[发明专利]恶意软件同源性分析方法、系统、电子设备及存储介质有效
| 申请号: | 201910272315.4 | 申请日: | 2019-04-04 |
| 公开(公告)号: | CN110135157B | 公开(公告)日: | 2021-04-09 |
| 发明(设计)人: | 严寒冰;刘洁然;沈元;周彧;徐剑;周昊;高川 | 申请(专利权)人: | 国家计算机网络与信息安全管理中心 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56;G06F8/53 |
| 代理公司: | 北京中原华和知识产权代理有限责任公司 11019 | 代理人: | 李飞;寿宁 |
| 地址: | 100029*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 恶意 软件 同源性 分析 方法 系统 电子设备 存储 介质 | ||
本公开实施例提供了一种恶意软件同源性分析方法、系统、电子设备及存储介质。其中,该方法包括:获取恶意软件的样本的数据集;从样本的数据集中提取反汇编代码文本以及带属性的控制流程图;基于反汇编代码文本以及带属性的控制流程图,构建深度神经网络模型;通过深度神经网络模型,识别恶意软件的同源性。通过该技术方案,解决了如何提高恶意软件相似性分析的准确性的技术问题,可以识别新的、未知的恶意软件的同源性,挖掘其背后的组织信息,从而可以快速地定位攻击来源或攻击者,以便于可采取更快速、更准确的防治方法,进而可以帮助安全专家构建完整的攻击场景,而且可以跟踪攻击者。
技术领域
本公开涉及网络安全技术领域,特别是涉及一种恶意软件同源性分析方法、系统、电子设备及存储介质。
背景技术
近年来,出现了大量的各类影响严重的、利用恶意软件进行恶意攻击的事件。例如,这类事件包括但不限于危害计算机、窃取机密信息、发送垃圾邮件、关闭服务器、渗透网络以及关键基础设施等。
这些恶意攻击的事件经常造成严重的破坏,并导致重大的经济损失。
面对这样严峻的网络安全态势,提高恶意软件相似性分析的准确性是亟待解决的技术问题。
公开内容
本公开实施例的主要目的在于提供一种恶意软件同源性分析方法、系统、电子设备及存储介质,以解决如何提高恶意软件相似性分析的准确性的技术问题。
为了实现上述目的,根据本公开的第一方面,提供了以下技术方案:
一种恶意软件同源性分析方法,所述方法包括:
获取所述恶意软件的样本的数据集;
从所述样本的数据集中提取反汇编代码文本以及带属性的控制流程图;
基于所述反汇编代码文本以及所述带属性的控制流程图,构建深度神经网络模型;
通过所述深度神经网络模型,识别所述恶意软件的所述同源性。
结合本公开的第一方面,在本公开第一方面的第一种可能的实现方式中,从所述样本的数据集中提取反汇编代码文本以及带属性的控制流程图的步骤,具体包括:
获取所述恶意软件的样本的控制流程图;
从所述控制流程图中提取反汇编代码;
根据所述控制流程图中的执行路径,将所述反汇编代码形成反汇编代码文本;
对所述控制流程图中各块中的内容,按照预定的属性进行统计,得到带属性的控制流程图。
结合本公开的第一方面,在本公开第一方面的第二种可能的实现方式中,基于所述反汇编代码文本以及所述带属性的控制流程图,构建深度神经网络模型的步骤,具体包括:
对所述带属性的控制流程图进行向量化,得到图嵌入向量特征表示;
从所述反汇编代码文本中,提取一阶马尔科夫链特征;
将所述图嵌入向量特征表示和所述一阶马尔科夫链特征,作为结构长短期记忆网络的输入,以构建所述深度神经网络模型。
结合本公开的第一方面,在本公开第一方面的第三种可能的实现方式中,所述结构长短期记忆网络包括输入门、遗忘门、存储单元和输出门;
将所述图嵌入向量特征表示和所述一阶马尔科夫链特征,作为结构长短期记忆网络的输入,以构建所述深度神经网络模型的步骤,具体包括:
计算所述带属性的控制流程图中各顶点的特征;
将所述带属性的控制流程图中所述各顶点嵌入的集合,作为嵌入向量;
将所述嵌入向量表示为结构向量;
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于国家计算机网络与信息安全管理中心,未经国家计算机网络与信息安全管理中心许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201910272315.4/2.html,转载请声明来源钻瓜专利网。
