[发明专利]一种受生物基因启发的恶意代码检测方法

说明书

本发明涉及恶意代码检测技术领域，公开一种受生物基因启发的恶意代码检测方法，包括：定义恶意代码软件基因；基于定义的恶意代码软件基因对代码进行基因提取；通过Smith‑Waterman算法得出提取的恶意代码软件基因间的距离值；根据提取的恶意代码软件基因间的距离值对提取的恶意代码软件基因进行聚类；根据聚类结果将恶意代码软件基因映射到特征向量上，每类恶意代码软件基因对应特征向量的一维数据；根据所述特征向量，通过机器学习模型构建恶意代码检测器，通过所述恶意代码检测器对待测代码中的恶意代码进行检测。通过本发明生成的恶意代码检测器具有较高的恶意代码检测准确率。

技术领域

本发明涉及恶意代码检测技术领域，特别涉及一种受生物基因启发的恶意代码检测方法。

背景技术

近年来，Mirai、WannaCry、BlackEnergy等恶意软件层出不穷，给全球带来了巨大的损失。据腾讯《2017年度互联网安全报告》显示，2017年检测到大约1.36亿个新的恶意软件样本(Tencent United Security Laboratory.https://slab.qq.com/news/authority/1708.html(2018))。每年在自动化工具的帮助下生产数以百万计的新恶意软件样本。传统方法，如签名匹配或基于规则的检测，缺乏能够检测未知的恶意软件及其变种。人工分析是精确的但却是低效率的。所以依赖机器学习算法对自动化分析工具，包括动态和静态分析工具，产生的海量数据进行学习，并构造恶意代码检测器，已经成为该领域的一种必然趋势。

基于基因分析的恶意代码检测是一种应对网络攻击威胁的新技术，主要以静态反编译工具对样本自动化分析得到的反汇编文件为数据基础，实现了一种基于基因分析的恶意代码检测器构造方法。在基于基因分析的恶意代码检测研究中，借鉴了信息生物学中成熟的研究思路和相关算法。因为生物基因的研究所面临的问题与软件分析存在许多共通之处，如它们都是以序列或图作为分析对象。生物基因分析的目标包括相似性和同源性分析、致病基因测定等，恶意代码分析的目标是样本家族归类、异常样本检测等，与之相似。恶意代码检测器就是检测软件中是否存在一个或若干个可疑的功能片段，进而对软件是否具备恶意性进行判定。

在恶意代码分析领域，也存在其他基于基因分析的研究。但Drew等人(J.Drew,T.Moore,M.Hahsler.SecurityPrivacy Workshops,00:81-87(2016)；J.Drew,M.Hahsler,T.Moore.EURASIP Journal on Information Security.2017:2(2017))将样本文件的二进制形式直接对应成DNA分子，失去了基因与语义的关联性以及分析结果的可解释性；Kirat等人(Kirat,G.Vigna.ACM Sigsac Conference on Computer and CommunicationsSecurity.2015:769-780(2015))将样本的动态执行序列作为DNA分子，并用Smith-Waterman算法进行比对，执行序列的长度非常长，带来了较大的计算复杂度。

恶意代码检测器就是检测软件中是否存在一个或若干个可疑的功能片段，进而对软件是否具备恶意性进行判定。在恶意代码分析领域，已存在基于基因分析的研究，然而，目前存在的对基于基因启发的恶意软件分析方法大多数都有自己的限制，如失去了基因与语义的关联性以及分析结果的可解释性、计算复杂度大等。缺乏优化的检测方案而难以实施，进而难以从根本上保证对恶意代码进行有效地安全性检测。

发明内容

本发明针对恶意代码分析目前存在的对基于基因启发的恶意软件分析方法大多数都有自己的限制，从而难以保证对恶意代码进行有效地安全性检测的问题，提出了一种受生物基因启发的恶意代码检测方法。

为了实现上述目的，本发明采用以下技术方案：

一种受生物基因启发的恶意代码检测方法，包括以下步骤：