[发明专利]APT恶意软件组织的开集识别方法、装置、设备和介质

权利要求书

1.一种APT恶意软件组织的开集识别方法，其特征在于，包括：

获取各种旧组织的APT恶意软件，作为训练样本；

提取各训练样本的静态特征，得到训练样本的特征向量；

将深度森林中多粒度扫描结构的输出分别作为深度森林的级联森林分类结构和卷积神经网络的输入，然后通过训练样本进行训练，得到多粒度扫描模型、级联森林分类模型以及卷积神经网络模型；

将需要识别的APT恶意软件作为测试样本；

提取测试样本的静态特征，得到测试样本的特征向量；

将测试样本的特征向量输入到多粒度扫描模型，得到测试样本的一次表征向量；

将测试样本的一次表征向量分别输入到级联森林分类模型和卷积神经网络模型，由级联森林分类模型输出预分类组织，由卷积神经网络模型得到测试样本的二次表征向量；

结合测试样本的预分类组织和测试样本的二次表征向量，得到测试样本开集识别结果。

2.根据权利要求1所述的APT恶意软件组织的开集识别方法，其特征在于，对多粒度扫描结构、级联森林分类结构以及卷积神经网络进行训练的过程具体如下：

首先训练深度森林的多粒度扫描结构和级联森林分类结构，得到多粒度扫描模型和级联森林分类模型，如下：

将各训练样本的特征向量作为多粒度扫描结构的输入，将各训练样本所属旧组织作为级联森林分类结构的标签，对多粒度扫描结构和级联森林分类结构进行训练，得到多粒度扫描模型和级联森林分类模型；

其中，训练过程中，训练样本的特征向量输入多粒度扫描结构后，由多粒度扫描结构输出的训练样本一次表征向量，作为级联森林分类结构的输入；

然后训练卷积神经网络，如下：

将各训练样本输入到多粒度扫描模型中，由多粒度扫描模型输出训练样本的一次表征向量；

将训练后的多粒度扫描模型输出的各训练样本的一次表征向量，作为卷积神经网络的输入，将各训练样本所属旧组织作为卷积神经网络的标签，对卷积神经网络进行训练，得到卷积神经网络模型。

3.根据权利要求1所述的APT恶意软件组织的开集识别方法，其特征在于，在卷积神经网络训练时，通过卷积神经网络获取到同个旧组织的训练样本的二次表征向量；针对于各旧组织，求取该旧组织的训练样本的二次表征向量平均值，作为该旧组织的中心点向量。

4.根据权利要求3所述的APT恶意软件组织的开集识别方法，其特征在于，在测试样本开集识别过程中：当卷积神经网络模型获取到测试样本的二次表征向量时，首先计算测试样本的二次表征向量与测试样本的预分类组织的中心点向量之间的余弦距离d，若d小于等于阈值，则测试样本的预分类组织作为测试样本的所属组织；否则，将测试样本判定为属于新组织。

5.根据权利要求1所述的APT恶意软件组织的开集识别方法，其特征在于，多粒度扫描结构和多粒度扫描模型，针对于输入的样本的特征向量，依次进行窗口扫描、模型计算、池化计算和拼接计算后，对应得到训练样本或测试样本的一次表征向量；具体如下：

窗口扫描：采用多个不同维度大小的窗口，分别对输入的特征向量进行滑动，每次滑动都将扫描到一组与窗口大小相同的特征向量组合；

模型计算：将每个窗口扫描得到的每一组特征向量组合，输入到两个不同的随机森林模型中，每个随机森林模型分别输出该组特征向量组合所对应的分类概率得分；

池化计算：针对于同个窗口扫描到的多组特征向量组合，通过模型计算分别对应得到多组分类概率得分后，将多组分类概率得分向量进行规定步长的平均池化计算，输出池化结果向量；

连接计算：将所有经过池化计算后的结果向量，以首尾拼接的形式连接成一个长向量，该长向量表示多粒度扫描模型输入样本的一次表征向量；

上述输入的样本的特征向量指的是训练样本或测试样本的特征向量。