【技术实现步骤摘要】
针对Linux恶意代码的技战术自动化分析系统、方法、介质及设备
[0001]本专利技术涉及网络安全
,具体地,涉及针对Linux恶意代码的技战术自动化分析系统及方法。
技术介绍
[0002]随着互联网中各种技术的不断发展,除个人电脑外的嵌入式设备、服务器、容器等运行类Unix系统的设备在互联网中所占的比例越来越高,Linux恶意代码带来的威胁也越来越突出。因此,对Linux恶意代码进行技战术自动化分析有着重要的研究价值。
[0003]针对恶意代码,现有的分析方法主要包括静态分析和动态分析两大类别。在不实际运行恶意代码的前提下,静态分析通过提取恶意代码的特征展开分析。提取的静态特征包括:字符串、字节码序列、n
‑
gram、导入函数、控制流图等。反病毒引擎基于这些静态特征训练模型,从而对未知的样本进行鉴别。静态分析无需模拟样本运行的环境来运行样本,可以绕过样本对运行环境的检查。因此静态分析方法被广大反病毒引擎所使用。然而静态分析的缺点在于,如果恶意代码进行了加壳,则其静态特征会被压缩、加密隐藏,分...
【技术保护点】
【技术特征摘要】
1.一种针对Linux恶意代码的技战术自动化分析方法,其特征在于,包括:规则生成步骤:爬取MITRE ATT&CK技战术描述网页,提取实施攻击对应的特征信息,基于提取的特征信息编写技战术识别规则;静态分析和识别步骤:对加壳的恶意代码进行脱壳处理,并对恶意代码进行静态规则匹配,静态地识别恶意代码使用的技战术;动态分析和识别步骤:通过沙箱执行恶意代码,并监控恶意代码行为,基于监控的恶意代码行为对恶意代码进行动态规则匹配,动态地识别恶意代码使用的技战术;报告输出步骤:对静态分析和动态分析结果进行归一化处理,展示恶意代码具备的ATT&CK技战术;所述技战术识别规则包括静态规则和动态规则。2.根据权利要求1所述的针对Linux恶意代码的技战术自动化分析方法,其特征在于,所述规则生成步骤采用:网页代码提取子步骤:爬取MITRE ATT&CK技战术描述网页源代码,从中提取代码标签,代码标签中包含实施攻击对应的函数调用、命令行、文件系统操作的特征信息;网页正文匹配子步骤:爬取MITRE ATT&CK技战术描述网页源代码,从中提取正文,通过正则表达式提取实施攻击对应的函数调用、命令行、文件系统操作的特征信息;规则筛选子步骤:对提取的特征信息进行去重处理,并去除包括Windows和macOS操作系统相关特征,得到处理后实施攻击对应的函数调用、命令行、文件系统操作的特征信息;规则编写子步骤:处理后实施攻击对应的函数调用、命令行、文件系统操作的特征信息根据静态分析和动态分析使用规则的不同格式编写相应的静态规则和动态规则。3.根据权利要求1所述的针对Linux恶意代码的技战术自动化分析方法,其特征在于,所述静态分析和识别步骤采用:恶意代码查壳子步骤:通过壳的特征码和恶意代码信息熵判断恶意代码是否加壳;恶意代码脱壳子步骤:通过通用脱壳软件和模拟执行脱壳;静态规则匹配子步骤:通过静态分析引擎,结合静态规则静态识别恶意代码使用的技战术。4.根据权利要求1所述的针对Linux恶意代码的技战术自动化分析方法,其特征在于,所述动态分析和识别步骤采用:动态执行环境准备子步骤:为执行恶意代码准备不同架构的虚拟机,包括:x86
‑
64、ARM、MIPS以及PowerPC;提供各种代码运行依赖的库以及提供不同执行权限的虚拟机;动态规则匹配子步骤:通过动态分析引擎cuckoo,结合动态规则动态识别恶意代码使用的技战术。5.一种针对Linux恶意代码的技战术自动化分析系统,其特征在于,包括:规则生成模块:爬取MITRE ATT&CK技战术描述网页,提取实施攻击对应的特征信息,基于提取的特征...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。