[发明专利]恶意软件的识别方法及装置

权利要求书

1.一种恶意软件的识别方法，其特征在于，包括：

获取与指定软件在运行时产生的网络行为对应的统一资源定位符URL；

依据预设规则和所述URL的特征维度确定所述指定软件是否为恶意软件，其中，所述预设规则是依据与多个恶意软件所产生的网络行为对应的URL的特征维度确定的；

其中，所述预设规则为：在所述指定软件与恶意软件二者之间的URL的特征维度的相似度大于预设阈值的情况下，确定所述指定软件为恶意软件，其中，所述URL为软件产生的网络行为对应的URL，所述恶意软件的URL的特征维度为指定恶意软件家族中所有恶意软件共同具有的URL的特征维度；

其中，所述指定恶意软件家族中的成员之间的URL的特征维度的相似度高于预设值，所述指定恶意软件家族为预设的恶意软件的集合，其中，通过以下方式获取软件的网络行为的URL的特征维度：

获取多个软件各自的网络行为，并解析获取每个所述网络行为中的URL；

依据键值对来拆分所述URL的参数，得到多个参数分段，再将所述键值对的参数分段赋值映射到n维空间之后，得到所述URL的整数向量，其中，所述URL的整数向量为所述URL的特征维度，其中，所述参数分段为键值对的编码，所述n代表特征空间的维度数，所述n为整数。

2.根据权利要求1所述的方法，其特征在于，在所述指定软件与族群cluster中的恶意软件中的URL的特征维度的相似度大于预设阈值的情况下，确定所述指定软件为所述族群cluster中的恶意软件，其中，所述族群cluster为所述指定恶意软件家族中的族群cluster，所述族群cluster通过以下方式获取：

将所述指定恶意软件家族中的恶意软件通过聚合URL的特征维度的方式分成多个族群cluster，其中，在所述多个恶意软件中存在多个恶意软件家族的情况下，将不同恶意软件家族中的相似度高的族群cluster合并为指定族群cluster。

3.根据权利要求2所述的方法，其特征在于，将所述指定恶意软件家族中的恶意软件通过聚合URL的特征维度的方式分成多个族群cluster之后，确定所述族群cluster中恶意软件的网络行为的类别，依据所述类别确定所述族群cluster的类别，其中，所述类别包括以下之一：CC连接，文件下载，广告点击。

4.根据权利要求1所述的方法，其特征在于，所述方法还包括：定期更新所述指定恶意软件家族中的恶意软件。

5.一种恶意软件的识别装置，其特征在于，该装置包括：

获取模块，用于获取与指定软件在运行时产生的网络行为对应的统一资源定位符URL；

确定模块，用于依据预设规则和所述URL的特征维度确定所述指定软件是否为恶意软件，其中，所述预设规则是依据与多个恶意软件所产生的网络行为对应的URL的特征维度确定的；

其中，所述确定模块还用于在所述指定软件与恶意软件二者之间的URL的特征维度的相似度大于预设阈值的情况下，确定所述指定软件为恶意软件，其中，所述URL为软件产生的网络行为对应的URL，所述恶意软件的URL的特征维度为指定恶意软件家族中所有恶意软件共同具有的URL的特征维度；

其中，所述指定恶意软件家族中的成员之间的URL的特征维度的相似度高于预设值，所述指定恶意软件家族为预设的恶意软件的集合，所述获取模块还用于通过以下方式获取软件的网络行为的URL的特征维度：

获取多个软件各自的网络行为，并解析获取每个所述网络行为中的URL；依据键值对来拆分所述URL的参数，得到多个参数分段，再将所述键值对的参数分段赋值映射到n维空间之后，得到所述URL的整数向量，其中，所述URL的整数向量为所述URL的特征维度，其中，所述参数分段为键值对的编码，所述n代表特征空间的维度数，所述n为整数。

6.根据权利要求5所述的装置，其特征在于，所述确定模块还用于在所述指定软件与族群cluster中的恶意软件中的URL的特征维度的相似度大于预设阈值的情况下，确定所述指定软件为所述族群cluster中的恶意软件，其中，所述族群cluster为所述指定恶意软件家族中的族群cluster，所述族群cluster通过以下方式获取：

将所述指定恶意软件家族中的恶意软件通过聚合URL的特征维度的方式分成多个族群cluster，其中，在所述多个恶意软件中存在多个恶意软件家族的情况下，将不同恶意软件家族中的相似度高的族群cluster合并为指定族群cluster。