[发明专利]一种恶意代码家族API序列挖掘方法

权利要求书

1.一种恶意代码家族API序列挖掘方法，其特征在于以下步骤：

步骤一：用Cuckoo动态分析系统得到恶意代码家族样本集的动态API序列及时间信息；

步骤二：对动态API序列进行剪枝；

步骤三：从剪枝后的动态API序列集中挖掘出最大近似频繁API序列；

步骤四：确定最大近似频繁API序列的频繁区间；

步骤五：根据最大近似频繁API序列在其频繁区间的支持率挖掘出家族API序列；

所述步骤三和步骤四具体包括：

设计了一种家族最大频繁API序列挖掘算法MFSM，首先遍历家族f的动态API序列集找出所有的1-项频繁API序列，从家族频繁API函数中搜索所有1-项频繁API子序列对应的扩展项并将其信息存储于家族字典f；

然后以同样的方法搜索2-项频繁API序列的可扩展项并存储其信息；

最后按照深度优先搜索的顺序迭代搜索出所有i-项频繁API序列，直到可扩展项为时就停止搜索，搜索过程中可扩展项频繁API子序列即为最大频繁API序列，将最大频繁API序列及其信息存储于字典f′，以{最大频繁API序列:[所有包含该最大频繁API序列的动态API序列],…}的形式存储其信息；

挖掘最大近似频繁API序列并确定其频繁时段，通过使用家族最大频繁API序列算法并降低支持度阈值Supmin，先挖掘出家族最大近似频繁序列并将其信息存储于字典f′，然后用一个s_list记录包含相应家族最大近似频繁API序列的每个动态API序列的时间信息，并顺序存储这些动态API序列的时间信息；

去掉每个时间序列两端离散的时间点，即离群时间点，去除离群时间点之后可以认为s频繁出现在s_list第一个时间点到最后一个时间点之间，即前后两个时间端点确定的时间段为家族最大近似频繁API序列的频繁时段。

2.根据权利要求1所述的一种恶意代码家族API序列挖掘方法，其特征在于步骤一中Cuckoo动态分析系统的搭建，提取分析报告的API序列和时间信息。

3.根据权利要求1所述的一种恶意代码家族API序列挖掘方法，其特征在于步骤二中对动态API序列中重复出现的API子序列进行去重和关键API函数的筛选。

4.根据权利要求1所述的一种恶意代码家族API序列挖掘方法，其特征在于步骤五中按照最大近似频繁API序列在其频繁区间中的支持率进行频繁性判断，保留支持率大于最小支持率阈值RateOfSup min的最大近似频繁API序列。