[发明专利]一种对恶意软件归属攻击组织的可解释判定方法及装置

说明书

本发明公开了一种对恶意软件归属攻击组织的可解释判定方法及装置，本发明通过提取恶意软件的代码特征和字符串特征来对恶意软件的攻击组织归属进行分析，由于这两种特征综合了恶意软件的静态特征和动态特征，所以本发明的特征更加全面，使用自然语言处理的技术将特征向量化，同时本发明使用模型解释技术将分类器的结果进行解释，使得分类结果更加有说服力，从而有效解决现有技术中不能全面地对恶意软件的攻击组织归属进行分析的问题。

技术领域

本发明涉及计算机技术领域，特别是涉及一种对恶意软件归属攻击组织的可解释判定方法及装置。

背景技术

攻击组织通常构造恶意软件实现网络攻击。高级可持续威胁攻击,也称为定向威胁攻击APT(advanced persistent threat)攻击是网络攻击的一种。APT攻击是指隐匿而持久的电脑入侵过程，通常由某些人员精心策划，针对特定的目标。其通常是出于商业或政治动机，针对特定组织或国家，并要求在长时间内保持高隐蔽性。网络攻击使得网络空间安全遭受严重威胁。因此，进行网络攻击分析和攻击组织研究是非常必要的。这些工作依赖于恶意软件的分析。但是目前恶意软件的攻击组织归属的特征选取均比较单一，所以造成了对于攻击组织归属特征不够全面。

发明内容

本发明提供了一种对恶意软件归属攻击组织的可解释判定方法及装置，以解决现有技术中不能全面地对恶意软件的攻击组织归属进行分析的问题。

第一方面，本发明提供了一种对恶意软件归属攻击组织的可解释判定方法，该方法包括：提取恶意软件的代码特征，对所述代码特征进行预处理，对预处理后的代码特征进行向量化，其中，所述代码特征是以函数为单位的恶意软件特征；提取恶意软件的字符串特征，对所述字符串特征进行预处理，对预处理后的字符串特征进行向量化；基于向量化的代码特征和字符串特征进行恶意软件的攻击组织归属，并分别解释代码特征和字符串特征分类结果。

可选地，所述提取恶意软件的代码特征，包括：对恶意软件进行元数据提取，并将元数据进行IR中间表示的转换；其中，所述元数据包含恶意软件的hash、编译器compiler，以及每个函数的函数名称function name、控制流程图control flow graph(CFG)、基本块basic blocks、字节码bytecode。

可选地，对所述代码特征进行预处理，包括：将IR中间表示转换后的低频词进行泛化处理，并将恶意软件的所有函数依据程序调用图转化为顺序文本。

可选地，所述对预处理后的代码特征进行向量化，包括：使用PV-DM算法为每个函数的文本生成函数向量。

可选地，所述提取恶意软件的字符串特征，包括：通过恶意软件的hash值来提取所述恶意软件的行为报告。

可选地，对所述字符串特征进行预处理，包括：将所述行为报告中的文本进行分词。

可选地，所述基于向量化的代码特征和字符串特征进行恶意软件的攻击组织归属，包括：通过随机森林分类器得到各个向量化后的代码特征的分类概率；通过DNN分类器得到向量化后的字符串特征的分类概率；综合多个代码特征的分类概率和字符串特征的分类概率，得到所述恶意软件的最终分类结果。

可选地，所述分别解释代码特征和字符串特征分类结果，包括：通过随机森林来解释代码特征分类结果，并通过LIME解释字符串特征分类结果。

第二方面，本发明提供了一种对恶意软件归属攻击组织的可解释判定装置，该装置包括：第一处理单元，用于提取恶意软件的代码特征，对所述代码特征进行预处理，对预处理后的代码特征进行向量化，其中，所述代码特征是以函数为单位的恶意软件特征；第二处理单元，用于提取恶意软件的字符串特征，对所述字符串特征进行预处理，对预处理后的字符串特征进行向量化；第三处理单元，用于基于向量化的代码特征和字符串特征进行恶意软件的攻击组织归属，并分别解释代码特征和字符串特征分类结果。