基于多重异质图的恶意软件相似性度量方法

作     者：谷勇浩 王翼翡 刘威歆 吴铁军 孟国柱 GU Yong-Hao;WANG Yi-Fei;LIU Wei-Xin;WU Tie-Jun;MENG Guo-Zhu

作者机构：智能通信软件与多媒体北京市重点实验室(北京邮电大学)北京100876 北京邮电大学计算机学院北京100876 广东省信息安全技术重点实验室(中山大学)广东广州510006 绿盟科技集团股份有限公司北京100089 信息安全国家重点实验室(中国科学院信息工程研究所)北京100093 中国科学院大学网络空间安全学院北京100049 

出 版 物：《软件学报》 (Journal of Software)

年 卷 期：2023年第34卷第7期

页      面：3188-3205页

核心收录：

学科分类：08[工学] 0835[工学-软件工程] 081202[工学-计算机软件与理论] 0812[工学-计算机科学与技术（可授工学、理学学位）] 

基　　金：北京邮电大学中央高校基本科研业务费行动计划(2021XD-A11-1) 国家自然科学基金(U20B2045,U1936216) 广东省信息安全技术重点实验室开放基金(2020B1212060078) 

主　　题：恶意软件相似性 多重异质图 邻近嵌入 API关系图 模型老化 

摘      要：现有恶意软件相似性度量易受混淆技术影响,同时缺少恶意软件间复杂关系的表征能力,提出一种基于多重异质图的恶意软件相似性度量方法RG-MHPE(API relation graph enhanced multiple heterogeneous ProxEmbed)解决上述问题.方法首先利用恶意软件动静态特征构建多重异质图,然后提出基于关系路径的增强型邻近嵌入方法,解决邻近嵌入无法应用于多重异质图相似性度量的问题.此外,从MSDN网站的API文档中提取知识,构建API关系图,学习Windows API间的相似关系,有效减缓相似性度量模型老化速度.最后,通过对比实验验证所提方法RG-MHPE在相似性度量性能和模型抗老化能力等方面表现最好.