[发明专利]一种对恶意软件归属攻击组织的可解释判定方法及装置

权利要求书

1.一种对恶意软件归属攻击组织的可解释判定方法，其特征在于，包括：

提取恶意软件的代码特征，对所述代码特征进行预处理，对预处理后的代码特征进行向量化，其中，所述代码特征是以函数为单位的恶意软件特征；

提取恶意软件的字符串特征，对所述字符串特征进行预处理，对预处理后的字符串特征进行向量化；

基于向量化的代码特征和字符串特征进行恶意软件的攻击组织归属，并分别解释代码特征和字符串特征分类结果。

2.根据权利要求1所述的方法，其特征在于，所述提取恶意软件的代码特征，包括：

对恶意软件进行元数据提取，并将元数据进行IR中间表示的转换；

其中，所述元数据包含恶意软件的hash、编译器compiler，以及每个函数的函数名称function name、控制流程图control flow graphCFG、基本块basic blocks、字节码bytecode。

3.根据权利要求2所述的方法，其特征在于，对所述代码特征进行预处理，包括：

将IR中间表示转换后的低频词进行泛化处理，并将恶意软件的所有函数依据程序调用图转化为顺序文本。

4.根据权利要求1所述的方法，其特征在于，所述对预处理后的代码特征进行向量化，包括：

使用PV-DM算法为每个函数的文本生成函数向量。

5.根据权利要求1-4中任意一项所述的方法，其特征在于，所述提取恶意软件的字符串特征，包括：

通过恶意软件的hash值来提取所述恶意软件的行为报告。

6.根据权利要求5所述的方法，其特征在于，对所述字符串特征进行预处理，包括：

将所述行为报告中的文本进行分词。

7.根据权利要求1-4中任意一项所述的方法，其特征在于，所述基于向量化的代码特征和字符串特征进行恶意软件的攻击组织归属，包括：

通过随机森林分类器得到各个向量化后的代码特征的分类概率；

通过DNN分类器得到向量化后的字符串特征的分类概率；

综合多个代码特征的分类概率和字符串特征的分类概率，得到所述恶意软件的最终分类结果。

8.根据权利要求7所述的方法，其特征在于，所述分别解释代码特征和字符串特征分类结果，包括：

通过随机森林来解释代码特征分类结果，并通过LIME解释字符串特征分类结果。

9.一种对恶意软件归属攻击组织的可解释判定装置，其特征在于，包括：

第一处理单元，用于提取恶意软件的代码特征，对所述代码特征进行预处理，对预处理后的代码特征进行向量化，其中，所述代码特征是以函数为单位的恶意软件特征；

第二处理单元，用于提取恶意软件的字符串特征，对所述字符串特征进行预处理，对预处理后的字符串特征进行向量化；

第三处理单元，用于基于向量化的代码特征和字符串特征进行恶意软件的攻击组织归属，并分别解释代码特征和字符串特征分类结果。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有信号映射的计算机程序，所述计算机程序被至少一个处理器执行时，以实现权利要求1-8中任意一项所述的对恶意软件归属攻击组织的可解释判定方法。