[发明专利]一种恶意程序相似度计算的方法和装置有效
| 申请号: | 201910926334.4 | 申请日: | 2019-09-27 |
| 公开(公告)号: | CN110674497B | 公开(公告)日: | 2021-07-02 |
| 发明(设计)人: | 蔡淑苹;许光锋;郑汉军;陈思德;陈腾跃 | 申请(专利权)人: | 厦门安胜网络科技有限公司 |
| 主分类号: | G06F21/55 | 分类号: | G06F21/55;G06F21/56;G06K9/62;G06N3/04 |
| 代理公司: | 厦门福贝知识产权代理事务所(普通合伙) 35235 | 代理人: | 陈远洋 |
| 地址: | 361008 福建省厦门市软*** | 国省代码: | 福建;35 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 恶意程序 相似 计算 方法 装置 | ||
1.一种恶意程序相似度计算的方法,其特征在于,所述方法包括以下步骤:
S1,将数据库的恶意程序转换为文本或图片进行深度学习训练,通过余弦算法进行恶意程序相似度静态计算;
所述步骤S1具体包括:
S11,将所述数据库中未运行的恶意程序和非恶意程序转化成文本或图片形式,通过所述深度学习训练对所述恶意程序和所述非恶意程序进行特征值计算;
S12,将所述非恶意程序的特征值过滤掉,再基于所述恶意程序的特征值对所述恶意程序进行关键特征分类,通过统计所述关键特征的数量确定各个特征的加权值;
S13,基于所述加权值对所述关键特征进行特征向量化,再通过所述余弦算法计算所述恶意程序的静态相似度;
S2,获取所述数据库的恶意程序的行为特征,基于所述行为特征,通过PMI点互信息算法获取恶意程序的行为轨迹并进行恶意程序相似度动态计算;
所述步骤S2具体包括:
S21,获取所述恶意程序的行为,通过沙箱模拟所述恶意程序的运行,分析关键指令,记录所述恶意程序在函数入口点、返回点和内存读写点的数据,基于API参数格式解析库获取关键API的调用序列和参数信息;
S22,基于所述API的调用序列和参数信息,提取所述恶意程序的行为特征;
S23,通过动态特征提取将所述行为特征视为可统计互信息的点,基于PMI点互信息算法得到所述行为特征与参考特征之间的互信息值,再通过轨迹判断获取所述行为特征的行为轨迹;
S24,设置所述恶意程序的每个行为特征由N个行为轨迹组成,通过行为轨迹对比和所述PMI点互信息算法得到所述恶意程序相互间的相同行为轨迹个数为n,则所述恶意程序的动态相似度为n/N;
S3,通过加权平均算法确定恶意程序的最终相似度。
2.根据权利要求1所述的恶意程序相似度计算的方法,其特征在于,所述步骤S3具体包括:
通过加权平均计算获取最终相似度结果:
其中,J为所述恶意程序的静态相似度,D为所述恶意程序的动态相似度;f1为所述恶意程序适合用静态恶意程序相似度计算的概率且0.3<f1<0.7,f1≠0,f2为所述恶意程序适合用动态恶意程序相似度计算的概率且0.3<f2<0.7,f2≠0,同时f1+f2=1;α为静态相似度的阈值,0.5α1;β为动态相似度的阈值,0.5β1。
3.根据权利要求1所述的恶意程序相似度计算的方法,其特征在于,所述余弦算法的具体步骤包括:
假设特征向量FVa与FVb均为M维特征向量,则FVa为(x1,x2,…,xm),FVb为(y1,y2,…,ym),FVa与FVb的夹角相似度为:
其中,cosθ在-1到1之间,当cosθ越接近1则特征向量FVa与FVb的相似度越大,当cosθ越接近-1则特征向量FVa与FVb的相似度越小。
4.根据权利要求1所述的恶意程序相似度计算的方法,其特征在于,所述PMI点互信息算法的具体步骤为:
其中,f1为所述恶意程序的行为特征,f2为参考特征,P(f1·f2)为f1和f2同时出现的概率,P(f1)为f1出现的概率,P(f2)为f2出现的概率。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于厦门安胜网络科技有限公司,未经厦门安胜网络科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201910926334.4/1.html,转载请声明来源钻瓜专利网。
