本發(fā)明提供一種基于軟件基因的安全防護(hù)軟件測(cè)試集自動(dòng)生成方法、架構(gòu)，涉及網(wǎng)絡(luò)與信息安全領(lǐng)域，所述方法包括以下步驟：S1：準(zhǔn)備待檢測(cè)數(shù)據(jù)集的樣本，提取所述樣本中的軟件基因代碼片段；S2：通過(guò)對(duì)比每一個(gè)樣本的軟件基因代碼片段的相似性，對(duì)樣本進(jìn)行基于密度的聚類(lèi)中心自動(dòng)確定的混合屬性數(shù)據(jù)聚類(lèi)，形成多個(gè)不同大小的聚類(lèi)；S3：對(duì)每個(gè)聚類(lèi)進(jìn)行基于可變網(wǎng)格的密度偏差抽樣，得到測(cè)試樣本，把所有聚類(lèi)中得到的測(cè)試樣本進(jìn)行匯總，得到測(cè)試樣本集。其不受限于人工經(jīng)驗(yàn)分析樣本行為特征而形成測(cè)試樣本集，用于解決現(xiàn)有技術(shù)中大多數(shù)測(cè)試集自動(dòng)生成架構(gòu)性能不穩(wěn)定、耗時(shí)長(zhǎng)、測(cè)試集不能很好的體現(xiàn)原數(shù)據(jù)集密度分布特性等的技術(shù)問(wèn)題。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)與信息安全領(lǐng)域，特別是涉及一種基于軟件基因的安全防護(hù)軟件測(cè)試集自動(dòng)生成方法、架構(gòu)。

背景技術(shù)

惡意軟件和安全防護(hù)策略以互相博弈的形式共同演進(jìn)，提高對(duì)惡意樣本的識(shí)別準(zhǔn)確度成為研究機(jī)構(gòu)的主要工作。不同的安全防護(hù)軟件對(duì)于惡意程序的識(shí)別能力和定義是不同的，構(gòu)造高質(zhì)量的測(cè)試樣本集可以更充分地評(píng)估安全防護(hù)軟件的性能，有助于提升安全防護(hù)策略，測(cè)試樣本集應(yīng)當(dāng)具有體量適當(dāng)、種類(lèi)豐富和保留原始數(shù)據(jù)集密度分布特征等特點(diǎn)?？紤]到樣本集來(lái)源問(wèn)題，安全防防護(hù)軟件對(duì)于不同測(cè)試集的識(shí)別準(zhǔn)確度不盡相同，但不能根據(jù)識(shí)別準(zhǔn)確度來(lái)定判測(cè)試集及生成測(cè)試集方法的性能。

許多行業(yè)都通過(guò)制定或構(gòu)造測(cè)評(píng)標(biāo)準(zhǔn)對(duì)相應(yīng)的工作提供標(biāo)準(zhǔn)化的評(píng)估，在網(wǎng)絡(luò)安全領(lǐng)域，需要持續(xù)更新原始樣本庫(kù)以保障生成最新的、有效的測(cè)試樣本集。有學(xué)者通過(guò)AV-TEST或AV-Comparatives獲得惡意樣本及相關(guān)數(shù)據(jù)，用來(lái)測(cè)試安全防護(hù)軟件的性能；也有研究人員主要通過(guò)基于沙箱的程序動(dòng)態(tài)特征，檢測(cè)和獲取樣本的行為特征；或者通過(guò)基于靜態(tài)分析的樣本特征碼從而生成測(cè)試樣本集。

但是他們的方法存在一些比較嚴(yán)重的問(wèn)題：1.現(xiàn)在越來(lái)越多的樣本有較強(qiáng)的甄別沙箱的能力，在沙箱環(huán)境中個(gè)，他們的很多行為不會(huì)暴露，由此造成觀測(cè)結(jié)果不準(zhǔn)確；2.樣本變異速度過(guò)快，更新樣本庫(kù)越來(lái)越難以滿足及時(shí)性的要求；3.由于惡意程序變種速度加快以及采用加殼技術(shù)等原因，使得惡意程序樣本庫(kù)加快老化或失效，以至于不能適用于研究新的惡意程序。這些傳統(tǒng)分析方法均具有一定的局限性，并且過(guò)度依賴(lài)人工經(jīng)驗(yàn)，相對(duì)于快速更新的惡意程序有嚴(yán)重的滯后性。

發(fā)明內(nèi)容

鑒于以上所述現(xiàn)有技術(shù)的缺點(diǎn)，本發(fā)明的目的在于提供一種基于軟件基因的安全防護(hù)軟件測(cè)試集自動(dòng)生成方法、架構(gòu)，其不受限于人工經(jīng)驗(yàn)分析樣本行為特征而形成測(cè)試樣本集，用于解決現(xiàn)有技術(shù)中大多數(shù)測(cè)試集自動(dòng)生成架構(gòu)性能不穩(wěn)定、耗時(shí)長(zhǎng)，測(cè)試樣本集不能很好的體現(xiàn)原數(shù)據(jù)集密度分布特性的技術(shù)問(wèn)題。

本發(fā)明提供一種基于軟件基因的安全防護(hù)軟件測(cè)試集自動(dòng)生成方法，所述方法包括以下步驟：

S1：準(zhǔn)備待檢測(cè)數(shù)據(jù)集的樣本，提取所述樣本中的軟件基因代碼片段；

S2：通過(guò)對(duì)比每一個(gè)樣本的軟件基因代碼片段的相似性，對(duì)樣本進(jìn)行基于密度的聚類(lèi)中心自動(dòng)確定的混合屬性數(shù)據(jù)聚類(lèi)，形成多個(gè)不同大小的聚類(lèi)；

S3：對(duì)每個(gè)聚類(lèi)進(jìn)行基于可變網(wǎng)格的密度偏差抽樣，得到測(cè)試樣本，把所有聚類(lèi)中得到的測(cè)試樣本進(jìn)行匯總，得到測(cè)試樣本集。

于本發(fā)明的一實(shí)施例中，所述步驟S1具體包括：

S11：輸入樣本，對(duì)樣本進(jìn)行反匯編得到待處理代碼；

S12：獲取所述待處理代碼中調(diào)用系統(tǒng)API的代碼所在的位置，以相鄰的兩條調(diào)用系統(tǒng)API的代碼之間的部分作為一個(gè)軟件代碼基因片段，將所述待處理代碼切割成為多個(gè)軟件基因代碼片段。

于本發(fā)明的一實(shí)施例中，步驟S2具體包括：

S21：從所述軟件基因代碼片段的數(shù)值型屬性和分類(lèi)型屬性兩個(gè)維度的數(shù)據(jù)進(jìn)行計(jì)算，得出每個(gè)樣本的位置和任意兩個(gè)樣本的距離；