述软件基因库中包含各个预设软件的软件基因和每个软件基因的标识信息，所述标识信息用于表征所述软件基因所属的预设软件，以及用于表征所述软件基因所属的预设软件所属的软件家族。

进一步地，对所述待分析软件的代码执行片段化操作，得到所述待分析软件的软件基因组包括：基于反汇编技术，将所述待分析软件的代码转换为汇编代码；基于单条汇编指令，对所述汇编代码进行拆分，得到多个字节码；基于所述待分析软件中代码的跳转关系，对多个所述字节码进行拼接，得到所述软件基因组。

进一步地，对所述软件基因组中的每个软件基因执行归一化操作，得到目标软件基因组包括：基于所述汇编代码的汇编指令结构，将所述软件基因组中每个软件基因的第一目标字节码替换为第二目标字节码，得到所述目标软件基因组，其中，所述第一目标字节码包括：立即数字节码，所述第二目标字节码为00。

进一步地，所述方法还包括，通过以下方式构建所述软件基因库：获取多个预设软件；对每个所述预设软件的代码执行片段化操作，得到每个所述预设软件的软件基因组；对每个所述预设软件的软件基因组中软件基因执行归一化操作，得到每个所述预设软件的目标软件基因组；为每个所述预设软件的目标软件基因组中的软件基因添加标识信息，其中，所述标识信息用于表征所述软件基因所属的预设软件，以及用于表征所述软件基因所属的预设软件所属软件家族；将添加标识信息的软件基因存储至数据库中，得到所述软件基因库。

进一步地，对每个所述预设软件的代码执行片段化操作，得到每个所述预设软件的软件基因组包括：基于反汇编技术，将每个所述预设软件的代码转换为汇编代码；基于单条汇编指令，对每个所述预设软件的汇编代码进行拆分，得到每个所述预设软件的多个字节码；基于每个所述预设软件的代码的跳转关系，对每个所述预设软件的多个字节码进行拼接，得到每个所述预设软件的软件基因组。