[发明专利]基于文件指令序列的计算机恶意程序分类系统和分类方法

说明书

技术领域

本发明涉及计算机反恶意程序类软件领域，尤其涉及一种基于文 件指令序列的计算机恶意程序分类系统及其方法。

背景技术

目前，计算机反恶意程序软件对恶意程序处理的基本原理是：首 先对可疑文件进行鉴定，判定其属于正常程序或者恶意程序；对确认 为恶意程序的样本文件进行分类(即分家族)，然后分析同家族恶意 程序的特性，提取其“通杀”特征；剩余无法提取“通杀”特征的样 本提取“自动”特征，生成相应的恶意程序特征库。根据所生成的恶 意程序特征库，计算机反恶意程序软件扫描客户端计算机中的文件， 并判断每个文件是否与特征库中的恶意程序特征相匹配，如果匹配则 为恶意程序。这里，“同家族恶意程序”指传播途径、功能、内容或 行为相同或相似的恶意程序集合；“通杀”特征指能够匹配同家族所 有恶意程序的特征；“自动”特征指匹配单一恶意程序的二进制特征。 通常，一个“通杀”特征能查杀的恶意程序要远高于一个“自动”特 征所能匹配的恶意程序。

随着技术的发展和安全形势的变化，新的恶意程序成几何级数爆 炸增长：据反病毒专家统计，全球恶意程序已超过1100万个，单月 样本超过64万，到2015年会有2.33亿个。但是，这些新出现的恶 意代码并不是完全没有共性：有部分恶意程序是在原有代码基础上修 改生成的，病毒作者根据原有恶意程序的源代码，为了绕过反恶意程 序软件的查杀(即“免杀”)，在其基础上做出了一定的修改；而且 这些新生成的恶意程序之间也是具有共性的。如果能将恶意程序快 速、准确地进行分类(分家族)，提取“通杀”特征，将极大地提高 计算机反恶意程序软件处理这些新恶意程序的效率，从而缩短对新恶 意程序的处理时间，同时有利于提高每个特征的查杀能力，从而缩小 恶意特征库的大小。

对于计算机反恶意程序软件厂商收集到的大量恶意程序样本，不 同的反恶意程序软件给出的分类结果各不相同，命名规则也没有统一 的标准，即使名称相同也不一定是同一个家族的样本，因此分类效果 不尽人意。而依靠人工对收集到的海量恶意程序样本逐一归类，已不 可能。近年来，数据挖掘技术的不断发展在一定程度上解决了人们处 理海量数据的难题。数据挖掘是从大量的、不完全的、有噪声的、模 糊的、随机的数据中提取隐含在其中的、人们事先不知道的、但又是 潜在有用的信息和知识的过程。而聚类算法是数据挖掘领域研究最广 泛的问题之一。聚类分析是把数据按照相似性归纳成若干类别，同一 类中的数据彼此相似，而不同类中的数据相异。把数据挖掘技术中的 聚类算法应用于计算机反恶意程序类软件中，可以自动地把具有共性 的同家族恶意程序分成一类，同时把差异较大的恶意程序区分开来。

发明内容

本发明的第一目的是克服现有技术中的不足，提出一种基于文件 指令序列的计算机恶意程序分类系统。

本发明的第二目的是提供一种使用上述系统对计算机恶意程序 分类的方法。

为了实现上述第一目的，本发明采用如下技术方案：

一种基于文件指令序列的计算机恶意程序分类系统，其包括：

指令序列特征提取模块，其首先将样本文件脱壳，提取样本文件 中所包含的所有函数，并剔除函数中的操作数，只保留汇编指令，然 后以函数为单位，将每个函数的指令序列隔指定的步长以指定的片长 进行切片，统计每个文件出现的指令片段，生成一个指令片段的集合， 作为样本文件的特征表征；

样本分家族模块，其通过如下过程完成对所有样本点进行分家族 工作：

A.接受用户输入的分类家族数K，K为大于0的自然数，然后从 所有样本点中随机选取K个样本点作为K个家族的初始中心点；

B.将每个维度的权值设置成1/d，其中d为样本全集的维度总数；

C.根据公式(1)计算所有K个初始中心点以外的其它样本点(一 个恶意程序样本文件即为一个样本点)与K个初始中心点的差异度 后，将相应的样本点划分到与之差异度最小的初始中心点所属的家族 中；