确定计算机恶意程序样本家族数的系统和方法

摘要

本发明涉及确定计算机恶意程序样本家族数的系统和方法。确定计算机恶意程序样本家族数的系统包括：恶意程序样本特征提取模块，其提取恶意程序样本的特征并计算每两个恶意程序样本间的距离，得到距离矩阵D。恶意程序样本距离计算模块，其计算恶意程序样本间的距离。家族间距离计算模块，其计算两个家族之间的距离。恶意程序样本聚类模块，其逐层对恶意程序样本进行聚类，并计算每层聚类结果的V_NFS；V_NFS计算模块，其计算每层分家族结果的V_NFS。上述系统可通过比较各个层次的V_NFS值，找到V_NFS值最小层的分家族结果，即可得到最优家族个数。

主权项

1、确定计算机恶意程序样本家族数的系统，其特征在于，包括：恶意程序样本特征提取模块，其提取恶意程序样本的特征并通过下述恶意程序样本距离计算模块计算每两个恶意程序样本间的距离，得到距离矩阵D；恶意程序样本距离计算模块，其对不同的恶意程序样本特征采用不同的计算公式，计算恶意程序样本间的距离。家族间距离计算模块，其计算两个家族之间的距离，计算公式为：$D_{\mathrm{KL}}=\frac{1}{N_K{N}_L}{\Sigma }_{i\in C_K}{\Sigma }_{j\in C_L}d(X_i,Y_j)$公式(3)；在公式(3)中，D_KL表示家族K与家族L间的距离，d(X_i，Y_j)表示分别位于家族K与家族L的两个恶意程序X_i和Y_j特征之间的距离，X_i和Y_j分别表示第L族中的第i个样本和第K族中的第j个样本，C_K表示家族K，N_K表示家族K中恶意程序样本的个数，C_L表示家族L，N_L表示家族L中恶意程序样本的个数。恶意程序样本聚类模块，逐层对恶意程序样本进行聚类(家族)，并根据下述V_NFS计算模块计算每层聚类结果(分家族结果)的V_NFS；V_NFS计算模块，其计算每层分家族结果的V_NFS，计算公式为：$V_{\mathrm{NFS}}=\mathrm{scat}\left(c\right)-\mathrm{sep}\left(c\right)=\underset{i=1}{\overset{c}{\Sigma }}\underset{k=1}{\overset{n_i}{\Sigma }}{\left|\right|x_{\mathrm{ik}}-v_i\left|\right|}^2-\underset{i=1}{\overset{c}{\Sigma }}{\left|\right|v_i-\bar{v}\left|\right|}^2*(n_i-1)$公式(4)；在公式(4)中，c代表家族数，n_i是家族i包含的样本数，x_ik是家族i的第k个样本，是家族i的中心点，v_i表示与该家族中所有样本点距离和最小的样本点(恶意程序样本)，v_i的计算公式为：公式(5)；在公式(5)中，x_ik表示家族i中的第k个样本，x_ij表示家族i中的第j个样本，(x_ik-x_ij)表示，样本x_ik与样本x_ij的距离，n_ci表示家族i中的样本总数；是整个数据集的全局中心点，v表示与全局所有样本点距离和最小的样本点，v的计算公式为：公式(6)；在公式(6)中，x_k表示全局的第k个样本，x_j表示全局的第j个样本，n表示全局样本的总数。