[00063400]一种基于TLSH特征表示的恶意软件聚类方法
技术详细介绍
摘要:本发明公开一种基于TLSH特征表示的恶意软件聚类方法,属于恶意软件分析与检测领域,首先使用Cuckoo Sandbox对恶意软件进行分析获得软件静态特征、运行时资源访问记录以及API等三类字符串特征;然后对这些字符串进行分解、过滤、排序处理,使用TLSH算法将其压缩成三组大小为70字节的特征值;最后利用OPTICS算法实现对恶意软件家族的自动分类。本发明采用无监督学习方法,不需要事先人工标记进行训练,提取的特征采用TLSH进行压缩表示,在不损失特征的情况下,大大降低了数据维度,提高了聚类速度;通过采用基于密度的OPTICS聚类算法,不仅可以识别任意形状和任意个数的簇,且极大的降低了输入参数对聚类结果的影响,提高了聚类的效率和质量。
