[发明专利]基于文件指令频度的计算机恶意程序分类系统及分类方法

说明书

技术领域

本发明涉及计算机反恶意程序类软件领域，尤其涉及一种基于文 件指令频度的计算机恶意程序分类系统及其方法。

背景技术

目前，计算机反恶意程序软件对恶意程序处理的基本原理是：从 互联网及客户端收集的海量样本中，鉴别出所有的恶意程序，并将鉴 别出来的恶意程序，按照恶意程序的特点进行分类(即分成不同的恶 意程序家族)；然后对同家族的恶意程序，分析并提取其“通杀”特 征；剩余无法提取“通杀”特征的样本提取“自动”特征，生成相应 的恶意程序特征库。根据所生成的恶意程序特征库，计算机反恶意程 序软件扫描客户端计算机中的文件，并判断每个文件是否与特征库中 的恶意程序特征相匹配，如果匹配则为恶意程序。这里，“同家族恶 意程序”指传播途径、功能、内容或行为相同或相近的恶意程序集合； “通杀”特征指能够匹配同家族所有恶意程序的特征；“自动”特征 指匹配单一恶意程序的二进制特征。通常，一个“通杀”特征能查杀 的恶意程序要远高于一个“自动”特征所能匹配的恶意程序。

随着计算机技术的发展和软件的多样性，恶意代码的数量急剧增 长，恶意代码的种类也呈现多样化发展的态势。但是，这些新出现的 恶意代码并不是完全没有共性：有部分恶意程序是在原有代码基础上 修改生成的，病毒作者根据原有恶意程序的源代码，为了绕过反恶意 程序软件的查杀(即“免杀”)，在其基础上做出了一定的修改；而 且这些新生成的恶意程序之间也是具有共性的。如果能将恶意程序快 速、准确地进行分类(分家族)，将极大地提高计算机反恶意程序软 件处理这些新恶意程序的效率，从而缩短对新恶意程序的处理时间， 同时有利于提高每个特征的查杀能力，从而缩小恶意特征库的大小。

对于计算机反恶意程序软件厂商收集到的大量恶意程序样本，不 同的反恶意程序软件给出的分类结果各不相同，命名规则也没有统一 的标准，即使名称相同也不一定是同一个家族的样本，因此分类效果 不尽人意。而依靠人工对收集到的海量恶意程序样本逐一归类，已不 可能。近年来，数据挖掘技术的不断发展在一定程度上解决了人们处 理海量数据的难题。数据挖掘是从大量的、不完全的、有噪声的、模 糊的、随机的数据中提取隐含在其中的、人们事先不知道的、但又是 潜在有用的信息和知识的过程。而聚类算法是数据挖掘领域研究最广 泛的问题之一。聚类分析是把数据按照相似性归纳成若干类别，同一 类中的数据彼此相似，而不同类中的数据相异。把数据挖掘技术中的 聚类算法应用于计算机反恶意程序类软件中，可以自动地把具有共性 的同家族恶意程序分成一类，同时把差异较大的恶意程序区分开来。

发明内容

本发明克服了现有技术中的不足，本发明提出了一种基于文件指 令频度的计算机恶意程序分类系统。

本发明的第二目的是提供一种使用上述系统对计算机恶意程序 分类的方法。

为了实现上述第一目的，本发明采用如下技术方案：

一种基于文件指令频度的计算机恶意程序分类系统，包括：

指令频度特征提取模块，其首先解析恶意程序代码的所有指令， 并通过计算每个指令在恶意程序样本中所出现的频率TF与逆向样本 频率IDF，对恶意程序样本集中出现的指令进行加权，从而构造指令 频度向量来表征恶意程序样本，并存储于恶意程序特征库中；

恶意程序特征库，其用于存储以指令频度向量来表征的所有恶意 程序样本；

样本差异度度量模块，其采用Cosine余弦度量方法，通过计算 两个样本指令频度向量之间夹角来衡量样本之间的差异度；

恶意程序样本家族划分模块，其将恶意程序特征库中所有N个 恶意程序样本从分成N个家族开始，逐次分成N-1个家族、N-2个家 族，依次类推，直至最后将所有N个恶意程序样本分成一个家族或 者直到分成预先设定好的家族数；

聚类质量评估模块，其对恶意程序样本家族划分模块每层分家族 的结果采用FS指标值进行有效性度量，并选择最小的FS指标值， 将其对应的划分结果作为最终结果。

为了实现上述第二目的，本发明采用如下技术方案：

使用上述基于文件指令频度的计算机恶意程序分类系统进行分 类的方法，包括如下过程：

第一、恶意程序特征库生成：