基于ATT&CK框架和Bert模型的恶意代码同源性分析方法

doi:10.3969/j.issn.1006-2475.2025.08.008

摘要/Abstract

摘要：
摘要：当前，恶意程序攻击是威胁网络空间安全的主要因素之一。通过对已知组织的恶意程序开展分析，并依托相似特征对未知恶意程序开展同源性判定，有助于识别未知恶意程序和归因攻击组织。但现有的同源性分析模型存在人工提取特征复杂度高、不适用于大规模分析场景、效率低、未深入考虑攻击行为间传递关系等问题。本文提出一种基于ATT&CK框架和Bert模型的同源性识别模型，通过ATT&CK框架中的高维度的攻击技术和战术，解决静态特征面对代码混淆、多态等情况导致的同源识别准确率低的问题。并利用Bert模型，有效融合恶意代码的多维特征，解决以循环神经网络为主的分析方法对序列建模不足的问题。实验结果表明，本文提出的方案可有效识别恶意代码间的同源性。

关键词: 关键词：恶意代码；同源性分析； ATT&, CK框架； Bert模型

Abstract:
Abstract: At present， malware attacks are one of the main threats to cyberspace security. By analyzing malicious programs from known organizations and determining the homology of unknown malicious programs based on similar characteristics， it is helpful to identify unknown malicious programs and attribution attack organizations. However， the existing homology analysis models have some problems， such as high complexity of manual feature extraction， inadaptability to large-scale analysis scenarios， low efficiency， and lack of in-depth consideration of the transmission relationship between attack behaviors. This paper proposes a homology recognition model based on the ATT&CK framework and the Bert（bidirectional encoder representation from transformers） model， which solves the problem of low homology recognition accuracy caused by code confusion and polymorphism in the face of static features through high-dimensional attack techniques and tactics in the ATT&CK framework. The Bert model is used to effectively integrate the multi-dimensional features of malicious code， and solve the problem of insufficient sequence modeling by recurrent neural network-based analysis methods. Experimental results show that the proposed scheme can effectively identify the homology between malicious codes.

Key words: Key words: malicious code； homology analysis； ATT&, CK framework； Bert model ,

中图分类号:

中图分类号：TP309

郑啸宇, 林九川, 陈文萱, 姚昕羽. 基于ATT&CK框架和Bert模型的恶意代码同源性分析方法[J]. 计算机与现代化, 2025, 0(08): 57-62.

ZHENG Xiaoyu, LIN Jiuchuan, CHEN Wenxuan, YAO Xinyu. Malicious Code Homology Analysis Method Based on ATT&CK Framework and Bert Model[J]. Computer and Modernization, 2025, 0(08): 57-62.

参考文献

［1］瑞星. 瑞星发布《2023年中国网络安全报告》病毒数量上涨15% ［EB/OL］. （2024-01-31）［2024-05-15］. https://www.freebuf.com/news/391053.html.
［2］宋文纳，彭国军，傅建明，等. 恶意代码演化与溯源技术研究［J］. 软件学报， 2019，30（8）:2229-2267.
［3］ CHEN Q， JIANG G P， XIA L L. Homology analysis of malware based on function structure［J］. Computer Engineering and Applications， 2017，53（14）:93-98.
［4］杨望，高明哲，蒋婷. 一种基于多特征集成学习的恶意代码静态检测框架［J］. 计算机研究与发展， 2021，58（5）:1021-1034.
［5］ KWON Y M， AN J J， LIM M J， et al. Malware classification using simhash encoding and PCA （MCSP）［J］. Symmetry， 2020，12（5）. DOI: 10.3390/sym12050830.
［6］ ZHOU E， HOU X L， ZHANG Z， et al. A preamble structure and synchronization method based on central-symmetric sequence for OFDM systems［C］// VTC Spring 2008 IEEE Vehicular Technology Conference. IEEE， 2008:1478-1482.
［7］赵炳麟，孟曦，韩金等. 基于图结构的恶意代码同源性分析［J］. 通信学报， 2017，38（增2）:86-93.
［8］ JIA J Y. Deep learning and open set malware classification: A survey［J］. arXiv preprint arXiv:2004.04272， 2020.
［9］陈雁佳. 恶意软件组织的开集识别模型研究［D］. 广州:暨南大学， 2020.
［10］刘亚倩. 基于开集识别的恶意代码家族同源性分析［J］. 信息安全研究， 2023，9（8）:762-770.
［11］王慧. 恶意代码同源性特征的粒子群关联分析［J］. 中国人民公安大学学报（自然科学版）， 2021，27（3）:61-65.
［12］ ZHAO B L， SHAN Z， LIU F D， et al. Malware homology identification based on a gene perspective［J］. Frontiers of Information Technology & Electronic Engineering， 2019，20（6）:801-815.
［13］ CHEN W X， HELU X H， JIN C J， et al. Advanced persistent threat organization identification based on software gene of malware［J］. Transactions on Emerging Telecommunications Technologies， 2020，31（12）. DOI: 10.1002/ett.3884.
［14］ WANG R Z， GAO J， HUANG S H. AIHGAT: A novel method of malware detection and homology analysis using assembly instruction heterogeneous graph［J］. International Journal of Information Security， 2023，22（5）:1423-1443.
［15］ ROSENBERG I， SICARD G， DAVID E O. End-to-end deep neural networks and transfer learning for automatic analysis of nation-state malware［J］. Entropy， 2018，20（5）. DOI: 10.3390/e20050390.
［16］ BOOT C. Applying Supervised Learning on Malware Authorship Attribution［D］. Radboud University Nijmegen， 2019.
［17］陈涵泊，吴越，邹福泰. 基于Asm2Vec的恶意代码同源判定方法［J］. 通信技术， 2019，52（12）:3010-3015.
［18］王润正. 基于注意力机制的恶意代码同源性研究［D］. 北京：中国人民公安大学， 2022.
［19］陈实. 基于Transformer的恶意代码分类研究与实现［D］.北京：北京邮电大学， 2022.
［20］ RAHALI A， AKHLOUFI M A. MalBERTv2: Code aware BERT-based model for malware identification［J］. Big Data and Cognitive Computing， 2023，7（2）. DOI: 10.3390/bdcc7020060.
［21］ ZHU X J， HUANG J， WANG B， et al. Malware homology determination using visualized images and feature fusion［J］. PeerJ Computer Science， 2021，7. DOI: 10.7717/peerj-cs.494.
［22］ STROM B E， APPLEBAUM A， MILLER D， et al. MITRE ATT&CK: Design and Philosophy［R］. The MITRE Corporation， 2018.
［23］杨萍，舒辉，康绯，等. 一种基于语义分析的恶意代码攻击图生成方法［J］. 计算机科学， 2021，48（增1）:448-458.
［24］葛雨玮，康绯，彭小详. 基于动态BP神经网络的恶意代码同源性分析［J］. 小型微型计算机系统， 2016，37（11）:2527-2531.
［25］ XIONG W J， LEGRAND E， ÅBERG O， et al. Cyber security threat modeling based on the MITRE Enterprise ATT&CK Matrix［J］. Software and Systems Modeling， 2022，21（1）:157-177.
［26］冀俊涛，石磊. 基于ATT&CK框架的实战分析［J］. 网络安全技术与应用， 2021（2）:6-8.
［27］张福，程度，鄢曲，等. 基于ATT&CK框架的网络安全评估和检测技术研究［J］. 信息安全研究， 2022，8（8）:751-759.
［28］ BALLENTHIN W， HUNHOFF M， GÓMEZ A M M， et al. CAPA［CP/OL］. （2024-03-15）［2024-03-24］. https://github.
com/mandiant/capa.
［29］ VX-Underground. Samples and Families［DS/OL］. （2024-03-09）［2024-03-24］.