CN112187716A - 一种网络攻击中恶意代码的知识图谱展示方法 - Google Patents

Abstract

本发明公开了一种网络攻击中恶意代码的知识图谱展示方法，其步骤包括：1)基于OWL本体语言对目标恶意代码图谱进行建模，得到OWL本体库；然后结合OWL规则库对该OWL本体库进行OWL推理，得到新内容并确定该新内容的分类、属性和实例信息；2)根据得到的分类、属性和实例计算目标恶意代码图谱的通用度量，并根据度量结果计算各节点的重要性对目标恶意代码图谱过滤；然后对目标恶意代码图谱进行不同实体间的关联分析，计算关联度；并计算恶意代码间的相似度；3)对目标恶意代码图谱中的恶意代码进行家族分类，然后在分类信息更新后的目标恶意代码图谱上进行恶意代码评估值计算；然后对目标恶意代码图谱进行分层的布局和渲染展示。

Description

一种网络攻击中恶意代码的知识图谱展示方法

技术领域

本发明涉及网络空间安全领域和知识图谱技术领域，具体涉及一种基于OWL的网络攻击中恶意代码的知识图谱展示方法。

背景技术

网络攻击(Cyber Attacks，也称赛博攻击)是指针对计算机信息系统、基础设施、计算机网络或个人计算机设备的，任何类型的进攻动作。网络攻击可以是对计算机或计算机网络的恶意篡改破坏、未经授权的访问窃取信息或者通过某种手段使其丧失本该具有的功能服务等等，而网络攻击中的恶意代码就是在网络攻击过程中帮助攻击者实现网络攻击的手段工具，以计算机程序(代码)的形式存在。

随着互联网的发展，网络攻击越来越泛滥，网络攻击技术日益复杂。网络攻击从最初自发式、分散式攻击转向专业化的有组织行为，于此同时恶意代码也展现出专业化、目的商业化、行为组织化等趋势。随着恶意代码逐渐复杂化，代码的多变性、隐蔽性增加，使得检测、预防以及追踪变得更为困难。为了应对这一现状，现阶段的做法是通过对恶意代码进行特征提取，包括静态、动态行为特征，整体学习评估后建立相应的检测模型，通过检测模型判断代码的恶意性以及家族性。而恶意代码更新极为迅速，为了能保证识别的准确率，会及时的学习新型恶意代码用于更新检测模型。通常的学习方式是借助机器学习、深度学习以及关联分析等现有技术实现的。而现有的恶意代码研究侧重于行为分析和分类研究，展示也侧重于具体节点间的关系，缺少对整体代码的不同性能的总结和直观展示。

知识图谱以其直观有效的表达实体关系的优势，可以表达复杂网络，为人们提供了从“关系”的角度分析问题的能力。强大的表达能力和可扩展、可推理性，可以使恶意代码的关联关系直观表达，并为其进一步的推理分析提供了技术基础。知识图谱近几年的发展迅速，研究出结合卷积神经网络的图学习方法，从CNN到GCN的演变经历了几年后，Semi-Supervised GCN的出现为图谱的学习训练提供了架构支持，随后进一步的研究针对GCN的不足做出了不同的改进，如GAT、GraphSAGE等典型例子为图卷积技术的进一步成熟奠定了方向基础。知识图谱的通过三元组形式保存到知识库中，进行进一步计算分析操作。从RDF到现在的OWL(Web Ontology Language)，作为核心的语义网技术，为网络本体的构建提供了丰富的建模原语。本体是一组精确的描述性陈述，用声明性的逻辑方式描述一个事务的状态。OWL除了拥有像RDFs一样灵活的数据建模能力之外，还提供了一套可以帮助计算机进行自动推理的功能强大的词汇。通过定义类以及类的属性来形式化某个领域，定义个体并说明它们之间的属性，在OWL语言的形式化语义允许的层次上对类和个体进行推理实现OWL推理机功能。OWL的出现作为扩展弥补了RDFs的不足，其较强的表达能力、快速灵活的数据建模能力和高效的自动推理，成为了知识图谱语义网络描述的不二选择，同时为不同领域的推理提供了可依赖推理机架构。

可视化将抽象的数据映射为图形元素,并以人机交互手段作为辅助,帮助用户有效地感知和分析数据。现有的图形可视化工具有Gephi、Tom Sawyer Perspectives、GraphX等集成好的高级可视化软件，操作体验更高效，但可定制性较低；也有D3等基础工具，只对一些基本算法进行了封装，使用灵活可以实现丰富的定制化效果，但使用复杂性较高。图谱可视化工具的基础功能一般包括：布局、分割、排序、过滤、统计。布局常用的力导向图(SVG/Canvas)、圆形布局和胡一凡布局(Yifan Hu)等，还有图谱中心性度量、关联分析、子图抽取等常用功能。

现有的指标体系主要针对的是特定的场景，应用于特定方面。针对软交换网络从业务出发将指标体系分为属性宏观层、评估指标层、采集指标层，结合可靠性、连通性、权限、完整性和保密性指标进行评估；从性能和功能出发，性能分为主机性能和网络性能，功能分为系统功能和软件功能建立指标体系等等。通用漏洞评分系统(CVSS:CommonVulnerability Scoring System)，是一个“行业公开标准，其被设计用来评测漏洞的严重程度，并帮助确定所需反应的紧急度和重要度”，作为一套公开的评测标准，受到eBay、(Symantec)、思科(Cisco)、甲古文(Oracle)等众多厂商支援。

为了能更好的做到网络安全的防范机制，需要对网络攻击有整体的了解和把控，同时也要对网络攻击的恶意代码进行更深入的分析了解。本发明重点关注攻击过程中的恶意代码特性，针对该类知识图谱难以展示的问题结合评估指标体系，开展针对恶意代码知识图谱可视化展示的研究设计。

发明内容

本发明是一种针对网络攻击中恶意代码知识图谱可视化展示的方法。主要是在使用OWL本体语言对恶意代码建模的基础上，结合通用度量和领域针对性度量，对恶意代码的特性进行分析学习，根据恶意代码评估体系规则，对图谱进行标准形式处理后的直观展示，如图1所示。

第一部分：基于OWL本体语言对输入的网络攻击中恶意代码图谱进行建模，存入OWL本体库后结合OWL规则库进行OWL推理。首先对恶意代码进行OWL建模时，抽象出图谱实体数据集中的类、属性以及个体，本发明针对恶意代码的OWL建模类别结构如图2(a)所示，主要分为Feature(样本特征)、Family(恶意代码家族)、Organization(组织)、Address(地址)四大类。其中，样本特征如图2(b)所示，包括静态特征、动态行为，分别用于记录恶意样本在使用动静态分析时产生的特征数据，动态行为主要包括网络行为、浏览器操作、加密行为、进程操作、注册表操作、文件系统操作和设备操作；恶意代码家族类表示恶意代码的家族分类，除了木马、蠕虫等明确的分类，由于目前恶意代码的发展趋势还添加了Mix混合家族类；组织包括攻击组织和被攻击组织，用于建模攻击者和被攻击者画像，有助于恶意代码的追踪溯源；地址类由国家、地理坐标(经纬度)、IP地址和Mac地址子类组成。

属性除了简单属性需要的基础定义及其类型外，还可以定义特性及属性限制等，属性与类、个体间的映射关系以及复杂类的定义都由不同的数据集抽象建模得到。建模到OWL本体库后，根据规则库进行推理。OWL推理使用的规则除了包含原本提供的OWLFBRuleReasoner基础规则外，还包括网络攻击领域自定义规则。这些规则包括对评估属性值所需要的基础数据进行推理，如推理哪些文件行为属于文件隐藏；或者加入网络攻击领域专家约定，例如Duqu最常攻击的时间发生在周三，推出是一种军用类恶意代码等等。

第二部分：经过建模推理处理后的恶意代码图谱后，解析出其中推理得到的新内容的分类、属性、实例等信息后，将用通用度量方式对恶意代码图谱做初步计算操作，通过统计度量，中心性度量、过滤等方法来去除冗余和筛选主要节点作为展示，结合已有的关联分析方法初步对图谱进行分析计算，本发明建议可以使用灰色关联分析计算关联关系，对于有明确数据指向的关系(如已知某恶意代码属于某家族)则关联关系直接置为1无需计算。同时计算不同恶意代码之间的相似度，用数据来直观的展示样本间的相似程度，为后续恶意代码同源性等研究提供依据。相似度计算具体见下述公式：

公式(1)的含义是：属性相似度中A为该目标恶意代码图谱中遍历由恶意代码a出发到没有出度节点的路径上包含的所有实体及其属性集合，B为该目标恶意代码图谱中遍历由恶意代码b出发到没有出度节点的路径上包含的所有实体及其属性集合；A_i表示集合A中的实体i的属性集合，m表示集合A中实体总数，B_j表示集合B中的实体j的属性集合，n表示集合B中实体总数；A_i～B_j为两属性值集合间的相似性比较，当A_i、B_j两节点属于同类实体时进行相似度计算，取值范围为0-1，完全相同的属性记为1，完全不同的记为0；Max(A_i～B_j|j＝1,2,…n)表示以A_i为中心，遍历集合B寻找与之对应相似度最大的B_j；然后对每个A_i的最大相似度求和，再根据A_i属性值个数归一化；

公式(2)的含义是：图结构相似度中L_zi(a→)表示恶意代码图谱中恶意代码a在深度z下的所有路径集合中的第i条路径，有向图中方向作为集合要素，k为恶意代码a的路径集合总数；L_zj(b→)表示恶意代码图谱中恶意代码b在深度z下的所有路径集合中的第j条路径，有向图中方向作为集合要素，s表示恶意代码b的路径集合总数；α_ij为a路径集合的权重系数矩阵，当构成第i条路径的边关系类别与构成第j条路径的边关系类别不同时，α_ij置为0；z取值为由恶意代码a、b节点出发到没有出度节点的最大深度值，l(a→)表示由a节点出发的一条路径,l(b→)表示由b节点出发的一条路径；分别两两比较a与b的路径集合相似程度，这里路径集合中只包含节点和边，不考虑节点属性，对于指向同一节点的两条路径相似度直接置为1，否则则比较每条路径上的节点与边的相似程度，然后乘上路径权重矩阵，最后求和得到恶意代码a和b之间的图结构相似度；

Sim(a,b)＝μ₁Entity_sim(a,b)+μ₂Stru_sim(a,b),μ₁+μ₂＝1； (3)

公式(3)包括实体相似度Entity_sim(a,b)与图结构相似度Stru_sim(a,b)，总体相似度值由两者结合权重系数得到，表示对于a来说b的相似度(中心节点为a)。

第三部分：在此基础上，借助GCN半监督框架进行家族分类，GCN部分如图3左半部分所示，输入图谱得到邻接矩阵Adj和属性维度矩阵D，结合GCN半监督学习框架进行家族分类，将图谱中已经明确识别出的家族作为标签，与未识别出的恶意代码共同训练，最终得到恶意代码分类后的家族类别概率，将最高概率且超过阈值的结果作为新的家族信息更新到图谱中。然后在分类信息更新后的图谱上进行恶意代码评估值计算。

本发明基于CIA及延伸属性对应的定义了五种基础评估性质，建议性的给出网络攻击恶意代码评估体系规则和相关定义，评估规则定义也可以根据不同图谱结构自行创建。结合上两部分建模更新后的图谱，根据图谱内容匹配评估规则中的计算公式，得到相应的评估值结果，作为恶意代码功能性能的可度量以雷达图的形式直观展示。具体如图3右半部分，首先提取图谱实体、关系信息与恶意代码评估体系匹配，如公式(4)所示，根据初始化后的系数集合带入公式4计算得到每个维度最终的评估性能值ξ；再与专家评估的结果对比得到误差值，反馈调节系数参数。对于恶意代码的总体评估结果值Δ，如公式(5)所示，取各维度属性值的加权求和值。其中评估的体系标准可根据研究的不断深入而调整改变，使用者也可以根据具体情况下期望得到的分析结果做适当调整，具体表现在公式调整和参数调整上。计算公式如下：

公式(4)中U_i～V_j是评估体系中每条规则i的具体关键词集合U_i与图谱评估节点j属性及关联节点属性集合V_j匹配，匹配相同记为1，没匹配上记为0；集合X与Y的大小分别为p、q；C_i为评估体系每条规则的分数值；σ_i为规则权重系数集合。公式(5)是对o个维度评估值计算其总体评估结果，其中X代表实际成功率，主要受网络依赖程度和设备依赖程度影响；α为系数集合，β_i为每项评估体系维度所占比例系数，整体系数之和为1；根据不同维度对整体代码的影响不同而设定，初始赋值后根据领域专家给出的评估参考值进行反馈调参；ξ为各维度评估值，与β对应得到最终的评估结果。

第四部分：布局渲染部分本发明采用全局-模块-局部的分层方式进行布局展示，由于不同层次涉及到的数据信息量不同，且关注的重点也不同，本发明在全局层次上以三维空间节点链接图的表达方式展示，二维坐标x,y代表空间位置的经纬度，坐标z表示时间维度。一组空间节点由恶意代码源节点指向攻击节点的集合表示，节点半径由该恶意代码的总体评估值大小决定，节点颜色由同源家族类别决定。主要从时空维度直观的展示恶意代码间的密切信息，为恶意代码的追踪溯源提供了帮助，对整体与发展趋势有全局性的把握。进一步的模块层次，主要展示通过上述计算得到的关联度、相似度与类别概率值。恶意代码样本特征间展示相似度，恶意代码与同源家族间由类别概率表示，恶意代码与组织、通讯地址间由不同的关联度表示。最终得到该恶意代码与其他恶意代码间，就样本相似度、组织关联度、家族概率、通讯地址关联度四个维度的热图展示(统一百分率表示)。主要展示与该恶意代码有密切关系的T个恶意代码(T为设定的阈值)，可视化的表示出这些恶意代码之间相似密切程度以及相关的关联信息，为恶意代码的同源研究提供了依据。最后在局部展示时，本设计使用节点链接图加雷达图的表达方式，可以看清恶意代码内部的各种静态、动态分析结果，以及各个属性之间的关系，雷达图展示的评估值为针对性的了解某一恶意代码的各种维度特性数值提供了方便；同时局部展示图可以满足局部信息的获取与审核，为评估值的正确性以及可延展性提供了依据和基础。

最终实现对网络攻击中恶意代码知识图谱的可视化直观展示。

附图说明

图1是本发明技术方案中的整体流程框架图。

图2是本发明技术方案中对恶意代码的OWL本体语言建模类图；

(a)是图2建模类图的一、二级分类子图部分；

(b)是图2建模类图的样本特征子图部分。

图3是本发明技术方案中针对性度量部分家族分类与体系评估的方法图。

图4是具体实施方法中第1部分恶意代码的OWL建模过程示例展示图；

(a)是图4建模过程中从基础数据提取图谱类别的子图部分；

(b)是图4建模过程中将提取出的图谱类别使用OWL建模的子图部分。

图5是具体实施方法中步骤9中两恶意代码样本特征间相似度计算示例图。

图6是具体实施方法中步骤12依赖的恶意代码评估体系架构图；

(a)是图6中整体架构及执行性、更新力和实战因素的具体展开内容的子图部分；

(b)是图6中破坏性的具体展开内容的子图部分；

(c)是图6中持久性的具体展开内容的子图部分。

图7是具体实施方法中第4部分展示效果图的布局渲染层次关系图。

图8是具体实施方法中第14步生成的模块展示效果图。

图9是具体实施方法中第15步生成的局部展示效果图。

具体实施方式

为了更加具体的阐述本发明的技术方案，进一步理解本发明的真实目的和实际意义，接下来将就样例数据集(规模较小)，结合附图解释具体的展示步骤。具体理解为接下来描述的具体实施方法仅用以解释本发明，并不用于限定本发明。

第1部分：恶意代码图谱OWL本体语言建模

步骤1，输入需要可视化展示的恶意代码图谱，采用OWL本体语言对恶意代码图谱进行建模。首先是对恶意代码图谱中的类进行建模，输入图如图4(b)所示，建模生成Malware(恶意代码)、Family(恶意代码家族)、Organization(组织)、Feature(样本特征)和Address(通讯地址)。进一步Feature类又抽象出静态特征Mal-Static、动态行为子类Mal-Behavior，其中动态行为类，又包含文件系统子类和网络特征子类，Address类包括子类IP、坐标(经纬度)、国家和mac等等。具体类别参考图2。

步骤2，根据抽象出的类，继续建模属性关系，如图4(a)所示。以Malware为例，其中Mal-MD5就是它的一个属性；Mal-Static(静态特征)包含文件大小、编译时间等属性。而属性又分数据类属性(即类内包含的属性，如图国家名属性)和对象属性(即类间属性，指对象与对象间的属性这里的对象属性将对应图谱中实体间的关系，如图4中通讯地址、关联家族等)。数据类型属性的数据类型可以定义为int、string等，表示为xsd:int、xsd:string。其他细节定义参考OWL标准规则，包括本体结构等。

步骤3，将图谱原始数据依据上述步骤1、2定义的模型，从具体数据中抽取出实体(Class)、实体间的关系(ObjectProperty)、实体各自的属性(DatatypeProperty)和实体所属的类别(literal)，完成统一的OWL语言描述转化，存入OWL本体库中。并结合OWL规则进行推理，使用jena fuseki除了OWLFBRuleReasoner基础规则外，还可以添加网络攻击领域的自定义规则，将规则写入.ttl文件，调整配置文件完成OWL推理。这部分主要添加为后续评估值所需的数据支持的推理规则，例如在文件操作中匹配到了index.dat文件，那么在自定义规则中将与index.dat有关的恶意代码推理为具有隐私窃取的能力，或者恶意代码评估体系中计算破坏性需要评估代码的控制能力，其中包括判断权限获取能力，如图6(b)下半部分，就可以通过建立已有数据中的文件操作(读写)等信息对应到控制读权限还是写权限等评估规则的推理关系来实现等等。

步骤4，根据OWL建模结果定义的类、属性和类的个体，对恶意代码图谱推理后获得的图谱进行分类、属性、实例的解析。

第2部分：恶意代码通用度量计算

步骤5，根据解析获得的图谱类、属性、实例进行通用度量，首先是进行基本的统计度量，包括degree(平均度)、weightedDegree(平均加权度)等等，用于衡量节点和边的重要性。将运算结果存入节点属性中，供过滤分析使用。

步骤6，进行进一步的中心性度量，使用公知方法主要有度中心性(DegreeCentrality)、中介中心性(Between Centrality)、接近中心性(Closeness Centrality)、特征向量中心性(Eigenvector Centrality)、离心率等等，用于度量节点的重要程度。这些方法皆为可选方法，可根据不同需求选择不同的通用度量方法来描述节点边的重要性。

步骤7，根据步骤5和步骤6计算得到的度量结果，自行设置每种度量值所占的权重，或者选择默认权重都为1，加权求和计算节点的重要性。对低于重要性阈值的节点进行过滤操作，即过滤掉该节点，来降低图谱复杂程度。低重要性的定义阈值选择可由专家给出也可根据用户自由选择。

步骤8，进行关联分析，计算恶意代码与相关组织和地址的关联程度。可以采用其他公知的关联分析方法进行计算，本发明默认使用灰色关联分析计算关联关系，并且对于产生明确数据指向的关联关系直接置为1，如已有明确证据数据表明某恶意代码是由某APT组织产生的，无需进行关联度计算。

步骤9，根据步骤7筛选过滤后的图谱，进行样本特征相似度计算。依据公式(1)、公式(2)和公式(3)计算不同恶意样本间存在的相似度，以边属性的形式存入图谱。如图5所示图中计算得：

Sim(a,b)＝μ₁Pro_sim(a,b)+μ₂Stru_sim(a,b)≈55.3％,(μ₁＝μ₂＝0.5)

第3部分：恶意代码针对性度量计算

步骤10，用步骤7过滤后的图谱计算同源家族概率。首先得到图谱的节点集与边集G＝(V,E)，生成邻接矩阵A和属性维度矩阵D输入GCN半监督学习架构中进行分类学习。将图谱数据中已有明确所属家族边的恶意代码，作为带家族标签的样本与未识别出的恶意代码样本共同训练，得到分类后对不同家族的类别概率，以边属性的形式存到图谱中。若最大类别概率超过规定阈值，将作为新的家族信息，即直接存为“所属家族”边，进一步更新图谱。

步骤11，本发明提供了一种评估体系如图6所示，恶意代码评估体系参考CIA(机密性(Confidentiality)、完整性(Integrity)、可用性(Availability))，延伸设计出破坏性、持久性、执行性、更新力和实战因素五个维度。破坏性包括窃取能力、破坏能力和控制能力分别对应机密性、完整性和可用性；持久性则是指该恶意代码的持久能力，包括传播能力、隐蔽能力等持久性技术；执行性则是重点在代码和技术性上，例如利用什么样的漏洞，加解密技术等等；而更新力则是结合家族与组织特性分析未来该恶意代码可扩展的空间(后续实力)，包括人为因素，例如所属组织近期的活跃性；以及该恶意代码的代码因素，包括代码可扩展、可复用性等等。最后的实战因素是该恶意代码攻击的成功率，主要由网络和具体设备影响。

步骤12，根据步骤10更新后的图谱，提取图谱中的节点属性信息结合恶意代码评估值体系，计算评估值。依据具体定义公式(4)、公式(5)进行评估值计算，首先提取评估的恶意代码相关的图谱实体关系信息与恶意代码评估体系内容带入公式(4)，总体评估结果值取各维度属性值的加权求和值，见公式(5)。利用初始化系数公式计算出评估属性值，按照步骤11提供的评估体系则是计算得到五个维度的评估值和最终的整体恶意代码评估值。

步骤13，将步骤12得到的五个维度的评估值和最终整体评估值与专家评估结果进行比较，产生的误差作为反馈，重新修改评估规则中的规则权重系数(反馈调参)后再进行下一个恶意代码的评估值计算。

第4部分：恶意代码图谱展示的布局/渲染部分

将上述步骤处理过后的图谱进行布局/渲染展示，本发明提出分3层进行展示，具体的层次结构如图7所示，包括全局、模块、局部布局/渲染。每层所展示的数据不同，展示的重点也各有不同。

步骤14，在局部布局渲染中展示具体的恶意代码之间的属性联系，如图8所示，以节点链接图结合雷达图的形式，清晰的展示局部恶意代码类、实例、不同属性的关系。用雷达图直观的展示步骤12根据恶意代码评估体系得到的各个维度的评估值。这部分展示主要以一个恶意代码为中心展示它的相关子类节点，这里展示的家族、组织和地址关系为确定关系(度量数值大于阈值或由真实数据提供)，经过图谱建模处理后的节点关系等变得有层次规律。

步骤15，第二部分模块则是以某一恶意代码为主，结合步骤8、9、10的关联分析、相似度计算和家族概率计算，展示该代码通过组织、家族、地址和样本特征关联到的其他恶意代码，如图9所示。得到以该恶意代码为中心的相关T个代码(T为设定阈值)，以节点链接图结合热图的表达方式。热图可以直观的看出该中心恶意代码与其他样本在不同衡量维度的同源性关系，即关联相似程度，其中样本相似度是指对相对于a来说的，关联度和概率需要两个恶意代码针对该维度度量值的乘积，即^2。

步骤16，全局采用节点链接图的表达形式如图7上部分，x轴表示地理经度，y轴表示地理纬度，z轴表示时间维度，球体半径由恶意代码评估值大小决定，球体颜色由恶意代码所属类别家族决定。

步骤17，最终完成网络攻击中恶意代码图谱的可视化展示。

尽管为说明目的公开了本发明的具体内容、实施算法以及附图，其目的在于帮助理解本发明的内容并据以实施，但是本领域的技术人员可以理解：在不脱离本发明及所附的权利要求的精神和范围内，各种替换、变化和修改都是可能的。本发明不应局限于本说明书最佳实施例和附图所公开的内容，本发明要求保护的范围以权利要求书界定的范围为准。

Claims (10)

1.一种网络攻击中恶意代码的知识图谱展示方法，其步骤包括：

1)基于OWL本体语言对目标恶意代码图谱进行建模，得到OWL本体库；然后结合OWL规则库对该OWL本体库进行OWL推理，从该目标恶意代码图谱中推理得到新内容并确定该新内容的分类、属性和实例信息；

2)根据得到的分类、属性和实例计算该目标恶意代码图谱的通用度量，并根据度量结果计算该目标恶意代码图谱中各节点的重要性和去除冗余节点；过滤掉重要性低于设定阈值的节点，然后对过滤后的该目标恶意代码图谱进行不同实体间的关联分析，计算关联度；并计算恶意代码间的相似度，以边属性的形式存入该目标恶意代码图谱；

3)对过滤后的该目标恶意代码图谱借助图卷积进行恶意代码的家族分类，得到该目标恶意代码图谱中每个恶意代码的家族类别概率；然后在分类信息更新后的该目标恶意代码图谱上进行恶意代码评估值计算；然后对处理后的该目标恶意代码图谱进行分层的布局和渲染展示。

2.如权利要求1所述的方法，其特征在于，得到所述OWL本体库的方法为：

11)对该目标恶意代码图谱中的类进行建模，生成类恶意代码Malware、样本特征Feature、恶意代码家族Family、组织Organization和通讯地址Address；

12)根据步骤11)抽象出的类，继续建模属性和关系，得到每一类具有的属性类别和各类别间的关系定义；

13)依据步骤11)生成的类和步骤12)得到的属性和关系定义，从该目标恶意代码图谱提取相关具体内容并转换为OWL语言描述，存入OWL本体库中。

3.如权利要求1所述的方法，其特征在于，恶意代码a、b之间的相似度Sim(a,b)＝μ₁Entity_sim(a,b)+μ₂Stru_sim(a,b)；其中，Entity_sim(a,b)为恶意代码a、b之间的实体相似度，Stru_sim(a,b)为恶意代码a、b之间的图结构相似度，μ₁、μ₂为权重系数。

4.如权利要求3所述的方法，其特征在于，

A为该目标恶意代码图谱中遍历由恶意代码a出发到没有出度节点的路径上包含的所有实体及其属性集合，B为该目标恶意代码图谱中遍历由恶意代码b出发到没有出度节点的路径上包含的所有实体及其属性集合；A_i表示集合A中的实体i的属性集合，m表示集合A中实体总数，B_j表示集合B中的实体j的属性集合，n表示集合B中实体总数；A_i～B_j为两属性值集合间的相似性比较，当A_i、B_j两节点属于同类实体时进行相似度计算，取值范围为0-1，完全相同的属性记为1，完全不同的记为0；Max(A_i～B_j|j＝1,2,…n)表示以A_i为中心，遍历集合B寻找与之对应相似度最大的B_j；然后对每个A_i的最大相似度求和，再根据A_i属性值个数归一化。

5.如权利要求3所述的方法，其特征在于，

∑α_ij＝1,z＝Max(Deep[l(a→)],Deep[l(b→)])；其中，L_zi(a→)表示恶意代码图谱中恶意代码a在深度z下的所有路径集合中的第i条路径，有向图中方向作为集合要素，k为恶意代码a的路径集合总数；L_zj(b→)表示恶意代码图谱中恶意代码b在深度z下的所有路径集合中的第j条路径，有向图中方向作为集合要素，s表示恶意代码b的路径集合总数；α_ij为a路径集合的权重系数矩阵，当构成第i条路径的边关系类别与构成第j条路径的边关系类别不同时，α_ij置为0；z取值为由恶意代码a、b节点出发到没有出度节点的最大深度值，l(a→)表示由a节点出发的一条路径，l(b→)表示由b节点出发的一条路径；分别两两比较a与b的路径集合相似程度，这里路径集合中只包含节点和边，不考虑节点属性，对于指向同一节点的两条路径相似度直接置为1，否则则比较每条路径上的节点与边的相似程度，然后乘上路径权重矩阵，最后求和得到恶意代码a和b之间的图结构相似度。

6.如权利要求1所述的方法，其特征在于，设置破坏性、持久性、执行性、更新力和实战因素五个维度，从该目标恶意代码图谱中提取节点属性信息，计算得到每个维度的评估值ξ；然后对各维度评估值进行加权求和得到各节点对应恶意代码的总体评估值Δ。

7.如权利要求6所述的方法，其特征在于，所述评估值

其中U_i～V_j是评估体系中每条i规则的具体关键词集合U_i与节点j的属性及关联节点属性集合V_j的匹配结果，如果匹配则记为1，否则记为0；集合X的大小分别为p，集合Y的大小为q；C_i为评估体系每条规则的分数值；σ_i为规则权重系数集合；

X代表实际成功率，α为系数集合，β_i为每项评估体系维度所占比例系数。

8.如权利要求1所述的方法，其特征在于，计算该目标恶意代码图谱中恶意代码与相关组织或地址的关联程度；采用全局-模块-局部的分层方式进行布局展示，其中在全局层次上以三维空间节点链接图的表达方式展示，二维坐标x,y代表空间位置的经纬度，坐标z表示时间维度；一组空间节点由恶意代码源节点指向攻击节点的集合表示，节点半径由该恶意代码的总体评估值大小决定，节点颜色由同源家族类别决定；在模块层次上，展示恶意代码之间的相似度、恶意代码与相关组织或地址的关联程度和恶意代码与家族间的类别概率值，得到以某一恶意代码为中心与其他T个恶意代码间关于样本相似度、组织关联度、家族概率、通讯地址关联度四个维度的热图展示；在局部层次上，使用节点链接图加雷达图的表达方式，展示恶意代码内部的各种静态、动态分析结果，以及各个属性之间的关系，雷达图展示了恶意代码依据评估体系得到的五个维度的评估值。

9.如权利要求1所述的方法，其特征在于，所述通用度量包括统计度量和中心性度量；所述统计度量包括平均度degree、平均加权度weightedDegree。

10.如权利要求1所述的方法，其特征在于，所述关联分析为恶意代码与组织、通讯地址之间的关联分析。

Images