[发明专利]一种针对恶意软件变种的高效识别算法

摘要

本发明公开了一种针对恶意软件变种的高效识别算法，首先对所有要进入分类器进行分析的程序行为进行一次基于时间序列分析的预处理，该处理的结果能够保证对恶意软件的误判率为0；而未被判定为恶意软件的程序才进入分类器做进一步的判断。尽管增加了一次判断过程，但由于能够过滤掉那些具备显著恶意行为特征的程序，降低了分类器的工作量，整个系统的效率反而能够提高。本发明既利用了SimHash匹配效率高的特点，又利用了LCS能够略过时间序列中大量噪音的特点，同时还保留了原始数据中的细节，实验表明设计出的算法能够判断出恶意软件的变种，满足了预期目标，比传统的时间序列分析算法效果都要好。

主权项

一种针对恶意软件变种的高效识别算法，其特征在于，输入：恶意行为时间序列T＝{T1,T2,……,Tm}和待匹配的行为时间序列S＝{S1,S2,……,Sn}；输出：LCS(Tm,Sn)的长度，LCS(Ti,Sj)的长度用len(i,j)来表示；(1)初始化，L(i,0)＝0，L(0,j)＝0，0≤i≤m‑1,0≤j≤n‑1；令i←1；(2)分别计算S1,S2,……,Sn的SimHash值；(3)分别计算T1,T2,……,Tm中不含通配符元素的SimHash值；(4)j←1；(5)如果Ti含有通配符，则按照算法5.3根据Sj进行特例化处理，然后计算Ti的SimHash值；(6)如果SimEqual(Ti,Sj)＝1，则len(i,j)＝len(i‑1,j‑1)+1，然后转(9)；(7)如果len(i‑1,j)≥len(i,j‑1)则len(i,j)＝len(i‑1,j)，然后转(9)；(8)len(i,j)＝len(i,j‑1)；(9)j←j+1，如果j<n则转(5)；否则转(10)；(10)i←i+1，如果i≤m则转(4)；否则转(11)；(11)返回len(m,n)。