一种基于特征向量的相似恶意样本匹配方法及系统

摘要

本发明提出了一种基于特征向量的相似恶意样本文件匹配方法及系统,本发明首先 提取海量恶意样本文件库中的各恶意样本文件的行为特征；过滤所述行为特征，计算过滤后的各行为特征的hash值，并针对各恶意样本文件生成行为特征向量组；获取待查询样本文件的待查询特征向量组；求取待查询样本文件与各恶意样本文件的样本相似度，获取样本相似度大于或等于目标相似度的恶意样本文件的行为特征向量组，根据所述行为特征向量组，找到相应的恶意样本文件，所述恶意样本文件为与待查询样本文件相似的恶意样本文件。本发明所述技术方案能够在海量样本中快速发现恶意样本文件的共性，查询到所需的相似样本，并生成报告以提供给相关人员进行分析。

主权项

一种基于特征向量的相似恶意样本文件匹配方法,其特征在于，包括：提取海量恶意样本文件库中的各恶意样本文件的行为特征；过滤所述行为特征，计算过滤后的各行为特征的hash值，并针对各恶意样本文件生成行为特征向量组，所述行为特征向量组包含m个行为特征向量，所述m个行为特征向量对应于各恶意样本文件的m类行为特征；所述行为特征向量的结构为：行为特征类型：[行为分量1，行为分量2…行为分量n]；获取待查询样本文件的待查询特征向量组；求取待查询样本文件与各恶意样本文件的样本相似度，获取样本相似度大于或等于目标相似度的恶意样本文件的行为特征向量组，根据所述行为特征向量组，找到相应的恶意样本文件，所述恶意样本文件为与待查询样本文件相似的恶意样本文件；所述求取样本相似度的具体方法为：将待查询特征向量组的行为特征向量与各恶意样本文件的行为特征向量进行比对，求取任一行为特征类型下，两者所含的相同行为分量的数目；求取相同行为分量的数目与该行为特征向量的行为分量总数目的比值，再乘以该行为特征向量的预设权重，获得该行为特征向量的中间权重值，并以同样的方法求取其余行为特征向量的中间权重值，计算所有中间权重值之和，获得样本相似度；所述的全部行为特征向量权重总和为1。