open malware benchmark

今年以來，中國的安全軟體廠商經歷了國外測評機構的各種責難和非議，AV-C、AV-TEST、VB等國際性的第三方安全測試機構紛紛指責中國部分安全廠商在安全產品套用上存在問題，這也導致了一部分安全廠商退出了類似的評估測試。同時，國際上的安全測試所採用的測試過程不夠透明，是否存在其他影響測試的因素等問題，也一直被業內人士所指責。

如果你問一個人？他用的什麼防毒軟體，他肯定馬上會告訴你，但是，你若讓他告訴你這個防毒軟體防護效果怎么樣？他肯定沒法給你一個明確的回答！

當前open malware benchmark(OMB) 的研究項目就是構建一套開源的惡意代碼測試集。安全測試評估一直面臨許多問題，例如，沒有統一的測試標準？測試的樣本應該滿足何種特性？如何構建測試集？

OMB一直在努力構建開源的測試集合模型及測試方法，開放可公開下載的實用測試集，開源測試使測試更加透明、公平公正，避免了不必要的爭議，同時又能讓更多人加入到安全測試的改進工作中，使安全測試集得以不斷更新和加強。用戶可以方便的檢測自身的防毒軟體，安全廠商也能夠據此對自己的產品做出改進，這樣的測試集對用戶和安全產品的發展都有著重要意義。

OMB研究的基礎是建立在大規模的樣本採集之上，通過收集大量的最新的惡意代碼樣本，構建惡意樣本的族群分布，根據不同的測試對象就可以生成不同的測試集。在研究樣本相似性上借鑑了生物學上的處理方法，生物學上測量基因序列時使用LCS的動態規劃來求解相似性，基於此採用LCS來求解惡意樣本的相似度，這樣能準確衡量兩個惡意代碼所提取的序列的相似性。在族群聚類時，將每一個點視為一個獨立的“族群”。將所有邊按權值從小到大進行排序。目標不是生成一個連通圖而是生成K個連通圖，生成的連通圖內部可以形成“環”，且對連通圖內部的節點有特定的要求。相似度越高（距離越小）的兩個樣本更可能位於同一個“族群”中。務必保證一個“族群”內任一節點到另一“族群”的所有節點的距離不得大於所設定的最大閾值。

當前在一部分樣本（20萬左右）的基礎上設計了一種基於行為的聚類模型，生成了一款小型的防毒軟體安全測試集。

首先對樣本進行預處理，根據樣本的檔案格式、套用平台、編譯語言等等進行簡單分類。對樣本的預處理可以對樣本的組成有一個較好的了解，有助於下一步樣本分析。通過對20萬樣本的分析聚類之後，目前生成了一個基於行為的惡意代碼小型測試集，主要針對windows平台。測試集包含了1000個樣本，並對當前流行的防毒軟體進行了測試。這樣的測試集在網站http://malwarebenchmark.org上可以下載。