随着互联网的高速发展和应用,恶意软件的数量和种类不断增长。近年来,具有国家或黑客组织背景的恶意代码成为网络空间安全的严重威胁,恶意软件的组织溯源已成为国内外安全人员关注的焦点之一。对恶意软件的作者组织进行溯源,不仅有利于理解犯罪组织的手法,从而制定更好的防御策略;而且有助于积累犯罪证据、震慑相关黑客组织,从根本上遏制恶意软件的产生。目前,安全从业人员主要通过人工手段对恶意软件进行组织溯源,而自动化的组织溯源技术刚刚起步。恶意软件的组织特征研究,是基于机器学习的组织溯源技术的基础,具有重要的研究价值。本文深入研究Windows平台恶意软件的组织特征及其特征工程方法,包括组织特征的提取和表示方法。本文研究恶意软件的静态组织特征,无需借助沙箱以运行恶意软件。恶意代码的组织特征不仅包括代码编程风格特征,还包括其开发工具链的特征,因此本文提出多级别多粒度的恶意软件组织特征,包括指令级、基本块级、函数级和文件级的特征。本文开发上述组织特征的特征提取算法和工具,并将组织特征表示成特征向量。本文进而构建基于决策树的Light GBM分类模型,并基于消融实验和互信息法进行特征选择,从而获得能有效地用于组织溯源的恶意软件组织特征。本文建立一个带有组织标签的高级持续威胁(APT)软件数据集,并通过对比实验验证所构建的组织特征的有效性。实验结果表明,与现有的APT恶意软件组织溯源方法所使用的组织特征相比,本文所构建的组织特征可使恶意软件的组织溯源分类达到更好的分类效果。本文将公开所建立的带组织标签的恶意软件特征数据集,供研究社区共享。