[发明专利]一种恶意样本的筛选装置及方法

说明书

本发明提供一种恶意样本的筛选装置，包括：特征提取模块，用于从事件日记中提取预设特征作为卷入度的特征；卷入度计算模块，用于利用卷入度的特征，计算每个恶意样本对每个终端的卷入度；所述的卷入度为终端用户被恶意样本卷入的概率；指数计算模块，用于将同一个恶意样本下对每个终端的卷入度根据终端用户的重要程度进行加权平均，得到每个恶意样本的指数；恶意样本提取模块，用于将一段时间内所有恶意样本的指数进行比较，提取指数高于指数阈值的恶意样本。本发明将广告学中的卷入度引入到移动安全领域，能够从海量的恶意样本中提取威胁最大的恶意样本。

技术领域

本发明属于计算机网络安全技术领域，具体涉及一种恶意样本的筛选装置及方法。

背景技术

移动安全行业面临着前所未有的挑战，事实证明，传统的安全防护手段已经无法有效应对移动黑色产业链攻击。全行业正在试图找出一系列更有效的方法，基于大数据和大数据分析技术的威胁情报的应用是这些方法中比较有效且非常关键的一种，基于威胁情报的安全防御已经成为网络安全行业未来发展的方向。

利用数据能力和数据技术建立看见威胁的能力，将成为移动安全行业最重要的能力，也是保障国家移动网络安全的核心能力。这已经成为移动安全行业的新法则。

基于情报的移动威胁感知平台的设立初衷，就是致力于建立一个完整成熟的大数据驱动的威胁情报分析体系，在这个体系的基础上，做到移动威胁精准控制平台。通过这个平台，在整个移动安全生态圈中，发挥重大积极的作用。

但是不可否认，目前很多威胁情报需要人工分析，这样就导致人工成本过高，随着移动威胁情报越来越多，合理的评估人工成本越来越重要。

发明内容

本发明要解决的技术问题是：提供一种恶意样本的筛选装置及方法，能够从海量的恶意样本中提取威胁最大的恶意样本。

本发明为解决上述技术问题所采取的技术方案为：恶意样本的筛选装置，其特征在于：它包括：

特征提取模块，用于从事件日记中提取预设特征作为卷入度的特征；

卷入度计算模块，用于利用卷入度的特征，计算每个恶意样本对每个终端的卷入度；所述的卷入度为终端用户被恶意样本卷入的概率；

指数计算模块，用于将同一个恶意样本下对每个终端的卷入度根据终端用户的重要程度进行加权平均，得到每个恶意样本的指数；

恶意样本提取模块，用于将一段时间内所有恶意样本的指数进行比较，提取指数高于指数阈值的恶意样本。

按上述装置，所述的卷入度计算模块具体用于建立二元选择模型，对卷入度的特征进行训练，计算每个恶意样本对每个终端的卷入度。

按上述装置，所述的二元选择模型为Probit模型或Logit模型。

按上述装置，所述的预设特征包括恶意样本名称、恶意类型、恶意得分、受威胁国家数量、受威胁用户数量和受威胁事件数量。

恶意样本的筛选方法，其特征在于：它包括以下步骤：

特征提取：从事件日记中提取预设特征作为卷入度的特征；

卷入度计算：利用卷入度的特征，计算每个恶意样本对每个终端的卷入度；所述的卷入度为终端用户被恶意样本卷入的概率；

指数计算：将同一个恶意样本下对每个终端的卷入度根据终端用户的重要程度进行加权平均，得到每个恶意样本的指数；

恶意样本提取：将一段时间内所有恶意样本的指数进行比较，提取指数高于指数阈值的恶意样本。

按上述方法，所述的卷入度计算步骤具体为：建立二元选择模型，对卷入度的特征进行训练，计算每个恶意样本对每个终端的卷入度。