[发明专利]一种基于函数特征的恶意程序检测方法

摘要

一种基于函数特征的恶意程序检测方法，步骤如下：（1）恶意程序的功能函数选择：通过对恶意程序样本的选取，经反汇编和人工分析，指定与恶意行为紧密关联的函数为功能函数；（2）函数特征的提取：对与恶意行为紧密关联函数的函数体代码进行处理，去除干扰指令，识别条件判断语句、循环语句，转换为其等价的表示形式，作为函数特征；（3）恶意程序特征库的建立：利用恶意程序样本库，将提取到的各恶意程序样本的功能函数的函数特征，建立一个作为恶意程序模型的恶意程序特征库；（4）恶意程序检测：依据恶意程序特征库，对待测程序分析其所有函数的函数特征集合，判断是否与恶意程序特征库中特征模型相一致，以识别待测程序是否恶意程序。

主权项

一种基于函数特征的恶意程序检测方法，其特征是步骤如下：(1)恶意程序的功能函数选择：通过对恶意程序样本的选取，经反汇编和人工分析，指定与恶意行为紧密关联的函数为功能函数；(2)函数特征的提取：对与恶意行为紧密关联函数的函数体代码进行处理，去除干扰指令，识别条件判断语句、循环语句，转换为其等价的表示形式，作为函数特征；(3)恶意程序特征库的建立：利用恶意程序样本库，将提取到的各恶意程序样本的功能函数的函数特征，建立一个作为恶意程序模型的恶意程序特征库；(4)恶意程序检测：依据恶意程序特征库，对待测程序分析其所有函数的函数特征集合，判断是否与恶意程序特征库中特征模型相一致，以识别待测程序是否恶意程序；恶意程序特征库的建立的程序是：步骤20是开始状态，步骤21从恶意程序样本集合中取恶意程序样本，步骤22判断恶意程序样本是否取到，若取到转步骤23,否则转步骤26；步骤23选择恶意程序的功能函数，通过人工选取功能函数、对功能函数提取函数特征；具体处理流程如下：功能函数指对恶意行为起主要作用的函数，由分析人员指定；从恶意程序样本库中取一个恶意程序样本，经过反汇编得到恶意程序样本的汇编程序；为保证反汇编结果的质量，选用2个反汇编工具分别处理，当结果一致时，该样本为有效样本；选取其中的功能函数提取程序特征，进入恶意程序特征库；具体流程如下：步骤30是初始动作，步骤31使用objdump对取得的恶意程序样本反汇编；执行命令“objdump‑M intel‑d恶意程序样本名>obj.out.txt”，所得反汇编结果保存obj.out.txt文件中；步骤32，打开IDA pro工具，将恶意程序样本拖拽入工程区，选取默认的二进制形式，等待IDA自动处理完成后，将显示的反汇编保存到ida.out.txt中；步骤33，以上述两个工具生成的代码体为字符串，比较这两个字符串是否相同，是则转步骤35，否则转步骤34；步骤34设置返回值为Nofunc，取值为0、表示没取到功能函数，转步骤37；步骤35，指定选好的功能函数的函数体代码；步骤36，设置返回值为Okfunc，取值为1，表示取到功能函数；步骤37是结束状态；步骤24判断是否取到恶意程序的功能函数，若取到，转步骤25，否则返回步骤21；步骤25功能函数的函数特征提取，具体处理流程如下，对于需提取特征的函数，经过预处理、去混淆、条件语句和循环语句处理、嵌套调用的函数处理，获取函数特征；步骤40开始动作；步骤41对待提取特征的函数进行预处理，生成预处理后的函数代码；步骤42对预处理后的函数代码去混淆处理，生成去混淆的精简代码；步骤43对去混淆的精简处理条件语句，生成去条件语句的精简代码；步骤44对去条件语句的函数代码处理其中的循环语句，生成去循环语句的精简代码；步骤45处理函数之间的调用；步骤46为结束状态；步骤26将生成的函数特征计算SHA‑1哈希值，存入恶意程序特征库中；步骤27是结束状态。