目前恶意代码检测方法的研究主要集中在特征表示上,如恶意代码的API调用序列、程序控制流图等,这些方法虽然取得了一定的效果,但可读性和可解释性较差,不利于人们理解恶意代码的行为。本文通过构建恶意代码知识图谱的方法提高恶意代码检测的效果和可解释性,知识图谱是一种由实体和关系组成的知识库,具有形式简洁、可解释性强等特点,经过近几年的快速发展,知识图谱已经运用到了各行各业中,如搜索引擎、推荐系统、智能问答系统等。在恶意代码检测领域,由于知识图谱是由离散的三元组构成的,不能直接运用到恶意代码家族检测等下游任务中,这些任务要求数据以向量的形式作为输入。为了把知识图谱中的实体和关系表示为向量,研究人员提出了知识图谱嵌入技术,但传统的知识图谱嵌入模型只考虑单一的三元组,无法获取知识图谱中图的结构信息,导致模型获得的嵌入向量质量不高。为了获取知识图谱中图的结构信息,使知识图谱更好地运用于恶意代码检测,本文提出了一种结合平移距离模型和图神经网络的新型知识图谱嵌入模型Rotat SAGE。利用图神经网络,Rotat SAGE可以学习到知识图谱中图的结构信息,从而丰富学习到的恶意代码知识图谱嵌入的表达能力。虽然Rotat SAGE可以学习到图的结构信息,但并不区分中心节点的邻居的重要性,而在实际的恶意代码知识图谱中不同的邻居对中心节点的贡献是不一样的。为了区分中心节点的邻居的重要性,本文结合注意力机制提出了第二个知识图谱嵌入模型Rotat GAT。在链接预测实验中,本文提出的Rotat SAGE和Rotat GAT模型都取得了较好的实验结果,表明在传统的知识图谱嵌入模型上引入图神经网络是有效的。本文通过定义恶意代码知识图谱中的实体和关系的具体内容,构建了恶意代码知识图谱,并利用Rotat SAGE和Rotat GAT模型获得恶意代码知识图谱的向量表示,将得到的嵌入向量分别运用于恶意代码家族聚类和恶意代码家族分类两个任务。在恶意代码家族聚类任务中,利用轮廓系数等指标评估嵌入向量的质量,并进行可视化,分析嵌入向量的分布情况。在恶意代码家族分类任务中,本文使用了分类任务中常用的指标评估嵌入向量的区分度,实验结果表明本文提出的方法具有较好的类别区分能力。