[发明专利]软件分类方法及装置

说明书

本申请提供一种软件分类方法及装置，所述方法包括：获得多个待分类软件的软件代码；根据各待分类软件的软件代码中调用系统API的代码所在的位置，将各待分类软件的软件代码拆分为多个代码基因片段，得到包括所述多个待分类软件的代码基因片段的软件基因库；根据所述代码基因片段对所述软件基因库中的多个待分类软件进行聚类分析，将所述待分类软件划分为多个软件家族；为每个所述软件家族添加相应的家族标签。如此，可以实现根据软件代码本身对软件进行分类，使得软件的分类信息更加准确且分类信息无法伪造。

技术领域

本申请涉及软件安全技术领域，具体而言，涉及一种软件分类方法及装置。

背景技术

随着信息技术的不断发展，应用在各种电子设备上的软件越来越多，各种软件内容供应商也越来越繁杂，相应地，软件管理及软件安全问题越来越受到重视。对软件进行有效地分类可以方便软件的管理，并可以使对恶意软件识别或防护更有针对性。例如，将同一个恶意软件内容供应商提供的软件分为一类，可以对这类型软件进行有针对性的识别过滤。但是现有技术中，通常仅根据软件代码本身之外的分类条件对软件进行分类，例如通过软件附带信息声称的软件类型或声称内容供应商，这些声称的分类条件的信息可能被伪造，导致软件分类不准确。

发明内容

为了克服现有技术中的上述不足，本申请的目的在于提供一种软件分类方法，所述方法包括：

获得多个待分类软件的软件代码；

根据各待分类软件的软件代码中调用系统API的代码所在的位置，将各待分类软件的软件代码拆分为多个代码基因片段，得到包括所述多个待分类软件的代码基因片段的软件基因库；

根据所述代码基因片段对所述软件基因库中的多个待分类软件进行聚类分析，将所述待分类软件划分为多个软件家族；

为每个所述软件家族添加相应的家族标签。

可选地，所述根据各待分类软件的软件代码中调用系统API的代码所在的位置，将各待分类软件的软件代码拆分为多个代码基因片段的步骤，包括：

针对每个待分类软件，获取该每个待分类软件的代码中调用系统API的代码所在的位置，以相邻的两条调用系统API的代码之间的部分作为一个代码基因片段，将每个所述待分类软件的代码拆分为多个代码基因片段。

可选地，所述获得多个待分类软件的软件代码可包括：

获取多个待分类软件，针对每个所述待分类软件，通过IDA反汇编工具对该待分类软件进行反编译，得到与该待分类软件对应的asm格式的软件代码。

可选地，所述根据所述代码基因片段对所述软件基因库中的多个待分类软件进行聚类分析，将所述待分类软件划分为多个软件家族的步骤，包括：

根据所述代码基因片段通过Affinity Propagation聚类算法对所述多个待分类软件进行聚类分析，将所述多个待分类软件划分为多个软件家族。

本申请的另一目的在于提供一种软件分类方法，所述方法包括：

获取待目标软件的软件代码；

根据所述目标软件的软件代码中调用系统API的代码所在的位置，将所述目标软件的软件代码拆分为多个目标代码基因片段；

根据所述目标软件的目标代码基因片段，将所述目标软件与预设的软件基因库中的软件基因片段进行聚类分析，其中，所述软件基因库中包括多个软件家族，每个所述软件家族包括至少一个软件的代码基因片段，每个所述软件家族具有相应的家族标签；

根据聚类分析结果得到所述目标软件对应的软件家族的家族标签。

可选地，所述根据所述目标软件的软件代码中调用系统API的代码所在的位置，将所述目标软件的软件代码拆分为多个目标代码基因片段的步骤，包括：