一种轻量级的恶意软件壳识别方法及系统

本发明涉及计算机安全，具体涉及一种轻量级的恶意软件壳识别方法及系统。

背景技术：

1、恶意软件壳在恶意软件中起到隐藏和加密其真实功能和行为的作用。壳技术使得恶意软件更难被传统安全工具检测和分析，增加了对抗逆向工程的难度。因此，恶意软件壳识别成为信息安全领域的重要研究方向。

2、恶意软件壳识别帮助安全研究人员和防御者及时发现和解析恶意软件样本，揭示其真正的恶意行为和威胁，从而采取有效的防御措施。通过准确识别、分类和分析恶意软件壳，可以提高安全厂商对新型威胁的响应速度，加强网络安全防护，保护用户信息安全和数据隐私。有效的恶意软件壳识别技术对于维护网络安全、打击网络犯罪和保护个人隐私具有重要意义。

3、现有方法存在特征提取困难，误报率高，分析开销大等问题，为此提高识别准确性和效率是当前厄需解决的重难点问题。

技术实现思路

1、为此，本发明提供一种轻量级的恶意软件壳识别方法及系统，以解决背景技术中提出的问题。

2、为了实现上述目的，本发明提供如下技术方案：一种轻量级的恶意软件壳识别方法，对未知文件进行控制流分析及数据流分析进行采集特征，将采集特征与现有病毒库对比，若对比到病毒壳信息，则直接发起预警，限制该文件行为；若未对比到病毒壳信息，则进行轻量级恶意软件壳识别。

3、轻量级恶意软件壳识别过程的具体为：

4、设置复杂识别模型，用于收集现有病毒库数据进行复杂识别训练；根据硬件设施条件设置对应复杂度的轻量识别模型，将复杂识别模型输出相应类别的概率值记为软目标；轻量识别模型输出相应类别的概率值记为软预测；轻量识别模型输出相应类别的概率最大的值记为硬预测；样本特征真实标签记为真实目标；

5、将未对比到的病毒壳信息作为样本特征数据输入复杂识别模型及轻量识别模型进行训练；复杂识别模型输出软目标，轻量识别模型输出软预测及硬预测；通过计算软目标与软预测的交叉熵得到损失函数的第一部分软损失l soft；通过计算硬预测与真实目标的交叉熵得到损失函数的第二部分硬损失l hard；

6、损失函数计算如下：

7、；

8、、表示软损失和硬损失两部分的占比，通过对输入特征数据迭代训练，得到最终识别结果。

9、优选的，轻量级恶意软件壳识别采用轻量识别模型对采集特征进行识别，得到识别报告，若为恶意软件，则发起预警并更新病毒库，限制该文件行为；若非恶意软件，则允许安装。

10、优选的，轻量识别模型中评估硬件设施条件包括本地计算机系统算力和网速。

11、优选的，所述控制流分析方法如下：

12、使用反汇编工具ghidra将未知文件转换为汇编代码；

13、将程序的汇编代码按照基本块进行划分，每个基本块包含一组连续的指令，并且只有一个入口点和一个出口点；

14、基于反汇编得到的汇编代码，创建程序的控制流图；

15、分析控制流图，探索不同的执行路径，包括条件分支和循环；

16、查找程序中的可能会影响程序的控制流程；

17、提取可能的恶意软件特征；

18、确保覆盖所有可能的执行路径，提取可能的漏洞或错误特征。

19、优选的，可能会影响程序的控制流程包括异常处理代码、加密解密算法、反调试技术。

20、优选的，可能的恶意软件特征包括隐藏功能、后门以及恶意代码注入。

21、优选的，所述数据流分析方法如下：

22、构建程序的数据流图，跟踪记录程序中变量的活跃性，判断变量在程序执行过程中是否被使用或修改；

23、识别提取程序中数据项之间的依赖关系，包括定义-使用关系、使用-定义关系；

24、分析记录常量值在程序中的传播路径，查看常量如何被使用和改变；

25、提取程序中是否存在敏感数据传递和处理方式及程序中是否存在未初始化的变量使用。

26、本发明还公开一种轻量级的恶意软件壳识别系统，包括计算机可读存储介质和处理器；所述计算机可读存储介质用于存储可执行指令；所述处理器用于读取所述计算机可读存储介质中存储的可执行指令，执行上述的方法。

27、本发明具有如下优点：

28、本发明提供一种轻量级的恶意软件壳识别模型，可以将复杂的壳识别模型的信息转移给轻量级的模型，从而在资源受限的环境中实现高效的壳识别任务，提高系统的响应速度和准确性，降低分析开销；

29、其中，基于控制流和数据流的文件分析方法，在采集风险特征数据的同时，进行初步壳识别，可以深入了解程序中数据的传递和使用情况、清晰地了解程序中数据的传递路径和依赖关系，帮助发现潜在的问题。

技术特征：

1.一种轻量级的恶意软件壳识别方法，其特征在于：对未知文件进行控制流分析及数据流分析进行采集特征，将采集特征与现有病毒库对比，若对比到病毒壳信息，则直接发起预警，限制该文件行为；若未对比到病毒壳信息，则进行轻量级恶意软件壳识别；

2.根据权利要求1所述的一种轻量级的恶意软件壳识别方法，其特征在于：轻量级恶意软件壳识别采用轻量识别模型对采集特征进行识别，得到识别报告，若为恶意软件，则发起预警并更新病毒库，限制该文件行为；若非恶意软件，则允许安装。

3.根据权利要求1所述的一种轻量级的恶意软件壳识别方法，其特征在于：轻量识别模型中评估硬件设施条件包括本地计算机系统算力和网速。

4.根据权利要求1所述的一种轻量级的恶意软件壳识别方法，其特征在于：所述控制流分析方法如下：

5.根据权利要求1所述的一种轻量级的恶意软件壳识别方法，其特征在于：可能会影响程序的控制流程包括异常处理代码、加密解密算法、反调试技术。

6.根据权利要求1所述的一种轻量级的恶意软件壳识别方法，其特征在于：可能的恶意软件特征包括隐藏功能、后门以及恶意代码注入。

7.根据权利要求1所述的一种轻量级的恶意软件壳识别方法，其特征在于：所述数据流分析方法如下：

8.一种轻量级的恶意软件壳识别系统，其特征在于：包括计算机可读存储介质和处理器；所述计算机可读存储介质用于存储可执行指令；所述处理器用于读取所述计算机可读存储介质中存储的可执行指令，执行如权利要求1-7任一项所述的方法。

技术总结本发明公开了一种轻量级的恶意软件壳识别方法及系统，具体涉及计算机安全技术领域，对未知文件进行控制流分析及数据流分析进行采集特征，将采集特征与现有病毒库对比，若对比到病毒壳信息，则直接发起预警，限制该文件行为；若未对比到病毒壳信息，将未对比到的病毒壳信息作为样本特征数据输入复杂识别模型及轻量识别模型进行训练；复杂识别模型输出软目标，轻量识别模型输出软预测及硬预测；通过计算软目标与软预测的交叉熵得到损失函数的第一部分软损失L<subgt;soft</subgt;；通过计算硬预测与真实目标的交叉熵得到损失函数的第二部分硬损失L<subgt;hard</subgt;。本发明可以将复杂的壳识别模型的知识转移给轻量级的模型，从而在资源受限的环境中实现高效的壳识别任务。技术研发人员：邓天石,吴响受保护的技术使用者：徐州医科大学技术研发日：技术公布日：2024/8/20