本发明涉及一种静态标注方法,更具体地说,涉及一种基于多特征的恶意代码家族静态标注方法。
背景技术:
随着互联网的高速发展,人们对互联网产品愈加依赖,但互联网在给人们带来便利的同时也带来了更多的隐患,因此信息安全的重要性更加凸显。近年来,恶意代码呈指数级增长,这对互联网用户的财产和精神都构成了极大的威胁。现有技术提取特征单一,不能从图像源和文本源、字节码层和操作码层进行多来源多层次的提取特征。
技术实现要素:
本发明要解决的技术问题在于,针对现有技术中的缺陷,提供一种基于多特征的恶意代码家族静态标注方法。
本发明解决其技术问题所采用的技术方案是:构造一种基于多特征的恶意代码家族静态标注方法,采用恶意代码有视化技术绘制恶意代码图像,并从图像源和文本源、字节码层和操作码层进行特征的提取,多来源多层次的提取特征,有效减少了恶意代码,将为用户提供更安全的互联网环境。
在本发明所述的基于多特征的恶意代码家族静态标注方法中,所述基于多特征的恶意代码家族静态标注方法步骤为:
1)获取恶意代码图像指纹特征;
2)利用反汇编软件获取恶意代码的反汇编文件;
3)侦测图像中的局部特征;
4)构建图像尺度空间;
5)检验关键点,计算相应梯度对关键点方向进行匹配;
6)为关键点建立描述符。
实施本发明的一种基于多特征的恶意代码家族静态标注方法,具有以下有益效果:本发明降低恶意代码出现概率并且降低互联网产品隐患概率,还提高互联网产品性能,保护用户财产。
附图说明
下面将结合附图及实施例对本发明作进一步说明,附图中:
图1是本发明的基于多特征的恶意代码家族静态标注方法流程图
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
如图1所示,所述基于多特征的恶意代码家族静态标注方法步骤为:
1)获取恶意代码图像指纹特征;
2)利用反汇编软件获取恶意代码的反汇编文件;
3)侦测图像中的局部特征;
4)构建图像尺度空间;
5)检验关键点,计算相应梯度对关键点方向进行匹配;
6)为关键点建立描述符。
进一步的,所述基于多特征的恶意代码家族静态标注方法采用恶意代码有视化技术绘制恶意代码图像,并从图像源和文本源、字节码层和操作码层进行特征的提取,多来源多层次的提取特征。
进一步的,所述基于多特征的恶意代码家族静态标注方法对恶意代码进行家族标记,根据分析技术手段的不同,将恶意代码家族标记方法分为动态分析技术和静态分析技术。通过绘制系统api之间的调用关系图,采用最长公共子序列,对绘制的api调用关系图与已建立的图数据库进行相似性匹配;使用动静结合的方式,对恶意代码样本的动态行为和静态代码文本区段排列规律进行研究,并利用信息熵判断恶意软件是否加壳并进行脱壳处理。
进一步的,所述基于多特征的恶意代码家族静态标注方法采用将恶意代码的反汇编文件映射为无压缩的灰度图的方法进行恶意代码图像绘制。对于待标注的恶意代码,利用反汇编软件获取恶意代码的反汇编文件。所述基于多特征的恶意代码家族静态标注方法通过gist算法获取图像的纹理特征,进行图像识别。假设待提取特征的恶意代码图像为一个整体,首先将其划分为nxn的网格,每个网格表示一个子区域,在每个网格内计算每个通道的平均能量得到特征,将每个网格的特征级联起来,就能得到恶意代码图像的全局gist特征。
进一步的,所述基于多特征的恶意代码家族静态标注方法通过sift算法对恶意代码进行侦测,分为5步:
1.构建图像尺度空间,检测尺度空间中的局部极值点;
2.对关键点进行检验,通过计算相应的梯度对关键点方向进行匹配;
3.找到关键点并确认相应信息;
4.为每个关键点建立一个描述符,用1组向量将这个关键点描述出来。
进一步的,所述基于多特征的恶意代码家族静态标注方法从恶意代码字节码层和操作码层提取基于恶意代码图像和文本的多个特征,各个特征提取的角度和特征自身的维度各不相同,各个特征提取的角度和特征自身的维度各不相同,设计三层多分类器联合框架,更好利用了提取的特征。特征组合层的作用是将提取的恶意代码特征根据其提取的算法、特征的来源和特征的维度进行组合。
尽管通过以上实施例对本发明进行了揭示,但本发明的保护范围并不局限于此,在不偏离本发明构思的条件下,对以上各构件所做的变形、替换等均将落入本发明的权利要求范围内。