[发明专利]恶意软件作者的关联扩展方法、设备、存储介质及装置

说明书

本发明公开了一种恶意软件作者的关联扩展方法、设备、存储介质及装置，该方法包括：获取多个恶意软件作者的用户终端在预设时间段内的运行特征；分别确定各运行特征在预设时间段内的变化规律；根据各变化规律对各恶意软件作者进行关联。本发明中，通过对恶意软件作者的运行特征进行分析，确定各恶意软件作者之前的关联关系，从而能够定位恶意软件作者团队，以对恶意软件作者团队进行追踪，提高恶意软件的识别效率。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种恶意软件作者的关联扩展方法、设备、存储介质及装置。

背景技术

目前，对于恶意软件及恶意软件作者的识别，基于样本进行识别，比如，900万样本/天，匹配恶意软件符合的静态规则，从而根据匹配情况，识别出恶意软件作者(也可称为黑客)、灰客和白客，所述灰客是怀疑对象，可能是恶意软件作者，也可能不是，需要进一步判断，再获取行为规则，根据行为规则判断是普通木马、高级木马还是正常程序。

将基于静态规则的分析结果结合基于行为规则的分析结果，进行人工关联分析，再获取历史版本的恶意软件作者信息，进行特征提取，分析语言、工作时间和回传控制网际协议(Internet Protocol，简写IP)，再进一步识别是国内黑客还是境外组织，识别效率低。

上述内容仅用于辅助理解本发明的技术方案，并不代表承认上述内容是现有技术。

发明内容

本发明的主要目的在于提供一种恶意软件作者的关联扩展方法、设备、存储介质及装置，旨在解决现有技术中恶意软件及恶意软件作者的识别效率低的技术问题。

为实现上述目的，本发明提供一种恶意软件作者的关联扩展方法，所述恶意软件作者的关联扩展方法包括以下步骤：

获取多个恶意软件作者的用户终端在预设时间段内的运行特征；

分别确定各运行特征在预设时间段内的变化规律；

根据各变化规律对各恶意软件作者进行关联。

优选地，所述根据各变化规律对各恶意软件作者进行关联，具体包括：

根据各变化规律对各恶意软件作者进行聚类，获得聚类簇；

将所述聚类簇对应的恶意软件作者进行关联。

优选地，所述根据各变化规律对各恶意软件作者进行聚类，获得聚类簇，具体包括：

计算各变化规律之间的相似度；

根据各相似度对各恶意软件作者进行聚类，获得聚类簇。

优选地，所述根据各相似度对各恶意软件作者进行聚类，获得聚类簇，具体包括：

将各变化规律作为节点，将各相似度作为各节点的值，构建相似度矩阵；

根据所述相似度矩阵，通过亲和传播聚类算法对各恶意软件作者进行聚类，获得聚类簇。

优选地，所述将所述聚类簇对应的恶意软件作者进行关联，具体包括：

获取所述聚类簇对应的相似度；

判断所述聚类簇对应的相似度是否大于预设相似度阈值；

在所述聚类簇对应的相似度大于所述预设相似度阈值时，将所述聚类簇对应的恶意软件作者进行关联。

优选地，所述在所述聚类簇对应的相似度大于所述预设相似度阈值时，将所述聚类簇对应的恶意软件作者进行关联，具体包括：

在所述聚类簇对应的相似度大于所述预设相似度阈值时，获取所述聚类簇中成员数量；

判断所述成员数量是否大于预设数量阈值；