| 发明名称 | 基于函数调用图指纹的恶意软件检测方法 | ||
| 摘要 | 本发明提供了一种基于函数调用图指纹的恶意软件检测方法,包括:判断已知恶意软件样本是否加壳;进行反汇编处理,得到恶意软件样本的汇编代码;以函数为结点,函数间的调用为边,生成函数调用图;函数调用图作为该样本的指纹,加入图指纹库;判断待检测样本是否加壳;进行反汇编处理,得到待检测样本的汇编代码;基于汇编代码生成待检测样本的函数调用图,该图作为检测样本的指纹;将待检测样本的函数调用图指纹和图指纹库中每一个图都进行同构判断等步骤。本发明使用函数调用图作为软件的指纹,充分利用函数调用图是一种特殊的图的性质来识别大部分恶意软件及其变种,识别时间短、效率高。 | ||
| 申请公布号 | CN105046152A | 申请公布日期 | 2015.11.11 |
| 申请号 | CN201510442809.4 | 申请日期 | 2015.07.24 |
| 申请人 | 四川大学 | 发明人 | 王俊峰;白金荣 |
| 分类号 | G06F21/56(2013.01)I | 主分类号 | G06F21/56(2013.01)I |
| 代理机构 | 成都信博专利代理有限责任公司 51200 | 代理人 | 崔建中 |
| 主权项 | 一种基于函数调用图指纹的恶意软件检测方法,其特征在于,包括生成函数调用图指纹库和检测恶意软件两部分;生成函数调用图指纹库:步骤1,判断已知恶意软件样本是否加壳,若加壳,进行脱壳处理,若未加壳,进行后续步骤;步骤2,进行反汇编处理,得到样本的汇编代码;步骤3,以函数为结点,函数间的调用为边,生成函数调用图;步骤4,函数调用图作为该样本的指纹,加入图指纹库;检测恶意软件:步骤5,判断待检测样本是否加壳,若加壳,进行脱壳处理,若未加壳,进行后续步骤;步骤6,进行反汇编处理,得到待检测样本的汇编代码;步骤7,基于汇编代码生成待检测样本的函数调用图,该图作为检测样本的指纹;步骤8,将待检测样本的函数调用图指纹和图指纹库中每一个图都进行同构判断,若同构,则该样本为恶意软件,若和图指纹库中的所有图都不同构,则为良性软件。 | ||
| 地址 | 610065 四川省成都市武侯区一环路南一段24号 | ||