[发明专利]基于软件基因的安全防护软件测试集自动生成方法、架构

说明书

本发明提供一种基于软件基因的安全防护软件测试集自动生成方法、架构，涉及网络与信息安全领域，所述方法包括以下步骤：S1：准备待检测数据集的样本，提取所述样本中的软件基因代码片段；S2：通过对比每一个样本的软件基因代码片段的相似性，对样本进行基于密度的聚类中心自动确定的混合属性数据聚类，形成多个不同大小的聚类；S3：对每个聚类进行基于可变网格的密度偏差抽样，得到测试样本，把所有聚类中得到的测试样本进行汇总，得到测试样本集。其不受限于人工经验分析样本行为特征而形成测试样本集，用于解决现有技术中大多数测试集自动生成架构性能不稳定、耗时长、测试集不能很好的体现原数据集密度分布特性等的技术问题。

技术领域

本发明涉及网络与信息安全领域，特别是涉及一种基于软件基因的安全防护软件测试集自动生成方法、架构。

背景技术

恶意软件和安全防护策略以互相博弈的形式共同演进，提高对恶意样本的识别准确度成为研究机构的主要工作。不同的安全防护软件对于恶意程序的识别能力和定义是不同的，构造高质量的测试样本集可以更充分地评估安全防护软件的性能，有助于提升安全防护策略，测试样本集应当具有体量适当、种类丰富和保留原始数据集密度分布特征等特点。考虑到样本集来源问题，安全防防护软件对于不同测试集的识别准确度不尽相同，但不能根据识别准确度来定判测试集及生成测试集方法的性能。

许多行业都通过制定或构造测评标准对相应的工作提供标准化的评估，在网络安全领域，需要持续更新原始样本库以保障生成最新的、有效的测试样本集。有学者通过AV-TEST或AV-Comparatives获得恶意样本及相关数据，用来测试安全防护软件的性能；也有研究人员主要通过基于沙箱的程序动态特征，检测和获取样本的行为特征；或者通过基于静态分析的样本特征码从而生成测试样本集。

但是他们的方法存在一些比较严重的问题：1.现在越来越多的样本有较强的甄别沙箱的能力，在沙箱环境中个，他们的很多行为不会暴露，由此造成观测结果不准确；2.样本变异速度过快，更新样本库越来越难以满足及时性的要求；3.由于恶意程序变种速度加快以及采用加壳技术等原因，使得恶意程序样本库加快老化或失效，以至于不能适用于研究新的恶意程序。这些传统分析方法均具有一定的局限性，并且过度依赖人工经验，相对于快速更新的恶意程序有严重的滞后性。

发明内容

鉴于以上所述现有技术的缺点，本发明的目的在于提供一种基于软件基因的安全防护软件测试集自动生成方法、架构，其不受限于人工经验分析样本行为特征而形成测试样本集，用于解决现有技术中大多数测试集自动生成架构性能不稳定、耗时长，测试样本集不能很好的体现原数据集密度分布特性的技术问题。

本发明提供一种基于软件基因的安全防护软件测试集自动生成方法，所述方法包括以下步骤：

S1：准备待检测数据集的样本，提取所述样本中的软件基因代码片段；

S2：通过对比每一个样本的软件基因代码片段的相似性，对样本进行基于密度的聚类中心自动确定的混合属性数据聚类，形成多个不同大小的聚类；

S3：对每个聚类进行基于可变网格的密度偏差抽样，得到测试样本，把所有聚类中得到的测试样本进行汇总，得到测试样本集。

于本发明的一实施例中，所述步骤S1具体包括：

S11：输入样本，对样本进行反汇编得到待处理代码；

S12：获取所述待处理代码中调用系统API的代码所在的位置，以相邻的两条调用系统API的代码之间的部分作为一个软件代码基因片段，将所述待处理代码切割成为多个软件基因代码片段。

于本发明的一实施例中，步骤S2具体包括：

S21：从所述软件基因代码片段的数值型属性和分类型属性两个维度的数据进行计算，得出每个样本的位置和任意两个样本的距离；