国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      一種基于香農(nóng)信息熵的惡意代碼可視化分析方法

      文檔序號(hào):6635094閱讀:1066來(lái)源:國(guó)知局
      一種基于香農(nóng)信息熵的惡意代碼可視化分析方法
      【專(zhuān)利摘要】本發(fā)明提供了一種基于香農(nóng)信息熵的惡意代碼可視化分析方法,包括:第一步:將惡意文件的二進(jìn)制字節(jié)轉(zhuǎn)換為“像素圖”中像素點(diǎn)的黃色系明暗值,用綠色通道Ox50來(lái)標(biāo)記像素值為Ox20-Ox7E的點(diǎn);第二步:基于“像素圖”的像素值來(lái)計(jì)算“像素圖”中每個(gè)256字節(jié)塊中像素值的局部熵,所述的局部熵按照如下的香農(nóng)信息熵公式計(jì)算:其中,pi代表字節(jié)(像素)值i出現(xiàn)的概率,i的取值范圍為Ox00-OxFF,Entropy為局部熵;計(jì)算局部熵值Entropy的f(Entropy)值,其計(jì)算公式為:f(Entropy)=2Entropy-1;以f(Entropy)的計(jì)算結(jié)果生成“熵圖”;第三步:對(duì)f(Entropy)的計(jì)算結(jié)果進(jìn)行歸一化處理,生成“熵歸一化圖”。本發(fā)明能有效區(qū)分各族樣本,在進(jìn)行同族惡意代碼分析時(shí),能比較容易發(fā)現(xiàn)潛在的區(qū)別,為掌握該族變種演化規(guī)律提供了依據(jù)。
      【專(zhuān)利說(shuō)明】-種基于香農(nóng)信息熵的惡意代碼可視化分析方法

      【技術(shù)領(lǐng)域】
      [0001] 本發(fā)明涉及一種基于香農(nóng)信息熵的惡意代碼可視化分析方法。

      【背景技術(shù)】
      [0002] Malware (Malicious Software)是一種用于破壞計(jì)算機(jī)操作系統(tǒng)、竊取敏感信息 或非法訪問(wèn)隱私系統(tǒng)的軟件,通常以代碼、腳本、動(dòng)態(tài)文本或其他軟件形式出現(xiàn)。由于傳統(tǒng) 的惡意程序分析過(guò)程往往復(fù)雜耗時(shí),即使是經(jīng)驗(yàn)豐富的安全分析人員也很難發(fā)現(xiàn)潛在的 攻擊模式。為減輕認(rèn)知負(fù)擔(dān)、提高交互性,將信息可視化技術(shù)引入惡意代碼分析領(lǐng)域,即 Malware安全可視化,正是近年來(lái)網(wǎng)絡(luò)安全研究中的前沿?zé)狳c(diǎn)。
      [0003] 2008 年,美國(guó)西點(diǎn)軍校(United States Military Academy West Point) 的Gregory Conti等人在其設(shè)計(jì)的可視化分析系統(tǒng)(如圖I)中首次提出了灰度圖 (Gray-scale Images)的思想,以獨(dú)立于文本的分析視角來(lái)快速識(shí)別文件和剖析未知文件 格式。如圖1所示,該系統(tǒng)用戶界面的d區(qū)和g區(qū)分別對(duì)應(yīng)被分析文件的ASCII格式字符 串和十六進(jìn)制格式命令行;c區(qū)(Byteview)的像素(pixel)值與g區(qū)字節(jié)(Byte)的二進(jìn) 制數(shù)對(duì)應(yīng),以灰度圖的形式呈現(xiàn)文件的內(nèi)在特征;b區(qū)(Byte Presence)根據(jù)c區(qū)每行中擴(kuò) 展ASCII碼值(0-255)的存在與否來(lái)標(biāo)識(shí)自身區(qū)域中對(duì)應(yīng)行所在的列,通過(guò)這樣的映射操 作幫助用戶掌握文件規(guī)律、發(fā)現(xiàn)其中異常;f區(qū)(Dot Plot)利用文件本身的字節(jié)序列矩陣 比較文件間的相似度,在用戶分類(lèi)時(shí)提供判斷依據(jù);其它a、e、h區(qū)集成了多種與用戶互動(dòng) 的輔助功能。
      [0004] 然而,在分析文件相似性進(jìn)行分類(lèi)研究方面,Gregory Conti, Erik Dean, Matthew Sinda and Benjamin Sangster. Visual Reverse Engineering of Binary and Data Files[C]. VizSec 2008Symposium on Visualization for Cyber Security(VizSEC2008) 的方法使得計(jì)算量與文件大小成正比,分析的自動(dòng)化程度受計(jì)算機(jī)硬件性能的制約;同時(shí) 在呈現(xiàn)文件內(nèi)在特征方面,將字節(jié)所對(duì)應(yīng)的C區(qū)像素值與反映ASCII碼值存在情況的b區(qū) 割裂開(kāi)來(lái)展示,不利于對(duì)被分析文件特征的全面理解。


      【發(fā)明內(nèi)容】

      [0005] 本發(fā)明的目的是提供一種能較全面的研究分析惡意代碼的方法。
      [0006] 為了達(dá)到上述目的,本發(fā)明提供了一種基于香農(nóng)信息熵的惡意代碼可視化分析方 法,其特征在于,包括 :
      [0007] 第一步:將惡意文件的二進(jìn)制字節(jié)轉(zhuǎn)換為"像素圖"中像素點(diǎn)的黃色系明暗 值,用綠色通道0x50 (顯示效果可能會(huì)因硬件設(shè)備不同存在細(xì)微差別)來(lái)標(biāo)記像素值為 0x20-0x7E的點(diǎn)(即ASCII碼中的可打印字符);
      [0008] 第二步:基于"像素圖"的像素值來(lái)計(jì)算"像素圖"中每個(gè)256字節(jié)塊中像素值的 局部熵,所述的局部熵按照如下的香農(nóng)信息熵公式計(jì)算: 255
      [0009] Entropy = -^pl x Iog2 pt
      [0010] 其中,Pi代表字節(jié)(像素)值i出現(xiàn)的概率,i的取值范圍為OxOO-OxFF,Entropy 為局部熵;
      [0011] 計(jì)算局部熵Entropy的f (Entropy)值,其計(jì)算公式為:
      [0012] f (Entropy) = 2Entropy-l ;
      [0013] 以f (Entropy)的計(jì)算結(jié)果生成"熵圖";
      [0014] 第三步:對(duì)f (Entropy)的計(jì)算結(jié)果進(jìn)行歸一化處理,生成"熵歸一化圖"。
      [0015] 優(yōu)選地,所述的基于香農(nóng)信息熵的惡意代碼可視化分析方法還包括:
      [0016] 第四步:對(duì)第一步中的"像素圖"進(jìn)行歸一化處理,生成"像素歸一化圖"。
      [0017] 本發(fā)明借鑒灰度圖的思想,結(jié)合香農(nóng)信息熵的定義,利用K-Nearest Neighbor(KNN)分類(lèi)算法,給出了一種新的研究惡意代碼譜系分類(lèi)的可視化方法。具體技 術(shù)方案為:先將待檢測(cè)的二進(jìn)制文件轉(zhuǎn)換為黃、綠兩色通道的"像素圖";在此基礎(chǔ)上,通過(guò) 計(jì)算"像素圖"的局部熵值來(lái)生成藍(lán)綠色的"熵圖";"熵圖"再經(jīng)過(guò)歸一化處理,形成明暗不 同的綠色點(diǎn)陣分布,即"熵歸一化圖"。該方法利用局部熵計(jì)算及滑窗歸一化處理機(jī)制,不僅 能大幅度減少大型文件在相似性分析時(shí)的運(yùn)算量,而且能提高惡意代碼族分類(lèi)的可視化效 果。
      [0018] 本發(fā)明采用Python語(yǔ)言編程實(shí)現(xiàn),在Windows和Linux環(huán)境下均可運(yùn)行。
      [0019] 與現(xiàn)有的安全可視化技術(shù)相比,本發(fā)明的有益效果是:
      [0020] 1、從視覺(jué)效果上,能有效地區(qū)分各類(lèi)惡意代碼族;
      [0021] 2、在進(jìn)行同族惡意代碼分析時(shí),能比較地容易發(fā)現(xiàn)潛在的區(qū)別,為掌握該族變種 演化規(guī)律提供了依據(jù);
      [0022] 3、將"熵圖"、"熵歸一化圖"、"像素歸一化圖"三種可視化方法結(jié)合起來(lái),能較全面 的研究分析惡意代碼的整體及局部特征。
      [0023] 4、本發(fā)明能通過(guò)建立人與數(shù)據(jù)間的圖像通信,在單位時(shí)間內(nèi)提供更全面的信息感 知,不僅提高了網(wǎng)絡(luò)安全分析人員的工作效率,還能降低分析難度和對(duì)分析員技術(shù)水平和 經(jīng)驗(yàn)的要求。
      [0024] 5、本發(fā)明實(shí)現(xiàn)簡(jiǎn)單并可用于自動(dòng)化操作,由于采用了降維映射和快速相似度比較 算法,使得圖片生成時(shí)間開(kāi)銷(xiāo)小、相似度比較效率高

      【專(zhuān)利附圖】

      【附圖說(shuō)明】
      [0025] 圖IGregory Conti設(shè)計(jì)的可視化系統(tǒng)示意圖;
      [0026] 圖2為二進(jìn)制文件轉(zhuǎn)換為"像素圖"的顯示結(jié)果示例圖;
      [0027] 圖3為"像素圖"經(jīng)局部熵計(jì)算轉(zhuǎn)換為"熵圖"的示例圖;
      [0028] 圖4a為"熵圖"經(jīng)歸一化處理轉(zhuǎn)換為"熵歸一化圖"的示例圖;
      [0029] 圖4b為局部熵值與像素值的映射關(guān)系圖;
      [0030] 圖5為"像素圖"經(jīng)歸一化處理轉(zhuǎn)換為"像素歸一化圖"的示例圖;
      [0031] 圖 6 為 Email-Worm. joleee. av 樣本的"摘圖";
      [0032] 圖 7 為 Email-Worm. joleee. aw 樣本的"摘圖";
      [0033]圖 8 為 Email-Worm. joleee. ba 樣本的"摘圖"。

      【具體實(shí)施方式】
      [0034] 為使本發(fā)明更明顯易懂,茲以一優(yōu)選實(shí)施例,并配合附圖作詳細(xì)說(shuō)明如下。(用于 本發(fā)明測(cè)試的來(lái)自59個(gè)族的473個(gè)有害樣本均從VX Heavens官方網(wǎng)站下載,所有樣本均 采用卡巴斯基命名法)
      [0035] 實(shí)施例
      [0036] -種基于香農(nóng)信息熵的惡意代碼可視化分析方法,具體為:
      [0037] 步驟1 :將惡意文件(Trojan. Regrun. rk)的二進(jìn)制字節(jié)轉(zhuǎn)換為"像素圖"中像素點(diǎn) 的黃色系明暗值,用綠色通道0x50 (顯示效果可能會(huì)因硬件設(shè)備不同存在細(xì)微差別)來(lái)標(biāo) 記像素值為0x20-0x7E的點(diǎn)(即ASCII碼中的可打印字符);如圖2所示,其中黑色的部分 是背景顏色,即二進(jìn)制字節(jié)為〇值。
      [0038] 步驟2 :基于"像素圖"的像素值來(lái)計(jì)算"像素圖"中每個(gè)256字節(jié)塊中像素值的局 部熵,所述的局部熵按照如下的香農(nóng)信息熵公式計(jì)算:
      [0039]

      【權(quán)利要求】
      1. 一種基于香農(nóng)信息熵的惡意代碼可視化分析方法,其特征在于,包括: 第一步:將惡意文件的二進(jìn)制字節(jié)轉(zhuǎn)換為"像素圖"中像素點(diǎn)的黃色系明暗值,用綠色 通道0x50來(lái)標(biāo)記像素值為0x20-0x7E的點(diǎn); 第二步:基于"像素圖"的像素值來(lái)計(jì)算"像素圖"中每個(gè)256字節(jié)塊中像素值的局部 熵,所述的局部熵按照如下的香農(nóng)信息熵公式計(jì)算:
      其中,Pi代表字節(jié)值i出現(xiàn)的概率,i的取值范圍為OxOO-OxFF,Entropy為局部熵; 計(jì)算局部熵值Entropy的f (Entropy)值,其計(jì)算公式為: f (Entropy) = 2Entropy-l ; 以f (Entropy)的計(jì)算結(jié)果生成"熵圖"; 第三步:對(duì)f (Entropy)的計(jì)算結(jié)果進(jìn)行歸一化處理,生成"熵歸一化圖"。
      2. 如權(quán)利要求1所述的基于香農(nóng)信息熵的惡意代碼可視化分析方法,其特征在于,所 述的基于香農(nóng)信息熵的惡意代碼可視化分析方法還包括: 第四步:對(duì)第一步中的"像素圖"進(jìn)行歸一化處理,生成"像素歸一化圖"。
      【文檔編號(hào)】G06F21/56GK104376260SQ201410668073
      【公開(kāi)日】2015年2月25日 申請(qǐng)日期:2014年11月20日 優(yōu)先權(quán)日:2014年11月20日
      【發(fā)明者】任卓君, 孔德鳳, 劉同洋, 喬國(guó)娟, 馮琪, 陳 光 申請(qǐng)人:東華大學(xué)
      網(wǎng)友詢問(wèn)留言 已有0條留言
      • 還沒(méi)有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
      1