[发明专利]一种恶意代码聚类方法及系统

权利要求书

1.一种恶意代码聚类方法，其特征在于，包括：

获取恶意代码融合语义文本；

对所述恶意代码融合语义文本进行特征提取，得到融合语义序列；

根据所述融合语义序列利用恶意代码行为语义表示模型进行文本向量预测，得到行为语义向量；所述恶意代码行为语义表示模型包括分布式存储模型和分布式词袋库模型；

根据所述行为语义向量利用恶意代码聚类模型进行聚类，得到聚类后的恶意代码；所述恶意代码聚类模型为训练好的自组织映射神经网络。

2.根据权利要求1所述的恶意代码聚类方法，其特征在于，所述对所述恶意代码融合语义文本进行特征提取，得到融合语义序列，具体包括：

对所述恶意代码融合语义文本进行依赖关系分析和程序分块，生成程序控制流图；

遍历所述程序控制流图，根据所述程序控制流图中的基本块信息和API函数信息确定融合语义序列。

3.根据权利要求1所述的恶意代码聚类方法，其特征在于，所述根据所述融合语义序列利用恶意代码行为语义表示模型进行文本向量预测，得到行为语义向量，具体包括：

将所述融合语义序列进行预处理，得到独热编码；

根据所述独热编码分别利用所述分布式存储模型和所述分布式词袋库模型进行预测，得到分布式存储模型句子向量和分布式词袋库模型句子向量；

将所述分布式存储模型句子向量和所述分布式词袋库模型句子向量进行拼接，得到行为语义向量。

4.根据权利要求1所述的恶意代码聚类方法，其特征在于，所述恶意代码聚类模型的训练过程包括：

以样本集的行为语义向量为输入，以样本集的聚类后的恶意代码为输出，利用竞争学习策略对所述自组织映射神经网络进行训练，得到恶意代码聚类模型。

5.一种恶意代码聚类系统，其特征在于，包括：

获取模块，用于获取恶意代码融合语义文本；

特征提取模块，用于对所述恶意代码融合语义文本进行特征提取，得到融合语义序列；

预测模块，用于根据所述融合语义序列利用恶意代码行为语义表示模型进行文本向量预测，得到行为语义向量；所述恶意代码行为语义表示模型包括分布式存储模型和分布式词袋库模型；

聚类模块，用于根据所述行为语义向量利用恶意代码聚类模型进行聚类，得到聚类后的恶意代码；所述恶意代码聚类模型为训练好的自组织映射神经网络。

6.根据权利要求5所述的恶意代码聚类系统，其特征在于，所述特征提取模块，具体包括：

程序控制流图生成单元，用于对所述恶意代码融合语义文本进行依赖关系分析和程序分块，生成程序控制流图；

遍历单元，用于遍历所述程序控制流图，根据所述程序控制流图中的基本块信息和API函数信息确定融合语义序列。

7.根据权利要求5所述的恶意代码聚类系统，其特征在于，所述预测模块，具体包括：

预处理单元，用于将所述融合语义序列进行预处理，得到独热编码；

预测单元，用于根据所述独热编码分别利用所述分布式存储模型和所述分布式词袋库模型进行预测，得到分布式存储模型句子向量和分布式词袋库模型句子向量；

拼接单元，用于将所述分布式存储模型句子向量和所述分布式词袋库模型句子向量进行拼接，得到行为语义向量。

8.根据权利要求5所述的恶意代码聚类系统，其特征在于，所述恶意代码聚类模型的训练过程包括：

以样本集的行为语义向量为输入，以样本集的聚类后的恶意代码为输出，利用竞争学习策略对所述自组织映射神经网络进行训练，得到恶意代码聚类模型。