[发明专利]二进制可执行文件相似度分析方法、系统、电子设备及存储介质

权利要求书

1.一种二进制可执行文件相似度分析方法，其特征在于，所述方法包括步骤：获取待分析二进制可执行文件的汇编代码；

对所述汇编代码携带的汇编函数信息进行降维处理，得到对应的哈希值；

根据所述哈希值确定所述待分析二进制可执行文件与样本文件的相似度。

2.根据权利要求1所述的方法，其特征在于，所述汇编函数信息包括：助记符和操作数，所述汇编代码包含多条指令；

所述对所述汇编代码携带的汇编函数信息进行降维处理，得到对应的哈希值包括：

以第一指令为起点，根据所述第一指令中携带的助记符及操作数，按照顺序执行迭代运算，将所述汇编代码转换成控制流图；所述控制流图包含：基本块及边特征；

基于深度优先遍历算法，依次计算出所述控制流图中的所有基本块及距离对应基本块预定节点长度内的所有基本块；

将每一个基本块及距离该基本块预定节点长度内的所有基本块构成一组控制流子图，得到多组控制流子图；每组控制流子图包含的控制流子图的数量与所述预定节点长度相同；

基于得到的多组所述控制流子图，计算所述控制流图的边特征对应的哈希值，以及计算所述控制流图包含的每一条指令中携带的助记符与操作数对应的哈希值。

3.根据权利要求2所述的方法，其特征在于，所述基于得到的多组所述控制流子图，计算所述控制流图的边特征对应的哈希值包括：

基于每一个控制流子图的边特征进行拓扑排序；所述边特征包含：入边、出边及自环；

根据所述拓扑排序的结果，选取一个质数进行哈希计算，得到每一个控制流子图的身份识别码；所述身份识别码用于唯一标识控制流子图，以区分不同的控制流子图；

对每一个控制流子图，计算出所述边特征对应的哈希值；

以其中一个控制流子图为计算起点，对所有哈希值进行叠加更新，得到所述控制流图的边特征对应的哈希值。

4.根据权利要求2或3所述的方法，其特征在于，所述操作数为立即数；

基于得到的多组所述控制流子图，计算所述控制流图包含的每一条指令中携带的助记符与操作数对应的哈希值包括：

遍历所述控制流图的多个控制流子图中包含的指令，提取出每条指令中的立即数；

将所述立即数进行哈希运算，得到所述立即数对应的哈希值；

以得到的第一个哈希值为起始点，对得到的所有立即数对应的哈希值进行叠加更新，得到所述控制流图的立即数特征的哈希值。

5.根据权利要求2或3所述的方法，其特征在于，基于得到的多组所述控制流子图，计算所述控制流图包含的每一条指令中携带的助记符与操作数对应的哈希值包括：

遍历所述控制流图的多个控制流子图中包含的指令，提取出每条指令中的助记符；

将所述助记符进行哈希运算，得到所述助记符对应的哈希值；

以得到的第一个哈希值为起始点，对得到的所有助记符对应的哈希值进行叠加更新，得到所述控制流图的助记符的哈希值。

6.根据权利要求1所述的方法，其特征在于，所述根据所述哈希值确定所述待分析二进制可执行文件与样本文件的相似度包括：

将所述汇编函数信息降维处理得到的哈希值进行加权计算，得到综合哈希值；

将所述综合哈希值存储至样本文件特征库中；

在接收到二进制可执行文件相似度分析指令时，基于所述样本文件特征库确定所述待分析二进制可执行文件与样本文件的相似度。

7.根据权利要求2所述的方法,其特征在于，所述操作数为立即数；

所述边特征对应的哈希值、所述立即数对应的哈希值或所述助记符对应的哈希值为成对的两个哈希值，其中一个哈希值为加权哈希值。

8.一种二进制可执行文件相似度分析系统，其特征在于，包括：获取程序单元，用于获取待分析二进制可执行文件的汇编代码；

处理程序单元，对所述汇编代码携带的汇编函数信息进行降维处理，得到对应的哈希值；

比对程序单元，根据所述哈希值确定所述待分析二进制可执行文件与样本文件的相似度。