[发明专利]基于半监督密度聚类的恶意代码家族同源性分析方法

权利要求书

1.一种基于半监督聚类的恶意代码同源性分析方法，其特征在于，所述方法包括如下步骤：

A、基于API调用序列数据的典型序列模式的挖掘，是结合广义序贯模式挖掘算法(GSP)和面向对象关联挖掘技术(OOA)的一个改进，输入：最小支持度ms％，最小置信度mc％，关键API集合K＝U_f∈FK_f，已知恶意家族集合F和已知恶意样本数据库DB1，输出：典型API调用序列模式集合TP，TP中存储挖掘出的每个已知恶意代码家族的关键API调用模式；输入中，ms％和mc％分别表示为用户定义的API调用序列模式关于恶意家族的最小支持度和最小置信度，K表示恶意家族的关键API集合，K_f表示恶意家族f的关键API；输入输出之间具体的实现过程步骤：C_k用来存储长度为len的候选API调用序列模式，L_k用来存储第i轮迭代过程中选出的长度为len的用于生成C_k+1的API调用序列模式，TPE用来存储挖掘出的指定恶意家族的典型API调用序列模式；扫描已知样本数据库DB1，对C_k中的每个候选序列模式关于指定恶意家族的支持度s％和置信度c％进行计算；通过与用户定义的最小支持度ms％、最小置信度mc％和长度为len-1的子序列模式的最大置信度c’％进行比较，选出支持度大于ms％，置信度大于c’％的序列模式添加到L_k中用于生成候选模式集C_k+1，选出支持度大于ms％，置信度大于c’％和mc％的典型序列模式添加到TPE中；使用广义序贯模式挖掘算法GSP中的候选序列模式生成算法利用集合L_k生成候选序列模式集C_k+1；

B、基于半监督密度聚类算法的恶意代码家族聚类，此半监督密度聚类算法命名为S-DBSCAN，输入：数据集D＝{x₁，x₂，...，x_n}，已知恶意家族的已知样例相似度值eps，eps邻域至少包含的样本个数MinPts，输出：数据集D上的聚类结果；S-DBSCAN的实现过程：首先指定子空间最少包含的数据点个数，KD-Tree通过分割垂直于坐标轴的平面来将数据空间不断划分为子空间，直到每个子空间包含最小数量的数据点个数；KD-Tree的划分结果为一棵不平衡二叉树，其中小叶节点代表局部密集的子区域，而大叶节点代表低密度的子区域；然后对每个叶节点中的数据样例点进行处理，首先默认标记所有数据样例点都为核心对象，系统将eps邻域至少包含的样本个数Minpts也设置为KD-Tree划分过程中子空间最少包含的数据点个数，因为这两个值的目标都是为了定义并选择密集子区域；如果某数据样例点x的eps邻域包含的样例点个数少于MinPts，则标记点x为噪声点，如果点x的eps邻域至少包含MinPts个同属于该点所属叶节点中的样例点且这些样例点连同点x不来自一个以上的已知家族，则把这些样例点和点x合并成一个本地聚类簇，使用LCLUSTER来标记本地聚类簇，如果这些样例点连同点x来自不同已知家族，则这些样例点和点x各自形成一个本地聚类簇，如果点x的eps邻域包含的同属该点所属叶节点的样例点个数少于MinPts，则点x单独形成一个本地聚类簇；这一步得到的结果是一组本地聚类簇和一些异常点，某些聚类簇中只包含单个数据点；遍历每个已知恶意家族中的已知样例，如果该样例还未合并到已知的家族聚类簇中，则把其所在的本地聚类簇合并到该已知恶意家族的家族聚类簇中；这些合并操作可以跨越KD-Tree叶节点的边界，也就是说，KD-Tree的不同叶节点所代表的不同子空间内的本地聚类簇可进行合并；算法使用家族聚类簇FCLUSTER来标识这一聚类过程中形成的已知恶意家族的聚类簇，这一步得到的聚类结果包含聚类不完全的标识为FCLUSTER的已知家族聚类簇和标识为LCLUSTER的本地聚类簇；对剩余的本地聚类簇进行迭代处理，每次迭代过程中对每个本地聚类簇查找其最近的聚类簇，并把本地聚类簇合并到最近的聚类簇中，新的聚类簇使用合并前的最近密度可达聚类簇的标识，直到剩余本地聚类簇个数不再变化时停止迭代过程；这一步得到聚类结果包含标识为FCLUSTER的已知恶意家族聚类簇和标识为LCLUSTER的新的未知恶意家族聚类簇；

C、基于不对称相似度计算的家族演化图构建算法，输入：S-DBSCAN算法得到的聚类簇存在基于定制修改的直接演化关系的最小相似度值MinSim，输出：每个聚类簇的家族演化图；此家族演化图构建算法实现过程：对某个家族聚类簇中的由同一个原始执行体经过多态和变形技术得到的变种恶意代码加到同一个集合中，具体判定时使用两个恶意代码样例的杰卡德相似度来决定其是否具有基于变形技术的基础同源关系；对每个集合中的样例按照其文件创建时间从早到晚进行排序，对于创建时间相同的样例再按照其文件修改时间从早到晚进行排序，排序后对每个集合按顺序把样例点依次添加到家族演化图中并对每对相邻排列的样例点添加一条短的有向边来表示样例间基于变形技术的直接演化关系；对于某家族聚类簇中每两个样例集合对S_j、S_k，使用集合排序后的第一个样例x和y代表集合S_j和S_k，计算相似度Asym-J(x→y)和Asym-J(y→x)的值，如果其中一值大于设定的最小相似度值MinSim，则说明样例x与样例y间存在直接演化关系；此时，通过Asym-J(x→y)和Asym-J(y→x)的大小来确定演化方向，当Asym-J(x→y)＞Asym-J(y→x)时，得到其演化方向为x到y，否则为y到x，然后在演化图中添加一条长的有向边来表示样例间基于定制修改的直接演化关系；由于相似性度量是不对称的，最终得到该聚类簇的演化图为一个有向无环图；基于不对称相似度计算的家族演化图构建算法所构建的家族演化图中的圆圈代表了样本，有向边标示了样本的演化方向并且其代表的演化关系具体可分为两种：短的有向边表示样本在传播过程中为躲避特征码匹配检测技术使用多态或变形技术生成变种所产生的直接演化关系，长的有向边表示样本在定制修改、版本迭代和程序嵌入过程中生成变种所产生的直接演化关系。