[发明专利]一种基于代码特征的跨平台二进制代码匹配方法及系统

说明书

本发明涉及一种基于代码特征的跨平台二进制代码匹配方法及系统，包括从内存dump出data或rdata段的数据提取里面的常量字符串特征，并通过算法生成常量字符串的哈希特征值；依次提取语法/文本特征，提取代码的语义特征以及提取图同构的特征，将所有特征按照预定顺序进行首尾相接，拼接成高维的特征向量；对所有高维的特征向量进行降维，使用分类器对降维后的特征向量进行多分类训练，得到训练好的分类器模型，并对新的特征向量进行分类匹配，判断新的特征向量的二进制代码属于哪种加密或者签名校验。本发明能快速找到恶意app用于加密或签名的二进制代码，还能广泛用于代码抄袭检测、补丁检测、代码漏洞发现、恶意软件族谱追踪等。

技术领域

本发明涉及软件安全技术领域，尤其涉及一种基于代码特征的跨平台二进制代码匹配方法及系统。

背景技术

随着智能设备的普及，基于这类设备的app日益增多，其中不乏大量的恶意app，为了更好地防范和打击这类恶意app，需要对app进行代码分析，而因为这类app是已经编译过的app，因此只能分析其二进制代码，但是这类恶意app有很多恶意功能，一般情况下不能在真机中运行，只能通过静态方法或者模拟器执行的方式分析器源码，找到恶意功能实现的细节和原理；为了防止被逆向分析，很多恶意app都会使用加密算法对自身代码进行加密，或者对发送的数据包做加密或指纹签名，因此，分析前必须先解密数据才能继续对代码进行分析。

现有对恶意app用于加密或者签名代码的逆向分析，主要是提取特征后进行比对，比如一种是提取常量特征后转为哈希值匹配，这种方式按照ASCII码的方式提取常量，会提取大量无意义的字符串，这些无意义的字符串常量会反过来增加哈希值数量，加大数据存储和后续计算匹配的压力，而且判断字符串属于哪个函数的运算成本很高，所以通过常量字符串方式多为匹配文件颗粒度的相似度，无法进一步细化到代码相似度的匹配；另一种是提取代码特征后计算特征之间的相似度或用机器学习方法做分类，这种方式如果二进制代码被OLLVM(低水平虚拟机混淆器)混淆，原有代码基本块的跳转关系就会被完全打乱，此时生成的CFG(控制流图)或ICFG(过程间控制流图)图就无法表征原始二进制代码的跳转关系特征，而且原有二进制代码中基本块与函数的上下游调用关系，各种特征也会被完全打乱，原有的特征提取办法就会失效；因此，现有的二进制匹配比对思路都是提取各类特征后做对比，但都不完善，提取的特征都可能会被针对性地破坏或故意误导。

需要说明的是，在上述背景技术部分公开的信息只用于加强对本公开的背景的理解，因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。

发明内容

本发明的目的在于克服现有技术的缺点，提供了一种基于代码特征的跨平台二进制代码匹配方法及系统，解决了现有方法存在的不足。

本发明的目的通过以下技术方案来实现：一种基于代码特征的跨平台二进制代码匹配方法，所述方法包括：

S1、从内存dump出data或rdata段的数据提取里面的常量字符串特征，并通过算法生成常量字符串的哈希特征值；

S2、依次提取语法/文本特征，提取代码的语义特征以及提取图同构的特征，将所有特征按照预定顺序进行首尾相接，拼接成高维的特征向量；

S3、通过随机森林算法对所有高维的特征向量进行分类实现压缩降维，使用分类器对降维后的特征向量进行多分类训练，得到训练好的分类器模型，通过该分类器模型对新的特征向量进行分类匹配，判断新的特征向量的二进制代码属于哪种加密或者签名校验。

所述提取语法/文本特征包括：

以指令的基础块为单元，去除该单元内所有二进制汇编指令的操作数只保留操作码，以此屏蔽不同的常数项和寄存器带来的文本差异；

对于每个操作码求出其tf-idf值，其值越高说明该指令在当前基础块内的特征越明显；