【技术实现步骤摘要】
一种基于混合特征的多架构物联网恶意应用分析方法
[0001]本专利技术涉及物联网安全领域,更具体的,涉及一种基于混合特征的多架构物联网恶意应用分析方法。
技术介绍
[0002]过去安全公司和研究机构的研究精力主要集中在Windows平台的PC恶意应用上。PC主要是使用X86架构的CPU,而物联网设备拥有多架构的特点,因此物联网恶意应用的操作码不甚相同,因此不能简单地套用传统的PC恶意应用分析方法,在动态分析的时候也必须将物联网设备多架构的特点考虑入内。同时,许多恶意应用分析方法也并没有将静态特征和动态特征同时综合考虑入内。设计一种涵盖多种特征的物联网恶意应用自动化分析方法可以减少研究人员的工作量,在很大程度上提升分析的效率和准确率。
[0003]针对这一问题,现有技术提供一种基于模型的恶意文件检测方法及装置;方法包括:获取待检测文件;分析所述待检测文件,得到所述待检测文件的特征信息;将所述待检测文件的特征信息输入预先构建的恶意家族检测模型,获取待检测文件是否属于某一恶意家族以及相应置信度的第一检测结果。该专利技术提供...
【技术保护点】
【技术特征摘要】
1.一种基于混合特征的多架构物联网恶意应用分析方法,其特征在于:具体步骤为:S1.获取训练用的恶意应用样本和待分析的恶意应用样本;S2.对得到的训练用的恶意应用样本和待分析的恶意应用样本进行自动分析,并得到训练用的自动分析结果和待分析的自动分析结果;S3.对得到的训练用的自动分析结果和待分析的自动分析结果进行特征工程,得到训练用的样本混合特征和待分析的样本混合特征;S4.根据得到的训练用的样本混合特征训练机器学习模型,得到训练好的机器学习模型;S5.将得到的待分析的自动分析结果和待分析的样本混合特征,输入步骤S4训练好的机器学习模型对待分析的恶意应用样本的家族进行分类。2.根据权利要求1所述的基于混合特征的多架构物联网恶意应用分析方法,其特征在于:步骤S2,所述的自动分析,具体步骤为:S201.使用静态分析脚本获得恶意应用样本的静态信息;S202.根据获得的恶意应用样本的静态信息,对所述的恶意应用样本进行动态测试,并得到恶意应用样本的动态信息,用于后续提取特征。3.根据权利要求2所述的基于混合特征的多架构物联网恶意应用分析方法,其特征在于:S201,具体步骤为:St101.使用readelf工具从恶意应用样本的可执行和可链接文件格式,即ELF头获得恶意应用样本的CPU架构、字节序、机器类型、文件大小、操作系统信息;St102.使用radare2提取恶意应用样本的导入表、导出表、重定位表、符号表、段信息、导入的库信息,并获得恶意应用样本的反汇编结果;St103.使用strings工具提取恶意应用样本的字符串信息,并初步判断是否存在UPX加壳。4.根据权利要求3所述的基于混合特征的多架构物联网恶意应用分析方法,其特征在于:S202,具体步骤为:St201.根据得到的恶意应用样本的CPU架构,选择对应架构的系统内核和文件系统;St202.使用虚拟机装载相应的内核文件,并对虚拟机的网络环境进行配置,然后将恶意应用样本复制进相应的文件系统中,同时使虚拟机挂载该文件系统;St203.启动虚拟机,并在虚拟机中运行恶意应用样本,运行同...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。