[发明专利]一种恶意软件组织识别方法及设备

说明书

本发明公开了一种恶意软件组织识别方法及设备，该方法包括：获取待识别的当前恶意软件样本；对当前恶意软件样本进行预处理，提取其属性信息和特征表示向量，并存储到样本特征数据集中；根据当前恶意软件样本的特征表示向量，使用预先训练好的恶意软件组织识别模型进行识别，获得组织识别结果；根据样本特征数据集中的各个恶意软件样本的属性信息，将样本特征数据集中的各个恶意软件样本划分为新样本数据集和旧样本数据集，以检测样本是否发生概念偏移；若是则将当前恶意软件样本的组织识别结果更新到样本特征数据集中，并采用更新后样本特征数据集重新训练恶意软件组织识别模型，可以克服恶意软件样本在现实中可能存在的概念漂移问题。

技术领域

本发明涉及软件安全技术领域，尤其涉及一种恶意软件组织识别方法及设备。

背景技术

随着智能设备的广泛应用和发展，恶意软件开发者看到了背后的利益。近年来，出现了大量的具有组织和国家背景的高级持续威胁（简称APT）攻击，严重危害了人们财产、国家基础设施和国家机密数据的安全。高级持续威胁攻击通常由组织良好的专业团体发起，出于商业或政治动机目的针对特定的目标，并在较长的一段时期内保持不被检测。APT组织在攻击特定的目标时，使用的恶意软件会交由组织的内部人员编写，这意味着APT恶意软件中存在APT组织内部人员的编程风格。当积累了多个已知的APT组织足够的恶意软件样本时，可通过特征工程提取出恶意软件的特征形成特征库。当发现新的APT攻击开展的时候，就可以使用特征库来识别用于APT攻击的恶意软件的组织，进而协助制定有效的防御策略，为安全分析人员进一步判断分析提供依据。因此，作为一种重要的安全防御技术，研究恶意软件的组织识别是有意义的。

目前，国内外已出现了一些基于机器学习的恶意软件组织识别研究，但是这些研究并未考虑恶意软件样本在现实中可能存在的概念漂移问题，其中，机器学习模型所要预测的目标变量可称为概念，而概念漂移是指目标变量的统计特性如样本数据分布随时间推移而发生不可预知的变化，将导致机器学习模型的预测精度随时间推移而降低，即样本的统计分布会随时间推移而发生不可预知的变化，从而导致恶意软件组织识别模型出错。因此，提出可自适应概念漂移的有效的恶意软件组织识别技术，对于恶意软件的组织识别在现实场景中的应用是很有必要的。

发明内容

本发明实施例提供一种恶意软件组织识别方法及设备，其能克服恶意软件样本在现实中可能存在的概念漂移问题，避免由于样本的统计分布会随时间推移而发生不可预知的变化从而导致恶意软件组织识别模型出错的问题。

第一方面，本发明实施例提供了一种恶意软件组织识别方法，包括：

获取待识别的当前恶意软件样本；

对当前恶意软件样本进行预处理，提取当前恶意软件样本的属性信息和特征表示向量，并存储到样本特征数据集中；

根据当前恶意软件样本的特征表示向量，使用预先训练好的恶意软件组织识别模型进行识别，获得当前恶意软件样本的组织识别结果；

根据所述样本特征数据集中的各个恶意软件样本的属性信息，将所述样本特征数据集中的各个恶意软件样本划分为新样本数据集和旧样本数据集；

根据所述新样本数据集和所述旧样本数据集，检测当前恶意软件样本是否发生概念偏移；

当检测到发生概念偏移时，将当前恶意软件样本的组织识别结果更新到所述样本特征数据集中，以采用更新后样本特征数据集重新训练所述恶意软件组织识别模型。

作为上述方案的改进，所述对当前恶意软件样本进行预处理，提取当前恶意软件样本的属性信息和特征表示向量，包括：

获取当前恶意软件样本的唯一标识信息以及首次提交日期，作为当前恶意软件样本的属性信息；

对当前恶意软件样本进行反汇编和反编译，生成当前恶意软件样本的源代码；