发明授权
CN104376260B 一种基于香农信息熵的恶意代码可视化分析方法
失效 - 权利终止
摘要:
本发明提供了一种基于香农信息熵的恶意代码可视化分析方法,包括:第一步:将恶意文件的二进制字节转换为“像素图”中像素点的黄色系明暗值,用绿色通道Ox50来标记像素值为Ox20‑Ox7E的点;第二步:基于“像素图”的像素值来计算“像素图”中每个256字节块中像素值的局部熵,所述的局部熵按照如下的香农信息熵公式计算:其中,pi代表字节(像素)值i出现的概率,i的取值范围为Ox00‑OxFF,Entropy为局部熵;计算局部熵值Entropy的f(Entropy)值,其计算公式为:f(Entropy)=2Entropy‑1;以f(Entropy)的计算结果生成“熵图”;第三步:对f(Entropy)的计算结果进行归一化处理,生成“熵归一化图”。本发明能有效区分各族样本,在进行同族恶意代码分析时,能比较容易发现潜在的区别,为掌握该族变种演化规律提供了依据。
公开/授权文献
- CN104376260A 一种基于香农信息熵的恶意代码可视化分析方法 公开/授权日:2015-02-25