[发明专利]恶意软件传播特征的提取方法、装置和应用

权利要求书

1.恶意软件传播特征的提取方法，其特征在于，包括：

通过虚拟化手段组建虚拟化网络，其中该虚拟化网络中包含一台或多台已经安装好当前常用的操作系统的虚拟终端、一台DHCP服务器、一台DNS服务器，将上述设备接入统一虚拟网络中，并设置网络镜像服务，将该虚拟网络中所有设备的网络流量引流到一台流量采集服务器，将单个恶意软件在上述虚拟化网络中任一台虚拟终端上运行，获取恶意软件在终端上的网络流量；

将所述网络流量解析成多个会话日志，其中所述会话日志包括多个特征指标；

将所述会话日志按日志类型分为一个或多个日志组，并将所述日志组中所述会话日志按照所述特征指标基于密度的聚类得到一个或多个特征类；根据每一所述特征类包含的会话日志数量和每一所述特征类涵盖的终端数量，提取出一个或多个高价值特征类；

从所述高价值特征类中提取高价值代表特征，将每个日志组中的高价值代表特征合并，就得到对应每日志组的高价值代表特征集合，将所有高价值代表特征集合按照一种规定顺序组成恶意软件特征向量，在所述恶意软件特征向量中加入与所述会话日志相关联的时间维度统计特征，其中所述日志组包括一个或多个高价值代表特征。

2.恶意软件检测方法，用于检测软件，其特征在于，包括以下步骤：

获取权利要求1所述的恶意软件特征向量和目标软件的目标特征向量；

计算所述目标特征向量和所述恶意软件特征向量的相似度，若所述相似度超过设定阈值，则判定所述目标软件为恶意软件。

3.恶意软件传播特征的提取装置，其特征在于，包括：

获取模块，用于通过虚拟化手段组建虚拟化网络，其中该虚拟化网络中包含一台或多台已经安装好当前常用的操作系统的虚拟终端、一台DHCP服务器、一台DNS服务器，将上述设备接入统一虚拟网络中，并设置网络镜像服务，将该虚拟网络中所有设备的网络流量引流到一台流量采集服务器，将单个恶意软件在上述虚拟化网络中任一台虚拟终端上运行，获取恶意软件在终端上的网络流量；

解析模块，用于将所述网络流量解析成多个会话日志，其中所述会话日志包括多个特征指标；

聚类模块，用于将所述会话日志按日志类型分为一个或多个日志组，并将所述日志组中所述会话日志按照所述特征指标基于密度的聚类得到一个或多个特征类，根据每一所述特征类包含的会话日志数量和每一所述特征类涵盖的终端数量，提取出一个或多个高价值特征类；

特征提取模块，用于从所述高价值特征类中提取高价值代表特征，将每个日志组中的高价值代表特征合并，就得到对应每日志组的高价值代表特征集合，将所有高价值代表特征集合按照一种规定顺序组成恶意软件特征向量，在所述恶意软件特征向量中加入与所述会话日志相关联的时间维度统计特征，其中所述日志组包括一个或多个高价值代表特征。

4.一种电子装置，包括存储器和处理器，其特征在于，所述存储器中存储有计算机程序，所述处理器被设置为运行所述计算机程序以执行权利要求1所述的恶意软件传播特征的提取方法或如权利要求2所述的恶意软件检测方法。

5.一种可读存储介质，其特征在于，所述可读存储介质中存储有计算机程序，所述计算机程序包括用于控制过程以执行过程的程序代码，所述过程包括根据权利要求1所述的恶意软件传播特征的提取方法或如权利要求2所述的恶意软件检测方法。