1.一種基于動態行為鏈和動態特征的樣本同源分析方法，其特征在于：其步驟如下：

步驟101：收集整理已知APT組織曾使用的攻擊樣本，覆蓋可執行文件格式包括exe文件和dll文件，通過組織名分類，再分為訓練樣本集數據和測試數據集數據兩部分，分別用作訓練和測試用途；

步驟102：將訓練樣本集通過惡意家族及類型名進行分類處理，并標記樣本的家族及類型名；

步驟103：將訓練樣本集投入沙箱運行，通過動態引擎提取樣本的動態行為集合和樣本運行中暴露的IOCs信息；

步驟104：將樣本在沙箱中被捕獲到的動態行為集合按照時間順序進行排序整理，生成動態行為鏈；將通過動態沙箱執行捕獲到的樣本IOCs信息存入同源分析知識庫中；

步驟105：使用以訓練樣本集提取的行為鏈訓練同源分析決策樹模型；

步驟106：測試數據集投入沙箱運行，提取行為鏈和樣本IOCs信息；

步驟107：測試數據集通過決策樹模型判斷所屬APT組織，及所屬惡意家族和類型；

步驟108：測試數據集通過同源分析知識庫模糊匹配IOCs信息，得出同源信息；

步驟109：使用權值法綜合分析決策樹判斷結果和IOCs匹配結果，得出最終同源分析結論；

其中，在步驟101中所述的APT組織，是指Advanced Persistent Threat組織，即高級持續性威脅組織及集團；所述的exe文件，是指Executable File,即可執行文件，能移植可執行文件格式的文件，能加載到內存中并由操作系統加載程序執行；所述的dll文件，是指Dynamic Link Library File，即動態鏈接庫文件，是軟件文件類型，又稱應用程序拓展；

在步驟103中所述的IOCs信息，是指樣本執行過程中暴露的受關聯文件名、網絡信息、注冊表訪問信息和進程名。