申请/专利权人：国家计算机网络与信息安全管理中心;中国科学院信息工程研究所

申请日：2021-08-09

公开（公告）日：2024-04-16

公开（公告）号：CN113761912B

主分类号：G06F40/289

分类号：G06F40/289;G06F40/216;G06F18/214;G06F18/2431;G06N3/0464;G06N3/09

优先权：

专利状态码：有效-授权

法律状态：2024.04.16#授权;2021.12.24#实质审查的生效;2021.12.07#公开

摘要：本发明公开了一种对恶意软件归属攻击组织的可解释判定方法及装置，本发明通过提取恶意软件的代码特征和字符串特征来对恶意软件的攻击组织归属进行分析，由于这两种特征综合了恶意软件的静态特征和动态特征，所以本发明的特征更加全面，使用自然语言处理的技术将特征向量化，同时本发明使用模型解释技术将分类器的结果进行解释，使得分类结果更加有说服力，从而有效解决现有技术中不能全面地对恶意软件的攻击组织归属进行分析的问题。

主权项：1.一种对恶意软件归属攻击组织的可解释判定方法，其特征在于，包括：提取恶意软件的代码特征，对所述代码特征进行预处理，对预处理后的代码特征进行向量化，其中，所述代码特征是以函数为单位的恶意软件特征；提取恶意软件的字符串特征，对所述字符串特征进行预处理，对预处理后的字符串特征进行向量化；基于向量化的代码特征和字符串特征进行恶意软件的攻击组织归属，并分别解释代码特征和字符串特征分类结果；所述提取恶意软件的代码特征，包括：对恶意软件进行元数据提取，并将元数据进行IR中间表示的转换；其中，所述元数据包含恶意软件的hash、编译器compiler，以及每个函数的函数名称functionname、控制流程图controlflowgraphCFG、基本块basicblocks、字节码bytecode；对所述代码特征进行预处理，包括：将IR中间表示转换后的低频词进行泛化处理，并将恶意软件的所有函数依据程序调用图转化为顺序文本；所述对预处理后的代码特征进行向量化，包括：使用PV-DM算法为每个函数的文本生成函数向量；所述提取恶意软件的字符串特征，包括：通过恶意软件的hash值来提取所述恶意软件的行为报告；对所述字符串特征进行预处理，包括：将所述行为报告中的文本进行分词；所述基于向量化的代码特征和字符串特征进行恶意软件的攻击组织归属，包括：通过随机森林分类器得到各个向量化后的代码特征的分类概率；通过DNN分类器得到向量化后的字符串特征的分类概率；综合多个代码特征的分类概率和字符串特征的分类概率，得到所述恶意软件的最终分类结果；所述分别解释代码特征和字符串特征分类结果，包括：通过随机森林来解释代码特征分类结果，并通过LIME解释字符串特征分类结果。

全文数据：

权利要求：

百度查询： 国家计算机网络与信息安全管理中心;中国科学院信息工程研究所 一种对恶意软件归属攻击组织的可解释判定方法及装置

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD