[发明专利]一种网络攻击中恶意代码的知识图谱展示方法

权利要求书

1.一种网络攻击中恶意代码的知识图谱展示方法，其步骤包括：

1)基于OWL本体语言对目标恶意代码图谱进行建模，得到OWL本体库；然后结合OWL规则库对该OWL本体库进行OWL推理，从该目标恶意代码图谱中推理得到新内容并确定该新内容的分类、属性和实例信息；

2)根据得到的分类、属性和实例计算该目标恶意代码图谱的通用度量，并根据度量结果计算该目标恶意代码图谱中各节点的重要性和去除冗余节点；过滤掉重要性低于设定阈值的节点，然后对过滤后的该目标恶意代码图谱进行不同实体间的关联分析，计算关联度；并计算恶意代码间的相似度，以边属性的形式存入该目标恶意代码图谱；其中恶意代码a、b之间的相似度sim(a,b)＝μ₁Entity_sim(a,b)+μ₂Stru_sim(a,b)；Entity_sim(a，b)为恶意代码a、b之间的实体相似度，Stru_sim(a，b)为恶意代码a、b之间的图结构相似度，μ₁、μ₂为权重系数；i＝1，2...m；A为该目标恶意代码图谱中遍历由恶意代码a出发到没有出度节点的路径上包含的所有实体及其属性集合，B为该目标恶意代码图谱中遍历由恶意代码b出发到没有出度节点的路径上包含的所有实体及其属性集合；A_i表示集合A中的实体i的属性集合，m表示集合A中实体总数，B_j表示集合B中的实体j的属性集合，n表示集合B中实体总数；A_i～B_j为两属性值集合间的相似性比较，当A_i、B_j两节点属于同类实体时进行相似度计算，取值范围为0-1，完全相同的属性记为1，完全不同的记为0；Max(A_i～B_j|j＝1，2，...n)表示以A_i为中心，遍历集合B寻找与之对应相似度最大的B_j；然后对每个A_i的最大相似度求和，再根据A_i属性值个数归一化；i＝1，2，...，k；j＝1，2，...，s；∑α_ij＝1，z＝Max(Deep[l(a→)],Deep[l(b→)])；其中，L_zi(a→)表示恶意代码图谱中恶意代码a在深度z下的所有路径集合中的第i条路径，有向图中方向作为集合要素，k为恶意代码a的路径集合总数；L_zj(b→)表示恶意代码图谱中恶意代码b在深度z下的所有路径集合中的第j条路径，有向图中方向作为集合要素，s表示恶意代码b的路径集合总数；α_ij为a路径集合的权重系数矩阵，当构成第i条路径的边关系类别与构成第j条路径的边关系类别不同时，α_ij置为0；z取值为由恶意代码a、b节点出发到没有出度节点的最大深度值，l(a→)表示由a节点出发的一条路径，l(b→)表示由b节点出发的一条路径；分别两两比较a与b的路径集合相似程度，这里路径集合中只包含节点和边，不考虑节点属性，对于指向同一节点的两条路径相似度直接置为1，否则则比较每条路径上的节点与边的相似程度，然后乘上路径权重矩阵，最后求和得到恶意代码a和b之间的图结构相似度；

3)对过滤后的该目标恶意代码图谱借助图卷积进行恶意代码的家族分类，得到该目标恶意代码图谱中每个恶意代码的家族类别概率；然后在分类信息更新后的该目标恶意代码图谱上进行恶意代码评估值计算；然后对处理后的该目标恶意代码图谱进行分层的布局和渲染展示；其中所述恶意代码评估值的计算方法为：设置破坏性、持久性、执行性、更新力和实战因素五个维度，从该目标恶意代码图谱中提取节点属性信息，计算得到每个维度的评估值ξ；然后对各维度评估值进行加权求和得到各节点对应恶意代码的总体评估值Δ；所述评估值∑σ_i＝1，i＝1,2...p,j＝1，2,...q；U_i～V_j是评估体系中每条i规则的具体关键词集合U_i与节点j的属性及关联节点属性集合V_j的匹配结果，如果匹配则记为1，否则记为0；集合X的大小分别为p，集合Y的大小为q；C_i为评估体系每条规则的分数值；σ_i为规则权重系数集合；∑α_j＝1，j＝1，2...o，X代表实际成功率，α为系数集合，β_i为每项评估体系维度所占比例系数。