本公开实施例提供了一种恶意软件同源性分析方法、系统、电子设备及存储介质。其中,该方法包括:获取恶意软件的样本的数据集;从样本的数据集中提取反汇编代码文本以及带属性的控制流程图;基于反汇编代码文本以及带属性的控制流程图,构建深度神经网络模型;通过深度神经网络模型,识别恶意软件的同源性。通过该技术方案,解决了如何提高恶意软件相似性分析的准确性的技术问题,可以识别新的、未知的恶意软件的同源性,挖掘其背后的组织信息,从而可以快速地定位攻击来源或攻击者,以便于可采取更快速、更准确的防治方法,进而可以帮助安全专家构建完整的攻击场景,而且可以跟踪攻击者。
Homology Analysis Method, System, Electronic Equipment and Storage Medium for Malware
【技术实现步骤摘要】
恶意软件同源性分析方法、系统、电子设备及存储介质
本公开涉及网络安全
,特别是涉及一种恶意软件同源性分析方法、系统、电子设备及存储介质。
技术介绍
近年来,出现了大量的各类影响严重的、利用恶意软件进行恶意攻击的事件。例如,这类事件包括但不限于危害计算机、窃取机密信息、发送垃圾邮件、关闭服务器、渗透网络以及关键基础设施等。这些恶意攻击的事件经常造成严重的破坏,并导致重大的经济损失。面对这样严峻的网络安全态势,提高恶意软件相似性分析的准确性是亟待解决的技术问题。公开内容本公开实施例的主要目的在于提供一种恶意软件同源性分析方法、系统、电子设备及存储介质,以解决如何提高恶意软件相似性分析的准确性的技术问题。为了实现上述目的,根据本公开的第一方面,提供了以下技术方案:一种恶意软件同源性分析方法,所述方法包括:获取所述恶意软件的样本的数据集;从所述样本的数据集中提取反汇编代码文本以及带属性的控制流程图;基于所述反汇编代码文本以及所述带属性的控制流程图,构建深度神经网络模型;通过所述深度神经网络模型,识别所述恶意软件的所述同源性。结合本公开的第一方面,在本公开第一方面的第一种可能的实现方式中,从所述样本的数据集中提取反汇编代码文本以及带属性的控制流程图的步骤,具体包括:获取所述恶意软件的样本的控制流程图;从所述控制流程图中提取反汇编代码;根据所述控制流程图中的执行路径,将所述反汇编代码形成反汇编代码文本;对所述控制流程图中各块中的内容,按照预定的属性进行统计,得到带属性的控制流程图。结合本公开的第一方面,在本公开第一方面的第二种可能的实现方式中,基于所述反汇编代码文本以及所述带属性的控制流程图,构建深度神经网络模型的步骤,具体包括:对所述带属性的控制流程图进行向量化,得到图嵌入向量特征表示;从所述反汇编代码文本中,提取一阶马尔科夫链特征;将所述图嵌入向量特征表示和所述一阶马尔科夫链特征,作为结构长短期记忆网络的输入,以构建所述深度神经网络模型。结合本公开的第一方面,在本公开第一方面的第三种可能的实现方式中,所述结构长短期记忆网络包括输入门、遗忘门、存储单元和输出门;将所述图嵌入向量特征表示和所述一阶马尔科夫链特征,作为结构长短期记忆网络的输入,以构建所述深度神经网络模型的步骤,具体包括:计算所述带属性的控制流程图中各顶点的特征;将所述带属性的控制流程图中所述各顶点嵌入的集合,作为嵌入向量;将所述嵌入向量表示为结构向量;将所述结构向量添加到所述输入门、所述遗忘门、所述存储单元和所述输出门中;将所述图嵌入向量特征表示和所述一阶马尔科夫链特征,作为所述结构长短期记忆网络的输入,以构建所述深度神经网络模型。为了实现上述目的,根据本公开的第二方面,还提供了以下技术方案:一种恶意软件同源性分析系统,所述系统包括:获取模块,用于获取所述恶意软件的样本的数据集;提取模块,用于从所述样本的数据集中提取反汇编代码文本以及带属性的控制流程图;构建模块,用于基于所述反汇编代码文本以及所述带属性的控制流程图,构建深度神经网络模型;识别模块,用于通过所述深度神经网络模型,识别所述恶意软件的所述同源性。结合本公开的第二方面,在本公开第二方面的第一种可能的实现方式中,所述提取模块具体用于:获取所述恶意软件的样本的控制流程图;从所述控制流程图中提取反汇编代码;根据所述控制流程图中的执行路径,将所述反汇编代码形成反汇编代码文本;对所述控制流程图中各块中的内容,按照预定的属性进行统计,得到带属性的控制流程图。结合本公开的第二方面,在本公开第二方面的第二种可能的实现方式中,所述构建模块具体用于:对所述带属性的控制流程图进行向量化,得到图嵌入向量特征表示;从所述反汇编代码文本中,提取一阶马尔科夫链特征;将所述图嵌入向量特征表示和所述一阶马尔科夫链特征,作为结构长短期记忆网络的输入,以构建所述深度神经网络模型。结合本公开的第二方面,在本公开第二方面的第三种可能的实现方式中,所述结构长短期记忆网络包括输入门、遗忘门、存储单元和输出门;所述构建模块具体用于:计算所述带属性的控制流程图中各顶点的特征;将所述带属性的控制流程图中所述各顶点嵌入的集合,作为嵌入向量;将所述嵌入向量表示为结构向量;将所述结构向量添加到所述输入门、所述遗忘门、所述存储单元和所述输出门中;将所述图嵌入向量特征表示和所述一阶马尔科夫链特征,作为所述结构长短期记忆网络的输入,以构建所述深度神经网络模型。为了实现上述目的,根据本公开的第三方面,还提供了以下技术方案:一种电子设备,其包括处理器和存储器;其中:所述存储器,用于存放计算机程序;所述处理器,用于执行所述存储器上所存放的程序时,实现本公开第一方面所述的恶意软件同源性分析方法步骤。为了实现上述目的,根据本公开的第四方面,还提供了以下技术方案:一种计算机可读存储介质,其用于存储非暂时性计算机可读指令,当所述非暂时性计算机可读指令由计算机执行时,使得所述计算机执行本公开第一方面所述的恶意软件同源性分析方法。本公开实施例提供一种恶意软件同源性分析方法、系统、电子设备及存储介质。其中,该方法包括:获取恶意软件的样本的数据集;从样本的数据集中提取反汇编代码文本以及带属性的控制流程图;基于反汇编代码文本以及带属性的控制流程图,构建深度神经网络模型;通过深度神经网络模型,识别恶意软件的同源性。本公开实施例采用该技术方案,通过深度神经网络模型对恶意软件进行分类,判定恶意软件的归属家族或攻击组织,识别恶意软件之间的同源性,以检测恶意代码的相似性,进而实现对恶意软件相似性的分析,可以识别新的、未知的恶意软件的同源性,挖掘其背后的组织信息,从而可以快速地定位攻击来源或攻击者,以便于可采取更快速、更准确的防治方法,进而可以帮助安全专家构建完整的攻击场景,而且可以跟踪攻击者。这样,攻击来源或攻击者可以产生一定的震慑打击作用,具有遏制黑客攻击、完善网络安全保障体系的重要作用和价值。当出现新的恶意软件时,可快速定位攻击来源或者攻击者,对攻击者产生一定的震慑打击作用,具有遏制黑客攻击、完善网络安全保障体系的重要作用和价值。当然,实施本公开的任一产品不一定需要同时实现以上所述的所有优点。为了能更清楚了解本公开的技术手段,而可依照说明书的内容予以实施,并且为让本公开的上述和其他目的、特征和优点能够更明显易懂,以下特举较佳实施例,并配合附图,详细说明如下。本公开的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本公开而得以体现。本公开的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。所要求保护的主题不限于解决在
技术介绍
中提及的任何或所有缺点。附图说明为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,附图作为本公开的一部分,用来对本公开作进一步的理解。下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。其中:图1为根据一示例性实施例的、本公开实施例提供的恶意软件同源性分析方法的应用场景的示意图;图2为根据一示例性实施例的、图1中MCrab本文档来自技高网...
【技术保护点】
1.一种恶意软件同源性分析方法,其特征在于,所述方法包括:获取所述恶意软件的样本的数据集;从所述样本的数据集中提取反汇编代码文本以及带属性的控制流程图;基于所述反汇编代码文本以及所述带属性的控制流程图,构建深度神经网络模型;通过所述深度神经网络模型,识别所述恶意软件的所述同源性。
【技术特征摘要】
1.一种恶意软件同源性分析方法,其特征在于,所述方法包括:获取所述恶意软件的样本的数据集;从所述样本的数据集中提取反汇编代码文本以及带属性的控制流程图;基于所述反汇编代码文本以及所述带属性的控制流程图,构建深度神经网络模型;通过所述深度神经网络模型,识别所述恶意软件的所述同源性。2.根据权利要求1所述的方法,其特征在于,从所述样本的数据集中提取反汇编代码文本以及带属性的控制流程图的步骤,具体包括:获取所述恶意软件的样本的控制流程图;从所述控制流程图中提取反汇编代码;根据所述控制流程图中的执行路径,将所述反汇编代码形成反汇编代码文本;对所述控制流程图中各块中的内容,按照预定的属性进行统计,得到带属性的控制流程图。3.根据权利要求1所述的方法,其特征在于,基于所述反汇编代码文本以及所述带属性的控制流程图,构建深度神经网络模型的步骤,具体包括:对所述带属性的控制流程图进行向量化,得到图嵌入向量特征表示;从所述反汇编代码文本中,提取一阶马尔科夫链特征;将所述图嵌入向量特征表示和所述一阶马尔科夫链特征,作为结构长短期记忆网络的输入,以构建所述深度神经网络模型。4.根据权利要求3所述的方法,其特征在于,所述结构长短期记忆网络包括输入门、遗忘门、存储单元和输出门;将所述图嵌入向量特征表示和所述一阶马尔科夫链特征,作为结构长短期记忆网络的输入,以构建所述深度神经网络模型的步骤,具体包括:计算所述带属性的控制流程图中各顶点的特征;将所述带属性的控制流程图中所述各顶点嵌入的集合,作为嵌入向量;将所述嵌入向量表示为结构向量;将所述结构向量添加到所述输入门、所述遗忘门、所述存储单元和所述输出门中;将所述图嵌入向量特征表示和所述一阶马尔科夫链特征,作为所述结构长短期记忆网络的输入,以构建所述深度神经网络模型。5.一种恶意软件同源性分析系统,其特征在于,所述系统包括:获取模块,用于获取所述恶意软件的样本的数据集;提取模块...
【专利技术属性】
技术研发人员:严寒冰,刘洁然,沈元,周彧,徐剑,周昊,高川,
申请(专利权)人:国家计算机网络与信息安全管理中心,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。