本發明公開了一種基于stacking集成的APT組織識別方法、系統及存儲介質，方法包括：使用TF?IDF算法結合n?gram從惡意軟件樣本中提取出行為特征并向量化，形成惡意行為向量特征集；基于惡意行為向量特征集，計算特征之間的相關度和特征與類別之間的卡方值，對行為向量特征集進行兩次篩選，獲得低緯度的更優特征子集數據；構建多模型融合的Stacking集成學習APT組織識別模型，利用所述APT組織識別模型對新的APT攻擊進行識別。本發明中對高維行為向量特征進行特征選擇降低了數據集的復雜度；還考慮了數據集中的樣本不平衡，采用了多模型集成訓練，提高了識別準確度；另外本專利對于惡意樣本的APT組織識別模型是經過機器學習訓練得到的，提高了新樣本的自動化識別效率。

技術領域

本發明屬于網絡安全的技術領域，具體涉及一種基于stacking集成的APT組織識別方法、系統及存儲介質。

背景技術

APT高級持續性威脅，是利用先進的攻擊手法對特定的目標進行長期持續性的網絡攻擊的攻擊形式。與傳統的網絡攻擊不同，APT攻擊具有隱蔽性、針對性、持續性和組織性等特點，其攻擊手段變化多端、攻擊效果顯著且難以防范。APT組織實施的網絡攻擊通常具有政治目的或經濟目的，對國家和企業產生了巨大影響，對各類高等級信息安全系統造成的威脅日益嚴重。對實施APT攻擊的惡意軟件樣本進行組織區分，有利于追溯真實的攻擊組織實體，更好的區分和識別具體來源的攻擊活動。另外，惡意軟件的APT組織識別是一種檢測APT攻擊的方法。

學術界和產業界對APT組織識別方法有所不同，在學術界,主要方法依賴于惡意代碼的相似性分析。例如Qiao,Yanchen等人提出了基于API調用的一種自動惡意軟件同源性識別方法。該方法通過對惡意樣本通過靜態分析獲得其API集合，然后基于編程習慣定義的六種調用行為使用Jaccard相似系數計算不同惡意軟件的同源程度，并通過經驗設立了一個閾值和該同源程度比較，得出樣本間是否相似的結論，用該方法可判斷APT樣本之間的同源度，確定所屬組織。虎志強等人對惡意樣本文件進行逆向分析獲取文件的函數，根據函數相似度對函數進行聚類得到特征集，并設定閾值，將共同類別數達到閾值的惡意樣本文件歸為一類，為歸類后的每類惡意樣本文件標記同一APT組織標識。Chen,W等人提出了一種結合惡意軟件行為知識圖譜的新基因模型。該方法首先基于節點內容建立了遺傳模型，并提取屬于各個APT組織的所有惡意軟件的基因序列，然后計算惡意軟件和基因庫之間的相似性，并根據相似性評分判斷該惡意軟件屬于哪APT組織。

而在產業界,APT組織識別更傾向于惡意代碼結構及其攻擊鏈的關聯性分析,例如FireEye實驗室于2013年對11個APT高級可持續攻擊進行分析,在攻擊所用的惡意代碼中發現了相同的代碼段、時間戳、數字證書等,基于這些收集的特征進行關聯分析,認為攻擊均是由同一個組織操縱。啟明星辰通過分析漏洞部分樣本的shellcode功能、代碼相似性作為關聯分析的特征,進而溯源到海德薇(Hedwig)組織。

上述產業界分析技術主要基于相關安全專家人工分析,受專家經驗影響較大,其次不能滿足大量樣本的需要，效率低，耗時長。學術界自動化的識別技術所依賴的靜態API函數特征會因為惡意軟件的混淆和加殼技術使得特征提取困難，另外目前的方法主要依賴已知的惡意代碼樣本,如果僅根據已有的樣本來識別變體,將可能導致識別工作低效甚至無效。

發明內容

本發明的主要目的在于克服現有技術的缺點與不足，提供一種基于stacking集成的APT組織識別方法、系統及存儲介質，可以更準確的識別出APT攻擊行為所屬的APT組織。

為了達到上述目的，本發明采用以下技術方案：

本發明提供的一種基于stacking集成的APT組織識別方法，包括下述步驟：

使用TF-IDF算法結合n-gram從惡意軟件樣本中提取出行為特征并向量化，形成惡意行為向量特征集；