[发明专利]恶意软件的聚类方法及装置、计算机装置及可读存储介质

说明书

本发明实施例公开了一种恶意软件的聚类方法及装置、计算机装置及可读存储介质，涉及网络安全领域，用于提高对恶意软件的聚类结果的准确性。本发明实施例方法包括：选取多个恶意软件作为样本；获取样本的威胁情报；从样本的威胁情报中提取样本的威胁情报特征；根据样本的聚类特征对样本进行聚类，样本的聚类特征包括样本的威胁情报特征。

技术领域

本发明涉及网络安全领域，具体涉及一种恶意软件的聚类方法及装置、计算机装置及可读存储介质。

背景技术

恶意软件是指在计算机系统上执行恶意任务的病毒、蠕虫和特洛伊木马的程序，通过破坏软件进程来实施控制。当前，恶意软件泛滥严重，这些恶意软件包含各种恶意行为，引发用户的隐私泄露、经济损失等安全问题。大量的恶意软件都是基于某一特定样本的变种，其功能、行为上都具有很大的相似性，对恶意软件进行聚类，对于恶意软件的分析及检测具有重要作用。

现有技术关注于恶意软件产生的网络流量的相似性，一般通过获取恶意软件产生的网络流量，并根据网络流量特征对恶意软件进行聚类，比如根据提取的HTTP请求消息中的URI的相似性对恶意软件进行分类。

但是在对恶意软件网络流量的检测过程中，恶意软件产生的网络流量对聚类的有效性具有很大的偶然性，因此，完全基于网络流量特征进行的恶意软件聚类，得到的聚类结果准确性较低。

发明内容

本发明提供一种恶意软件的聚类方法及装置、计算机装置及可读存储介质，用于解决现有技术提供的恶意软件聚类方法准确性低的问题。

本发明实施例的一方面提供了一种恶意软件的聚类方法，包括：

选取多个恶意软件作为样本；

获取所述样本的威胁情报；

从所述样本的威胁情报中提取所述样本的威胁情报特征；

根据所述样本的聚类特征对所述样本进行聚类，所述样本的聚类特征包括所述样本的威胁情报特征。

结合第一方面，在第一方面的第一种可能的实现方式中，在根据所述样本的聚类特征对所述样本进行聚类之前，所述方法还包括：

获取样本产生的网络流量；

从所述样本的网络流量中提取所述样本的网络流量特征；

所述样本的特征还包括所述样本对应的网络流量特征。

结合第一方面或第一方面的第一种可能的实现方式，在第一方面的第二种可能的实现方式中，所述根据所述样本的聚类特征对所述样本进行聚类包括：

利用所述样本的聚类特征按照备选聚类数目对所述样本进行聚类，得到备选聚类结果；

根据所述样本的威胁情报特征计算所述备选聚类结果的聚类效果指标；

选择聚类效果指标最优的备选聚类结果作为最终的聚类结果。

结合第一方面的第二种可能的实现方式，在第一方面的第三种可能的实现方式中，所述样本的威胁情报包括多个杀毒软件对所述样本的扫描结果；

所述样本的威胁情报特征为所述多个杀毒软件对所述样本的威胁情报特征的集合，所述多个杀毒软件中目标杀毒软件对所述样本的威胁情报特征为从所述目标杀毒软件对所述样本的扫描结果中提取的、与恶意属性相关的描述文本。

结合第一方面的第三种可能的实现方式中，在第一方面的第四种可能的实现方式中，所述根据所述样本的威胁情报特征计算所述备选聚类结果的聚类效果指标包括：

计算样本i和样本j的威胁情报特征中同一杀毒软件的威胁情报特征之间的子距离，组成距离集合，样本i和样本j为所述样本中的不同样本；