基于图神经网络的恶意代码家族分类方法、装置和存储介质与流程

技术特征：
1.一种基于图神经网络的恶意代码家族分类方法，其特征在于，该方法包括以下步骤：提取恶意代码的动态特征中的调用特征，并基于所述调用特征建立恶意代码无向图，所述恶意代码无向图中每一个节点代表一个恶意代码；提取恶意代码的静态特征作为对应节点的属性；基于建立的无向图和提取到的节点属性构建带有节点属性的恶意代码关系图；将样本集合中的样本和生成的恶意代码关系图输入图神经网络模型，对图神经网络模型分别进行训练和测试，以基于经训练的图神经网络模型获得恶意代码家族分类结果。2.根据权利要求1所述的方法，其特征在于，所述系统调用特征为动态系统调用依赖图；所述基于所述系统调用特征建立恶意代码无向图包括以下步骤：基于动态特征中的调用特征获得各恶意代码节点的调用频数向量特征；基于每一个的恶意代码的调用频数向量特征，采用相似度算法计算各恶意代码节点与其余恶意代码节点的相似度；基于各恶意代码节点与其余恶意代码节点的相似度构建相似度矩阵；根据构建的相似度矩阵获得邻接矩阵；基于获得的邻接矩阵获得恶意代码节点的无向边集合，从而获得恶意代码无向图，所述恶意代码无向图包括恶意代码节点集合和恶意代码无向边集合。3.根据权利要求1所述的方法，其特征在于，所述动态特征中的调用特征为动态系统调用依赖图、恶意代码样本所有使用到的动态链接库或恶意代码样本所调用的应用程序接口序列，获得的各恶意代码节点的调用频数向量特征为系统调用频数向量特征或者动态链接库调用频数向量特征或内核应用程序接口调用频数向量特征。4.根据权利要求1所述的方法，其特征在于，所述静态特征包括以下特征中的一个或多个特征：关键api出现次数、关键特殊字符个数、指令码频数、指令码n-gram特征和字节序列n-gram特征。5.根据权利要求1所述的方法，其特征在于，在对图神经网络模型分别进行训练和测试的过程中，使用所述图神经网络模型捕获一跳或者多跳的邻居关系。6.根据权利要求2所述的方法，其特征在于，所述根据构建的相似度矩阵获得邻接矩阵包括：通过将邻接矩阵的与相似度矩阵中值小于预定阈值的元素对应的元素值设置为1，将邻接矩阵的其他元素的值设为0，来获得邻接矩阵。7.根据权利要求1所述的方法，其特征在于，所述图神经网络模型为以下图神经网络模型中的一种或多种：图卷积神经网络gcn模型、graphsage模型和图注意力网络gat模型。8.根据权利要求7所述的方法，其特征在于，所述方法还包括：利用多种图神经网络模型进行混合训练；通过投票表决获得各图神经网络的得票数，按多票数优先的方式选取图神经网络模型进行恶意软件家族分类。9.一种基于图神经网络的恶意代码家族分类装置，包括处理器和存储器，其特征在于，所述存储器中存储有计算机指令，所述处理器用于执行所述存储器中存储的计算机指令，当所述计算机指令被处理器执行时该装置实现如权利要求1至8中任意一项所述方法的步骤。
10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时实现如权利要求1至8中任意一项所述方法的步骤。

技术总结
本发明提供一种基于图神经网络的恶意代码家族分类方法、装置和存储介质，所述方法包括：提取恶意代码的动态特征中的系统调用特征，并基于所述系统调用特征建立恶意代码无向图，所述恶意代码无向图中每一个节点代表一个恶意代码；提取恶意代码的静态特征作为对应节点的属性；基于建立的无向图和提取到的节点属性构建带有节点属性的恶意代码关系图；将样本集合中的样本和生成的恶意代码关系图输入图神经网络模型，对图神经网络模型分别进行训练和测试，以基于经训练的图神经网络模型获得恶意代码家族分类结果。本发明实施例解决了恶意代码动态和静态特征孤立分析以及没有考虑恶意代码样本之间的结构特征的问题。意代码样本之间的结构特征的问题。意代码样本之间的结构特征的问题。


技术研发人员：袁希旺 杨彦青 李祺
受保护的技术使用者：北京邮电大学
技术研发日：2021.09.14
技术公布日：2022/1/14