[发明专利]一种恶意程序识别方法、装置、电子设备及存储介质

权利要求书

1.一种恶意程序识别方法，其特征在于，所述方法包括：

获取待检测程序的第一系统调用日志；

转化所述第一系统调用日志为第一加权有向图；

基于预先构建的恶意代码分类簇检测所述第一加权有向图，以确定所述待检测程序是否为恶意程序；

其中，所述恶意代码分类簇通过如下步骤构建：

获取与数据集对应的第二系统调用日志，所述数据集包括多个良性程序样本和多个恶意程序样本；

基于由所述第二系统调用日志构造的第二加权有向图，计算所述数据集对应的相似度矩阵，所述相似度矩阵包括多个核值；

根据谱聚类算法对所述相似度矩阵进行分类，得到所述恶意代码分类簇；

其中，所述基于由所述第二系统调用日志构造的第二加权有向图，计算所述数据集对应的相似度矩阵，包括：

分解每个所述第二加权有向图得到与其对应的若干子树结构，并根据所述子树结构设置所述第二加权有向图中每个节点对应的节点编码；

根据所述节点编码计算两两所述第二加权有向图的核值，所述核值组成所述相似度矩阵。

2.根据权利要求1所述的恶意程序识别方法，其特征在于，所述分解每个所述第二加权有向图得到与其对应的若干子树结构，包括：

对所述第二加权有向图中每个节点进行标签编码，记录所述节点与所述标签编码的映射关系；

分别以所述第二加权有向图的每个节点为根，分解得到与所述根关联的若干子树结构，并根据作为根的节点对应的标签编码和与根关联的节点对应的标签编码组合生成所述节点编码，更新所述第二加权有向图中所述作为根的节点对应的标签编码为所述节点编码。

3.根据权利要求1所述的恶意程序识别方法，其特征在于，所述根据谱聚类算法对所述相似度矩阵进行分类，包括：

基于所述相似度矩阵得到所述数据集对应的邻接矩阵，并根据所述邻接矩阵和所述第二加权有向图对应的度矩阵构建标准化的拉普拉斯矩阵；

计算所述拉普拉斯矩阵的最小非零特征值对应的特征向量，按行标准化所述特征向量组成的矩阵得到特征矩阵；

基于所述特征矩阵得到若干行样本，并对所述若干行样本进行聚类得到分类簇，所述分类簇包括所述恶意代码分类簇。

4.根据权利要求3所述的恶意程序识别方法，其特征在于，所述基于所述相似度矩阵得到所述数据集对应的邻接矩阵，包括：

遍历所述相似度矩阵中的每一个核值，当所述核值大于第一预设阈值时，则在邻接矩阵中与所述核值对应的位置置为零；

以及，当所述核值小于或者等于所述第一预设阈值时，则在所述邻接矩阵中与所述核值对应的位置置为所述第一预设阈值。

5.根据权利要求1至4任意一项所述的恶意程序识别方法，其特征在于，所述基于预先构建的恶意代码分类簇检测所述第一加权有向图，以确定所述待检测程序是否为恶意程序，包括：

计算所述第一加权有向图与所述恶意代码分类簇对应的第二加权有向图之间的相似度，当所述相似度大于第二预设阈值时，确定所述待检测程序的类型为恶意程序。

6.一种恶意程序识别装置，其特征在于，所述装置包括：

获取模块，配置用于获取待检测程序的第一系统调用日志；

转化模块，配置用于转化所述第一系统调用日志为第一加权有向图；

确定模块，配置用于基于预先构建的恶意代码分类簇检测所述第一加权有向图，以确定所述待检测程序是否为恶意程序；

其中，确定模块包括构建单元，所述构建单元配置用于获取与数据集对应的第二系统调用日志，所述数据集包括多个良性程序样本和多个恶意程序样本；

基于由所述第二系统调用日志构造的第二加权有向图，计算所述数据集对应的相似度矩阵，所述相似度矩阵包括多个核值；

根据谱聚类算法对所述相似度矩阵进行分类，得到所述恶意代码分类簇；

所述构建单元还配置用于分解每个所述第二加权有向图得到与其对应的若干子树结构，并根据所述子树结构设置所述第二加权有向图中每个节点对应的节点编码；

根据所述节点编码计算两两所述第二加权有向图的核值，所述核值组成所述相似度矩阵。