一种基于系统溯源图的大规模勒索软件分析方法和分析装置制造方法及图纸

本发明专利技术是有关于一种基于系统溯源图的大规模勒索软件分析方法包括采集大规模勒索软件样本集，构建勒索软件分析沙箱集群，采集勒索软件运行时系统事件日志，过滤和裁剪原始事件日志数据，事件日志标准化和归一化，生成勒索软件系统溯源图，采用日志压缩算法优化溯源图规模，基于图论度量指标分析勒索软件行为。本发明专利技术的分析装置包括样本采集模块、系统日志采集模块、系统溯源图生成模块和样本行为分析模块。本发明专利技术通过生成勒索软件运行时的系统溯源图，达到了自动化大规模分析勒索软件的恶意行为的目标，解决了现有采用数据科学方法需要大量人工标注和可解释性差的问题。大量人工标注和可解释性差的问题。大量人工标注和可解释性差的问题。

【技术实现步骤摘要】
一种基于系统溯源图的大规模勒索软件分析方法和分析装置


[0001]本专利技术涉及一种是网络安全领域的大规模勒索软件分析技术，特别是涉及一种基于系统溯源图的大规模勒索软件分析方法和分析装置。

技术介绍

[0002]恶意软件分析技术是网络安全领域的一种重要的威胁分析技术，特别地，随着勒索软件的大规模传播能力和严重的破坏程度，针对勒索软件的大规模分析方法十分必要。随着网络攻防的博弈，勒索软件呈现出隐形化、多态化、多歧化等特点，即勒索软件常常伪装成可信的系统程序实施对用户文件的恶意加密、破坏和窃取敏感数据等行为，这对勒索软件的检测和防护带来的新的挑战。尽管不同家族的勒索软件的实现方式具有较大的差异性，但其恶意行为不可避免地与底层操作系统交互，并会被系统事件跟踪机制所捕获，因此准确而高效的自动化分析技术是当前大规模勒索软件检测和分析的关键能力之一。
[0003]当前的大规模勒索软件分析技术，通常有如下两种方法：
[0004]1.基于传统恶意代码动静态分析相结合的方法
[0005]传统的恶意代码检测和分析主要有两种方法：静态分析和动态分析。前者是指在不运行样本的情况下进行分析(如反汇编分析、反编译分析和源代码分析)，属于逆向工程技术；后者是指利用系统调试工具跟踪和监控恶意代码的执行过程，进而分析恶意代码的行为。目前关于静态分析的代表性工作YARA工具，支持文本文件、二进制文件的字节序列提取，支持通配符、正则表达式等特性；而动态分析的代表性工具Cuckoo沙箱可以提取勒索软件在运行中的主机行为和网络通信行为。
[0006]虽然此方法分析结果准确性较高，但是，该方法过度依赖于专家知识经验和人工分析，因此无法应用于大规模勒索软件分析中。此外，由于此方法无法获取勒索软件恶意行为间的因果依赖关系，因此也无法进一步深入分析勒索软件攻击活动的动机和目标。
[0007]2.基于数据科学的分析方法
[0008]通过结合大数据和机器学习等方法，对勒索软件的指令、代码、行为等特征进行表示学习和建模，借助训练得到的勒索软件分析模型对勒索软件进行分类和聚类，进而分析勒索软件家族的特点。代表性工作STAMINA将勒索软件的二进制文件转换为灰度图像，以便利用图像算法进行分析。
[0009]由于此方法基于数据科学方法如统计特征和概率决策模型，因此可以采用新的大数据技术实现大规模勒索软件分析。但是，此类方法通常需要大量的勒索软件样本进行训练，才有可能得到相对较高的准确率和召回率，这对大量的人工分析和标记是一个极大的挑战。此外，该方法面临机器学习模型的一个共性问题，即模型分析结果的可解释性难题。
[0010]综上，目前针对勒索软件的大规模分析方法的主要缺陷在于：采用上述方法1，则无法开展大规模勒索软件样本分析，也无法进一步分析勒索软件攻击活动的动机和目标；采用上述方法2，则需要大量人工标记勒索软件样本进行训练，也面临着可解释性难题。
[0011]有鉴于上述现有的大规模勒索软件分析技术存在的缺陷，本专利技术经过不断的研
究、设计,并经反复试作及改进后，终于创设出确具实用价值的本专利技术。

技术实现思路

[0012]本专利技术的主要目的在于，克服现有的大规模勒索软件分析技术存在的缺陷，而提供一种新的一种基于系统溯源图的大规模勒索软件分析方法和分析装置，所要解决的技术问题是使其能够大规模勒索软件样本分析且能进一步分析勒索软件攻击活动的动机和目标，非常适于实用。
[0013]本专利技术的另一目的在于，克服现有的大规模勒索软件分析技术存在的缺陷，而提供一种基于系统溯源图的大规模勒索软件分析方法和分析装置，所要解决的技术问题是使其无需进行大量人工标记勒索软件样本的训练，解决模型分析结果的可解释性难题，从而得到相对较高的准确率和召回率。
[0014]本专利技术的另一目的在于，克服现有的大规模勒索软件分析技术存在的缺陷，而提供一种基于系统溯源图的大规模勒索软件分析方法和分析装置，所要解决的技术问题是使其能够从系统底层分析勒索软件的潜在行为，实现自动化大规模分析采用多线程并发实施恶意文件加密、伪装或注入系统进程逃逸检测等行为。
[0015]本专利技术的构思是通过生成勒索软件运行过程中与系统的交互事件，生成勒索软件的系统溯源图，进而实现准确而有效的勒索软件大规模自动化分析装置。
[0016]本专利技术的目的及解决其技术问题是采用以下技术方案来实现的。
[0017]依据本专利技术提出的一种基于系统溯源图的大规模勒索软件分析方法，其包括以下步骤：
[0018]步骤101：采集大规模勒索软件样本集
[0019]采集多源威胁情报中的勒索软件攻击活动报告以及勒索软件样本集，提取恶意代码分析引擎提供的勒索软件样本分析报告；
[0020]步骤102：构建勒索软件分析沙箱集群
[0021]构建勒索软件分析的沙箱集群，沙箱集群中提供系统级事件跟踪能力和系统事件日志采集能力；
[0022]步骤103：采集勒索软件运行时的系统事件日志
[0023]将步骤101中的勒索软件样本集投放到步骤102构建的沙箱集群中运行，跟踪系统事件，并将系统事件日志保存到数据库中；
[0024]步骤104：过滤和裁剪系统事件日志数据3[0025]检索步骤103输出的勒索软件运行时的系统事件日志，过滤和裁剪仅用于构建系统溯源图的系统事件日志子集；
[0026]步骤105：事件日志标准化和归一化
[0027]采用数据标准化和归一化方法，对步骤104输出的系统事件日志子集进行数据预处理；
[0028]步骤106：生成勒索软件系统溯源图
[0029]基于系统事件日志的时序关系，控制依赖关系和数据依赖关系，对步骤105处理后的勒索软件的系统事件日志，生成勒索软件的系统溯源图；
[0030]步骤107：采用日志压缩算法优化溯源图规模
[0031]采用日志压缩算法降低步骤106生成的勒索软件系统的溯源图的规模；
[0032]步骤108：基于图论度量指标分析勒索软件行为
[0033]基于图算法对步骤107优化的系统溯源图进行分析，计算图的度量指标，自动分析勒索软件的恶意行为特点。
[0034]本专利技术的目的及解决其技术问题还可采用以下技术措施进一步实现。
[0035]进一步，在步骤101中所述的多源威胁情报包括网络安全厂商、开源安全社区，商业付费安全大数据供应商所提供的勒索软件攻击活动报告、网络安全事件报告、入侵检测指标(Compromise of Indicator)中的勒索软件样本哈希列表。
[0036]在步骤101中所述的勒索软件样本分析报告包括通用恶意代码分析引擎对勒索软件的分析结果，还包括静态特征、动态行为、网络通信流量数据包。
[0037]进一步，在步骤102中所述的提供系统级事件跟踪能力的方法如下：
[0038]102
‑
1：在操作系统内核中部署或开启底层系统事件跟踪模块；
[00本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于系统溯源图的大规模勒索软件分析方法，其特征在于:其包括以下步骤：步骤101：采集大规模勒索软件样本集采集多源威胁情报中的勒索软件攻击活动报告以及勒索软件样本集，提取恶意代码分析引擎提供的勒索软件样本分析报告；步骤102：构建勒索软件分析沙箱集群构建勒索软件分析的沙箱集群，沙箱集群中提供系统级事件跟踪能力和系统事件日志采集能力；步骤103：采集勒索软件运行时的系统事件日志将步骤101中的勒索软件样本集投放到步骤102构建的沙箱集群中运行，跟踪系统事件，并将系统事件日志保存到数据库中；步骤104：过滤和裁剪系统事件日志数据检索步骤103输出的勒索软件运行时的系统事件日志，过滤和裁剪仅用于构建系统溯源图的系统事件日志子集；步骤105：事件日志标准化和归一化采用数据标准化和归一化方法，对步骤104输出的系统事件日志子集进行数据预处理；步骤106：生成勒索软件系统溯源图基于系统事件日志的时序关系，控制依赖关系和数据依赖关系，对步骤105处理后的勒索软件的系统事件日志，生成勒索软件的系统溯源图；步骤107：采用日志压缩算法优化溯源图规模采用日志压缩算法降低步骤106生成的勒索软件系统的溯源图的规模；步骤108：基于图论度量指标分析勒索软件行为基于图算法对步骤107优化的系统溯源图进行分析，计算图的度量指标，自动分析勒索软件的恶意行为特点。2.根据权利要求1所述的一种基于系统溯源图的大规模勒索软件分析方法，其特征在于：在步骤101中所述的多源威胁情报包括网络安全厂商、开源安全社区，商业付费安全大数据供应商所提供的勒索软件攻击活动报告、网络安全事件报告、入侵检测指标即Compromise of Indicator中的勒索软件样本哈希列表。在步骤101中所述的勒索软件样本分析报告包括通用恶意代码分析引擎对勒索软件的分析结果，还包括静态特征、动态行为、网络通信流量数据包。3.根据权利要求1所述的一种基于系统溯源图的大规模勒索软件分析方法，其特征在于：在步骤102中所述的提供系统级事件跟踪能力的方法如下：102
‑
1：在操作系统内核中部署或开启底层系统事件跟踪模块；102
‑
2：实时监测系统的当前状态，跟踪所有的用户态即User Mode向内核态即Kernel Mode的系统调用即Syscall，以及用户态进程间通信即Inter
‑
Process Communication,IPC；102
‑
3：将102
‑
2中的每一次系统跟踪标记为一个系统事件，并记录事件的主体、客体、时间戳、事件细节。4.根据权利要求1所述的一种基于系统溯源图的大规模勒索软件分析方法和分析装置，其特征在于：在步骤102中所述的提供系统日志采集能力的方法法如下：
102
‑
3：将系统事件跟踪模块输出的所有事件数据转换为结构化数据；102
‑
4：存储到沙箱中的本地日志文件，或传输到网络中的远程日志服务器中。5.根据权利要求1所述的一种基于系统溯源图的大规模勒索软件分析方法和分析装置，其特征在于：在步骤104中所述的过滤和裁剪的方法法如下：104
‑
1：过滤系统事件类型，仅保留用于生成系统溯源图的系统事件日志；104
‑
2：裁剪系统事件中涉及的主体和客体，移除与沙箱调度管理和勒索软件加载/卸载的通用系统实体即主体和客体相关的系统事件。6.根据权利要求1所述的一种基于系统溯源图的大规模勒索软件分析方法和分析装置，其特征在于：在步骤105中所述的数据标准化和归一化是对系统事件中不同字段的数据进行格式化，使其在一致的取值...

【专利技术属性】
技术研发人员：严寒冰，梅瑞，王琴琴，王树鹏，
申请(专利权)人：国家计算机网络与信息安全管理中心，
类型：发明
国别省市：