本發明屬于計算機安全技術領域，特別涉及一種惡意軟件基準測試集生成方法及裝置，包含：針對每個惡意代碼，在其執行生命周期內監控其執行的系統調用行為，獲取該惡意代碼的系統調用序列流；對惡意代碼系統調用序列流進行分析并聚類，生成該惡意代碼系統調用行為的簇類；確定每個簇樣本適應度，對聚類之后的簇按照適應度進行抽樣，得到基準測試集合。本發明通過行為聚類和遺傳抽樣及測試集合的信息熵計算，解決不同的惡意代碼檢測模型間的能力比較問題，有效規避惡意代碼行為分析時面臨加殼加密等的不確定性；在保證樣本豐富性前提下，盡可能降低基準測試集的體量，方便測試集大規模使用，對惡意代碼檢測技術及互聯網數據安全具有重要的指導意義。

技術領域

本發明屬于計算機安全技術領域，特別涉及一種惡意軟件基準測試集生成方法及裝置。

背景技術

隨著互聯網信息技術的飛速發展，惡意代碼對信息基礎設施的破壞越來越嚴重。惡意代碼在傳播數量、破壞能力、抗分析能力等方面都在不斷地優化和改進，對當前的安全防御構成了嚴重的挑戰。從傳統的信息竊取的計算機木馬到對個人和企業信息系統進行破壞的勒索軟件，還包括逐漸開始泛濫的挖礦惡意代碼，都在指示惡意代碼的多樣化發展趨勢。當前，自動化的惡意代碼分析技術已經稱為安全分析的主流技術，但是仍然離不開經驗豐富的分析專家的配合，尤其是動態分析技術的發展，在捕獲惡意代碼與操作系統的交互信息上給分析專家提供了語義層次豐富的信息，相比于傳統的人工調試等手段要先進和快捷很多。

隨著機器學習和人工智能技術的廣泛使用，基于機器學習的惡意代碼判定模型被不斷研究和開發，并逐漸稱為當前惡意代碼檢測的一種主流技術。在安全分析領域，大部分對病毒檢測模型的判定是用流行的惡意代碼集合作為測試集，但是，不同模型的優劣并不是用同一個或同一類的測試集來判定，對于每個模型的比較和評估，無法簡單通過檢測率和誤報率來判定，因為這些結果是基于無法橫向比較的測試集合，因此，需要提出一種自動化的、有效的惡意代碼檢測基準測試集來幫助提高基于機器學習的惡意代碼檢測模型研究。

發明內容

為此，本發明提供一種惡意軟件基準測試集生成方法及裝置，通過行為聚類和遺傳抽樣及測試集合的信息熵計算，解決不同的惡意代碼檢測模型間的能力比較問題，有效規避代碼檢測過程中的不確定性，提高惡意代碼檢測過程中的效率和準確度。

按照本發明所提供的設計方案，一種惡意軟件基準測試集生成方法，包含如下內容：

針對每個惡意代碼，在其執行生命周期內監控其執行的系統調用行為，獲取該惡意代碼的系統調用序列流；

對惡意代碼系統調用序列流進行分析并聚類，生成該惡意代碼系統調用行為的簇類；

確定每個簇樣本適應度，對聚類之后的簇按照適應度進行抽樣，得到基準測試集合。

上述的，針對每個惡意代碼，在其執行生命周期內從進程行為、文件行為、注冊表行為、網絡行為及內存行為五個方面對其進行系統調用行為監控。

上述的，監控系統調用行為時，通過建立系統調用使用范式監控系統調用行為的同時，獲取系統調用的參數信息和返回結果，來判定系統調用執行情況。

上述的，監控系統調用行為時，若監測到進程創建行為，獲取創建的子進程信息并加入到惡意代碼的監控對象范圍內。

上述的，系統調用序列流的分析并聚類，包含如下內容：

采用序列提純刪除惡意代碼系統調用序列流中重復序列；

對存在依賴關系的系統調用序列進行合并，簡化系統調用序列；針對簡化后的系統調用序列，通過滑動窗口生成特征向量；

針對特征向量，利用非監督層次聚類模型進行學習，獲取聚類后的簇。

優選的，采用序列提成刪除重復序列過程中，將長度小于設定閾值的系統調用序列判定為短系統調用序列，標記并刪除重復的短系統調用序列。