[发明专利]一种基于序列比对算法的勒索软件变种检测方法

说明书

本发明提供一种基于序列比对算法的勒索软件变种检测方法，具体过程为：勒索软件样本输入，样本特征序列提取，将样本特征序列处理为基因序列，进行勒索软件变种检测；所述变种检测具体为：对样本集中的各个基因序列进行聚类，提取出聚类的结果信息，得到各类勒索软件家族；采用序列比对算法Needleman‑Wunsch计算待检测样本与各类勒索软件家族的类簇中心样本的相似度，选出相似度大于设定阈值的簇，使用筛选出来的簇组成新的勒索软件训练样本集；对于待检测样本，使用新筛选出来的训练样本集，结合序列比对算法和KNN分类算法确定其所属的勒索软件家族类别，实现变种检测。该方法将序列比对算法与现有的分类算法相结合来达到快速实现勒索软件变种检测的目的。

技术领域

本发明涉及一种基于序列比对算法的勒索软件变种检测方法，属于软件检测技术领域。

背景技术

目前国内外针对勒索软件的检测防御方法并不是很多，主要分为以下几类：基于网络流量分析的检测方法、基于勒索软件动静态特征的检测方法、基于诱饵文件的检测方法。

现有技术中，发明专利申请“一种勒索者病毒的检测方法及系统”，申请号：CN201611094356.1，通过对比修改后文件与备份文件的熵值判断是否加密操作，若存在加密操作则收集被加密的所有文件，并判断具备相同扩展名的文件所占比例是否超过预设值，若是则继续判断具备相同扩展名的文件的文件名是否长度一致并存在部分相同字符串，若是则判定为疑似勒索者病毒。此发明是基于勒索软件动态特征的检测方法。发明专利申请“一种基于改进贝叶斯算法的安卓恶意软件检测方法”，申请号：CN201510050936.X，通过改进贝叶斯算法对安卓恶意程序和良性程序的特征属性进行分析和分类，实现一种基于改进贝叶斯算法的恶意软件检测方法。发明专利申请“基于机器学习的安卓平台恶意软件检测方法”，申请号：CN201510184628.6，通过收集恶意程序集和正常程序集组成样本库并进行训练，比较后得出最佳的分类模型，将待测程序输入模型得到分类结果。发明专利申请“基于网络流量的多特征移动终端恶意软件检测方法及系统”，申请号：CN201510486986.2从网络流量数据中提取出能够有效表征移动终端恶意软件网络行为的特征；按照不同的特征类型对提取的能够有效表征移动终端恶意软件网络行为的特征进行分类。是基于网络流量分析的检测方法。发明专利申请“基于软件控制流特征的计算机恶意软件检测新方法”，申请号：CN201310069852.1，对二进制文件自动提取操作码序列，并利用空间向量模型将序列转为结构化信息，经过筛选后作为文件的特征集，再使用数据挖掘方法从大量特征集中发现软件分类的规则，并将其用于恶意软件的检测。发明专利申请“一种检测恶意软件的方法及装置”，申请号：CN201710241552.5，利用诱饵文件对恶意软件进行检测，具体方法为将每个被勒索软件操作后的诱饵文件的特征值组成目标特征值序列；将目标特征值序列与原始特征值序列进行比较由此得出检测结果。是基于诱饵文件的检测方法。

以上主流检测方法中并未重点研究勒索软件或勒索软件变种，且大都为对多类别恶意软件的通用检测方法，没有针对勒索软件进行优化。

发明内容

有鉴于此，本发明提供一种基于序列比对算法的勒索软件变种检测方法，该方法将序列比对算法与现有的分类算法相结合来达到快速实现勒索软件变种检测的目的。

实现本发明的技术方案如下：

一种基于序列比对算法的勒索软件变种检测方法，具体过程为：勒索软件样本输入，样本特征序列提取，将样本特征序列处理为基因序列，使用分类算法基于样本基因序列进行勒索软件变种检测；所述变种检测具体为：

对样本集中的各个基因序列进行聚类，提取出聚类的结果信息，得到各类勒索软件家族；

采用序列比对算法Needleman-Wunsch计算待检测样本与各类勒索软件家族的类簇中心样本的相似度，选出相似度大于设定阈值的簇，使用筛选出来的簇组成新的勒索软件训练样本集；