[发明专利]一种恶意软件分类方法、装置、设备及介质

说明书

本发明公开了一种恶意软件分类方法、装置、设备及介质，用以解决现有技术中恶意软件分类方法分类粒度不够精细的问题。该方法包括：获取第一特征集合，所述第一特征集合包括多个社区的特征，每个社区的特征根据属于同一家族且属于同一社区的恶意软件的特征确定；根据所述第一特征集合与待分类恶意软件的特征，确定所述待分类恶意软件所属的家族和社区。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种恶意软件分类方法、装置、设备及介质。

背景技术

随着互联网的迅速发展，各种类型的恶意软件应运而生，严重危害了网络公共安全，因而催生了一系列恶意软件检测技术。恶意软件家族分类的目的是挖掘恶意软件的同源性，同家族的恶意软件具有相似的代码、动作行为或攻击目的，根据已有的恶意软件家族信息可以对恶意软件的恶意程度、攻击溯源等提供有力的分析依据。恶意软件分析数据的离散存储方式，难以协助分析人员快速挖掘恶意软件与恶意软件之间、恶意软件与恶意软件家族之间的深层次关联信息。

在现有技术中，恶意软件分类方式大致有两种，一种是基于规则的恶意软件检测方法，该方法准确率高，但需要维护大量规则，只能检测已被发现的恶意软件所属家族，对于未知的恶意软件无能为力，难以及时发现新的恶意软件；另一种是基于机器学习的恶意软件检测研究，通常从静态特征、动态特征两方面进行特征提取，但大部分工作是仅围绕应用程序接口(Application Programming Interface，API)函数调用图、操作码序列、权限等其中之一的数据类型上，该方法在实施过程中有的需要标记大量数据以应对新家族或变种，有的虽无需标注数据，但准确率得不到保证。

综上，现有的恶意软件家族分类使用的规则或有监督机器学习方法通常只是识别恶意软件所属家族，没有进行更细粒度的恶意软件分类。

发明内容

本发明提供了一种恶意软件分类方法、装置、设备及介质，用以实现恶意软件在家族基础上更细粒度的分类方法，提高分类精细度。

第一方面，本发明提供了一种恶意软件分类方法，所述方法包括：获取第一特征集合，所述第一特征集合包括多个社区的特征，每个社区的特征根据属于同一家族且属于同一社区的恶意软件的特征确定；根据所述第一特征集合与待分类恶意软件的特征，确定所述待分类恶意软件所属的家族和社区。

在一种可能的设计中，所述获取第一特征集合，包括：根据至少两个恶意软件的特征，确定所述至少两个恶意软件两两之间的相似度；

根据所述相似度，将所述至少两个恶意软件划分到至少一个目标社区；

根据所述至少一个目标社区中的恶意软件的特征，确定所述第一特征集合。

在一种可能的设计中，所述根据至少两个恶意软件的特征，确定所述至少两个恶意软件两两之间的相似度，包括：

确定所述至少两个恶意软件中的恶意软件对，所述恶意软件对包括两个恶意软件；

根据不同目标特征方向下所述两个恶意软件分别的子特征，确定所述两个恶意软件在所述目标特征方向下的子相似度；

根据所述两个恶意软件在至少一个目标特征方向下的子相似度，确定所述两个恶意软件的相似度。

在一种可能的设计中，所述两个恶意软件的相似度高于或等于相似度阈值。

在一种可能的设计中，所述根据所述至少一个目标社区中的恶意软件的特征，确定所述第一特征集合，包括：

根据所述至少一个目标社区中的恶意软件的特征中，信息量不低于信息量阈值的特征，确定所述第一特征集合；

其中，所述信息量与是否已知所述特征的条件下恶意软件分类的信息熵的减少量有关。