[发明专利]一种基于TLSH特征表示的恶意软件聚类方法

摘要

本发明公开一种基于TLSH特征表示的恶意软件聚类方法，属于恶意软件分析与检测领域，首先使用Cuckoo Sandbox对恶意软件进行分析获得软件静态特征、运行时资源访问记录以及API等三类字符串特征；然后对这些字符串进行分解、过滤、排序处理，使用TLSH算法将其压缩成三组大小为70字节的特征值；最后利用OPTICS算法实现对恶意软件家族的自动分类。本发明采用无监督学习方法，不需要事先人工标记进行训练，提取的特征采用TLSH进行压缩表示，在不损失特征的情况下，大大降低了数据维度，提高了聚类速度；通过采用基于密度的OPTICS聚类算法，不仅可以识别任意形状和任意个数的簇，且极大的降低了输入参数对聚类结果的影响，提高了聚类的效率和质量。

主权项

1.一种基于TLSH特征表示的恶意软件聚类方法，其特征在于，包括以下步骤：步骤1：利用Cuckoo Sandbox对样本进行分析，获取行为分析报告；步骤2：从行为分析报告中获取样本静态特征，样本静态特征包括DLL信息、DLL信息的导入及导出函数信息，以及在分析过程中捕获到的字符串信息，并按照字典对上述信息进行排序，得到一个字符串；步骤3：从行为分析报告中获取样本的资源访问记录，样本的资源访问记录包括以下信息：文件/目录、注册表、服务、DLL、使用过的互斥量，将每个类别的信息按字典进行排序后合并为一个字符串；所述文件/目录和注册表信息先通过分隔符“\\”拆分成子项后再排序；步骤4：从行为分析报告中获取样本动态API以及加载的DLL所调用的API，并按照字典对上述信息进行排序，得到一个字符串；步骤5：分别计算步骤2、步骤3、步骤4中得到的字符串的TLSH值；步骤6：采用TLSH距离计算公式求得两个样本中各个TLSH值的TLSH距离，取最小的两个值的平均值作为两个样本的最终距离，采用OPTICS算法对样本进行聚类。