基于文件字符串聚类的划分同源家族和变种的方法及系统技术方案
【技术实现步骤摘要】
本专利技术涉及网络安全领域,特别涉及一种基于文件字符串聚类的二级划分同源家族方法及系统。
技术介绍
随着网络和计算技术的快速发展,恶意代码的种类、传播速度、感染数量和影响范围都在逐渐增强,同时互联网的开发性也加快了恶意代码的传播,特别是人们可以直接从网站获得恶意代码源码或通过网络交流代码。因此,随着越来越多的恶意代码软件的开源代码和生成器在网络上公开发布,所以目前网络上流行的恶意代码及其变种层次不穷,种类繁多,特点多样化。那么,如何从这些众多的恶意代码样本中,获取其共性及差异,从而进一步来划分其同源家族及其变种演化关系,并形成检测规则来对抗恶意代码,保障网络安全。目前的病毒样本的生成方式主要分为生成器生成和源码编译生成。生成器能够对恶意代码的域名、IP、文件名、服务名、启动方式、版本等配置信息进行修改设定,这样生成的就是一个新的病毒样本,但实质上是属于一个家族,甚至同一个变种类型。而对源码的修改来截取器部分功能或增加其他功能,然后编译生成新的病毒样本,有可能是生成相同家族或变种,也可能是不同的家族。
技术实现思路
基于上述情况,本专利技术提出了一种基于文件字符串聚类的划分同源家族及变种的方法及系统,能够利用样本的同源关系及共性特征进行家族归类,并发现新的病毒家族,利用同家族变种样本的演化关系及差异特征,进行增量剧烈划分变种的类型。一种基于文件字符串聚类的划分同源家族及变种的方法,包括:对目标文件进行动态分析及静态分析,获取目标文件中的dump文件及API调用记录文件;提取所述du...
【技术保护点】
一种基于文件字符串聚类的划分同源家族和变种的方法,其特征在于,包括:对目标文件进行动态分析及静态分析,获取目标文件中的dump文件及API调用记录文件;提取所述dump文件中的指定字符串,形成字符串向量文件;计算所述字符串向量文件中向量的simhash值,并比较所述simhash值与家族特征向量库中各已知恶意代码家族中心值的距离,若距离小于预设值,则所述目标文件属于距离小于预设值的对应恶意代码家族,并进行下一步;否则所述目标文件为新的恶意代码家族,并将所述目标文件及其向量信息作为新的恶意代码家族添加到家族特征向量库中;提取所述目标文件的API调用记录文件中的API及其参数信息,形成API向量文件;计算所述API向量文件中API向量的simhash值,并比较所述simhash值与目标文件所属对应恶意代码家族中各已知家族变种中心值的距离,若距离小于预设值,则所述目标文件属于距离小于预设值的对应家族变种;否则所述目标文件为当前恶意代码家族的新家族变种,并将所述目标文件及其向量信息作为新家族变种,添加到家族特征向量库中。
【技术特征摘要】
1.一种基于文件字符串聚类的划分同源家族和变种的方法,其特征在于,包括:
对目标文件进行动态分析及静态分析,获取目标文件中的dump文件及API调用记录文件;
提取所述dump文件中的指定字符串,形成字符串向量文件;
计算所述字符串向量文件中向量的simhash值,并比较所述simhash值与家族特征向量库中各已知恶意代码家族中心值的距离,若距离小于预设值,则所述目标文件属于距离小于预设值的对应恶意代码家族,并进行下一步;否则所述目标文件为新的恶意代码家族,并将所述目标文件及其向量信息作为新的恶意代码家族添加到家族特征向量库中;
提取所述目标文件的API调用记录文件中的API及其参数信息,形成API向量文件;
计算所述API向量文件中API向量的simhash值,并比较所述simhash值与目标文件所属对应恶意代码家族中各已知家族变种中心值的距离,若距离小于预设值,则所述目标文件属于距离小于预设值的对应家族变种;否则所述目标文件为当前恶意代码家族的新家族变种,并将所述目标文件及其向量信息作为新家族变种,添加到家族特征向量库中。
2.如权利要求1所述的方法,其特征在于,所述的将所述目标文件及其向量信息作为新的恶意代码家族添加到家族特征向量库中,还包括:将所述目标文件的字符串向量文件中向量的simhash值作为所述目标文件的中心值。
3.如权利要求1所述的方法,其特征在于,所述的将所述目标文件及其向量信息作为新家族变种,添加到家族特征向量库中,还包括:将所述目标文件的API向量文件中API向量的simhash值作为所述目标文件家族变种的中心值。
4.一种基于文件字符串聚类的划分同源家族和变种的系统,其特征...
【专利技术属性】
技术研发人员:董建武,康学斌,肖新光,
申请(专利权)人:哈尔滨安天科技股份有限公司,
类型:发明
国别省市:黑龙江;23
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。