【技术实现步骤摘要】
一种恶意程序相似度计算的方法和装置
本申请涉及计算机安全检测领域,具体涉及一种恶意程序相似度计算的方法和装置。
技术介绍
随着信息技术的发展,越来越多的计算机开始出现在人们的身旁。但计算机在为人们提供了诸多便利的同时,也带来了许多安全性问题,其中绝大部分的问题来自恶意程序的传播与执行。常见的恶意程序有病毒、蠕虫、木马、后台程序等,它们能够对计算机进行系统控制、信息窃取和破坏,并能自动复制传播,这极大地危害了广大计算机用户的隐私安全和财产安全,乃至影响到社会、国家的安全。对于恶意程序而言,以前能够获取到的相关数据有限,但现在有了互联网和大数据的辅助,可以通过深度学习的方法,快速地判断出大量恶意程序的特征,从而更好地识别恶意程序。传统的恶意程序识别方法通常分为静态识别和动态识别,在静态识别领域,一般是在文件二进制特征检测的基础上,同时使用数据挖掘对恶意程序二进制文件进行学习建模。在动态识别领域,则通过运行程序时捕获程序调用的windowsAPI函数序列,将获取到的API调用函数序列进行学习建模,然后将学习到的模型...
【技术保护点】
1.一种恶意程序相似度计算的方法,其特征在于,所述方法包括以下步骤:/nS1,将数据库的恶意程序转换为文本或图片进行深度学习训练,通过余弦算法进行恶意程序相似度静态计算;/nS2,获取所述数据库的恶意程序的行为特征,基于所述行为特征,通过PMI点互信息算法获取恶意程序的行为轨迹并进行恶意程序相似度动态计算;以及/nS3,通过加权平均算法确定恶意程序的最终相似度。/n
【技术特征摘要】
1.一种恶意程序相似度计算的方法,其特征在于,所述方法包括以下步骤:
S1,将数据库的恶意程序转换为文本或图片进行深度学习训练,通过余弦算法进行恶意程序相似度静态计算;
S2,获取所述数据库的恶意程序的行为特征,基于所述行为特征,通过PMI点互信息算法获取恶意程序的行为轨迹并进行恶意程序相似度动态计算;以及
S3,通过加权平均算法确定恶意程序的最终相似度。
2.根据权利要求1所述的恶意程序相似度计算的方法,其特征在于,所述步骤S1具体包括:
S11,将所述数据库中未运行的恶意程序和非恶意程序转化成文本或图片形式,通过所述深度学习训练对所述恶意程序和所述非恶意程序进行特征值计算;
S12,将所述非恶意程序的特征值过滤掉,再基于所述恶意程序的特征值对所述恶意程序进行关键特征分类,通过统计所述关键特征的数量确定各个特征的加权值;
S13,基于所述加权值对所述关键特征进行特征向量化,再通过所述余弦算法计算所述恶意程序的静态相似度。
3.根据权利要求1所述的恶意程序相似度计算的方法,其特征在于,所述步骤S2具体包括:
S21,获取所述恶意程序的行为,通过沙箱模拟所述恶意程序的运行,分析关键指令,记录所述恶意程序在函数入口点、返回点和内存读写点的数据,基于API参数格式解析库获取关键API的调用序列和参数信息;
S22,基于所述API的调用序列和参数信息,提取所述恶意程序的行为特征;
S23,通过动态特征提取将所述行为特征视为可统计互信息的点,基于PMI点互信息算法得到所述行为特征与参考特征之间的互信息值,再通过轨迹判断获取所述行为特征的行为轨迹;
S24,设置所述恶意程序的每个行为特征由N个行为轨迹组成,通过行为轨迹对比和所述PMI点互信息算法得到所述恶意程序相互间的相同行为轨迹个数为n,则所述恶意程序的动态相似度为n/N。
4.根据权利要求1所述的恶意程序相似度计算的方法,其特征在于,所述步骤S3具体包括:
通过加权平均计算获取最终相似度结果:
其中,J为所述恶意程序的静态相似度,D为所述恶意程序的动态相似度;f1为所述恶意程序适合用静态恶意程序相似度计算的概率且0.3<f1<0.7,f1≠0,f2为所述恶意程序适合用动态恶意程序相似度计算的概率且0.3<f2<0.7,f2≠0,同时f1+f2=1;α为静态相似度的阈值,0.5<α<1;β为动态相似度的阈值,0.5<β<1。
5.根据权利要求2所述的恶意程序相似度计算的方法,其特征在于,所述余弦算法的具体步骤包括:
假设特征向量FVa与FVb均为M维特征向量,则FVa为(x1,x2,…,xm),FVb为(y1,y2,…,ym),FVa与FVb...
【专利技术属性】
技术研发人员:蔡淑苹,许光锋,郑汉军,陈思德,陈腾跃,
申请(专利权)人:厦门安胜网络科技有限公司,
类型:发明
国别省市:福建;35
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。