【技术实现步骤摘要】
一种基于系统溯源图的大规模勒索软件分析方法和分析装置
[0001]本专利技术涉及一种是网络安全领域的大规模勒索软件分析技术,特别是涉及一种基于系统溯源图的大规模勒索软件分析方法和分析装置。
技术介绍
[0002]恶意软件分析技术是网络安全领域的一种重要的威胁分析技术,特别地,随着勒索软件的大规模传播能力和严重的破坏程度,针对勒索软件的大规模分析方法十分必要。随着网络攻防的博弈,勒索软件呈现出隐形化、多态化、多歧化等特点,即勒索软件常常伪装成可信的系统程序实施对用户文件的恶意加密、破坏和窃取敏感数据等行为,这对勒索软件的检测和防护带来的新的挑战。尽管不同家族的勒索软件的实现方式具有较大的差异性,但其恶意行为不可避免地与底层操作系统交互,并会被系统事件跟踪机制所捕获,因此准确而高效的自动化分析技术是当前大规模勒索软件检测和分析的关键能力之一。
[0003]当前的大规模勒索软件分析技术,通常有如下两种方法:
[0004]1.基于传统恶意代码动静态分析相结合的方法
[0005]传统的恶意代码检测和分析主要有两种方法:静态分析和动态分析。前者是指在不运行样本的情况下进行分析(如反汇编分析、反编译分析和源代码分析),属于逆向工程技术;后者是指利用系统调试工具跟踪和监控恶意代码的执行过程,进而分析恶意代码的行为。目前关于静态分析的代表性工作YARA工具,支持文本文件、二进制文件的字节序列提取,支持通配符、正则表达式等特性;而动态分析的代表性工具Cuckoo沙箱可以提取勒索软件在运行中的主机行为和网络通信行为 ...
【技术保护点】
【技术特征摘要】
1.一种基于系统溯源图的大规模勒索软件分析方法,其特征在于:其包括以下步骤:步骤101:采集大规模勒索软件样本集采集多源威胁情报中的勒索软件攻击活动报告以及勒索软件样本集,提取恶意代码分析引擎提供的勒索软件样本分析报告;步骤102:构建勒索软件分析沙箱集群构建勒索软件分析的沙箱集群,沙箱集群中提供系统级事件跟踪能力和系统事件日志采集能力;步骤103:采集勒索软件运行时的系统事件日志将步骤101中的勒索软件样本集投放到步骤102构建的沙箱集群中运行,跟踪系统事件,并将系统事件日志保存到数据库中;步骤104:过滤和裁剪系统事件日志数据检索步骤103输出的勒索软件运行时的系统事件日志,过滤和裁剪仅用于构建系统溯源图的系统事件日志子集;步骤105:事件日志标准化和归一化采用数据标准化和归一化方法,对步骤104输出的系统事件日志子集进行数据预处理;步骤106:生成勒索软件系统溯源图基于系统事件日志的时序关系,控制依赖关系和数据依赖关系,对步骤105处理后的勒索软件的系统事件日志,生成勒索软件的系统溯源图;步骤107:采用日志压缩算法优化溯源图规模采用日志压缩算法降低步骤106生成的勒索软件系统的溯源图的规模;步骤108:基于图论度量指标分析勒索软件行为基于图算法对步骤107优化的系统溯源图进行分析,计算图的度量指标,自动分析勒索软件的恶意行为特点。2.根据权利要求1所述的一种基于系统溯源图的大规模勒索软件分析方法,其特征在于:在步骤101中所述的多源威胁情报包括网络安全厂商、开源安全社区,商业付费安全大数据供应商所提供的勒索软件攻击活动报告、网络安全事件报告、入侵检测指标即Compromise of Indicator中的勒索软件样本哈希列表。在步骤101中所述的勒索软件样本分析报告包括通用恶意代码分析引擎对勒索软件的分析结果,还包括静态特征、动态行为、网络通信流量数据包。3.根据权利要求1所述的一种基于系统溯源图的大规模勒索软件分析方法,其特征在于:在步骤102中所述的提供系统级事件跟踪能力的方法如下:102
‑
1:在操作系统内核中部署或开启底层系统事件跟踪模块;102
‑
2:实时监测系统的当前状态,跟踪所有的用户态即User Mode向内核态即Kernel Mode的系统调用即Syscall,以及用户态进程间通信即Inter
‑
Process Communication,IPC;102
‑
3:将102
‑
2中的每一次系统跟踪标记为一个系统事件,并记录事件的主体、客体、时间戳、事件细节。4.根据权利要求1所述的一种基于系统溯源图的大规模勒索软件分析方法和分析装置,其特征在于:在步骤102中所述的提供系统日志采集能力的方法法如下:
102
‑
3:将系统事件跟踪模块输出的所有事件数据转换为结构化数据;102
‑
4:存储到沙箱中的本地日志文件,或传输到网络中的远程日志服务器中。5.根据权利要求1所述的一种基于系统溯源图的大规模勒索软件分析方法和分析装置,其特征在于:在步骤104中所述的过滤和裁剪的方法法如下:104
‑
1:过滤系统事件类型,仅保留用于生成系统溯源图的系统事件日志;104
‑
2:裁剪系统事件中涉及的主体和客体,移除与沙箱调度管理和勒索软件加载/卸载的通用系统实体即主体和客体相关的系统事件。6.根据权利要求1所述的一种基于系统溯源图的大规模勒索软件分析方法和分析装置,其特征在于:在步骤105中所述的数据标准化和归一化是对系统事件中不同字段的数据进行格式化,使其在一致的取值...
【专利技术属性】
技术研发人员:严寒冰,梅瑞,王琴琴,王树鹏,
申请(专利权)人:国家计算机网络与信息安全管理中心,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。