应用程序的自动分类方法和装置制造方法及图纸

本发明专利技术提供了一种应用程序的自动分类方法和装置。所述方法包括：获取多个应用程序进行网络通信所基于的网络通信协议的协议相关信息，所述协议相关信息用于区分不同的网络通信协议；基于所述协议相关信息对所述多个应用程序进行聚类；采用所述应用程序的属性标签添加至同一分类下的其他应用程序。本发明专利技术实施例提供的一种应用程序的自动分类方法，可以具体应用于恶意程序的分类，通过获取应用程序通信时所基于的网络通信协议的协议相关信息对应用程序进行聚类，以对协议相关信息同类的恶意程序进行程序分析，从而可以大大减少后期恶意程序的分析工作。

【技术实现步骤摘要】

本专利技术涉及应用程序
，特别是涉及一种应用程序的自动分类方法和装置。
技术介绍
恶意程序主要用于通过C&C服务器通信构建僵尸网络，C&C服务器(又称CNC服务器)也就是Command&Control Server，是指控制僵尸网络的主控服务器，用来和僵尸网络的每个感染了恶意程序的宿主机进行通讯并指挥它们的攻击行为。恶意程序通过和它的C&C服务器通讯获得指令进行攻击活动，包括获取DDoS攻击开始的时间和目标，上传从宿主机偷窃信息，定时给感染的文件加密等。通常，恶意程序的制作方通过加壳和混淆代码的方式避开检测，从而使同一恶意程序家族产生大量的多态性变异的恶意程序，导致恶意程序不断增多。而传统的防病毒软件通常很难保证其病毒识别数据库中及时加入这些恶意程序，从而导致不能及时有效检测新出现的恶意程序。
技术实现思路
本专利技术提供了一种应用程序的自动分类方法以及一种应用程序的自动分类装置以全部解决或部分解决上述技术问题。依据本专利技术的一个方面，提供了一种应用程序的自动分类方法，包括：获取多个应用程序进行网络通信所基于的网络通信协议的协议相关信息，所述协议相关信息用于区分不同的网络通信协议；基于所述协议相关信息对所述多个应用程序进行聚类；采用所述应用程序的属性标签添加至同一分类下的其他应用程序。可选地，所述获取多个应用程序进行网络通信所基于的网络通信协议的协议相关信息包括：从所述应用程序网络通信信息中，解析基于所述网络通信协议的协议相关信息。可选地，在所述获取多个应用程序进行网络通信所基于的网络通信协议的协议相关信息之前，所述方法还包括：在安全监控程序的监控下运行所述多个应用程序，以由所述安全监控程序分别抓取各个应用程序的网络通信信息；从所述安全监控程序的关联位置提取所述安全监控程序抓取的网络通信信息。可选地，在所述获取多个应用程序进行网络通信所基于的网络通信协议的协议相关信息之前，所述方法还包括：从运行所述应用程序的多个客户端获取所述客户端记录的网络通信信息。可选地，所述网络通信信息为所述应用程序向对应服务器首次发送的网络通信信息，所述协议相关信息为所述首次发送的网络通信信息中包括的网络注册信息。可选地，所述基于所述协议相关信息对所述多个应用程序进行聚类包括：基于所述协议相关信息的协议特征数据对所述应用程序进行至少一次聚类，所述协议特征数据包括所述协议相关信息的长度、信息熵值、信息格式和字段信息中至少一种。可选地，所述协议相关信息为所述网络注册信息，所述协议特征数据包括所述协议相关信息的长度、信息熵值；所述基于所述协议相关信息的协议特征数据对所述应用程序进行至少一次聚类包括：统计所述网络注册信息的长度和信息熵值；将长度差值和信息熵值差值均符合设定范围并包括设定字段的多个应用程序归于同类。可选地，所述协议特征数据还包括所述信息格式和所述字段信息；所述基于所述协议相关信息的协议特征数据对所述应用程序进行至少一次聚类还包括：针对同一类应用程序，统计所述应用程序的信息格式和字段信息，所述字段信息包括字段属性、字段位置和字段顺序中至少一种；将所述信息格式一致且所述字段信息满足相似条件的应用程序进行聚类。可选地，还包括：按照至少一个网络通信协议的已知协议特征对所述多个应用程序进行一次聚类；所述基于所述协议相关信息对所述多个应用程序进行聚类包括：基于所述协议相关信息对所述一次聚类的结果进行二次聚类。可选地，还包括：针对聚类后获得的各类应用程序，生成描述同一分类下多个应用程序的共同特征的分类规则。可选地，还包括：按照生成的分类规则，在对应分类的多个应用程序中进行筛选，并对筛选后剩余的应用程序进行重新聚类。可选地，还包括：对符合相似条件的多个分类规则以及对应的分类进行合并。依据本专利技术的另一个方面，还提供了一种应用程序的自动分类装置，包括：协议相关信息获取模块，用于获取多个应用程序进行网络通信所基于的网络通信协议的协议相关信息，所述协议相关信息用于区分不同的网络通信协议；协议聚类模块，用于基于所述协议相关信息对所述多个应用程序进行聚类；标签添加模块，用于采用所述应用程序的属性标签添加至同一分类下的其他应用程序。可选地，所述协议相关信息获取模块，具体用于从所述应用程序网络通信信息中，解析基于所述网络通信协议的协议相关信息。可选地，所述装置还包括：程序运行模块，用于在所述获取多个应用程序进行网络通信所基于的网络通信协议的协议相关信息之前，在安全监控程序的监控下运行所述多个应用程序，以由所述安全监控程序分别抓取各个应用程序的网络通信信息；第一网络通信信息提取模块，用于从所述安全监控程序的关联位置提取所述安全监控程序抓取的网络通信信息。可选地，所述装置还包括：第二网络通信信息提取模块，用于在所述获取多个应用程序进行网络通信所基于的网络通信协议的协议相关信息之前，从运行所述应用程序的多个客户端获取所述客户端记录的网络通信信息。可选地，所述网络通信信息为所述应用程序向对应服务器首次发送的网络通信信息，所述协议相关信息为所述首次发送的网络通信信息中包括的网络注册信息。可选地，所述协议聚类模块，具体用于基于所述协议相关信息的协议特征数据对所述应用程序进行至少一次聚类，所述协议特征数据包括所述协议相关信息的长度、信息熵值、信息格式和字段信息中至少一种。可选地，所述协议相关信息为所述网络注册信息，所述协议特征数据包括所述协议相关信息的长度、信息熵值；所述协议聚类模块包括：第一特征数据统计子模块，用于统计所述网络注册信息的长度和信息熵值；第一恶意程序归类子模块，用于将长度差值和信息熵值差值均符合设定范围并包括设定字段的多个应用程序归于同类。可选地，所述协议特征数据还包括所述信息格式和所述字段信息；所述协议聚类模块还包括：第二特征数据统计子模块，用于针对同一类应用程序，统计所述应用程序的信息格式和字段信息，所述字段信息包括字段属性、字段位置和字段顺序中至少一种；第二恶意程序归类子模块，用于将所述信息格式一致且所述字段信息满足相似条件的应用程序进行聚类。可选地，还包括：已知特征聚类模块，用于按照至少一个网络通信协议的已知协议特征对所述多个应用程序进行一次聚类；所述协议聚类模块，具体用于基于所述协议相关信息对所述一次聚类的结果进行二次聚类。可选地，还包括：规则生成模块，用于针对聚类后获得的各类应用程序，生成描述同一分类下多个应用程序的共同特征的分类规则。可选地，还包括：程序筛选模块，用于按照生成的分类规则，在对应分类的多个应用程序中进行筛选，并对筛选后剩余的应用程序进行重新聚类。可选地，还包括：规则合并模块，用于对符合相似条件的多个分类规则以及对应的分类进行合并。本专利技术实施例提供的一种应用程序的自动分类方法，可以具体应用于恶意程序的分类，通过获取应用程序通信时所基于的网络通信协议的协议相关信息对应用程序进行聚类，以对协议相关信息同类的恶意程序进行程序分析，从而可以大大减少后期恶意程序的分析工作。本专利技术实施例可以应用于非恶意程序的分类，将某些应用程序已知的属性标签添加至同一分类下的其他应用程序，从而实现了对应用程序的网络级签名的自动生成，有助于进行更好的程序分析以及网络流量分析。上述说明仅是本专利技术技术方案的概述，为了能本文档来自技高网...

【技术保护点】
一种应用程序的自动分类方法，其中，包括：获取多个应用程序进行网络通信所基于的网络通信协议的协议相关信息，所述协议相关信息用于区分不同的网络通信协议；基于所述协议相关信息对所述多个应用程序进行聚类；采用所述应用程序的属性标签添加至同一分类下的其他应用程序。

【技术特征摘要】
1.一种应用程序的自动分类方法，其中，包括：获取多个应用程序进行网络通信所基于的网络通信协议的协议相关信息，所述协议相关信息用于区分不同的网络通信协议；基于所述协议相关信息对所述多个应用程序进行聚类；采用所述应用程序的属性标签添加至同一分类下的其他应用程序。2.根据权利要求1所述的方法，其中，所述获取多个应用程序进行网络通信所基于的网络通信协议的协议相关信息包括：从所述应用程序网络通信信息中，解析基于所述网络通信协议的协议相关信息。3.根据权利要求2所述的方法，其中，在所述获取多个应用程序进行网络通信所基于的网络通信协议的协议相关信息之前，所述方法还包括：在安全监控程序的监控下运行所述多个应用程序，以由所述安全监控程序分别抓取各个应用程序的网络通信信息；从所述安全监控程序的关联位置提取所述安全监控程序抓取的网络通信信息。4.根据权利要求2所述的方法，其中，在所述获取多个应用程序进行网络通信所基于的网络通信协议的协议相关信息之前，所述方法还包括：从运行所述应用程序的多个客户端获取所述客户端记录的网络通信信息。5.根据权利要求2所述的方法，其中，所述网络通信信息为所述应用程序向对应服务器首次发送的网络通信信息，所述协议相关信息为所述首次发送的网络通信信息中包括的网络注册信息。6.根据权利要求1所述的方法，其中，所述基于所述协议相关信息对所述多个应用程序进行聚类包括：基于所述协议相关信息的协议特征数据对所述应用程序进行至少一次聚类，所述协议特征数据包...

【专利技术属性】
技术研发人员：刘亚，宋兵，
申请(专利权)人：北京奇虎科技有限公司，奇智软件北京有限公司，
类型：发明
国别省市：北京;11