[发明专利]基于stacking集成的APT组织识别方法、系统及存储介质

说明书

本发明公开了一种基于stacking集成的APT组织识别方法、系统及存储介质，方法包括：使用TF‑IDF算法结合n‑gram从恶意软件样本中提取出行为特征并向量化，形成恶意行为向量特征集；基于恶意行为向量特征集，计算特征之间的相关度和特征与类别之间的卡方值，对行为向量特征集进行两次筛选，获得低纬度的更优特征子集数据；构建多模型融合的Stacking集成学习APT组织识别模型，利用所述APT组织识别模型对新的APT攻击进行识别。本发明中对高维行为向量特征进行特征选择降低了数据集的复杂度；还考虑了数据集中的样本不平衡，采用了多模型集成训练，提高了识别准确度；另外本专利对于恶意样本的APT组织识别模型是经过机器学习训练得到的，提高了新样本的自动化识别效率。

技术领域

本发明属于网络安全的技术领域，具体涉及一种基于stacking集成的APT组织识别方法、系统及存储介质。

背景技术

APT高级持续性威胁，是利用先进的攻击手法对特定的目标进行长期持续性的网络攻击的攻击形式。与传统的网络攻击不同，APT攻击具有隐蔽性、针对性、持续性和组织性等特点，其攻击手段变化多端、攻击效果显著且难以防范。APT组织实施的网络攻击通常具有政治目的或经济目的，对国家和企业产生了巨大影响，对各类高等级信息安全系统造成的威胁日益严重。对实施APT攻击的恶意软件样本进行组织区分，有利于追溯真实的攻击组织实体，更好的区分和识别具体来源的攻击活动。另外，恶意软件的APT组织识别是一种检测APT攻击的方法。

学术界和产业界对APT组织识别方法有所不同，在学术界,主要方法依赖于恶意代码的相似性分析。例如Qiao,Yanchen等人提出了基于API调用的一种自动恶意软件同源性识别方法。该方法通过对恶意样本通过静态分析获得其API集合，然后基于编程习惯定义的六种调用行为使用Jaccard相似系数计算不同恶意软件的同源程度，并通过经验设立了一个阈值和该同源程度比较，得出样本间是否相似的结论，用该方法可判断APT样本之间的同源度，确定所属组织。虎志强等人对恶意样本文件进行逆向分析获取文件的函数，根据函数相似度对函数进行聚类得到特征集，并设定阈值，将共同类别数达到阈值的恶意样本文件归为一类，为归类后的每类恶意样本文件标记同一APT组织标识。Chen,W等人提出了一种结合恶意软件行为知识图谱的新基因模型。该方法首先基于节点内容建立了遗传模型，并提取属于各个APT组织的所有恶意软件的基因序列，然后计算恶意软件和基因库之间的相似性，并根据相似性评分判断该恶意软件属于哪APT组织。

而在产业界,APT组织识别更倾向于恶意代码结构及其攻击链的关联性分析,例如FireEye实验室于2013年对11个APT高级可持续攻击进行分析,在攻击所用的恶意代码中发现了相同的代码段、时间戳、数字证书等,基于这些收集的特征进行关联分析,认为攻击均是由同一个组织操纵。启明星辰通过分析漏洞部分样本的shellcode功能、代码相似性作为关联分析的特征,进而溯源到海德薇(Hedwig)组织。

上述产业界分析技术主要基于相关安全专家人工分析,受专家经验影响较大,其次不能满足大量样本的需要，效率低，耗时长。学术界自动化的识别技术所依赖的静态API函数特征会因为恶意软件的混淆和加壳技术使得特征提取困难，另外目前的方法主要依赖已知的恶意代码样本,如果仅根据已有的样本来识别变体,将可能导致识别工作低效甚至无效。

发明内容

本发明的主要目的在于克服现有技术的缺点与不足，提供一种基于stacking集成的APT组织识别方法、系统及存储介质，可以更准确的识别出APT攻击行为所属的APT组织。

为了达到上述目的，本发明采用以下技术方案：

本发明提供的一种基于stacking集成的APT组织识别方法，包括下述步骤：

使用TF-IDF算法结合n-gram从恶意软件样本中提取出行为特征并向量化，形成恶意行为向量特征集；