APT软件家族识别方法、装置及电子设备与流程

本公开涉及apt识别，尤其涉及一种apt软件家族识别方法、装置及电子设备。

背景技术：

1、apt(advanced persistent threat)，即高级持续威胁，主要特点是利用手段高，攻击持续，高危害。apt活动使用的软件通常具备一定的家族特性。

2、现有apt软件家族识别方法比较多，有人工分析，行为分析等，但目前上述分析识别方法均存在效率较低或识别结果准确度较低的问题。

技术实现思路

1、本公开提供了一种apt软件家族识别方法、装置及电子设备。

2、根据本公开的第一方面，提供一种apt软件家族识别方法，包括：

3、提取各已知apt软件的运行特征；

4、根据各已知apt软件的运行特征，采用apriori算法计算各已知apt软件之间的关联规则；

5、根据各已知apt软件之间的关联规则得到apt家族认定结果；

6、根据apt家族认定结果识别未知apt软件的所属apt家族。

7、在第一方面的一些实现方式中，所述提取各已知apt软件的运行特征包括：

8、根据各已知apt软件是否存在对应的检测特征进行标注，所得标注结果为对应的运行特征；其中，所述检测特征是根据各已知apt软件的运行信息提取的。

9、在第一方面的一些实现方式中，所述检测特征的提取方式包括：

10、构建程序运行沙箱，扫描运行各已知apt软件，通过沙箱输出各已知apt软件的运行信息；

11、根据各已知apt软件的运行信息，提取各已知apt软件的api函数序列，生成各已知apt软件的检测特征向量事务集合，各已知apt软件的检测特征向量事务集合即对应的检测特征。

12、在第一方面的一些实现方式中，根据各已知apt软件是否存在对应的检测特征进行标注，所得标注结果为对应的运行特征包括：

13、在各已知apt软件的检测特征向量事务集合的基础上，对各已知apt软件是否存在对应的检测特征进行标注，生成各已知apt软件的运行特征向量事务集合，各已知apt软件的运行特征向量事务集合即对应的运行特征。

14、在第一方面的一些实现方式中，所述根据各已知apt软件的运行特征，采用apriori算法计算各已知apt软件之间的关联规则包括：

15、根据各检测特征在各已知apt软件中的存在比例，计算各已知apt软件之间的关联规则。

16、在第一方面的一些实现方式中，两检测特征均存在于同一已知apt软件的比例为支持度，支持度与其中之一的检测特征出现在对应已知apt软件的比例的比值为置信度。

17、在第一方面的一些实现方式中，所述根据apt家族认定结果识别未知apt软件的所属apt家族包括：

18、对未知apt软件提取运行特征，采用apriori算法计算与apt家族认定结果中的各已知apt软件进行关联分析，判断所述未知apt软件所属的apt家族。

19、在第一方面的一些实现方式中，所述采用apriori算法计算与apt家族认定结果中的各已知apt软件进行关联分析，判断所述未知apt软件所属的apt家族包括：

20、采用apriori算法计算未知apt软件与apt家族认定结果中的各已知apt软件进行关联分析，找出符合支持度大于等于最小支持度且置信度大于等于最小置信度的apt软件家族，为未知apt软件所属的apt家族。

21、根据本公开的第二方面，提供一种apt软件家族识别装置，包括：

22、特征提取单元，用于提取各已知apt软件的运行特征；

23、规则计算单元，用于根据各已知apt软件的运行特征，采用apriori算法计算各已知apt软件之间的关联规则；

24、结果输出单元，用于根据各已知apt软件之间的关联规则得到apt家族认定结果；

25、识别单元，用于根据apt家族认定结果识别未知apt软件的所属apt家族。

26、根据本公开的第三方面，提供了一种电子设备。该电子设备包括：存储器和处理器，所述存储器上存储有计算机程序，所述处理器执行所述程序时实现如根据本公开第一方面所述的方法。

27、在本公开中，主要提供一种基于apriori关联分析算法识别未知apt软件所属的apt家族。通过对apt软件家族的认定，可以快速确定apt软件的行为特征、来源、防御方法等信息，提高处理网络apt攻击，渗透等非法行为的效率。

28、应当理解，
技术实现要素：
部分中所描述的内容并非旨在限定本公开的实施例的关键或重要特征，亦非用于限制本公开的范围。本公开的其他特征将通过以下的描述变得容易理解。

技术特征：

1.一种apt软件家族识别方法，其特征在于，包括：

2.如权利要求1所述的apt软件家族识别方法，其特征在于，所述提取各已知apt软件的运行特征包括：

3.如权利要求2所述的apt软件家族识别方法，其特征在于，所述检测特征的提取方式包括：

4.如权利要求3所述的apt软件家族识别方法，其特征在于，根据各已知apt软件是否存在对应的检测特征进行标注，所得标注结果为对应的运行特征包括：

5.如权利要求2所述的apt软件家族识别方法，其特征在于，所述根据各已知apt软件的运行特征，采用apriori算法计算各已知apt软件之间的关联规则包括：

6.如权利要求4所述的apt软件家族识别方法，其特征在于，两检测特征均存在于同一已知apt软件的比例为支持度，支持度与其中之一的检测特征出现在对应已知apt软件的比例的比值为置信度。

7.如权利要求6所述的apt软件家族识别方法，其特征在于，所述根据apt家族认定结果识别未知apt软件的所属apt家族包括：

8.如权利要求7所述的apt软件家族识别方法，其特征在于，所述采用apriori算法计算与apt家族认定结果中的各已知apt软件进行关联分析，判断所述未知apt软件所属的apt家族包括：

9.一种apt软件家族识别装置，其特征在于，包括：

10.一种电子设备，其特征在于，包括：至少一个处理器；以及与所述至少一个处理器通信连接的存储器；其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行权利要求1-8中任一项所述的方法。

技术总结
本公开涉及APT识别技术领域，尤其涉及一种APT软件家族识别方法、装置及电子设备。所述方法包括：提取各已知APT软件的运行特征；根据各已知APT软件的运行特征，采用Apriori算法计算各已知APT软件之间的关联规则；根据各已知APT软件之间的关联规则得到APT家族认定结果；根据APT家族认定结果识别未知APT软件的所属APT家族。以此方式，可以通过对APT软件家族的认定，快速确定APT软件的行为特征、来源、防御方法等信息，提高处理网络APT攻击，渗透等非法行为的效率。

技术研发人员：杨星,沈传宝,纪守领,吴志勇,张旭鸿,许颢砾,蒲誉文,梁振宇,刘加瑞,马维士
受保护的技术使用者：北京华云安信息技术有限公司
技术研发日：
技术公布日：2024/1/12