一种木马文件溯源方法、系统及设备技术方案

本发明专利技术公开了一种木马文件溯源方法、系统及设备，通过三因子模型分析从多角度、多形态、多层次刻画了木马文件的基因特征，为木马文件溯源提供了更全面、更精准的木马指纹数据，提高了木马文件的分析、识别能力，为木马文件溯源提供了更完备的数据资源。并且与云端黑客指纹档案库联动，能够结合黑客组织的行为习惯，进行木马文件的关联与溯源，拓展了木马文件的分析维度，能够识别隐藏更深、设计更巧的木马文件并溯源。另外，采用多源数据综合评判的木马文件溯源方法，真正实现了多源数据的融合、关联与应用，能够识别高级别、复杂木马样本，具备更精准的判定和溯源能力。

A Trojan Horse Document Traceability Method, System and Equipment

The invention discloses a Trojan horse file traceability method, system and equipment, describes the gene characteristics of the Trojan horse file from multiple angles, multi-forms and multi-levels through three-factor model analysis, provides more comprehensive and accurate Trojan horse fingerprint data for the Trojan horse file traceability, improves the analysis and identification ability of the Trojan horse file, and provides more complete data resources for the Trojan horse file traceability. \u3002 And linked with cloud-based hacker fingerprint archives, it can combine the hacker organization's behavior habits, carry out the association and traceability of Trojan Horse files, expand the analysis dimension of Trojan Horse files, and identify and trace the deeper, more skillful design of Trojan Horse files. In addition, the Trojan Horse file Traceability Method Based on multi-source data comprehensive evaluation is used to realize the fusion, Association and application of multi-source data. It can identify high-level and complex Trojan Horse samples, and has more accurate judgment and traceability.

【技术实现步骤摘要】
一种木马文件溯源方法、系统及设备
本专利技术涉及木马文件溯源
，具体涉及一种木马文件溯源方法、系统及设备。
技术介绍
木马文件溯源，当前主要有两种主流技术方法，一是特征匹配分析方法，二是沙箱检测分析方法。特征匹配分析方法，一般通过文件Hash值、木马上线域名、回联地址等关键信息项刻画木马特征，并将其作为关键指标进行木马文件的识别与溯源。沙箱检测分析方法，利用Sandboxie(沙箱，网络编程虚拟执行环境)创造一种按照安全策略限制程序行为的执行环境，当文件在沙箱运行时拦截系统调用监视程序运行状态，当发现文件执行的操作与文件正常行为不一致时，如打开后缀.doc的文件出现install操作，记录可疑行为，并将此作为木马文件的判定溯源依据。随着木马技术的发展，现有溯源技术方法已不能有效识别进行了特征混淆、加壳免杀、防护规避处理的木马文件。目前的木马文件溯源技术存在以下不足：1、检测来源单一：检测依据和指标来源于从木马文件中抽取的有限的静态特征集合，来源单一。2、检测手段简单：沙箱方法支持动态检测，但检测手段不够全面。通过不一致操作识别可疑行为的方法会存在漏报、误报，影响检测结果，需进行更全面的行为分析才能够保证动态检测的有效性。3、溯源方法落后：不能结合黑客组织的行为习惯进行木马文件溯源，不能实现精准定位溯源。4、数据孤立使用：缺乏各特征集合的数据关联和融合，不能实现数据综合分析。5、缺乏有效的自学习机制，不具备大数据样本训练和实时动态调整能力。
技术实现思路
本专利技术实施例的目的在于提供一种木马文件溯源方法、系统及设备，用以解决现有木马文件溯源技术由于检测来源单一、检测手段简单、溯源方法落后、数据孤立使用导致不能有效识别进行了特征混淆、加壳免杀、防护规避处理的木马文件的问题。为实现上述目的，本专利技术实施例提供了一种木马文件溯源方法，所述方法包括：接收新采样木马文件；对新采样木马文件进行样本数据解析；提取标签项作为木马文件基因特征；及将提取的标签项发送至云端威胁情报中心服务器进行三因子模型分析与综合评判，判明采样木马文件的基因属性和来源。本专利技术实施例具有如下优点：将三因子模型分析与综合评判以及判明采样木马文件的基因属性和来源放在云端，极大地提高了木马文件的采样以及样本数据解析以提取标签项的速度及效率。本专利技术实施例还提供的一种木马文件溯源方法，所述方法包括：从木马文件基因特征提取终端接收提取的标签项；从多源信息库获取多源数据信息，所述多源数据信息包括刻画木马文件的静态文件特征、隐态思维特征和动态行为特征；依据三因子模型所包含基因项对新采样木马文件进行特征匹配分析，形成新的木马文件基因；采用多源数据综合评判算法进行综合评判打分和阈值计算，输出计算结果判明新采样木马文件的基因属性；及访问云端黑客指纹档案库获取黑客组织信息和木马基因数据，判明新采样木马文件的来源；其中，所述采用多源数据综合评判算法进行综合评判打分和阈值计算之前，所述方法包括，基于新的木马文件基因进行多源数据融合。本专利技术实施例具有如下优点：通过三因子模型分析从多角度、多形态、多层次刻画了木马文件的基因特征，为木马文件溯源提供了更全面、更精准的木马指纹数据，提高了木马文件的分析、识别能力，为木马文件溯源提供了更完备的数据资源。并且与云端黑客指纹档案库联动，能够结合黑客组织的行为习惯，进行木马文件的关联与溯源，拓展了木马文件的分析维度，能够识别隐藏更深、设计更巧的木马文件并溯源。另外，采用多源数据综合评判的木马文件溯源方法，真正实现了多源数据的融合、关联与应用，能够识别高级别、复杂木马样本，具备更精准的判定和溯源能力。本专利技术实施例的另外一方面，还提供了一种木马文件溯源系统，所述系统应用于木马文件基因特征提取终端，所述木马文件基因特征提取终端与云端威胁情报中心服务器通过有线或无线网络通信连接，所述系统包括：采样模块，用于接收新采样木马文件；样本数据解析模块，用于对新采样木马文件进行样本数据解析；基因特征提取模块，用于提取标签项作为木马文件基因特征；及特征数据发送模块，用于将提取的标签项发送至云端威胁情报中心服务器进行三因子模型分析与综合评判，判明采样木马文件的基因属性和来源。本专利技术实施例具有如下优点：将三因子模型分析与综合评判以及判明采样木马文件的基因属性和来源放在云端进行，将木马文件的采样以及样本数据解析以提取标签项单独由木马文件基因特征提取终端执行，使木马文件基因特征提取终端的系统更加简化，极大地提高了木马文件基因特征提取终端的处理速度及工作效率。本专利技术实施例的另外一方面，还提供了一种木马文件溯源系统，所述系统应用于云端威胁情报中心服务器，所述云端威胁情报中心服务器分别与木马文件基因特征提取终端、云端黑客指纹档案库通过有线或无线网络通信连接，所述云端威胁情报中心服务器与多源信息库通过有线或无线网络通信连接或所述云端威胁情报中心服务器中内嵌有多源信息库，所述系统包括：特征数据接收单元，用于从木马文件基因特征提取终端接收提取的标签项；多源数据信息获取单元，用于从多源信息库获取多源数据信息，所述多源数据信息包括刻画木马文件的静态文件特征、隐态思维特征和动态行为特征；三因子模型分析单元，用于依据三因子模型所包含基因项对新采样木马文件进行特征匹配分析，形成新的木马文件基因；综合评判单元，用于基于新的木马文件基因进行多源数据融合；并采用多源数据综合评判算法进行综合评判打分和阈值计算，输出计算结果判明新采样木马文件的基因属性；及溯源单元，用于访问云端黑客指纹档案库获取黑客组织信息和木马基因数据，判明新采样木马文件的来源。本专利技术实施例具有如下优点：通过三因子模型分析从多角度、多形态、多层次刻画了木马文件的基因特征，为木马文件溯源提供了更全面、更精准的木马指纹数据，提高了木马文件的分析、识别能力，为木马文件溯源提供了更完备的数据资源。并且与云端黑客指纹档案库联动，能够结合黑客组织的行为习惯，进行木马文件的关联与溯源，拓展了木马文件的分析维度，能够识别隐藏更深、设计更巧的木马文件并溯源。另外，采用多源数据综合评判的木马文件溯源方法，真正实现了多源数据的融合、关联与应用，能够识别高级别、复杂木马样本，使应用于云端威胁情报中心服务器的系统具备更精准的判定和溯源能力。本专利技术公开的实施例的另外一方面，还提供了一种木马文件溯源设备，所述设备包括：木马文件基因特征提取终端，所述木马文件基因特征提取终端存储有计算机程序指令，所述计算机程序指令用于执行如下所述的方法：接收新采样木马文件；对新采样木马文件进行样本数据解析；提取标签项作为木马文件基因特征；及将提取的标签项发送至云端威胁情报中心服务器进行三因子模型分析与综合评判，判明采样木马文件的基因属性和来源；云端威胁情报中心服务器，所述云端威胁情报中心服务器存储有计算机程序指令，所述计算机程序指令用于执行如下所述的方法：从木马文件基因特征提取终端接收提取的标签项；从多源信息库获取多源数据信息，所述多源数据信息包括刻画木马文件的静态文件特征、隐态思维特征和动态行为特征；依据三因子模型所包含基因项对新采样木马文件进行特征匹配分析，形成新的木马文件基因；采用多源数据综合评判算法进行综合评判打分和阈值计算，输出计算结果判明新采样木马文件的基本文档来自技高网...

【技术保护点】
1.一种木马文件溯源方法，其特征在于，所述方法包括：接收新采样木马文件；对新采样木马文件进行样本数据解析；提取标签项作为木马文件基因特征；及将提取的标签项发送至云端威胁情报中心服务器进行三因子模型分析与综合评判，判明采样木马文件的基因属性和来源。

【技术特征摘要】
1.一种木马文件溯源方法，其特征在于，所述方法包括：接收新采样木马文件；对新采样木马文件进行样本数据解析；提取标签项作为木马文件基因特征；及将提取的标签项发送至云端威胁情报中心服务器进行三因子模型分析与综合评判，判明采样木马文件的基因属性和来源。2.一种木马文件溯源方法，其特征在于，所述方法包括：从木马文件基因特征提取终端接收提取的标签项；从多源信息库获取多源数据信息，所述多源数据信息包括刻画木马文件的静态文件特征、隐态思维特征和动态行为特征；依据三因子模型所包含基因项对新采样木马文件进行特征匹配分析，形成新的木马文件基因；采用多源数据综合评判算法进行综合评判打分和阈值计算，输出计算结果判明新采样木马文件的基因属性；及访问云端黑客指纹档案库获取黑客组织信息和木马基因数据，判明新采样木马文件的来源；其中，所述采用多源数据综合评判算法进行综合评判打分和阈值计算之前，所述方法包括，基于新的木马文件基因进行多源数据融合。3.如权利要求2所述的方法，其特征在于，所述依据三因子模型所包含基因项对新采样木马文件进行特征匹配分析，包括：静态指纹分析；隐态指纹分析；及动态行为指纹分析；其中，所述三因子模型从静态指纹基因、隐态指纹基因和动态行为指纹基因三个角度刻画木马文件的溯源基因，所述静态指纹基因、所述隐态指纹基因和所述动态行为指纹基因分别刻画木马文件的静态文件特征、隐态思维特征和动态行为特征。4.如权利要求3所述的方法，其特征在于，所述静态指纹基因包括如下6个标签项：PE文件基本信息标签、编译信息标签、数字签名信息标签、窗口资源信息标签、PDB路径标签、导出函数标签；所述隐态指纹基因包括如下3个标签项：自有算法标签、功能函数标签、编程习惯及风格标签；及所述动态行为指纹基因包括如下10个标签项：基础标签、窗口资源标签、注入类型标签、键盘记录标签、网络事件标签、主动攻击标签、自启动标签、自拷贝标签、文件属性标签、系统属性标签。5.如权利要求4所述的方法，其特征在于，每个标签项包含一个或多个资源项及木马文件检测及溯源中的若干数据指标，各个标签项覆盖的主要数据指标如下列表所述：6.如权利要求2至5中任一项所述的方法，其特征在于，所述方法还包括：采用机器学习算法进行样本学习和数据调整，原始数据经大量已知样本训练后各项数值趋近最优化形成溯源分析模型；通过溯源分析模型对最新木马文件分析结束后，提供木马样本和反馈结果至样本训练，整理数据、调整规则，并实时输出溯源分析模型；及通过样本分析、样本训练的内部循环自动实现样本处理和新规则学习，完成自动化木马文件检测及溯源。7.一种木马文件溯源系统，其特征在于，所述系统应用于木马文件基因特征提取终端，所述木马文件基因特征提取终端与云端威胁情报中心服务器通过有线或无线网络通信连接，所述系统包括：采样模块，用于接收新采样木马文件；样本数据解析模块，用于对新采样木马文件进行样本数据解析；基...

【专利技术属性】
技术研发人员：刘庆林，魏海宇，刘海洋，吴小勇，白应东，熊文砚，谢辉，
申请(专利权)人：北京中睿天下信息技术有限公司，
类型：发明
国别省市：北京,11