[发明专利]一种文件聚类方法、装置及设备

说明书

本发明提供了一种文件聚类方法、装置及设备，包括：获取多个待聚类文件执行时调用的应用程序接口序列信息，所述应用程序接口序列信息包括按照调用时序排序的多个应用程序接口；根据每一待聚类文件所对应的多个应用程序接口的排序将所述每一待聚类文件的应用程序接口序列信息组合成多个接口序列元组；确定每一待聚类文件所对应的所述多个接口序列元组的多个特征向量；基于所述每一待聚类文件所对应的多个特征向量确定所述每一待聚类文件的特征向量；利用所述多个待聚类文件的特征向量对所述多个待聚类文件进行聚类。解决了现有技术中对于使用加壳、加花指令等使用变形技术的文件聚类困难或不准确的问题，提高了文件聚类的准确性。

技术领域

本发明涉及文件聚类技术领域，具体涉及一种文件聚类方法、装置及设备。

背景技术

目前文件聚类方法基于文件的静态信息，如根据可执行文件的PE(PortableExecutable)结构采集可执行文件的各个静态信息做加权计算，通过对比两个文件的静态信息来判定两文件是否相似。

通过静态信息来聚类的方法，通用性比较好，不用考虑文件执行所依赖的系统环境，但是对于使用加壳、加花指令等使用变形技术的文件聚类不了，虽然它们的动态行为可能相似，而且有些文件静态特征并不明显，容易造成误报。

为了提高聚类的准确率，静态聚类通常选用尽量多的特征，多达几十个特征。特征越多，计算复杂性越高，索引越复杂，当文件量增大时，聚类计算变得异常巨大。

因此需要提出一种可以轻松应对加壳、加花指令的文件的聚类方案。

发明内容

本发明提出了一种文件聚类方法、装置及设备，提供了一种新的文件聚类方案，能够轻松应对海量的待聚类文件。本发明具体是以如下技术方案实现的：

第一方面，本发明提供了一种文件聚类方法，包括：

获取多个待聚类文件执行时调用的应用程序接口序列信息，所述应用程序接口序列信息包括按照调用时序排序的多个应用程序接口；

根据每一待聚类文件所对应的多个应用程序接口的排序将所述每一待聚类文件的应用程序接口序列信息组合成多个接口序列元组，所述接口序列元组至少包含两个应用程序接口；

确定每一待聚类文件所对应的所述多个接口序列元组的多个特征向量；

基于所述每一待聚类文件所对应的多个特征向量确定所述每一待聚类文件的特征向量；

利用所述多个待聚类文件的特征向量对所述多个待聚类文件进行聚类。

第二方面，本发明提供了一种文件聚类装置，包括：

获取模块，用于获取多个待聚类文件执行时调用的应用程序接口序列信息，所述应用程序接口序列信息包括按照调用时序排序的多个应用程序接口；

组合模块，用于根据每一待聚类文件所对应的多个应用程序接口的排序将所述每一待聚类文件的应用程序接口序列信息组合成多个接口序列元组，所述接口序列元组至少包含两个应用程序接口；

第一确定模块，用于确定每一待聚类文件所对应的所述多个接口序列元组的多个特征向量；

第二确定模块，用于基于所述每一待聚类文件所对应的多个特征向量确定所述每一待聚类文件的特征向量；

聚类模块，用于利用所述多个待聚类文件的特征向量对所述多个待聚类文件进行聚类。

进一步的，所述组合模块还包括：

第三确定模块，用于确定接口序列元组所包含的应用程序接口的第一数量；

第四确定模块，用于基于所述第一数量的确定应用程序接口提取窗口；