[发明专利]恶意代码可视化及变种检测方法、设备及存储介质

说明书

本发明公开了一种恶意代码可视化及变种检测方法、设备及存储介质，所述恶意代码可视化及变种检测方法通过将恶意代码转化为一维时间序列信号，以便获取恶意代码的时间序列信号特征，相比提取静态语义特征以及二维图像纹理特征，大大减小了时间开销；通过分离出多个固有模态分量并得到经验模态分解谱，再进行可视化处理，便于从视觉上直观感知各个变种的共同之处和细微差异，为理解和掌握该家族变种演化提供了依据；通过由模态分解谱样本训练的分类器对恶意代码进行变种检测，使得对恶意代码的本源分析更加快速准确。本发明的可视化分析能够采用程序化的方式执行，相比恶意代码静态语义特征的分析，降低了恶意代码分析人员的专业技术要求。

技术领域

本发明涉及信息安全技术领域，尤其涉及一种恶意代码可视化及变种检测方法、设备及存储介质。

背景技术

据统计目前国际上有数万种病毒，而变种病毒却有成百上千万，恶意代码变种率从2011年的每个家族变种率为5:1，到如今1000:1以上。研究表明绝大多数的新型恶意代码都是由已知的恶意代码变异而得，而这样的变种恶意代码间只有不到2％的代码差异，这给分析恶意代码的安全研究人员提供了变种检测依据，通过检测恶意代码核心模块的相似度来对恶意代码进行变种检测。恶意代码变种检测已经成为了恶意代码检测的重点和难点。

目前，恶意代码可视化及变种检测方法从所采用的特征角度来看，主要有以下两种：基于静态语义特征的方法和基于图像纹理特征的方法。基于静态语义特征的方法主要是从恶意代码中提取操作码序列、应用程序接口(API，Application ProgrammingInterface)函数调用序列、控制流、数据流和程序依赖关系等进行分析。这种方法对程序代码的分析依赖于反汇编代码的精度，且通常会涉及判断子图同构的问题，而判断子图同构问题是NP完全(Non-deterministic Polynomial Complete)问题，判断过程耗时较长。基于图像纹理特征的方法)需要从图像这种二维数据提取特征，特征提取过程比较复杂，运行效率也比较低。故上述的种种情况均反映出现有的恶意代码可视化及变种检测方法的效率低下的技术问题。

上述内容仅用于辅助理解本发明的技术方案，并不代表承认上述内容是现有技术。

发明内容

本发明的主要目的在于提供一种恶意代码可视化及变种检测方法，旨在解决现有的恶意代码变种检测方法的效率低下的技术问题，其可视化方法可从视觉上直观感知各个变种的共同之处和细微差异，为理解和掌握该家族变种演化提供了依据。。

为实现上述目的，本发明提供一种恶意代码可视化及变种检测方法，所述恶意代码可视化及变种检测方法包括：

在接收到恶意代码检测指令时，基于所述恶意代码检测指令确定待检测的恶意代码，并按照预设转换规则将所述恶意代码转换成一维时间序列信号；

基于预设经验模态分解算法，从所述一维时间序列信号中分离出多个固有模态分量，以基于多个固有模态分量得到所述恶意代码对应的经验模态分解谱，并对所述恶意代码对应的经验模态分解谱进行可视化处理；

使用预设的由模态分解谱样本训练所得的恶意代码分类器，基于所述恶意代码对应的经验模态分解谱对所述恶意代码进行变种检测，以获取所述恶意代码的本源信息。

可选地，所述基于预设经验模态分解算法，从所述一维时间序列信号中分离出多个固有模态分量，以基于多个固有模态分量得到所述恶意代码对应的经验模态分解谱的步骤包括：

获取所述一维时间序列信号的局部极值点，并基于所述局部极值点确定首轮迭代中的固有模态分量；

从所述一维时间序列信号中分离出所述固有模态分量，将分离后的一维时间序列信号作为下一轮迭代所需的剩余时间序列信号，并基于所述剩余时间序列信号自适应计算下一轮迭代的固有模态分量；