恶意代码克隆检测已经成为恶意代码同源分析及高级持续性威胁(APT)攻击溯源的有效方式。从公共威胁情报中收集了不同APT组织的样本，并提出了一种基于深度学习的恶意代码克隆检测框架，目的是检测新发现的恶意代码中的函数与已知APT组织资源库中的恶意代码的相似性，以此高效地对恶意软件进行分析，进而快速判别APT攻击来源。通过反汇编技术对恶意代码进行静态分析，并利用其关键系统函数调用图及反汇编代码作为该恶意代码的特征。根据神经网络模型对APT组织资源库中的恶意代码进行分类。通过广泛评估和与MCrab模型的对比可知，改进模型优于MCrab模型，可以有效地进行恶意代码克隆检测与分类，且获得了较高的检测率。

• 单位
  北京航空航天大学; 国家计算机网络应急技术处理协调中心