【技术实现步骤摘要】
一种恶意代码溯源方法、系统、设备及存储介质
[0001]本申请涉及网络安全
,尤其涉及一种恶意代码溯源方法、系统、设备及存储介质。
技术介绍
[0002]近年来网络安全成为威胁互联网发展的主要因素,而在网络安全威胁中以APT(Advanced Persistent Threat,高级长期威胁)攻击最为常见,APT攻击主要是通过恶意代码实现的。由于APT攻击具有隐蔽性、复杂性、持续性的特点,因此对APT攻击的组织溯源工作极为困难。APT攻击中最为常见的行为是向目标网络投放恶意代码,目前的最主要检测手段是将对APT攻击中的恶意代码进行特征提取,然后根据特征表现形式选择合适的深度学习模型对其进行分类。
[0003]但由于被APT样本的特征提取目前是基于威胁情报标准定义的。其中包含了大量复杂的特征向量,这对描述样本与APT组织的关系非常不友好,另一种是将恶意代码转化为图像,然后对其进行分类,但是在对图像处理时由于考虑到神经网络输入大小时,会对图像进行裁剪,可能导致某些特征的丢失,降低模型的准确率。
技术实现思路
...
【技术保护点】
【技术特征摘要】
1.一种恶意代码溯源方法,其特征在于,所述方法包括:实时收集正在进行攻击的APT恶意代码组织数据;将所述正在进行攻击的APT恶意代码组织数据输入预先训练的恶意代码组织溯源模型中,输出预测的APT恶意代码组织溯源结果;其中,所述恶意代码组织溯源模型是通过反汇编语言训练的。2.根据权利要求1所述的一种恶意代码溯源方法,其特征在于,所述恶意代码组织溯源模型的训练过程,具体为:处理APT恶意代码组织数据,形成APT组织函数库;构建恶意代码组织溯源模型;将所述APT组织函数库中的函数,输入到所述恶意代码组织溯源模型中进行训练。3.根据权利要求2所述的一种恶意代码溯源方法,其特征在于,所述处理APT恶意代码组织数据,形成APT组织函数库,具体为:将所述APT恶意代码组织数据按组织类别进行反汇编操作,生成汇编文件;对所述汇编文件按照函数边界进行划分,形成所述APT组织函数库。4.根据权利要求3所述的一种恶意代码溯源方法,其特征在于,所述将所述APT恶意代码组织数据按组织类别进行反汇编操作,生成汇编文件,具体为:将所述APT恶意代码组织数据转化为PE格式的数据;将经过PE格式转化后的数据通过Radare2反汇编操作,生成汇编文件。5.根据权利要求2所述的一种恶意代码溯源方法,其特征在于,在所述将所述APT组织函数库中的函数,输入到所述恶意代码组织溯源模型中进行训练之后,所述方法还包括:生成APT组织向量库;其中,所述APT组织向量库由若干向量组成,所述若干向量由所述APT组织函数库中的若干函数对应生成。6.根据权利要求5所述的一种恶意代码溯源方法,其特征在于,所述方法还包括:处理待...
【专利技术属性】
技术研发人员:黄华,陈剑飞,刘子函,刘建毅,李宁,张文斌,韩兴旺,倪金超,赵丽娜,盛华,
申请(专利权)人:国家电网有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。