本發明提供了一種文件聚類方法、裝置及設備，包括：獲取多個待聚類文件執行時調用的應用程序接口序列信息，所述應用程序接口序列信息包括按照調用時序排序的多個應用程序接口；根據每一待聚類文件所對應的多個應用程序接口的排序將所述每一待聚類文件的應用程序接口序列信息組合成多個接口序列元組；確定每一待聚類文件所對應的所述多個接口序列元組的多個特征向量；基于所述每一待聚類文件所對應的多個特征向量確定所述每一待聚類文件的特征向量；利用所述多個待聚類文件的特征向量對所述多個待聚類文件進行聚類。解決了現有技術中對于使用加殼、加花指令等使用變形技術的文件聚類困難或不準確的問題，提高了文件聚類的準確性。

技術領域

本發明涉及文件聚類技術領域，具體涉及一種文件聚類方法、裝置及設備。

背景技術

目前文件聚類方法基于文件的靜態信息，如根據可執行文件的PE(PortableExecutable)結構采集可執行文件的各個靜態信息做加權計算，通過對比兩個文件的靜態信息來判定兩文件是否相似。

通過靜態信息來聚類的方法，通用性比較好，不用考慮文件執行所依賴的系統環境，但是對于使用加殼、加花指令等使用變形技術的文件聚類不了，雖然它們的動態行為可能相似，而且有些文件靜態特征并不明顯，容易造成誤報。

為了提高聚類的準確率，靜態聚類通常選用盡量多的特征，多達幾十個特征。特征越多，計算復雜性越高，索引越復雜，當文件量增大時，聚類計算變得異常巨大。

因此需要提出一種可以輕松應對加殼、加花指令的文件的聚類方案。

發明內容

本發明提出了一種文件聚類方法、裝置及設備，提供了一種新的文件聚類方案，能夠輕松應對海量的待聚類文件。本發明具體是以如下技術方案實現的：

第一方面，本發明提供了一種文件聚類方法，包括：

獲取多個待聚類文件執行時調用的應用程序接口序列信息，所述應用程序接口序列信息包括按照調用時序排序的多個應用程序接口；

根據每一待聚類文件所對應的多個應用程序接口的排序將所述每一待聚類文件的應用程序接口序列信息組合成多個接口序列元組，所述接口序列元組至少包含兩個應用程序接口；

確定每一待聚類文件所對應的所述多個接口序列元組的多個特征向量；

基于所述每一待聚類文件所對應的多個特征向量確定所述每一待聚類文件的特征向量；

利用所述多個待聚類文件的特征向量對所述多個待聚類文件進行聚類。

第二方面，本發明提供了一種文件聚類裝置，包括：

獲取模塊，用于獲取多個待聚類文件執行時調用的應用程序接口序列信息，所述應用程序接口序列信息包括按照調用時序排序的多個應用程序接口；

組合模塊，用于根據每一待聚類文件所對應的多個應用程序接口的排序將所述每一待聚類文件的應用程序接口序列信息組合成多個接口序列元組，所述接口序列元組至少包含兩個應用程序接口；

第一確定模塊，用于確定每一待聚類文件所對應的所述多個接口序列元組的多個特征向量；

第二確定模塊，用于基于所述每一待聚類文件所對應的多個特征向量確定所述每一待聚類文件的特征向量；

聚類模塊，用于利用所述多個待聚類文件的特征向量對所述多個待聚類文件進行聚類。

進一步的，所述組合模塊還包括：

第三確定模塊，用于確定接口序列元組所包含的應用程序接口的第一數量；

第四確定模塊，用于基于所述第一數量的確定應用程序接口提取窗口；