本发明专利技术提供了一种基于香农信息熵的恶意代码可视化分析方法,包括:第一步:将恶意文件的二进制字节转换为“像素图”中像素点的黄色系明暗值,用绿色通道Ox50来标记像素值为Ox20-Ox7E的点;第二步:基于“像素图”的像素值来计算“像素图”中每个256字节块中像素值的局部熵,所述的局部熵按照如下的香农信息熵公式计算:其中,pi代表字节(像素)值i出现的概率,i的取值范围为Ox00-OxFF,Entropy为局部熵;计算局部熵值Entropy的f(Entropy)值,其计算公式为:f(Entropy)=2Entropy-1;以f(Entropy)的计算结果生成“熵图”;第三步:对f(Entropy)的计算结果进行归一化处理,生成“熵归一化图”。本发明专利技术能有效区分各族样本,在进行同族恶意代码分析时,能比较容易发现潜在的区别,为掌握该族变种演化规律提供了依据。
【技术实现步骤摘要】
一种基于香农信息熵的恶意代码可视化分析方法
本专利技术涉及一种基于香农信息熵的恶意代码可视化分析方法。
技术介绍
Malware(MaliciousSoftware)是一种用于破坏计算机操作系统、窃取敏感信息或非法访问隐私系统的软件,通常以代码、脚本、动态文本或其他软件形式出现。由于传统的恶意程序分析过程往往复杂耗时,即使是经验丰富的安全分析人员也很难发现潜在的攻击模式。为减轻认知负担、提高交互性,将信息可视化技术引入恶意代码分析领域,即Malware安全可视化,正是近年来网络安全研究中的前沿热点。2008年,美国西点军校(UnitedStatesMilitaryAcademyWestPoint)的GregoryConti等人在其设计的可视化分析系统(如图1)中首次提出了灰度图(Gray-scaleImages)的思想,以独立于文本的分析视角来快速识别文件和剖析未知文件格式。如图1所示,该系统用户界面的d区和g区分别对应被分析文件的ASCII格式字符串和十六进制格式命令行;c区(Byteview)的像素(pixel)值与g区字节(Byte)的二进制数对应,以灰度图的形式呈现文件的内在特征;b区(BytePresence)根据c区每行中扩展ASCII码值(0-255)的存在与否来标识自身区域中对应行所在的列,通过这样的映射操作帮助用户掌握文件规律、发现其中异常;f区(DotPlot)利用文件本身的字节序列矩阵比较文件间的相似度,在用户分类时提供判断依据;其它a、e、h区集成了多种与用户互动的辅助功能。然而,在分析文件相似性进行分类研究方面,GregoryConti,ErikDean,MatthewSindaandBenjaminSangster.VisualReverseEngineeringofBinaryandDataFiles[C].VizSec2008SymposiumonVisualizationforCyberSecurity(VizSEC2008)的方法使得计算量与文件大小成正比,分析的自动化程度受计算机硬件性能的制约;同时在呈现文件内在特征方面,将字节所对应的c区像素值与反映ASCII码值存在情况的b区割裂开来展示,不利于对被分析文件特征的全面理解。
技术实现思路
本专利技术的目的是提供一种能较全面的研究分析恶意代码的方法。为了达到上述目的,本专利技术提供了一种基于香农信息熵的恶意代码可视化分析方法,其特征在于,包括:第一步:将恶意文件的二进制字节转换为“像素图”中像素点的黄色系明暗值,用绿色通道0x50(显示效果可能会因硬件设备不同存在细微差别)来标记像素值为0x20-0x7E的点(即ASCII码中的可打印字符);第二步:基于“像素图”的像素值来计算“像素图”中每个256字节块中像素值的局部熵,所述的局部熵按照如下的香农信息熵公式计算:其中,pi代表字节(像素)值i出现的概率,i的取值范围为0x00-0xFF,Entropy为局部熵;计算局部熵Entropy的f(Entropy)值,其计算公式为:f(Entropy)=2Entropy-1;以f(Entropy)的计算结果生成“熵图”;第三步:对f(Entropy)的计算结果进行归一化处理,生成“熵归一化图”。优选地,所述的基于香农信息熵的恶意代码可视化分析方法还包括:第四步:对第一步中的“像素图”进行归一化处理,生成“像素归一化图”。本专利技术借鉴灰度图的思想,结合香农信息熵的定义,利用K-NearestNeighbor(KNN)分类算法,给出了一种新的研究恶意代码谱系分类的可视化方法。具体技术方案为:先将待检测的二进制文件转换为黄、绿两色通道的“像素图”;在此基础上,通过计算“像素图”的局部熵值来生成蓝绿色的“熵图”;“熵图”再经过归一化处理,形成明暗不同的绿色点阵分布,即“熵归一化图”。该方法利用局部熵计算及滑窗归一化处理机制,不仅能大幅度减少大型文件在相似性分析时的运算量,而且能提高恶意代码族分类的可视化效果。本专利技术采用Python语言编程实现,在Windows和Linux环境下均可运行。与现有的安全可视化技术相比,本专利技术的有益效果是:1、从视觉效果上,能有效地区分各类恶意代码族;2、在进行同族恶意代码分析时,能比较地容易发现潜在的区别,为掌握该族变种演化规律提供了依据;3、将“熵图”、“熵归一化图”、“像素归一化图”三种可视化方法结合起来,能较全面的研究分析恶意代码的整体及局部特征。4、本专利技术能通过建立人与数据间的图像通信,在单位时间内提供更全面的信息感知,不仅提高了网络安全分析人员的工作效率,还能降低分析难度和对分析员技术水平和经验的要求。5、本专利技术实现简单并可用于自动化操作,由于采用了降维映射和快速相似度比较算法,使得图片生成时间开销小、相似度比较效率高附图说明图1GregoryConti设计的可视化系统示意图;图2为二进制文件转换为“像素图”的显示结果示例图;图3为“像素图”经局部熵计算转换为“熵图”的示例图;图4a为“熵图”经归一化处理转换为“熵归一化图”的示例图;图4b为局部熵值与像素值的映射关系图;图5为“像素图”经归一化处理转换为“像素归一化图”的示例图;图6为Email-Worm.joleee.av样本的“熵图”;图7为Email-Worm.joleee.aw样本的“熵图”;图8为Email-Worm.joleee.ba样本的“熵图”。具体实施方式为使本专利技术更明显易懂,兹以一优选实施例,并配合附图作详细说明如下。(用于本专利技术测试的来自59个族的473个有害样本均从VXHeavens官方网站下载,所有样本均采用卡巴斯基命名法)实施例一种基于香农信息熵的恶意代码可视化分析方法,具体为:步骤1:将恶意文件(Trojan.Regrun.rk)的二进制字节转换为“像素图”中像素点的黄色系明暗值,用绿色通道0x50(显示效果可能会因硬件设备不同存在细微差别)来标记像素值为0x20-0x7E的点(即ASCII码中的可打印字符);如图2所示,其中黑色的部分是背景颜色,即二进制字节为0值。步骤2:基于“像素图”的像素值来计算“像素图”中每个256字节块中像素值的局部熵,所述的局部熵按照如下的香农信息熵公式计算:其中,pi代表字节(像素)值i出现的概率,i的取值范围为0x00-0xFF,Entropy为局部熵;通常,局部熵值Entropy的计算结果在[0,8]之间,如果直接以实际数值输出,则由于亮度太低导致可视效果很差。因此为形成与像素亮度值[0,255]相映射的图像,将局部熵值Entropy按函数f(Entropy)=2Entropy-1计算结果后输出,这样处理的目的是使高熵值的亮度显示得更加明显。局部熵值Entropy以函数f(Entropy)计算结果后生成“熵图”,如图3所示,本专利技术采用蓝绿色方案展示被分析文件的“熵图”。同样,黑色的部分是背景颜色,即熵值为0。步骤3:由于在进行相似性分析时应有统一的评判标准,而被分析的恶意代码文件大小又是各不相同,因此需要对上述经函数f(Entropy)计算的结果进行归一化处理,生成“熵归一化图”。本专利技术提出的归一化算法采用窗口大小为2个字节、移动步长为1个字节的滑窗机制,同一窗口下的前后两个字本文档来自技高网...
【技术保护点】
一种基于香农信息熵的恶意代码可视化分析方法,其特征在于,包括:第一步:将恶意文件的二进制字节转换为“像素图”中像素点的黄色系明暗值,用绿色通道0x50来标记像素值为0x20‑0x7E的点;第二步:基于“像素图”的像素值来计算“像素图”中每个256字节块中像素值的局部熵,所述的局部熵按照如下的香农信息熵公式计算:]]>其中,pi代表字节值i出现的概率,i的取值范围为0x00‑0xFF,Entropy为局部熵;计算局部熵值Entropy的f(Entropy)值,其计算公式为:f(Entropy)=2Entropy‑1;以f(Entropy)的计算结果生成“熵图”;第三步:对f(Entropy)的计算结果进行归一化处理,生成“熵归一化图”。
【技术特征摘要】
1.一种基于香农信息熵的恶意代码可视化分析方法,其特征在于,包括:第一步:将恶意文件的二进制字节转换为“像素图”中像素点的黄色系明暗值,用绿色通道0x50来标记像素值为0x20-0x7E的点;第二步:基于“像素图”的像素值来计算“像素图”中每个256字节块中像素值的局部熵,所述的局部熵按照如下的香农信息熵公式计算:其中,pi代表字节值i出现的概率,i的取值范围为0x00-0xFF,Entropy为局部熵;计算局部熵值Ent...
【专利技术属性】
技术研发人员:任卓君,孔德凤,刘同洋,乔国娟,冯琪,陈光,
申请(专利权)人:东华大学,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。