恶意程序样本家族命名方法及装置的制造方法
【技术领域】
[0001]本发明涉及计算机软件技术领域,尤其涉及恶意程序样本家族命名方法及装置。
【背景技术】
[0002]随着信息化的发展,人们的工作和生活越来越离不开互联网。互联网在带来极大便利的同时,也出现了很多安全问题。近年来,计算机恶意程序数量迅猛发展,包括病毒、蠕虫、木马等恶意程序大规模爆发,给计算机用户造成了巨大的威胁和财产损失。由于恶意程序样本存在着大量的变种,以及同一作者所生产的样本的源代码具有很大的相似性等原因,发现样本之间的关联关系、对海量样本进行同源性分析是非常有必要的,这就涉及到海量样本的聚类。安全厂商每天收到成千上万份恶意程序样本,从这些样本中提取共性并家族化,以恶意程序样本家族为单位提供解决方案,可以尽快处理这些安全威胁。在对恶意程序样本家族进行安全处理的过程中,可能会涉及到样本家族的命名。而现有技术中并未提出针对恶意程序样本家族的有效命名方案,不便于对恶意程序样本家族进行安全处理。
【发明内容】
[0003]本发明实施例提供一种恶意程序样本家族命名方法,用以实现对恶意程序样本家族的命名,该方法包括:
[0004]对恶意程序样本进行动态聚类,获得恶意程序样本的动态聚类结果;
[0005]对恶意程序样本进行静态聚类,获得恶意程序样本的静态聚类结果;
[0006]根据静态聚类结果对动态聚类结果进行筛选,基于筛选后的动态聚类结果形成恶意程序样本数据库;
[0007]对恶意程序样本数据库中每个样本家族,根据样本家族所包括样本的属性对样本家族进行命名。
[0008]一个实施例中,对恶意程序样本进行动态聚类,获得恶意程序样本的动态聚类结果,包括:
[0009]在沙箱中运行恶意程序样本,形成恶意程序样本的行为日志;
[0010]对恶意程序样本的行为日志进行去随机化处理;
[0011]对恶意程序样本的行为日志进行聚类,获得恶意程序样本的动态聚类结果。
[0012]—个实施例中,根据静态聚类结果对动态聚类结果进行筛选,基于筛选后的动态聚类结果形成恶意程序样本数据库,包括:
[0013]对于动态聚类结果中分至同一类别的恶意程序样本,若静态聚类结果表明这些恶意程序样本之间的差别超过预设的范围,则修正动态聚类结果,将这些恶意程序样本设置为不同类别。
[0014]—个实施例中,根据样本家族所包括样本的属性对样本家族进行命名之前,还包括:对样本家族中所包括样本进行查杀,确定样本家族中所包括样本的属性。
[0015]—个实施例中,根据样本家族所包括样本的属性对样本家族进行命名,包括:若样本家族中超过设定比例的样本具有相同属性,则根据该相同属性对样本家族进行命名。
[0016]—个实施例中,若样本家族中超过设定比例的样本具有相同属性,则确定样本家族中所有样本具有该相同属性。
[0017]一个实施例中,若样本家族中包括至少两组样本,每组样本数占样本总数的比例相同,每组内样本属性相同,各组间样本属性不同,则根据预设规则选择一组样本,根据该组样本的属性对样本家族进行命名。
[0018]本发明实施例还提供一种恶意程序样本家族命名装置,用以实现对恶意程序样本家族的命名,该装置包括:
[0019]动态聚类模块,用于对恶意程序样本进行动态聚类,获得恶意程序样本的动态聚类结果;
[0020]静态聚类模块,用于对恶意程序样本进行静态聚类,获得恶意程序样本的静态聚类结果;
[0021]分类确定模块,用于根据静态聚类结果对动态聚类结果进行筛选,基于筛选后的动态聚类结果形成恶意程序样本数据库;
[0022]命名处理模块,用于对恶意程序样本数据库中每个样本家族,根据样本家族所包括样本的属性对样本家族进行命名。
[0023]—个实施例中,动态聚类模块具体用于:
[0024]在沙箱中运行恶意程序样本,形成恶意程序样本的行为日志;
[0025]对恶意程序样本的行为日志进行去随机化处理;
[0026]对恶意程序样本的行为日志进行聚类,获得恶意程序样本的动态聚类结果。
[0027]—个实施例中,分类确定模块具体用于:
[0028]对于动态聚类结果中分至同一类别的恶意程序样本,若静态聚类结果表明这些恶意程序样本之间的差别超过预设的范围,则修正动态聚类结果,将这些恶意程序样本设置为不同类别。
[0029]—个实施例中,命名处理模块还用于:在根据样本家族所包括样本的属性对样本家族进行命名之前,对样本家族中所包括样本进行查杀,确定样本家族中所包括样本的属性。
[0030]—个实施例中,命名处理模块具体用于:若样本家族中超过设定比例的样本具有相同属性,则根据该相同属性对样本家族进行命名。
[0031 ] 一个实施例中,命名处理模块还用于:若样本家族中超过设定比例的样本具有相同属性,则确定样本家族中所有样本具有该相同属性。
[0032]—个实施例中,命名处理模块具体用于:若样本家族中包括至少两组样本,每组样本数占样本总数的比例相同,每组内样本属性相同,各组间样本属性不同,则根据预设规则选择一组样本,根据该组样本的属性对样本家族进行命名。
[0033]本发明实施例中,先分别对恶意程序样本进行动态聚类和静态聚类,在获得恶意程序样本的动态聚类结果和静态聚类结果之后,根据静态聚类结果对动态聚类结果进行筛选,基于筛选后的动态聚类结果形成恶意程序样本数据库;对恶意程序样本数据库中每个样本家族,根据样本家族所包括样本的属性对样本家族进行命名,从而实现对恶意程序样本家族的命名,以便于对恶意程序样本家族进行安全处理。并且,在本发明实施例中,根据样本家族所包括样本的属性对样本家族进行命名,可以使样本家族的命名准确反映样本家族所包括样本的属性,有利于在对样本家族进行安全处理时根据样本家族的命名进行有针对性的处理,以提高样本家族的安全处理效率。
【附图说明】
[0034]为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。在附图中:
[0035]图1为本发明实施例中恶意程序样本家族命名方法的示意图;
[0036]图2为本发明实施例中恶意程序样本A、B的动态日志聚类结果对比示例图;
[0037]图3为本发明实施例中恶意程序样本A、B的文件大小对比示例图;
[0038]图4为本发明实施例中恶意程序样本A具有的函数示例图;
[0039]图5为本发明实施例中恶意程序样本B具有的函数示例图;
[0040]图6为本发明实施例中恶意程序样本家族命名装置的示意图。
【具体实施方式】
[0041]为使本发明实施例的目的、技术方案和优点更加清楚明白,下面结合附图对本发明实施例做进一步详细说明。在此,本发明的示意性实施例及其说明用于解释本发明,但并不作为对本发明的限定。
[0042]发明人考虑到,一方面,对样本家族进行命名之前,需要先准确地确定出样本家族,而现有的恶意程序样本聚类方法有动态聚类和静态聚类两种,然而对恶意程序样本无论是进行动态聚类还是进行静态聚类,所得的聚类结果均不准确,例如动态聚类时有可能样本的某些行为并未触发,导致样本行为收集不全,此时聚类结果不太准确,而如果能够将动态聚类与静态聚类相结合,则能最大程度地提高恶意程序样本聚类结果的准确性;另一方面,现有技术中并未提出针对恶意程序样本家族的有效命名方案,而如果能够有规律地实现对恶意程序样本家族的命名,将有利于根据样本家族的命名对样本家族进行高效率的安全处理;基于此两方面的考虑,在本发明实施例中提供一种恶意程序样本家族命名方法。图1为本发明实施例中恶意程序样本家族命名方法的示意图,如图1所示,该方法包括:
[0043]步骤101、对恶意程序样本进行动态聚类,获得恶意程序样本的动态聚类结果;
[0044]步骤102、对恶意程序样本进行静态聚类,获得恶意程序样本的静态聚类结果;
[0045]步骤103、根据静态聚类结果对动态聚类结果进行筛选,基于筛选后的动态聚类结果形成恶意程序样本数据库;
[0046]步骤104、对恶意程序样本数据库中每个样本家族,根据样本家族所包括样本的属性对样本家族进行命名。
[0047]由图1所示流程可以得知,本发明实施例中结合动态聚类和静态聚类对恶意程序样本进行精确聚类,利用静态聚类结果对动态聚类结果进行筛选,基于筛选后的动态聚类结果形成恶意程序样本数据库,能够提高恶意程序样本聚类结果的准确性;在准确确定恶意程序样本家族后,根据样本家族所包括样本的属性对样本家族进行命名,从而实现对恶意程序样本家族的命名,以便于对恶意程序样本家族进行安全处理。其中,根据样本家族所包括样本的属性对样本家族进行命名,可以使样本家族的命名准确反映样本家族所包括样本的属性,这样后续在对样本家族进行安全处理时可以根据样本家族的命名进行有针对性的处理,从而提高样本家族的安全处理效