[发明专利]一种样本关联性检测方法、系统及电子设备

说明书

本发明提出一种样本关联性检测方法、系统及电子设备。其中方法包括：获取样本集，并计算样本集在各维度的特征及关联度，以样本及样本特征为节点，以具有关联度的样本及节点的连线围边构建关联网络图，获取待检测样本的特征，并将其嵌入关联网络图，计算待检测样本在新关联网络图中与各连线上样本的关联度值乘积，若大于第二预设值，则输出对应连线上的样本。通过本发明的方法，能够利用代码及样本属性进行更多信息的判断，关联关系更准确，启发性更强。能够有效的输出具有关联性的样本，广泛应用于恶意代码检测、恶意代码分析等领域。

相关申请的交叉引用

本申请要求武汉安天信息技术有限责任公司于2015年12月31日提交的、发明名称为“一种基于标签传播的样本关联性检测方法及系统”的、中国专利申请号“201511015286.1”的优先权。

技术领域

本发明涉及信息技术领域，特别涉及一种样本关联性检测方法、系统及电子设备。

背景技术

目前样本关联性的检测方面大多在代码层面进行分析，但是代码层面的启发性更多作用于有功能或代码开发同源性的场景，而在现实对抗当中，随着攻击者的手段越加丰富，高级针对性威胁的增多，越来越多的恶意代码为了更好的绕过检测和对抗，故意采取了针对性的开发策略来避免代码层面的关联性检测。通过对现有技术的大量分析，我们发现虽然恶意代码的开发手段不同，但外在的欺骗技巧、伪装技巧以及行为表现等多方面的非代码特征或人可察觉的部分是有很好的关联性的，因此，实有必要研究一种新的样本关联性检测技术，以改善现有技术的不足。

发明内容

有鉴于此，本发明提出一种样本关联性检测方法及系统，提供的样本关联关系更准确，启发性更强，能广泛应用于恶意代码检测、恶意代码分析等领域。

一种样本关联性检测方法，包括：

收集已知样本文件，组成样本集；

对样本集在多个维度进行特征提取；

分别计算样本集中两样本间的关联度，如果关联度大于第一预设值，则两样本间具有关联性，否则两样本间不具有关联性；

分别判断样本集中各样本与各维度上特征是否相同；如果是，则认为样本与对应维度上的特征具有关联性，并给出样本与各关联特征间的关联度值；否则样本与对应维度上不具有关联性；

根据样本间的关联性及样本与对应维度上特征的关联性，以样本及特征为节点，以具有关联性的样本及特征的连线为边，构建关联网络图；

获取待检测样本在各维度上的特征，并计算待检测样本与样本集中样本的关联度，将所述待检测样本在所述各维度上的特征及待检测样本嵌入构建的关联网络图，连线构成新关联网络图；

计算待检测样本在新关联网络图中与各连线上样本的关联度值乘积，并判断所述关联度值乘积是否超过第二预设值，如果超过第二预设值，则向用户输出对应连线上的特征所对应的样本。

所述的方法中，所述分别计算样本集中两样本间的关联度可以为：遍历获取各样本的代码中的类名及方法名，比较两样本间类名，如类名相同，则进一步计算两样本在对应类名中的所有方法名交集个数，依次累加各相同类名中方法名交集数量，除以两样本所有方法名并集数量，即为两样本间的关联度。

所述方法中，所述各关联特征间的关联度值相同。

所述的方法中，所述对样本集在多个维度进行特征提取，至少包括样本可提取的静态、动态信息，以及基于静态、动态信息处理后得到的其他信息作为特征，而这些特征可进一步细化为：样本来源维度、样本标识维度及样本名称维度。具体的：

所述样本来源维度可以包括：ip、sp、email、url或域名的whois信息等；