改进的高斯混合模型增量聚类：恶意软件家族识别

"该文章是关于基于高斯混合模型的增量聚类方法在识别恶意软件家族中的应用，由胡建伟、车欣、周漫和崔艳鹏共同撰写，发表于2019年6月的《通信学报》。" 恶意软件家族识别是网络安全领域的重要课题，因为同一家族的恶意软件通常共享相似的行为模式和逻辑特征。本文提出了一种创新方法，主要针对这些特征进行检测和分析。首先，通过跟踪API（应用程序编程接口）函数调用的逻辑规则，可以从行为层面提取恶意软件的特征。这种方法结合了静态分析和动态分析，以更全面地理解恶意软件的行为。 静态分析通常涉及对二进制代码的直接分析，而动态分析则关注软件在实际运行时的行为。通过两者结合，可以更有效地捕获恶意软件的各种行为模式，包括隐藏的恶意操作和复杂的功能。此外，作者考虑了恶意软件家族的三个关键属性：目的性、继承性和多样性，构建了家族间的传递闭包关系，这有助于理解恶意软件之间的关联和演变。 为了进一步优化识别过程，文章引入了基于高斯混合模型的增量聚类方法。高斯混合模型是一种统计建模技术，常用于数据建模和分类，尤其适合处理多维数据。在恶意软件识别中，它可以捕捉到数据的复杂分布并自动识别潜在的类别。增量聚类则意味着系统可以随着新数据的加入动态调整模型，无需重新处理整个数据集，从而节省存储空间并提高处理效率。 实验结果显示，该方法在节省存储资源的同时，显著提高了恶意软件检测的准确性和识别率。这表明，结合API调用逻辑规则、多角度行为分析以及高斯混合模型的增量聚类，是识别恶意软件家族的有效策略，对于提升网络安全防护能力具有重要意义。 关键词涉及的核心概念包括： 1. 恶意软件家族：具有共同行为特征和源代码的恶意程序集合。 2. 高斯混合模型：一种概率模型，常用于数据建模和分类。 3. 增量聚类：在已有聚类结果的基础上，仅处理新数据以更新模型的聚类方法。 4. API函数调用：软件通过API与操作系统或其他软件组件交互的过程。 5. 逻辑规则：描述恶意软件行为模式的规则，用于特征提取。 这篇文章提出了一个综合的、有效的恶意软件家族识别框架，结合了行为检测、静态与动态分析以及高斯混合模型的增量聚类，对于提升网络安全防御能力具有重要价值。