恶意程序样本分类方法及装置的制造方法
【技术领域】
[0001]本发明涉及计算机软件技术领域,尤其涉及恶意程序样本分类方法及装置。
【背景技术】
[0002]随着信息化的发展,人们的工作和生活越来越离不开互联网。互联网在带来极大便利的同时,也出现了很多安全问题。近年来,计算机恶意程序数量迅猛发展,包括病毒、蠕虫、木马等恶意程序大规模爆发,给计算机用户造成了巨大的威胁和财产损失。由于恶意程序样本存在着大量的变种,以及同一作者所生产的样本的源代码具有很大的相似性等原因,发现样本之间的关联关系、对海量样本进行同源性分析是非常有必要,这就涉及到海量样本的聚类。安全厂商每天收到成千上万份恶意程序样本,如果安全厂商能够准确地从这些样本中提取共性并家族化,从而以恶意程序样本家族为单位提供解决方案,就可以尽快处理这些安全威胁。目前国内外学者对海量样本的聚类算法做了大量的研究,然而所提出的海量样本聚类方法的准确性都不高。
【发明内容】
[0003]本发明实施例提供一种恶意程序样本分类方法,用以提高恶意程序样本分类的准确性,该方法包括:
[0004]对恶意程序样本进行动态聚类,获得恶意程序样本的动态聚类结果;
[0005]对恶意程序样本进行静态聚类,获得恶意程序样本的静态聚类结果;
[0006]根据静态聚类结果对动态聚类结果进行筛选,基于筛选后的动态聚类结果形成恶意程序样本数据库。
[0007]一个实施例中,对恶意程序样本进行动态聚类,获得恶意程序样本的动态聚类结果,包括:
[0008]在沙箱中运行恶意程序样本,形成恶意程序样本的行为日志;
[0009]对恶意程序样本的行为日志进行聚类,获得恶意程序样本的动态聚类结果。
[0010]一个实施例中,对恶意程序样本的行为日志进行聚类之前,还包括对恶意程序样本的行为日志进行去随机化处理。
[0011 ] 一个实施例中,对恶意程序样本的行为日志进行聚类,包括:采用连接聚类算法对恶意程序样本的行为日志进行聚类。
[0012]—个实施例中,对恶意程序样本进行静态聚类,获得恶意程序样本的静态聚类结果,包括:
[0013]对恶意程序样本进行静态反汇编,提取恶意程序样本的静态特征;
[0014]根据恶意程序样本的静态特征,判断恶意程序样本之间的关联性;
[0015]根据恶意程序样本之间的关联性,获得恶意程序样本的静态聚类结果。
[0016]一个实施例中,提取恶意程序样本的静态特征,包括:提取恶意程序样本的哈希函数、伪代码、函数名其中之一或任意组合。
[0017]—个实施例中,根据静态聚类结果对动态聚类结果进行筛选,基于筛选后的动态聚类结果形成恶意程序样本数据库,包括:
[0018]对于动态聚类结果中分至同一类别的恶意程序样本,若静态聚类结果表明这些恶意程序样本之间的差别超过预设的范围,则修正动态聚类结果,将这些恶意程序样本设置为不同类别。
[0019]一个实施例中,静态聚类结果表明这些恶意程序样本之间的差别超过预设的范围,包括:静态聚类结果表明这些恶意程序样本之间如下一项或多项的差别超过预设的范围:文件的大小、导入函数的数量、文件的属性。
[0020]本发明实施例还提供一种恶意程序样本分类装置,用以提高恶意程序样本分类的准确性,该装置包括:
[0021]动态聚类模块,用于对恶意程序样本进行动态聚类,获得恶意程序样本的动态聚类结果;
[0022]静态聚类模块,用于对恶意程序样本进行静态聚类,获得恶意程序样本的静态聚类结果;
[0023]分类确定模块,用于根据静态聚类结果对动态聚类结果进行筛选,基于筛选后的动态聚类结果形成恶意程序样本数据库。
[0024]—个实施例中,动态聚类模块具体用于:
[0025]在沙箱中运行恶意程序样本,形成恶意程序样本的行为日志;
[0026]对恶意程序样本的行为日志进行聚类,获得恶意程序样本的动态聚类结果。
[0027]—个实施例中,动态聚类模块还用于:
[0028]在对恶意程序样本的行为日志进行聚类之前,对恶意程序样本的行为日志进行去随机化处理。
[0029]—个实施例中,动态聚类模块具体用于:
[0030]采用连接聚类算法对恶意程序样本的行为日志进行聚类。
[0031]—个实施例中,静态聚类模块具体用于:
[0032]对恶意程序样本进行静态反汇编,提取恶意程序样本的静态特征;
[0033]根据恶意程序样本的静态特征,判断恶意程序样本之间的关联性;
[0034]根据恶意程序样本之间的关联性,获得恶意程序样本的静态聚类结果。
[0035]—个实施例中,静态聚类模块具体用于:
[0036]在提取恶意程序样本的静态特征时,提取恶意程序样本的哈希函数、伪代码、函数名其中之一或任意组合。
[0037]—个实施例中,分类确定模块具体用于:
[0038]对于动态聚类结果中分至同一类别的恶意程序样本,若静态聚类结果表明这些恶意程序样本之间的差别超过预设的范围,则修正动态聚类结果,将这些恶意程序样本设置为不同类别。
[0039]—个实施例中,分类确定模块具体用于:
[0040]对于动态聚类结果中分至同一类别的恶意程序样本,若静态聚类结果表明这些恶意程序样本之间如下一项或多项的差别超过预设的范围:文件的大小、导入函数的数量、文件的属性,则修正动态聚类结果,将这些恶意程序样本设置为不同类别。
[0041]发明人考虑到,现有的恶意程序样本聚类方法有动态聚类和静态聚类两种,然而无论是进行动态聚类还是进行静态聚类,所得的聚类结果均不准确,例如动态聚类时有可能样本的某些行为并未触发,导致样本行为收集不全,此时聚类结果不太准确,基于此,在本发明实施例中将动态聚类与静态聚类相结合,利用静态聚类结果对动态聚类结果进行筛选,基于筛选后的动态聚类结果形成恶意程序样本数据库,这样获得的恶意程序样本聚类结果的准确性将会大大提高。
【附图说明】
[0042]为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。在附图中:
[0043]图1为本发明实施例中恶意程序样本分类方法的示意图;
[0044]图2为本发明实施例中恶意程序样本A、B的动态日志聚类结果对比示例图;
[0045]图3为本发明实施例中恶意程序样本A、B的文件大小对比示例图;
[0046]图4为本发明实施例中恶意程序样本A具有的函数示例图;
[0047]图5为本发明实施例中恶意程序样本B具有的函数示例图;
[0048]图6为本发明实施例中恶意程序样本分类装置的示意图。
【具体实施方式】
[0049]为使本发明实施例的目的、技术方案和优点更加清楚明白,下面结合附图对本发明实施例做进一步详细说明。在此,本发明的示意性实施例及其说明用于解释本发明,但并不作为对本发明的限定。
[0050]发明人发现,现有的恶意程序样本聚类方法有动态聚类和静态聚类两种,然而对恶意程序样本无论是进行动态聚类还是进行静态聚类,所得的聚类结果均不准确,例如动态聚类时有可能样本的某些行为并未触发,导致样本行为收集不全,此时聚类结果不太准确,而如果能够将动态聚类与静态聚类相结合,则能最大程度地提高恶意程序样本聚类结果的准确性。基于此,在本发明实施例中提供一种恶意程序样本分类方法。图1为本发明实施例中恶意程序样本分类方法的示意图,如图1所示,该方法包括:
[0051]步骤101、对恶意程序样本进行动态聚类,获得恶意程序样本的动态聚类结果;
[0052]步骤102、对恶意程序样本进行静态聚类,获得恶意程序样本的静态聚类结果;
[0053