[发明专利]一种基于图的恶意软件家族聚类评估方法及装置

说明书

本发明涉及恶意软件家族聚类评估技术领域，公开一种基于图的恶意软件家族聚类评估方法及装置；所述方法包括：步骤1：提取恶意软件样本的标签信息；步骤2：基于提取的恶意软件样本的标签信息构建恶意软件关系图；步骤3：利用虚拟节点对恶意软件关系图进行改进；步骤4：通过Fast Newman算法将改进后的恶意软件关系图划分为多个聚簇，利用模块化的方法对划分后的聚簇进行评估；所述装置包括提取模块、构建模块、改进模块及评估模块。本发明可对恶意软件家族的聚类结果进行评估。

技术领域

本发明涉及恶意软件家族聚类评估技术领域，尤其涉及一种基于图的恶意软件家族聚类评估方法及装置。

背景技术

近年来，严重的恶意软件攻击层出不穷，给世界带来了巨大的损失。乌克兰电力、采矿和铁路系统严重受到KillDisk和BlackEnergy感染。僵尸网络Mirai导致美国网络瘫痪。来自ATP28和APT29的系列APT工具甚至可以影响美国的总统选举，但到目前为止，仍然没有断然的证据可以找出犯罪集团。最著名的勒索软件WannaCry感染了全世界成千上万的电脑。每年都会产生数以百万计的多态和复杂恶意软件样本，然而现有的反病毒(Anti-Virus)引擎难以抵制。Anti-Virus公司的报告显示，2014年检测到的恶意软件样本数量为3.24亿，并且每天受感染计算机的平均数量在2-5百万之间。

为了减少恶意软件分析的工作量，研究人员尝试在恶意软件自动分类中引入聚类算法。恶意软件聚类分析可以帮助分析人员发现恶意软件样本的关系，还可以为追踪源提供自信的证据，甚至可以帮助推断出犯罪黑客群体。近年来，恶意软件家族聚类和分类是研究的热点。许多研究人员通过提取的功能对恶意软件样本进行聚类，例如动态沙箱收集的行为信息，元数据或静态分析反汇编信息。

然而，恶意软件聚类算法的评估标准仍难以达成共识。标定过的真实有效数据的生产过程经常被忽略，因为它不是许多聚类研究中的核心内容。目前，大多数研究人员使用反病毒(Anti-Virus)产品标签，即恶意软件样本的标签信息，来说明事实。然而，不同Anti-Virus产品的标签机制通常是不一致的。在生产过程中，大多数研究人员使用多数基于投票的机制来决定哪些样本应该划分为相同的种类。2016年发布的开源工具AVClass仍然基于这种机制。Li等人(Li,P.,Liu,L.,Gao,D.,Reiter,M.K.:On challenges in evaluatingmalware clustering.In:Jha,S.,Sommer,R.,Kreibich,C.(eds.)RAID 2010.LNCS,vol.6307,pp.238–255.Springer,Heidelberg(2010))指出，制作测试集时可能会放弃恶意软件样本的标签信息不一致的样本，但是此样本可能是要评估聚类模型的重要样本。不同的Anti-Virus软件可能有不同的恶意软件系列定义标准，这将严重影响投票机制的有效性。另一种方法是通过构建像VAMO这样的恶意软件样本的标签信息的图来检测样本的关系，但VAMO需要维护一个大型数据库，以保证图中边缘权重的准确性。