恶意软件作者的关联扩展方法、设备、存储介质及装置与流程

文档序号:20919006发布日期:2020-05-29 13:53阅读:152来源:国知局
导航: X技术> 最新专利>计算;推算;计数设备的制造及其应用技术
恶意软件作者的关联扩展方法、设备、存储介质及装置与流程

本发明涉及网络安全技术领域,尤其涉及一种恶意软件作者的关联扩展方法、设备、存储介质及装置。



背景技术:

目前,对于恶意软件及恶意软件作者的识别,基于样本进行识别,比如,900万样本/天,匹配恶意软件符合的静态规则,从而根据匹配情况,识别出恶意软件作者(也可称为黑客)、灰客和白客,所述灰客是怀疑对象,可能是恶意软件作者,也可能不是,需要进一步判断,再获取行为规则,根据行为规则判断是普通木马、高级木马还是正常程序。

将基于静态规则的分析结果结合基于行为规则的分析结果,进行人工关联分析,再获取历史版本的恶意软件作者信息,进行特征提取,分析语言、工作时间和回传控制网际协议(internetprotocol,简写ip),再进一步识别是国内黑客还是境外组织,识别效率低。

上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。



技术实现要素:

本发明的主要目的在于提供一种恶意软件作者的关联扩展方法、设备、存储介质及装置,旨在解决现有技术中恶意软件及恶意软件作者的识别效率低的技术问题。

为实现上述目的,本发明提供一种恶意软件作者的关联扩展方法,所述恶意软件作者的关联扩展方法包括以下步骤:

获取多个恶意软件作者的用户终端在预设时间段内的运行特征;

分别确定各运行特征在预设时间段内的变化规律;

根据各变化规律对各恶意软件作者进行关联。

优选地,所述根据各变化规律对各恶意软件作者进行关联,具体包括:

根据各变化规律对各恶意软件作者进行聚类,获得聚类簇;

将所述聚类簇对应的恶意软件作者进行关联。

优选地,所述根据各变化规律对各恶意软件作者进行聚类,获得聚类簇,具体包括:

计算各变化规律之间的相似度;

根据各相似度对各恶意软件作者进行聚类,获得聚类簇。

优选地,所述根据各相似度对各恶意软件作者进行聚类,获得聚类簇,具体包括:

将各变化规律作为节点,将各相似度作为各节点的值,构建相似度矩阵;

根据所述相似度矩阵,通过亲和传播聚类算法对各恶意软件作者进行聚类,获得聚类簇。

优选地,所述将所述聚类簇对应的恶意软件作者进行关联,具体包括:

获取所述聚类簇对应的相似度;

判断所述聚类簇对应的相似度是否大于预设相似度阈值;

在所述聚类簇对应的相似度大于所述预设相似度阈值时,将所述聚类簇对应的恶意软件作者进行关联。

优选地,所述在所述聚类簇对应的相似度大于所述预设相似度阈值时,将所述聚类簇对应的恶意软件作者进行关联,具体包括:

在所述聚类簇对应的相似度大于所述预设相似度阈值时,获取所述聚类簇中成员数量;

判断所述成员数量是否大于预设数量阈值;

在所述成员数量大于所述预设数量阈值时,将所述聚类簇对应的恶意软件作者进行关联。

优选地,所述分别确定各运行特征在预设时间段内的变化规律,具体包括:

根据预设时间段内的各运行特征绘制特征变化曲线,将所述特征变化曲线作为各运行特征对应的变化规律。

优选地,所述分别确定各运行特征在预设时间段内的变化规律,具体包括:

获取预设时间段内的各运行特征的变化次数或变化频率,将所述变化次数或变化频率作为各运行特征对应的变化规律。

优选地,所述分别确定各运行特征在预设时间段内的变化规律,具体包括:

获取预设时间段内的各运行特征每次产生的变化幅度,将每次产生的变化幅度作为各运行特征对应的变化规律。

优选地,所述运行特征包括外网ip地址。

优选地,所述获取多个恶意软件作者的用户终端在预设时间段内的运行特征,具体包括:

获取多个恶意软件作者的用户终端在预设时间段内的运行信息;

从各运行信息中分别提取对应的多个待确认ip地址;

计算各待确认ip地址在所述预设时间段内的出现频率;

将最高出现频率的待确认ip地址作为各用户终端的外网ip地址。

优选地,所述从各运行信息中分别提取对应的多个待确认ip地址,具体包括:

从各运行信息中分别提取各用户终端的mac地址;

根据各mac地址查找对应的多个待确认ip地址。

优选地,所述获取多个恶意软件作者的用户终端在预设时间段内的运行特征,具体包括:

获取多个恶意软件作者的用户终端在预设时间段内的运行信息;

判断各运行信息中是否存在预设操作类型;

若各运行信息中存在所述预设操作类型,获取所述预设操作类型对应的操作时间;

根据所述操作时间查找对应的外网ip地址。

优选地,所述判断各运行信息中是否存在预设操作类型,具体包括:

从各运行信息中提取用户操作对应的网页地址;

获取各网页地址的目标主站信息;

根据各目标主站信息判断各网页地址对应的目标页面是否为正常页面;

在各目标页面是正常页面时,认定各运行信息中存在预设操作类型。

优选地,所述根据各目标主站信息判断各网页地址对应的目标页面是否为正常页面,具体包括:

将各目标主站信息与预设主站信息库中的主站信息进行匹配;

若匹配成功,则认定各网页地址对应的目标页面是正常页面。

优选地,所述预设操作类型包括浏览网页、网购、打游戏或观看视频。

此外,为实现上述目的,本发明还提出一种恶意软件作者的关联扩展设备,所述恶意软件作者的关联扩展设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的恶意软件作者的关联扩展程序,所述恶意软件作者的关联扩展程序配置为实现如上文所述的恶意软件作者的关联扩展方法的步骤。

此外,为实现上述目的,本发明还提出一种存储介质,所述存储介质上存储有恶意软件作者的关联扩展程序,所述恶意软件作者的关联扩展程序被处理器执行时实现如上文所述的恶意软件作者的关联扩展方法的步骤。

此外,为实现上述目的,本发明还提出一种恶意软件作者的关联扩展装置,所述恶意软件作者的关联扩展装置包括:

获取模块,用于获取多个恶意软件作者的用户终端在预设时间段内的运行特征;

确定模块,用于分别确定各运行特征在预设时间段内的变化规律;

关联模块,用于根据各变化规律对各恶意软件作者进行关联。

优选地,所述关联模块,还用于根据各变化规律对各恶意软件作者进行聚类,获得聚类簇;将所述聚类簇对应的恶意软件作者进行关联。

本发明中,通过获取多个恶意软件作者的用户终端在预设时间段内的运行特征,分别确定各运行特征在预设时间段内的变化规律,存在关联关系的恶意软件作者通常具有相似的变化规律;根据各变化规律对各恶意软件作者进行关联,通过对恶意软件作者的运行特征进行分析,确定各恶意软件作者之前的关联关系,从而能够定位恶意软件作者团队,以对恶意软件作者团队进行追踪,提高恶意软件的识别效率。

附图说明

图1是本发明实施例方案涉及的硬件运行环境的恶意软件作者的关联扩展设备的结构示意图;

图2为本发明恶意软件作者的关联扩展方法第一实施例的流程示意图;

图3为本发明恶意软件作者的关联扩展方法第二实施例的流程示意图;

图4为本发明恶意软件作者的关联扩展方法第三实施例的流程示意图;

图5为本发明恶意软件作者的关联扩展方法第三实施例的流程示意图;

图6为本发明恶意软件作者的关联扩展装置第一实施例及第二实施例的结构框图。

本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。

具体实施方式

应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。

参照图1,图1为本发明实施例方案涉及的硬件运行环境的恶意软件作者的关联扩展设备结构示意图。

如图1所示,该恶意软件作者的关联扩展设备可以包括:处理器1001,例如中央处理器(centralprocessingunit,cpu),通信总线1002、用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(display),可选用户接口1003还可以包括标准的有线接口、无线接口,对于用户接口1003的有线接口在本发明中可为usb接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如无线保真(wireless-fidelity,wi-fi)接口)。存储器1005可以是高速的随机存取存储器(randomaccessmemory,ram)存储器,也可以是稳定的存储器(non-volatilememory,nvm),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。

本领域技术人员可以理解,图1中示出的结构并不构成对恶意软件作者的关联扩展设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。

如图1所示,作为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及恶意软件作者的关联扩展程序。

在图1所示的恶意软件作者的关联扩展设备中,网络接口1004主要用于连接后台服务器,与所述后台服务器进行数据通信;用户接口1003主要用于连接用户设备;所述恶意软件作者的关联扩展设备通过处理器1001调用存储器1005中存储的恶意软件作者的关联扩展程序,并执行本发明实施例提供的恶意软件作者的关联扩展方法。

所述恶意软件作者的关联扩展设备通过处理器1001调用存储器1005中存储的恶意软件作者的关联扩展程序,并执行以下操作:

获取多个恶意软件作者的用户终端在预设时间段内的运行特征;

分别确定各运行特征在预设时间段内的变化规律;

根据各变化规律对各恶意软件作者进行关联。

进一步地,所述恶意软件作者的关联扩展设备通过处理器1001调用存储器1005中存储的恶意软件作者的关联扩展程序,还执行以下操作:

根据各变化规律对各恶意软件作者进行聚类,获得聚类簇;

将所述聚类簇对应的恶意软件作者进行关联。

进一步地,所述恶意软件作者的关联扩展设备通过处理器1001调用存储器1005中存储的恶意软件作者的关联扩展程序,还执行以下操作:

计算各变化规律之间的相似度;

根据各相似度对各恶意软件作者进行聚类,获得聚类簇。

进一步地,所述恶意软件作者的关联扩展设备通过处理器1001调用存储器1005中存储的恶意软件作者的关联扩展程序,还执行以下操作:

将各变化规律作为节点,将各相似度作为各节点的值,构建相似度矩阵;

根据所述相似度矩阵,通过亲和传播聚类算法对各恶意软件作者进行聚类,获得聚类簇。

进一步地,所述恶意软件作者的关联扩展设备通过处理器1001调用存储器1005中存储的恶意软件作者的关联扩展程序,还执行以下操作:

获取所述聚类簇对应的相似度;

判断所述聚类簇对应的相似度是否大于预设相似度阈值;

在所述聚类簇对应的相似度大于所述预设相似度阈值时,将所述聚类簇对应的恶意软件作者进行关联。

进一步地,所述恶意软件作者的关联扩展设备通过处理器1001调用存储器1005中存储的恶意软件作者的关联扩展程序,还执行以下操作:

在所述聚类簇对应的相似度大于所述预设相似度阈值时,获取所述聚类簇中成员数量;

判断所述成员数量是否大于预设数量阈值;

在所述成员数量大于所述预设数量阈值时,将所述聚类簇对应的恶意软件作者进行关联。

进一步地,所述恶意软件作者的关联扩展设备通过处理器1001调用存储器1005中存储的恶意软件作者的关联扩展程序,还执行以下操作:

根据预设时间段内的各运行特征绘制特征变化曲线,将所述特征变化曲线作为各运行特征对应的变化规律。

进一步地,所述恶意软件作者的关联扩展设备通过处理器1001调用存储器1005中存储的恶意软件作者的关联扩展程序,还执行以下操作:

获取预设时间段内的各运行特征的变化次数或变化频率,将所述变化次数或变化频率作为各运行特征对应的变化规律。

进一步地,所述恶意软件作者的关联扩展设备通过处理器1001调用存储器1005中存储的恶意软件作者的关联扩展程序,还执行以下操作:

获取预设时间段内的各运行特征每次产生的变化幅度,将每次产生的变化幅度作为各运行特征对应的变化规律。

进一步地,所述运行特征包括外网ip地址;

所述恶意软件作者的关联扩展设备通过处理器1001调用存储器1005中存储的恶意软件作者的关联扩展程序,还执行以下操作:

获取多个恶意软件作者的用户终端在预设时间段内的运行信息;

从各运行信息中分别提取对应的多个待确认ip地址;

计算各待确认ip地址在所述预设时间段内的出现频率;

将最高出现频率的待确认ip地址作为各用户终端的外网ip地址。

进一步地,所述恶意软件作者的关联扩展设备通过处理器1001调用存储器1005中存储的恶意软件作者的关联扩展程序,还执行以下操作:

从各运行信息中分别提取各用户终端的mac地址;

根据各mac地址查找对应的多个待确认ip地址。

进一步地,所述恶意软件作者的关联扩展设备通过处理器1001调用存储器1005中存储的恶意软件作者的关联扩展程序,还执行以下操作:

获取多个恶意软件作者的用户终端在预设时间段内的运行信息;

判断各运行信息中是否存在预设操作类型;

若各运行信息中存在所述预设操作类型,获取所述预设操作类型对应的操作时间;

根据所述操作时间查找对应的外网ip地址。

进一步地,所述恶意软件作者的关联扩展设备通过处理器1001调用存储器1005中存储的恶意软件作者的关联扩展程序,还执行以下操作:

从各运行信息中提取用户操作对应的网页地址;

获取各网页地址的目标主站信息;

根据各目标主站信息判断各网页地址对应的目标页面是否为正常页面;

在各目标页面是正常页面时,认定各运行信息中存在预设操作类型。

进一步地,所述恶意软件作者的关联扩展设备通过处理器1001调用存储器1005中存储的恶意软件作者的关联扩展程序,还执行以下操作:

将各目标主站信息与预设主站信息库中的主站信息进行匹配;

若匹配成功,则认定各网页地址对应的目标页面是正常页面。

进一步地,所述预设操作类型包括浏览网页、网购、打游戏或观看视频。

本实施例中,通过获取多个恶意软件作者的用户终端在预设时间段内的运行特征,分别确定各运行特征在预设时间段内的变化规律,存在关联关系的恶意软件作者通常具有相似的变化规律;根据各变化规律对各恶意软件作者进行关联,通过对恶意软件作者的运行特征进行分析,确定各恶意软件作者之前的关联关系,从而能够定位恶意软件作者团队,以对恶意软件作者团队进行追踪,提高恶意软件的识别效率。

基于上述硬件结构,提出本发明恶意软件作者的关联扩展方法的实施例。

参照图2,图2为本发明恶意软件作者的关联扩展方法第一实施例的流程示意图,提出本发明恶意软件作者的关联扩展方法第一实施例。

在第一实施例中,所述恶意软件作者的关联扩展方法包括以下步骤:

步骤s10:获取多个恶意软件作者的用户终端在预设时间段内的运行特征。

应理解的是,本实施例的执行主体是所述恶意软件作者的关联扩展设备,所述恶意软件作者的关联扩展设备可以是个人计算机或服务器等电子设备,本实施例对此不加以限制。通常恶意软件作者团队中有多个恶意软件作者,同一个团队中的恶意软件作者通常会有一些运行特征相似,因此,可通过获取各恶意软件作者的用户终端的运行日志,从所述运行日志中提取运行特征。通常发生变化的运行特征更能体现恶意软件作者团队的团队特征,所述预设时间段可以是半个月或者一个月,本实施例对此不加以限制,在所述预设时间段内各恶意软件作者的用户终端的运行日志中存在产生变化的运行特征,将产生变化的运行特征从所述运行日志中进行提取,获得所述用户终端在预设时间段内的运行特征。

可理解的是,所述运行特征可以是外网ip地址。通常恶意软件作者会经常变换外网ip地址,若几个恶意软件作者的外网ip地址在所述预设时间段内的外网ip地址变换时间点或变换时间段一致,则可认为他们之间存在关联关系。

步骤s20:分别确定各运行特征在预设时间段内的变化规律。

需要说明的是,为了确定各恶意软件作者对应的运行特征的变化规律,可对各运行特征进行相应处理,可以根据各运行特征绘制在预设时间段内的特征变化曲线,将所述特征变化曲线作为各运行特征对应的变化规律。具体地,可记录各运行特征在所述预设时间段内发生变化的时间点或时间段,根据各时间点或各时间段绘制特征变化曲线。比如,统计多个多个恶意软件作者在一个月内的外网ip地址变换的时间点或时间段,根据外网ip地址变换的时间点或时间段绘制对应的特征变化曲线,将外网ip地址变换的时间点或时间段对应的特征变化曲线作为外网ip地址在预设时间段内的变化规律。

可理解的是,同一个恶意软件作者团队可能存在运行特征在所述预设时间段内的变化次数或变化频率一致。可统计各运行特征在所述预设时间段内发生变换的变化次数或变化频率,将所述变化次数或变化频率作为各运行特征对应的变化规律。比如,统计多个恶意软件作者在一个月内的外网ip地址变换的次数,将外网ip地址在一个月内发生变换的变化次数作为所述外网ip地址在预设时间段内的变化规律。

在具体实现中,同一个恶意软件作者团队可能存在运行特征在所述预设时间段内的每次产生的变化幅度一致。可统计各运行特征在所述预设时间段内每次产生的变化幅度,将每次产生的变化幅度作为各运行特征对应的变化规律。

步骤s30:根据各变化规律对各恶意软件作者进行关联。

本实施例中,对各变化规律进行分析,可通过计算各变化规律之间的相似度,将相似度超过预设相似度阈值的变化规律对应的恶意软件作者进行关联,认为他们具有相一致的运行特征,可将进行关联的恶意软件作者认定为一个恶意软件作者团队,可对所述恶意软件作者团队进行追踪,从而识别出更多的恶意软件作者或恶意软件。比如,恶意软件作者a、b和c在最近半个月内外网ip地址在一天的上午十一点和下午三点发生变换,则恶意软件作者a、b和c的外网ip地址的变换时间点的变化规律一致,可根据该变化规律将恶意软件作者a、b和c进行关联。

本实施例中,通过获取多个恶意软件作者的用户终端在预设时间段内的运行特征,分别确定各运行特征在预设时间段内的变化规律,存在关联关系的恶意软件作者通常具有相似的变化规律;根据各变化规律对各恶意软件作者进行关联,通过对恶意软件作者的运行特征进行分析,确定各恶意软件作者之前的关联关系,从而能够定位恶意软件作者团队,以对恶意软件作者团队进行追踪,提高恶意软件的识别效率。

参照图3,图3为本发明恶意软件作者的关联扩展方法第二实施例的流程示意图,基于上述图2所示的第一实施例,提出本发明恶意软件作者的关联扩展方法的第二实施例。

在第二实施例中,所述步骤s30,包括:

步骤s301:根据各变化规律对各恶意软件作者进行聚类,获得聚类簇。

应理解的是,计算各变化规律之间的相似度,具体地,可通过将各变化规律表示成向量形式,计算各变化规律的向量之间的余弦距离,将各余弦距离作为各变化规律之间的相似度。根据各变化规律之间的相似度,对各恶意软件作者进行聚类,彼此之间相似度高的变化规律聚类,获得所述聚类簇。本实施例中,所述步骤s301,包括:计算各变化规律之间的相似度;根据各相似度对各恶意软件作者进行聚类,获得聚类簇。

进一步地,所述根据各相似度对各恶意软件作者进行聚类,获得聚类簇,包括:将各变化规律作为节点,将各相似度作为各节点的值,构建相似度矩阵;根据所述相似度矩阵,通过亲和传播聚类算法对各恶意软件作者进行聚类,获得聚类簇。

可理解的是,所述亲和传播聚类(affinitypropagation,ap)算法,是根据数据点之间的相似度来进行聚类,可以是对称的,也可以是不对称的。所述亲和传播聚类算法不需要先确定聚类的数目,而是把所有的数据点都看成潜在意义上的聚类中心。根据各相似度可构建相似度矩阵,将各变化规律作为节点,各相似度作为相似度矩阵的值,然后经过ap算法进行聚类,获得多个聚类簇。

步骤s302:将所述聚类簇对应的恶意软件作者进行关联。

需要说明的是,从所述聚类簇中获取聚类中心,所述聚类中心与聚类簇中的其他变化规律相似性最强,最具有该聚类簇的代表性,因此,可获取所述聚类簇中各变化规律与所述聚类中心之间的相似度,并判断所述聚类簇中各变化规律与所述聚类中心之间的相似度是否大于预设相似度阈值,所述预设相似度阈值可基于大数据分析进行设置,比如,所述预设相似度阈值为80%,则在所述聚类簇中各变化规律与所述聚类中心之间的相似度大于所述预设相似度阈值时,可认定所述聚类簇中各变化规律具有一致性,则将所述聚类簇对应的恶意软件作者进行关联。本实施例中,所述步骤s302,包括:获取所述聚类簇对应的相似度;判断所述聚类簇对应的相似度是否大于预设相似度阈值;在所述聚类簇对应的相似度大于所述预设相似度阈值时,将所述聚类簇对应的恶意软件作者进行关联。

进一步地,所述在所述聚类簇对应的相似度大于所述预设相似度阈值时,将所述聚类簇对应的恶意软件作者进行关联,包括:在所述聚类簇对应的相似度大于所述预设相似度阈值时,获取所述聚类簇中成员数量;判断所述成员数量是否大于预设数量阈值;在所述成员数量大于所述预设数量阈值时,将所述聚类簇对应的恶意软件作者进行关联。

在具体实现中,若一个聚类簇中只有一个变化规律,则该聚类簇的聚类中心就是该变化规律,则该聚类簇一定满足相似度大于所述预设相似度阈值,但这种情况并不能实现恶意软件作者之间的关联扩展,因此需要将这种情况进行剔除。在所述聚类簇对应的相似度大于所述预设相似度阈值时,获取所述聚类簇中成员数量,判断各聚类簇的成员数量是否大于所述预设数量阈值,所述预设数量阈值可以是大于等于1的正整数,比如,所述预设数量阈值设置为1。将所述成员数量与所述预设数量阈值进行比较,在所述成员数量大于所述预设数量阈值时,则可将所述聚类簇中的变化规律对应的恶意软件作者进行关联。

在本实施例中,通过根据各变化规律对各恶意软件作者进行聚类,获得聚类簇,将所述聚类簇对应的恶意软件作者进行关联,从而将变化规律具有较高一致性的恶意软件作者实现关联,以对关联的恶意软件作者进行追踪,对关联的恶意软件作者的用户终端的运行进行进行分析,从而更高效地识别其他恶意软件作者和恶意软件。

参照图4,图4为本发明恶意软件作者的关联扩展方法第三实施例的流程示意图,基于上述图2所示的第一实施例或上述图3所示的第二实施例,提出本发明恶意软件作者的关联扩展方法的第三实施例。本实施例基于所述第一实施例进行说明。

在第三实施例中,所述运行特征包括外网ip地址;

所述步骤s10,包括:

步骤s101:所述运行特征包括外网ip地址,获取多个恶意软件作者的用户终端在预设时间段内的运行信息。

应理解的是,可通过获取各恶意软件作者的用户终端的运行日志,从所述运行日志中提取用户终端在预设时间段内的运行信息。所述预设时间段可以是半个月或者一个月,本实施例对此不加以限制。

步骤s102:从各运行信息中分别提取对应的多个待确认ip地址。

可理解的是,所述运行特征包括外网ip地址,在所述预设时间段内各恶意软件作者的用户终端的各运行信息中包括运行时采用的ip地址,在所述预设时间段内,恶意软件作者为了避免被追踪,通常会经常变换外网ip地址,则可从各运行信息中分别提取对应的多个待确认ip地址。

步骤s103:计算各待确认ip地址在所述预设时间段内的出现频率。

需要说明的是,恶意软件作者为了隐藏,通常会经常变换外网ip地址,但有的时候也会切换至实际ip地址,进行正常的用户操作,即各待确认ip地址中存在一个是实际ip地址。为了隐藏而设置的外网ip地址可能每次都不同,但是进行正常的用户操作采用的实际ip地址是一样的,则可计算各待确认ip地址在所述预设时间段内的出现频率,经常出现的ip地址则是实际ip地址。

步骤s104:将最高出现频率的待确认ip地址作为各用户终端的外网ip地址。

在具体实现中,将各待确认ip地址按照出现频率从高到低依次进行排序,获得排序列表,从所述排序列表中选取最高出现频率对应的ip地址作为各用户终端的外网ip地址。则可进一步统计所述外网ip地址的切换时间点或时间段,确定所述外网ip地址在预设时间段内的变化规律,根据各变化规律对各恶意软件作者进行关联。

进一步地,所述步骤s102,包括:

从各运行信息中分别提取各用户终端的mac地址;

根据各mac地址查找对应的多个待确认ip地址。

应理解的是,所述用户终端的运行信息中通常包括mac地址,mac地址和ip地址之间存在映射关系,则可从各运行信息中分别提取各用户终端的mac地址,基于各mac地址,查找对应的多个待确认ip地址。

在本实施例中,通过获取多个恶意软件作者的用户终端在预设时间段内的运行信息,从各运行信息中分别提取对应的多个待确认ip地址,计算各待确认ip地址在所述预设时间段内的出现频率,将最高出现频率的待确认ip地址作为各用户终端的外网ip地址,从而根据外网ip地址切换时间点或时间段等变化规律对各恶意软件作者进行关联,以对关联的恶意软件作者进行追踪,从而更高效地识别其他恶意软件作者和恶意软件。

参照图5,图5为本发明恶意软件作者的关联扩展方法第四实施例的流程示意图,基于上述图2所示的第一实施例或上述图3所示的第二实施例,提出本发明恶意软件作者的关联扩展方法的第四实施例。本实施例基于所述第一实施例进行说明。

在第四实施例中,所述步骤s10,包括:

步骤s105:所述运行特征包括外网ip地址,获取多个恶意软件作者的用户终端在预设时间段内的运行信息。

应理解的是,可通过获取各恶意软件作者的用户终端的运行日志,从所述运行日志中提取用户终端在预设时间段内的运行信息。所述预设时间段可以是半个月或者一个月,本实施例对此不加以限制。

步骤s106:判断各运行信息中是否存在预设操作类型。

可理解的是,所述预设操作类型为正常网络用户通常进行的操作,所述所述预设操作类型包括:浏览网页、网购、打游戏或观看视频。从各运行信息中提取用户操作,将用户操作与所述预设操作类型进行匹配,若匹配成功,则说明运行信息中存在预设操作类型。

进一步地,所述步骤s106,包括:从各运行信息中提取用户操作对应的网页地址;获取各网页地址的目标主站信息;根据各目标主站信息判断各网页地址对应的目标页面是否为正常页面;在各目标页面是正常页面时,认定各运行信息中存在预设操作类型。

可理解的是,从各运行信息中提取用户操作对应的网页地址,可根据所述网页地址判断所述恶意软件作者是否在访问正常的网页。可预先统计各正常页面的网页地址的主站信息,将统计的各主站信息建立预设主站信息库,比如,用户会通过购物网站进行网购,则可获取正常的购物网站的主站信息,将正常的购物网站的主站信息添加至所述预设主站信息库中。获取各网页地址的目标主站信息,将所述目标主站信息与所述预设主站信息库中的主站信息进行匹配,若匹配成功,说明访问的所述网页地址是正常,该访问是常规网络操作。本实施例中,所述根据各目标主站信息判断各网页地址对应的目标页面是否为正常页面,具体包括:将各目标主站信息与预设主站信息库中的主站信息进行匹配;若匹配成功,则认定各网页地址对应的目标页面是正常页面。

步骤s107:若各运行信息中存在所述预设操作类型,获取所述预设操作类型对应的操作时间。

需要说明的是,若各运行信息中存在所述预设操作类型,可从所述运行信息中获取所述预设操作类型对应的操作时间,也即在所述操作时间所述恶意软件作者在进行正常的网络操作,此时采用的外网ip地址是所述恶意软件作者的用户设备对应的实际ip地址。

步骤s108:根据所述操作时间查找对应的外网ip地址。

在具体实现中,根据所述操作时间查找所述用户设备在所述操作时间采用的外网ip地址。则可进一步统计所述外网ip地址的切换时间点或时间段,确定所述外网ip地址在预设时间段内的变化规律,根据各变化规律对各恶意软件作者进行关联。

在本实施例中,通过获取多个恶意软件作者的用户终端在预设时间段内的运行信息,判断各运行信息中是否存在预设操作类型,若各运行信息中存在所述预设操作类型,获取所述预设操作类型对应的操作时间,根据所述操作时间查找对应的外网ip地址,从而根据外网ip地址切换时间点或时间段等变化规律对各恶意软件作者进行关联,以对关联的恶意软件作者进行追踪,从而更高效地识别其他恶意软件作者和恶意软件。

此外,本发明实施例还提出一种存储介质,所述存储介质上存储有恶意软件作者的关联扩展程序,所述恶意软件作者的关联扩展程序被处理器执行时实现如下步骤:

获取多个恶意软件作者的用户终端在预设时间段内的运行特征;

分别确定各运行特征在预设时间段内的变化规律;

根据各变化规律对各恶意软件作者进行关联。

进一步地,所述恶意软件作者的关联扩展程序被处理器执行时还实现如下操作:

根据各变化规律对各恶意软件作者进行聚类,获得聚类簇;

将所述聚类簇对应的恶意软件作者进行关联。

进一步地,所述恶意软件作者的关联扩展程序被处理器执行时还实现如下操作:

计算各变化规律之间的相似度;

根据各相似度对各恶意软件作者进行聚类,获得聚类簇。

进一步地,所述恶意软件作者的关联扩展程序被处理器执行时还实现如下操作:

将各变化规律作为节点,将各相似度作为各节点的值,构建相似度矩阵;

根据所述相似度矩阵,通过亲和传播聚类算法对各恶意软件作者进行聚类,获得聚类簇。

进一步地,所述恶意软件作者的关联扩展程序被处理器执行时还实现如下操作:

获取所述聚类簇对应的相似度;

判断所述聚类簇对应的相似度是否大于预设相似度阈值;

在所述聚类簇对应的相似度大于所述预设相似度阈值时,将所述聚类簇对应的恶意软件作者进行关联。

进一步地,所述恶意软件作者的关联扩展程序被处理器执行时还实现如下操作:

在所述聚类簇对应的相似度大于所述预设相似度阈值时,获取所述聚类簇中成员数量;

判断所述成员数量是否大于预设数量阈值;

在所述成员数量大于所述预设数量阈值时,将所述聚类簇对应的恶意软件作者进行关联。

进一步地,所述恶意软件作者的关联扩展程序被处理器执行时还实现如下操作:

根据预设时间段内的各运行特征绘制特征变化曲线,将所述特征变化曲线作为各运行特征对应的变化规律。

进一步地,所述恶意软件作者的关联扩展程序被处理器执行时还实现如下操作:

获取预设时间段内的各运行特征的变化次数或变化频率,将所述变化次数或变化频率作为各运行特征对应的变化规律。

进一步地,所述恶意软件作者的关联扩展程序被处理器执行时还实现如下操作:

获取预设时间段内的各运行特征每次产生的变化幅度,将每次产生的变化幅度作为各运行特征对应的变化规律。

进一步地,所述运行特征包括外网ip地址;所述恶意软件作者的关联扩展程序被处理器执行时还实现如下操作:

获取多个恶意软件作者的用户终端在预设时间段内的运行信息;

从各运行信息中分别提取对应的多个待确认ip地址;

计算各待确认ip地址在所述预设时间段内的出现频率;

将最高出现频率的待确认ip地址作为各用户终端的外网ip地址。

进一步地,所述恶意软件作者的关联扩展程序被处理器执行时还实现如下操作:

从各运行信息中分别提取各用户终端的mac地址;

根据各mac地址查找对应的多个待确认ip地址。

进一步地,所述恶意软件作者的关联扩展程序被处理器执行时还实现如下操作:

获取多个恶意软件作者的用户终端在预设时间段内的运行信息;

判断各运行信息中是否存在预设操作类型;

若各运行信息中存在所述预设操作类型,获取所述预设操作类型对应的操作时间;

根据所述操作时间查找对应的外网ip地址。

进一步地,所述恶意软件作者的关联扩展程序被处理器执行时还实现如下操作:

从各运行信息中提取用户操作对应的网页地址;

获取各网页地址的目标主站信息;

根据各目标主站信息判断各网页地址对应的目标页面是否为正常页面;

在各目标页面是正常页面时,认定各运行信息中存在预设操作类型。

进一步地,所述预设操作类型包括浏览网页、网购、打游戏或观看视频;

所述恶意软件作者的关联扩展程序被处理器执行时还实现如下操作:将各目标主站信息与预设主站信息库中的主站信息进行匹配;

若匹配成功,则认定各网页地址对应的目标页面是正常页面。

本实施例中,通过获取多个恶意软件作者的用户终端在预设时间段内的运行特征,分别确定各运行特征在预设时间段内的变化规律,存在关联关系的恶意软件作者通常具有相似的变化规律;根据各变化规律对各恶意软件作者进行关联,通过对恶意软件作者的运行特征进行分析,确定各恶意软件作者之前的关联关系,从而能够定位恶意软件作者团队,以对恶意软件作者团队进行追踪,提高恶意软件的识别效率。

此外,参照图6,本发明实施例还提出一种恶意软件作者的关联扩展装置,所述恶意软件作者的关联扩展装置包括:

获取模块10,用于获取多个恶意软件作者的用户终端在预设时间段内的运行特征。

应理解的是,通常恶意软件作者团队中有多个恶意软件作者,同一个团队中的恶意软件作者通常会有一些运行特征相似,因此,可通过获取各恶意软件作者的用户终端的运行日志,从所述运行日志中提取运行特征。通常发生变化的运行特征更能体现恶意软件作者团队的团队特征,所述预设时间段可以是半个月或者一个月,本实施例对此不加以限制,在所述预设时间段内各恶意软件作者的用户终端的运行日志中存在产生变化的运行特征,将产生变化的运行特征从所述运行日志中进行提取,获得所述用户终端在预设时间段内的运行特征。

可理解的是,所述运行特征可以是外网ip地址。通常恶意软件作者会经常变换外网ip地址,若几个恶意软件作者的外网ip地址在所述预设时间段内的外网ip地址变换时间点或变换时间段一致,则可认为他们之间存在关联关系。

确定模块20,用于分别确定各运行特征在预设时间段内的变化规律。

需要说明的是,为了确定各恶意软件作者对应的运行特征的变化规律,可对各运行特征进行相应处理,可以根据各运行特征绘制在预设时间段内的特征变化曲线,将所述特征变化曲线作为各运行特征对应的变化规律。具体地,可记录各运行特征在所述预设时间段内发生变化的时间点或时间段,根据各时间点或各时间段绘制特征变化曲线。比如,统计多个多个恶意软件作者在一个月内的外网ip地址变换的时间点或时间段,根据外网ip地址变换的时间点或时间段绘制对应的特征变化曲线,将外网ip地址变换的时间点或时间段对应的特征变化曲线作为外网ip地址在预设时间段内的变化规律。

可理解的是,同一个恶意软件作者团队可能存在运行特征在所述预设时间段内的变化次数或变化频率一致。可统计各运行特征在所述预设时间段内发生变换的变化次数或变化频率,将所述变化次数或变化频率作为各运行特征对应的变化规律。比如,统计多个恶意软件作者在一个月内的外网ip地址变换的次数,将外网ip地址在一个月内发生变换的变化次数作为所述外网ip地址在预设时间段内的变化规律。

在具体实现中,同一个恶意软件作者团队可能存在运行特征在所述预设时间段内的每次产生的变化幅度一致。可统计各运行特征在所述预设时间段呢你每次产生的变化幅度,将每次产生的变化幅度作为各运行特征对应的变化规律。

关联模块30,用于根据各变化规律对各恶意软件作者进行关联。

本实施例中,对各变化规律进行分析,可通过计算各变化规律之间的相似度,将相似度超过预设相似度阈值的变化规律对应的恶意软件作者进行关联,认为他们具有相一致的运行特征,可将进行关联的恶意软件作者认定为一个恶意软件作者团队,可对所述恶意软件作者团队进行追踪,从而识别出更多的恶意软件作者或恶意软件。比如,恶意软件作者a、b和c在最近半个月内外网ip地址在一天的上午十一点和下午三点发生变换,则恶意软件作者a、b和c的外网ip地址的变换时间点的变化规律一致,可根据该变化规律将恶意软件作者a、b和c进行关联。

本实施例中,通过获取多个恶意软件作者的用户终端在预设时间段内的运行特征,分别确定各运行特征在预设时间段内的变化规律,存在关联关系的恶意软件作者通常具有相似的变化规律;根据各变化规律对各恶意软件作者进行关联,通过对恶意软件作者的运行特征进行分析,确定各恶意软件作者之前的关联关系,从而能够定位恶意软件作者团队,以对恶意软件作者团队进行追踪,提高恶意软件的识别效率。

继续参照图6,基于上述图6所示的恶意软件作者的关联扩展装置第一实施例,提出本发明恶意软件作者的关联扩展装置的第二实施例。

在第二实施例中,所述关联模块,还用于根据各变化规律对各恶意软件作者进行聚类,获得聚类簇;将所述聚类簇对应的恶意软件作者进行关联。

应理解的是,计算各变化规律之间的相似度,具体地,可通过将各变化规律表示成向量形式,计算各变化规律的向量之间的余弦距离,将各余弦距离作为各变化规律之间的相似度。根据各变化规律之间的相似度,对各恶意软件作者进行聚类,彼此之间相似度高的变化规律聚类,获得所述聚类簇。本实施例中,所述关联模块,还用于计算各变化规律之间的相似度;根据各相似度对各恶意软件作者进行聚类,获得聚类簇。

进一步地,所述根据各相似度对各恶意软件作者进行聚类,获得聚类簇,包括:将各变化规律作为节点,将各相似度作为各节点的值,构建相似度矩阵;根据所述相似度矩阵,通过亲和传播聚类算法对各恶意软件作者进行聚类,获得聚类簇。

可理解的是,所述亲和传播聚类(affinitypropagation,ap)算法,是根据数据点之间的相似度来进行聚类,可以是对称的,也可以是不对称的。所述亲和传播聚类算法不需要先确定聚类的数目,而是把所有的数据点都看成潜在意义上的聚类中心。根据各相似度可构建相似度矩阵,将各变化规律作为节点,各相似度作为相似度矩阵的值,然后经过ap算法进行聚类,获得多个聚类簇。

需要说明的是,从所述聚类簇中获取聚类中心,所述聚类中心与聚类簇中的其他变化规律相似性最强,最具有该聚类簇的代表性,因此,可获取所述聚类簇中各变化规律与所述聚类中心之间的相似度,并判断所述聚类簇中各变化规律与所述聚类中心之间的相似度是否大于预设相似度阈值,所述预设相似度阈值可基于大数据分析进行设置,比如,所述预设相似度阈值为80%,则在所述聚类簇中各变化规律与所述聚类中心之间的相似度大于所述预设相似度阈值时,可认定所述聚类簇中各变化规律具有一致性,则将所述聚类簇对应的恶意软件作者进行关联。本实施例中,所述关联模块,还用于获取所述聚类簇对应的相似度;判断所述聚类簇对应的相似度是否大于预设相似度阈值;在所述聚类簇对应的相似度大于所述预设相似度阈值时,将所述聚类簇对应的恶意软件作者进行关联。

进一步地,所述在所述聚类簇对应的相似度大于所述预设相似度阈值时,将所述聚类簇对应的恶意软件作者进行关联,包括:在所述聚类簇对应的相似度大于所述预设相似度阈值时,获取所述聚类簇中成员数量;判断所述成员数量是否大于预设数量阈值;在所述成员数量大于所述预设数量阈值时,将所述聚类簇对应的恶意软件作者进行关联。

在具体实现中,若一个聚类簇中只有一个变化规律,则该聚类簇的聚类中心就是该变化规律,则该聚类簇一定满足相似度大于所述预设相似度阈值,但这种情况并不能实现恶意软件作者之间的关联扩展,因此需要将这种情况进行剔除。在所述聚类簇对应的相似度大于所述预设相似度阈值时,获取所述聚类簇中成员数量,判断各聚类簇的成员数量是否大于所述预设数量阈值,所述预设数量阈值可以是大于等于1的正整数,比如,所述预设数量阈值设置为1。将所述成员数量与所述预设数量阈值进行比较,在所述成员数量大于所述预设数量阈值时,则可将所述聚类簇中的变化规律对应的恶意软件作者进行关联。

在本实施例中,通过根据各变化规律对各恶意软件作者进行聚类,获得聚类簇,将所述聚类簇对应的恶意软件作者进行关联,从而将变化规律具有较高一致性的恶意软件作者实现关联,以对关联的恶意软件作者进行追踪,对关联的恶意软件作者的用户终端的运行进行进行分析,从而更高效地识别其他恶意软件作者和恶意软件。

本发明所述恶意软件作者的关联扩展装置的其他实施例或具体实现方式可参照上述各方法实施例,此处不再赘述。

需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。

上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。词语第一、第二、以及第三等的使用不表示任何顺序,可将这些词语解释为标识。

通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如只读存储器镜像(readonlymemoryimage,rom)/随机存取存储器(randomaccessmemory,ram)、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。

以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。

本发明公开了a1、一种恶意软件作者的关联扩展方法,所述恶意软件作者的关联扩展方法包括以下步骤:

获取多个恶意软件作者的用户终端在预设时间段内的运行特征;

分别确定各运行特征在预设时间段内的变化规律;

根据各变化规律对各恶意软件作者进行关联。

a2、如a1所述的恶意软件作者的关联扩展方法,所述根据各变化规律对各恶意软件作者进行关联,具体包括:

根据各变化规律对各恶意软件作者进行聚类,获得聚类簇;

将所述聚类簇对应的恶意软件作者进行关联。

a3、如a2所述的恶意软件作者的关联扩展方法,所述根据各变化规律对各恶意软件作者进行聚类,获得聚类簇,具体包括:

计算各变化规律之间的相似度;

根据各相似度对各恶意软件作者进行聚类,获得聚类簇。

a4、如a3所述的恶意软件作者的关联扩展方法,所述根据各相似度对各恶意软件作者进行聚类,获得聚类簇,具体包括:

将各变化规律作为节点,将各相似度作为各节点的值,构建相似度矩阵;

根据所述相似度矩阵,通过亲和传播聚类算法对各恶意软件作者进行聚类,获得聚类簇。

a5、如a3所述的恶意软件作者的关联扩展方法,其特征在于,所述将所述聚类簇对应的恶意软件作者进行关联,具体包括:

获取所述聚类簇对应的相似度;

判断所述聚类簇对应的相似度是否大于预设相似度阈值;

在所述聚类簇对应的相似度大于所述预设相似度阈值时,将所述聚类簇对应的恶意软件作者进行关联。

a6、如a5所述的恶意软件作者的关联扩展方法,所述在所述聚类簇对应的相似度大于所述预设相似度阈值时,将所述聚类簇对应的恶意软件作者进行关联,具体包括:

在所述聚类簇对应的相似度大于所述预设相似度阈值时,获取所述聚类簇中成员数量;

判断所述成员数量是否大于预设数量阈值;

在所述成员数量大于所述预设数量阈值时,将所述聚类簇对应的恶意软件作者进行关联。

a7、如a1所述的恶意软件作者的关联扩展方法,所述分别确定各运行特征在预设时间段内的变化规律,具体包括:

根据预设时间段内的各运行特征绘制特征变化曲线,将所述特征变化曲线作为各运行特征对应的变化规律。

a8、如a1所述的恶意软件作者的关联扩展方法,所述分别确定各运行特征在预设时间段内的变化规律,具体包括:

获取预设时间段内的各运行特征的变化次数或变化频率,将所述变化次数或变化频率作为各运行特征对应的变化规律。

a9、如a1所述的恶意软件作者的关联扩展方法,所述分别确定各运行特征在预设时间段内的变化规律,具体包括:

获取预设时间段内的各运行特征每次产生的变化幅度,将每次产生的变化幅度作为各运行特征对应的变化规律。

a10、如a1-a9中任一项所述的恶意软件作者的关联扩展方法,所述运行特征包括外网ip地址。

a11、如a10所述的恶意软件作者的关联扩展方法,所述获取多个恶意软件作者的用户终端在预设时间段内的运行特征,具体包括:

获取多个恶意软件作者的用户终端在预设时间段内的运行信息;

从各运行信息中分别提取对应的多个待确认ip地址;

计算各待确认ip地址在所述预设时间段内的出现频率;

将最高出现频率的待确认ip地址作为各用户终端的外网ip地址。

a12、如a11所述的恶意软件作者的关联扩展方法,所述从各运行信息中分别提取对应的多个待确认ip地址,具体包括:

从各运行信息中分别提取各用户终端的mac地址;

根据各mac地址查找对应的多个待确认ip地址。

a13、如a10所述的恶意软件作者的关联扩展方法,所述获取多个恶意软件作者的用户终端在预设时间段内的运行特征,具体包括:

获取多个恶意软件作者的用户终端在预设时间段内的运行信息;

判断各运行信息中是否存在预设操作类型;

若各运行信息中存在所述预设操作类型,获取所述预设操作类型对应的操作时间;

根据所述操作时间查找对应的外网ip地址。

a14、如a13所述的恶意软件作者的关联扩展方法,所述判断各运行信息中是否存在预设操作类型,具体包括:

从各运行信息中提取用户操作对应的网页地址;

获取各网页地址的目标主站信息;

根据各目标主站信息判断各网页地址对应的目标页面是否为正常页面;

在各目标页面是正常页面时,认定各运行信息中存在预设操作类型。

a15、如a14所述的恶意软件作者的关联扩展方法,所述根据各目标主站信息判断各网页地址对应的目标页面是否为正常页面,具体包括:

将各目标主站信息与预设主站信息库中的主站信息进行匹配;

若匹配成功,则认定各网页地址对应的目标页面是正常页面。

a16、如a13所述的恶意软件作者的关联扩展方法,所述预设操作类型包括浏览网页、网购、打游戏或观看视频。

本发明还公开了b17、一种恶意软件作者的关联扩展设备,所述恶意软件作者的关联扩展设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的恶意软件作者的关联扩展程序,所述恶意软件作者的关联扩展程序被所述处理器执行时实现如a1至a16中任一项所述的恶意软件作者的关联扩展方法的步骤。

本发明还公开了c18、一种存储介质,所述存储介质上存储有恶意软件作者的关联扩展程序,所述恶意软件作者的关联扩展程序被处理器执行时实现如权利要求a1至a16中任一项所述的恶意软件作者的关联扩展方法的步骤。

本发明还公开了d19、一种恶意软件作者的关联扩展装置,所述恶意软件作者的关联扩展装置包括:

获取模块,用于获取多个恶意软件作者的用户终端在预设时间段内的运行特征;

确定模块,用于分别确定各运行特征在预设时间段内的变化规律;

关联模块,用于根据各变化规律对各恶意软件作者进行关联。

d20、如权利要求d19所述的恶意软件作者的关联扩展装置,所述关联模块,还用于根据各变化规律对各恶意软件作者进行聚类,获得聚类簇;将所述聚类簇对应的恶意软件作者进行关联。

完整全部详细技术资料下载
当前第1页1 2 
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:许益鑫;边亮;辛流通
  • 技术所有人:苏州三六零智能安全科技有限公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2