[发明专利]一种恶意代码家族聚类方法和系统

权利要求书

1.一种恶意代码家族聚类方法，其特征在于，包括下述步骤：

采用t-SNE算法对原始恶意代码执行序列进行降维可视化，具体包括下述步骤：

使用t-SNE算法对每个数据点近邻的分布进行建模，其中近邻是指相互靠近数据点的集合；

构建模型，通过非线性函数变换将数据点映射到相应概率分布上，具体为：

通过在高维空间中构建数据点之间的概率分布P，使得相似的数据点有更高的概率被选择，不相似的数据点有较低的概率被选择；

在低维空间里重构所有数据点的概率分布Q，使得这两个概率分布尽可能相似，具体为：

令输入空间是X，输出空间为Y，假设含有m个样本数据{x⁽¹⁾,x⁽²⁾,…,x^(m)}，其中x⁽ⁱ⁾∈X，降维后的数据为{y⁽¹⁾,y⁽²⁾,…,y^(m)}，y⁽ⁱ⁾∈Y，SNE是先将欧几里得距离转化为条件概率来表达点与点之间的相似度，即首先是计算条件概率p_j|i，其正比于x⁽ⁱ⁾和x^(j)之间的相似度，p_j|i的计算公式为：

在这里引入了一个参数σ_i，对于不同的数据点x⁽ⁱ⁾取值亦不相同，并设置p_i|i＝0，对于低维度下的数据点y⁽ⁱ⁾，通过条件概率q_j|i来刻画y⁽ⁱ⁾与y^(j)之间的相似度，q_j|i的计算公式为：

同理，设置q_i|i＝0；

如果p_i|j＝q_i|j成立，则通过优化两个分布之间的KL散度构造出的损失函数为：

其中，P_i表示在给定高维数据点x⁽ⁱ⁾时，其他所有数据点的条件概率分布；Q_i则表示在给定低维数据点y⁽ⁱ⁾时，其他所有数据点的条件概率分布；从损失函数可以看出，当p_j|i较大q_j|i较小时，惩罚较高；而p_j|i较小q_j|i较大时，惩罚较低；

对构建的模型进行训练，通过计算低维空间的条件概率，从而计算损失函数的梯度，并对损失函数的梯度进行优化，具体为：

首先通过在高维空间中使用高斯分布将距离转换为概率分布，然后在低维空间中，使用更加偏重长尾分布的方式来将距离转换为概率分布，使得高维度空间中的中低等距离在映射后能够有一个较大的距离；

使用t分布替换高斯分布之后q_ij的变化如下：

此外，随着自由度的逐渐增大，t分布的密度函数逐渐接近标准正态分布，

优化后的梯度公式如下：

其中，令

使用K-means算法对恶意代码家族进行聚类，具体包括下述步骤：

确定分类个数K和聚类中心，具体为：通过t-SNE算法可视化出每一个恶意代码文件的特征，从图中确定聚类簇数K，确定聚类簇数K后使用K-means算法进行聚类处理；

通过计算对象与聚类中心的距离对所有对象进行簇划分；

重新计算新的聚类中心，判断是否满足中心点不再改变的条件，如果不满足，则返回通过计算对象与聚类中心的距离对所有对象进行簇划分的步骤，如果满足，则找到聚类中心点。

2.根据权利要求1所述恶意代码家族聚类方法，其特征在于，所述通过计算对象与聚类中心的距离对所有对象进行簇划分，具体为：

确定聚类簇数K后，k-means算法就是将n个数据点进行聚类，得到k个聚类，使得每个数据点到聚类中心的距离最小。

3.一种述恶意代码家族聚类系统，其特征在于，包括降维可视化模块和聚类模块，所述降维可视化模块，用于采用t-SNE算法对原始恶意代码执行序列进行降维可视化，所述聚类模块用于使用K-means算法对恶意代码家族进行聚类；

所述降维可视化模块包括数据点处理模块、模型建立模块以及训练模块，

所述数据点处理模块，用于使用t-SNE算法对每个数据点近邻的分布进行建模，其中近邻是指相互靠近数据点的集合；

所述模型建立模块，用于构建模型，通过非线性函数变换将数据点映射到相应概率分布上，具体为：

通过在高维空间中构建数据点之间的概率分布P，使得相似的数据点有更高的概率被选择，不相似的数据点有较低的概率被选择；

在低维空间里重构所有数据点的概率分布Q，使得这两个概率分布尽可能相似，具体为：

令输入空间是X，输出空间为Y，假设含有m个样本数据{x⁽¹⁾,x⁽²⁾,…,x^(m)}，其中x⁽ⁱ⁾∈X，降维后的数据为{y⁽¹⁾,y⁽²⁾,…,y^(m)}，y⁽ⁱ⁾∈Y，SNE是先将欧几里得距离转化为条件概率来表达点与点之间的相似度，即首先是计算条件概率p_j|i，其正比于x⁽ⁱ⁾和x^(j)之间的相似度，p_j|i的计算公式为：

在这里引入了一个参数σ_i，对于不同的数据点x⁽ⁱ⁾取值亦不相同，并设置p_i|i＝0，对于低维度下的数据点y⁽ⁱ⁾，通过条件概率q_j|i来刻画y⁽ⁱ⁾与y^(j)之间的相似度，q_j|i的计算公式为：

同理，设置q_i|i＝0；

如果p_i|j＝q_i|j成立，则通过优化两个分布之间的KL散度构造出的损失函数为：

其中，P_i表示在给定高维数据点x⁽ⁱ⁾时，其他所有数据点的条件概率分布；Q_i则表示在给定低维数据点y⁽ⁱ⁾时，其他所有数据点的条件概率分布；从损失函数可以看出，当p_j|i较大q_j|i较小时，惩罚较高；而p_j|i较小q_j|i较大时，惩罚较低；

所述训练模块，用于对构建的模型进行训练，通过计算低维空间的条件概率，从而计算损失函数的梯度，并对损失函数的梯度进行优化，具体为：首先通过在高维空间中使用高斯分布将距离转换为概率分布，然后在低维空间中，使用更加偏重长尾分布的方式来将距离转换为概率分布，使得高维度空间中的中低等距离在映射后能够有一个较大的距离；

使用t分布替换高斯分布之后q_ij的变化如下：

此外，随着自由度的逐渐增大，t分布的密度函数逐渐接近标准正态分布，

优化后的梯度公式如下：

其中，令

所述聚类模块包括分类个数和聚类中心确定模块、簇划分模块以及聚类中心重新计算模块；

所述分类个数和聚类中心确定模块，用于确定分类个数K和聚类中心，具体为：通过t-SNE算法可视化出每一个恶意代码文件的特征，从图中确定聚类簇数K，确定聚类簇数K后使用K-means算法进行聚类处理；

所述簇划分模块，用于通过计算对象与聚类中心的距离对所有对象进行簇划分；

所述聚类中心重新计算模块，用于重新计算新的聚类中心，判断是否满足条件，如果不满足，则返回通过计算对象与聚类中心的距离对所有对象进行簇划分的步骤，如果满足，则得出结论。