恶意软件的聚类方法及装置、计算机装置及可读存储介质制造方法及图纸

本发明专利技术实施例公开了一种恶意软件的聚类方法及装置、计算机装置及可读存储介质，涉及网络安全领域，用于提高对恶意软件的聚类结果的准确性。本发明专利技术实施例方法包括：选取多个恶意软件作为样本；获取样本的威胁情报；从样本的威胁情报中提取样本的威胁情报特征；根据样本的聚类特征对样本进行聚类，样本的聚类特征包括样本的威胁情报特征。

Clustering method and device, computer device and readable storage medium for malware

The embodiment of the invention discloses a clustering method, a device, a computer device and a readable storage medium for malicious software, which relates to the network security field and is used to improve the accuracy of the clustering results of the malware. The embodiment of the method includes: selecting a plurality of malware as samples; Threat Intelligence sampling; extraction of feature samples from the Threat Intelligence Threat Intelligence samples; the samples according to the clustering characteristics of the sample, the clustering characteristics of the sample including the Threat Intelligence feature samples.

【技术实现步骤摘要】
恶意软件的聚类方法及装置、计算机装置及可读存储介质
本专利技术涉及网络安全领域，具体涉及一种恶意软件的聚类方法及装置、计算机装置及可读存储介质。
技术介绍
恶意软件是指在计算机系统上执行恶意任务的病毒、蠕虫和特洛伊木马的程序，通过破坏软件进程来实施控制。当前，恶意软件泛滥严重，这些恶意软件包含各种恶意行为，引发用户的隐私泄露、经济损失等安全问题。大量的恶意软件都是基于某一特定样本的变种，其功能、行为上都具有很大的相似性，对恶意软件进行聚类，对于恶意软件的分析及检测具有重要作用。现有技术关注于恶意软件产生的网络流量的相似性，一般通过获取恶意软件产生的网络流量，并根据网络流量特征对恶意软件进行聚类，比如根据提取的HTTP请求消息中的URI的相似性对恶意软件进行分类。但是在对恶意软件网络流量的检测过程中，恶意软件产生的网络流量对聚类的有效性具有很大的偶然性，因此，完全基于网络流量特征进行的恶意软件聚类，得到的聚类结果准确性较低。
技术实现思路
本专利技术提供一种恶意软件的聚类方法及装置、计算机装置及可读存储介质，用于解决现有技术提供的恶意软件聚类方法准确性低的问题。本专利技术实施例的一方面提供本文档来自技高网...

【技术保护点】
一种恶意软件的聚类方法，其特征在于，包括：选取多个恶意软件作为样本；获取所述样本的威胁情报；从所述样本的威胁情报中提取所述样本的威胁情报特征；根据所述样本的聚类特征对所述样本进行聚类，所述样本的聚类特征包括所述样本的威胁情报特征。

【技术特征摘要】
1.一种恶意软件的聚类方法，其特征在于，包括：选取多个恶意软件作为样本；获取所述样本的威胁情报；从所述样本的威胁情报中提取所述样本的威胁情报特征；根据所述样本的聚类特征对所述样本进行聚类，所述样本的聚类特征包括所述样本的威胁情报特征。2.根据权利要求1所述的恶意软件的聚类方法，其特征在于，在根据所述样本的聚类特征对所述样本进行聚类之前，所述方法还包括：获取样本产生的网络流量；从所述样本的网络流量中提取所述样本的网络流量特征；所述样本的聚类特征还包括所述样本的网络流量特征。3.根据权利要求1或2所述的恶意软件的聚类方法，其特征在于，所述根据所述样本的聚类特征对所述样本进行聚类包括：利用所述样本的聚类特征按照备选聚类数目对所述样本进行聚类，得到备选聚类结果；根据所述样本的威胁情报特征计算所述备选聚类结果的聚类效果指标；选择聚类效果指标最优的备选聚类结果作为最终的聚类结果。4.根据权利要求3所述的恶意软件的聚类方法，其特征在于，所述样本的威胁情报包括多个杀毒软件对所述样本的扫描结果；所述样本的威胁情报特征为所述多个杀毒软件对所述样本的威胁情报特征的集合，所述多个杀毒软件中目标杀毒软件对所述样本的威胁情报特征为从所述目标杀毒软件对所述样本的扫描结果中提取的、与恶意属性相关的描述文本。5.根据权利要求4所述的恶意软件的聚类方法，其特征在于，所述根据所述样本的威胁情报特征计算所述备选聚类结果的聚类效果指标包括：计算样本i和样本j的威胁情报特征中同一杀毒软件的威胁情报特征之间的子距离，组成距离集合，样本i和样本j为所述样本中的不同样本；计算所述距离集合中所有子距离的均值，作为样本i和样本j之间的距离；利用样本i和样本j之间的距离计算所述备选聚类结果的聚类效果指标。6.一种恶意软件的聚类装置，其特征在于，包括：选取模块，用于选取多个恶意软件作为样本；情报获取模块，用于获取所述样本的威胁情报；第一提取模块，用于从所述样本的威胁情报中提取所述样本...

【专利技术属性】
技术研发人员：余文毅，梁玉，赵振洋，
申请(专利权)人：深信服科技股份有限公司，
类型：发明
国别省市：广东,44