[发明专利]基于文件指令频度的计算机恶意程序分类系统及分类方法有效
| 申请号: | 200910040996.8 | 申请日: | 2009-07-10 |
| 公开(公告)号: | CN101604363A | 公开(公告)日: | 2009-12-16 |
| 发明(设计)人: | 叶艳芳;万里;韩智雪;陈勇 | 申请(专利权)人: | 珠海金山软件股份有限公司 |
| 主分类号: | G06F21/00 | 分类号: | G06F21/00;G06F17/30 |
| 代理公司: | 广州新诺专利商标事务所有限公司 | 代理人: | 杨焕军 |
| 地址: | 519015广东省珠海市*** | 国省代码: | 广东;44 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明涉及基于文件指令频度的计算机恶意程序分类系统及其方法。基于文件指令频度的计算机恶意程序分类系统,包括:指令频度特征提取模块,构造指令频度向量来表征恶意程序样本,并存储于恶意程序特征库中;恶意程序特征库,其用于存储以指令频度向量来表征的所有恶意程序样本;样本差异度度量模块,其通过计算两个样本指令频度向量之间夹角来衡量样本之间的差异度;恶意程序样本家族划分模块,其将恶意程序特征库中所有恶意程序样本逐层分家族;聚类质量评估模块,其对每层分家族的结果进行有效性度量,并选择最小的FS指标值,将其对应的划分结果作为最终结果。该装置可实现自动对恶意程序样本进行合理分类。 | ||
| 搜索关键词: | 基于 文件 指令 频度 计算机 恶意程序 分类 系统 方法 | ||
【主权项】:
1、一种基于文件指令频度的计算机恶意程序分类系统,其特征在于,包括指令频度特征提取模块,其首先解析恶意程序代码的所有指令,并并通过计算每个指令在恶意程序样本中所出现的频率TF与逆向样本频率IDF,对恶意程序样本集中出现的指令进行加权,从而构造指令频度向量来表征恶意程序样本,并存储于恶意程序特征库中;恶意程序特征库,其用于存储以指令频度向量来表征的所有恶意程序样本;样本差异度度量模块,其采用Cosine余弦度量方法,通过计算两个样本指令频度向量之间夹角来衡量样本之间的差异度;恶意程序样本家族划分模块,其将恶意程序特征库中所有N个恶意程序样本从分成N个家族开始,逐次分成N-1个家族、N-2个家族,依次类推,直至最后将所有N个恶意程序样本分成一个家族或者直到分成预先设定好的家族数;聚类质量评估模块,其对恶意程序样本家族划分模块每层分家族的结果采用FS指标值进行有效性度量,并选择最小的FS指标值,将其对应的划分结果作为最终结果。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于珠海金山软件股份有限公司,未经珠海金山软件股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/200910040996.8/,转载请声明来源钻瓜专利网。
