[发明专利]一种基于FTS模型的病毒特征提取方法及系统

说明书

本发明提出一种基于FTS模型的病毒特征提取方法及系统，结合FTS模型算法以及GUS、GDS思想，通过将原始非线性高维样本空间通过高斯函数的变换映射到低维度的线性样本空间，提取一些表现突出的特征作为首选特征。此过程无需任何模型参数需要训练，操作简单，降维效果绝佳。本发明能够有效降低病毒特征集的维度和特征冗余度，保障病毒特征集的精准性，并有效降低病毒特征集的资源空间占用；进一步地，当有新特征加入时，只需将新特征与特征集中的特征进行相似度计算，确定其冗余度即可，使得特征集易于维护。

技术领域

本发明涉及信息安全技术领域，尤其涉及一种基于FTS模型的病毒特征提取方法及系统。

背景技术

信息安全领域中，针对病毒的分析与识别需要对其特征进行提取，而随着提取特征数量的增加，模型分类的准确度也有所提高，但是提取特征数量达到一定限度的时候，再增加特征，模型分类的准确度不是持续增加，反而会降低。这就是经典的“维数灾难”问题。通常不经专业筛选的特征空间一般是高维度且非线性，不仅占用存储空间，而且特征间的冗余度、特征与类别的相似度都没有考虑，导致分类的准确度降低。由此，控制特征空间的维度是至关重要的，特征既不能过剩，也不能缺失。

发明内容

本发明为解决上述问题，本发明提出一种基于FTS模型的病毒特征提取方法及系统，结合FTS模型算法以及GUS、GDS思想，通过将原始非线性高维样本空间通过高斯函数的变换映射到低维度的线性样本空间，提取一些表现突出的特征作为首选特征。此过程无需任何模型参数需要训练，操作简单，降维效果绝佳。虽然维度降低了，但仍含有一些冗余特征没有剔除干净，也没有考虑与类别的相关程度。所以，本发明还利用余弦度去除特征间的冗余，优选地，两个特征间的余弦值越小，表示不相关程度越大，余弦值越大，表示不相关程度越小，所以，保留余弦值小的特征值，剔除余弦值大的特征。利用相似度去除与类别无关的特征，优选地，两个特征间的相似度越小，表示与类别相关程度越小，相似度越大，表示与类别相关程度越大，保留相似度大的特征，剔除相似度小的特征。

具体发明内容包括：

一种基于FTS模型的病毒特征提取方法，包括：

收集病毒样本文件，提取样本文件信息，建立原始样本集；

按规定定义样本集包含的特征类别；

计算并得到原始样本集的高斯矩阵；

对高斯矩阵中心化，并计算中心化后的高斯矩阵的特征值和特征向量；

对特征值进行排序，选出规定特征值所对应的特征向量；

按规定对选出的特征向量进行计算，得到特征样本集；

将特征样本集中的特征与特征类别进行相似度计算，根据相似度计算结果选出指定的特征，并将指定特征存入中间特征样本集；

按规定对中间特征样本集中的特征进行计算，保留满足规定条件的特征，删除不满足规定条件的特征；

将满足规定条件的特征存入特征样本集，得到最优特征集。

进一步地，所述样本文件信息包括：文件名、扩展名、文件编码格式、MD5值、KMD5值。

进一步地，所述计算并得到原始样本集的高斯矩阵，具体为：将原始样本集映射到高维度线性特征空间中，计算原始样本集中各个病毒特征间的高斯函数值，得到高斯矩阵。

进一步地，所述对特征值进行排序，选出规定特征值所对应的特征向量，具体为：对特征值进行降序排序，从序列前端依次选出大于规定阈值且满足规定数量的特征值所对应的特征向量；或对特征值进行升序排序，从序列后端依次选出大于规定阈值且满足规定数量的特征值所对应的特征向量；根据不同场景和需求，所述规定阈值和规定数量可自行设置不同的值，一般情况下规定数量小于原始样本集中特征的数量。