[发明专利]一种基于代码特征的跨平台二进制代码匹配方法及系统

权利要求书

1.一种基于代码特征的跨平台二进制代码匹配方法，其特征在于：所述方法包括：

S1、从内存dump出data或rdata段的数据提取里面的常量字符串特征，并通过算法生成常量字符串的哈希特征值；

S2、依次提取语法/文本特征，提取代码的语义特征以及提取图同构的特征，将所有特征按照预定顺序进行首尾相接，拼接成高维的特征向量；

S3、通过随机森林算法对所有高维的特征向量进行分类实现压缩降维，使用分类器对降维后的特征向量进行多分类训练，得到训练好的分类器模型，通过该分类器模型对新的特征向量进行分类匹配，判断新的特征向量的二进制代码属于哪种加密或者签名校验。

2.根据权利要求1所述的一种基于代码特征的跨平台二进制代码匹配方法，其特征在于：所述提取语法/文本特征包括：

以指令的基础块为单元，去除该单元内所有二进制汇编指令的操作数只保留操作码，以此屏蔽不同的常数项和寄存器带来的文本差异；

对于每个操作码求出其tf-idf值，其值越高说明该指令在当前基础块内的特征越明显；

将所有操作码转换成字典，然后将当前基础块中所有操作码的tf-idf值按照该操作码在字典内的位置顺序排列，形成该基础块的N-hot特征向量。

3.根据权利要求1所述的一种基于代码特征的跨平台二进制代码匹配方法，其特征在于：所述提取代码的语义特征包括：在基础块的最后指令执行完毕后收集所有通用寄存器的值，并按照预定顺序将这些值进行排列，形成基础块输出值特征向量。

4.根据权利要求1所述的一种基于代码特征的跨平台二进制代码匹配方法，其特征在于：所述提取图同构的特征包括：

运行二进制代码文件筛选出没有被执行的所有基础块和二进制代码，通过静态分析的方式将没有被执行的基础块以及其之间的跳转指令进行空指令操作，并将没有被执行的二进制代码进行空指令操作；

在基础块最后指令执行结束时提取通用寄存器的值作为特征，并提取基础块指令条数、基础块的入度和基础块的出度作为特征；

判断跳转指令的跳转类型并提取作为特征，提取函数参数、函数返回值、函数调用的入度、函数调用的出度、函数代码指令条数、函数栈空间大小、函数局部变量个数和函数内部基础块个数作为特征；

将提取的所有特征按照预定顺序依次排列形成N维特征向量。

5.根据权利要求1所述的一种基于代码特征的跨平台二进制代码匹配方法，其特征在于：所述S3的步骤具体包括：

通过随机森林算法产生大量子树，每个子树抽取原特征向量特定数量的维度进行分类并以向量的形式输出分类结果，每个子树的高度为3，叶子节点数为8，即每个子树生成的向量为8维，设子树数量为L，原特征向量维度为N，N/L＞8；

将随机森林每个子树运行结果的向量首尾拼接得到新的降维后的特征向量，使用分类器对生成的降维后的特征向量进行多分类训练，得到训练好的分类器模型，通过该分类器模型对新的特征向量进行分类匹配，判断新的特征向量的二进制代码属于哪种加密或者签名校验。

6.根据权利要求1-5中任意一项所述的一种基于代码特征的跨平台二进制代码匹配方法，其特征在于：所述方法还包括训练样本生成步骤，所述训练样本生成步骤包括：

将常见的加密和签名且未被混淆的二进制代码使用编译器通过交叉编译的方式编译成不同硬件平台、不同编译器、不同编译器版本、不同操作系统对应的二进制代码文件，以增加训练数据样本，并通过S1和S2步骤提取特征，并拼接成高维特征向量作为训练样本的特征向量对分类器进行训练。