[發明專利]惡意樣本的篩選方法及系統有效
| 申請號: | 201611256407.6 | 申請日: | 2016-12-30 |
| 公開(公告)號: | CN108268772B | 公開(公告)日: | 2021-10-22 |
| 發明(設計)人: | 孫巖;羅成;潘宣辰 | 申請(專利權)人: | 武漢安天信息技術有限責任公司 |
| 主分類號: | G06F21/56 | 分類號: | G06F21/56 |
| 代理公司: | 湖北武漢永嘉專利代理有限公司 42102 | 代理人: | 王丹 |
| 地址: | 430000 湖北省武漢市東湖高新技術*** | 國省代碼: | 湖北;42 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 惡意 樣本 篩選 方法 系統 | ||
本發明提供一種惡意樣本的篩選方法,包括:相似度計算:對一已知惡意樣本集中的惡意樣本進行特征提取,計算兩兩惡意樣本之間的相似度;結構洞計算:根據相似度,對惡意樣本進行結構洞的計算;篩選:根據結構洞的大小以及實際的需要,選取符合要求的惡意樣本。本發明將結構洞的思想引入惡意代碼分析技術領域,能夠有效對眾多的惡意樣本進行樣本篩選,提高對惡意樣本分析的效率。
技術領域
本發明涉及移動終端惡意代碼分析技術領域,具體涉及一種惡意樣本的篩選方法及系統。
背景技術
牛津大學人類學家羅賓頓巴教授提出,人類大腦能容納一個約150人的穩定社交網絡,一旦人的交往圈超過這個數值,就很難再維持鞏固的社會關系了,這個上限被稱作頓巴數魔咒。
經過分析,移動終端惡意代碼部分有高度的聚合性,也就是說對這些高度聚合樣本進行“去重”后,單個組織或者是單個個體生成移動端惡意代碼的數量是有上限的。
可以看到,無論從人類大腦結構的角度,還是從惡意代碼制造者的角度,移動終端惡意代碼的功能和構造均是資源稀缺型的,重復的或者冗余的惡意代碼不僅消耗安全分析檢測的強度,同時也讓大家了解整體惡意代碼的趨勢規模大打折扣。在一個攻擊者的制造樣本均為重復網絡的時候,我們對該攻擊者獲取的信息均為同質的,每個人知道的,該網絡中其他人也都知道,結果導致大家在同一時間發現同一機會,整個網絡是低效率的。
另外,由于惡意代碼的數量巨大,而在威脅情領域傾向于重點研究具有代表性的惡意樣本,因此如何篩選出重點惡意樣本是值得關注的焦點。
發明內容
本發明要解決的技術問題是:提供一種惡意樣本的篩選方法及系統,能夠提高對惡意樣本篩選的效率。
本發明為解決上述技術問題所采取的技術方案為:一種惡意樣本的篩選方法,包括:
相似度計算:對一已知惡意樣本集中的惡意樣本進行特征提取,計算兩兩惡意樣本之間的相似度;
結構洞計算:根據相似度,對惡意樣本進行結構洞的計算;
篩選:根據結構洞的大小以及實際的需要,選取符合要求的惡意樣本。
按上述方法,所述的篩選包括溯源篩選:當需要對某個惡意樣本溯源時,而該惡意樣本本身的路徑無法得知,則查詢與該惡意樣本的結構洞最小的惡意樣本作為同源惡意樣本,對該同源惡意樣本溯源。
按上述方法,所述的篩選包括分析篩選:設置結構洞閾值,僅對結構洞大于預設的最大閾值的惡意樣本進行分析研判。
按上述方法,所述的分析篩選還包括:當有新的惡意樣本出現時,分別對每個新惡意樣本進行結構洞計算;若有結構洞大于預設的結構洞閾值的新惡意樣本,則僅對結構洞大于預設的最大閾值的新惡意樣本進行分析研判。
按上述方法,所述結構洞計算的具體方法如下:設i、j、q均為所述的樣本集中的惡意樣本,
定義Piq為i到q的相似度占i所有相似度之和的比例,即:
式中,diq為i與q的相似度;dij為i與j的相似度;
定義j到q的邊際強度mjq為:
式中,djq為j與q的相似度,djm為j與m的相似度,表示j所有相似度中的最大值;
那么,惡意樣本i的結構洞Scalei為:
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于武漢安天信息技術有限責任公司,未經武漢安天信息技術有限責任公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201611256407.6/2.html,轉載請聲明來源鉆瓜專利網。
