[发明专利]基于家族基因码的恶意代码快速归类方法

权利要求书

1.一种基于家族基因码的恶意代码快速归类方法，其特征在于，包括下述两大步骤：

第一步，恶意代码家族基因码的生成，包括下述分步骤：

(1)获取由M个恶意代码样本构成的恶意代码样本集，其中，M至少为1000万；

(2)从恶意代码样本中提取行为信息；

(3)对所有恶意代码样本的各种行为出现的频数进行统计排序，选择频数总和不小于3的行为作为刻画恶意代码样本的行为向量；

(4)使用行为向量的每个元素在恶意代码行为信息中出现的频数构成该恶意代码样本的特征向量；

(5)采用曼哈顿距离算法计算恶意代码样本特征向量之间的距离，形成恶意代码样本集的距离矩阵D＝{d_ij}_M×M，其中,d_ij表示恶意代码样本i到恶意代码样本j的距离，矩阵D关于对角线对称；

(6)基于恶意代码样本集的距离矩阵D，从恶意代码样本集中提取出恶意代码家族基因码，以方便生成恶意代码家族；

第二步，恶意代码快速归类，包括下述分步骤：

(1)针对新增的恶意代码样本，提取其行为信息，与在恶意代码样本集中得到的行为向量进行比对，将行为向量中每个元素在新增恶意代码样本的行为信息中出现的频数作为该样本的特征向量；

(2)将新增恶意代码样本的特征向量与恶意代码家族基因码进行匹配，对新增恶意代码所属的类别进行判定。

2.根据权利要求1所述的基于家族基因码的恶意代码快速归类方法，其特征在于，第一步(2)中所述恶意代码的行为信息是指恶意代码在执行过程中对计算机资源的访问行为，包括API导入表的访问行为、文件操作行为、进程操作行为、注册表操作行为、动态链接库调用行为、钩子函数调用行为。

3.根据权利要求1所述的基于家族基因码的恶意代码快速归类方法，其特征在于，第一步(3)中所述选择频数总和不小于3的行为作为刻画恶意代码样本的行为向量，其具体步骤为：

(1)对恶意代码样本集中每个样本的行为信息进行统计分析，利用出现过的所有行为构成初始特征集；

(2)计算初始特征集中每个元素在所有样本的行为信息中出现频数的总和，排序并去除出现频数总和为1和2的元素，使用剩余的元素作为刻画恶意代码样本的特征。