威胁分析报告数据的因果树表示的生成制造技术

获得并解析从软件样本的分析中生成的报告

【技术实现步骤摘要】
【国外来华专利技术】威胁分析报告数据的因果树表示的生成
[0001]背景
[0002]本公开总体上涉及电数字数据处理以及涉及图表或图形的绘制
。
[0003]通常通过采用因果链
/
因果树来分析安全事故或其他网络事件
。
因果链
/
因果树描绘了事件序列中涉及的实体
(
例如进程
、
文件等
)
之间的因果关系，该事件序列是由感兴趣的事件引发的或包含感兴趣的事件
。
通过分析基于事件序列
(
诸如基于安全威胁检测的事件序列
)
生成的因果链或因果树，可以确定根原因，并且可以标识事件序列中涉及的实体
。
附图说明
[0004]通过参考所附附图，可以更好地理解本公开的实施例
。
[0005]图1描绘了根据被确定为恶意的检测到的样本的威胁分析报告生成因果树的构思图
。
[0006]图2描绘了从威胁分析报告中提取因果树数据的构思图
。
[0007]图3描绘了基于威胁分析报告生成并显示在
GUI
上的因果树的示例
GUI
描绘
。
[0008]图4是用于解析和处理威胁分析报告以确定因果信息并生成因果树的示例操作的流程图
。
[0009]图5是用于提取与不同类型相关联的对象的示例操作的流程图，所述对象作为数据包含在威胁分析报告中，以并入因果树
。
[0010]图6‑<br/>图7是用于生成威胁分析报告数据的因果树表示的示例操作的流程图
。
[0011]图8描绘了具有因果树生成和可视化系统的示例计算机系统
。
具体实施方式
[0012]以下描述包括体现本公开的各方面的示例系统
、
方法
、
技术和程序流程
。
然而，应理解，本公开可以在没有这些具体细节的情况下实施
。
例如，在说明性示例中，本公开涉及威胁分析报告，其包括用
JavaScript
对象符号
(JSON)
格式化的结构化数据，并且用恶意软件枚举和表征
(MAEC)
数据模型表示恶意软件数据
。
本公开的各方面还可以应用于用于表示威胁分析报告和
/
或其他恶意软件数据模型的其他结构化数据格式
。
在其他实例中，为了不混淆描述，没有详细示出公知的指令实例
、
协议
、
结构和技术
。
[0013]概述
[0014]根据分析安全威胁
(
诸如检测到的潜在恶意软件
)
生成的报告通常指示涉及安全威胁的实体之间的关系
。
例如，涉及安全威胁的实体可能包括在分析潜在恶意软件期间由于执行恶意代码而启动的进程和创建的文件
。
然而，这些报告旨在捕捉该分析的判定，而不是所涉及的进程
、
文件和其他计算实体之间的因果关系，因此实体之间的关系的指示没有在报告中直观地表示
。
处于其原始格式的报告还可能与图形用户接口
(GUI)
呈现技术不兼容，这是因为缺乏对实体之间的分层关系的明确指示
。
结果是，因果关系可能没能实现
。
[0015]本文公开了用于解析和处理威胁分析报告的技术，以提取报告中提及的实体之间的因果关系，并生成表示那些关系的因果树
(
其也可以称为因果链
)。
处理该报告以从原始
数据中确定实体之间的因果关系以及在分析期间观察和记录的它们对应的动作和行为
。
从处理中确定的所得因果树数据捕捉报告中引用的实体之间的分层关系，并且被结构化，使得从分析中收集的行为
、
动作和其他数据与为实体创建的节点相关联，而不是以它们的原始格式遍及该报告分布
。
然后，可以生成因果树数据的
GUI
描绘，并将其显示在
GUI
上，以示出从报告中收集的因果信息，从而在不丢失信息的情况下去除原始报告的数据中的复杂性
。
因果树的
GUI
描绘也可以被导航以选择性地扩展和查看对应于代表所涉及实体的节点的信息，从而以用户友好和直观的方式提供要查看的感兴趣的报告项目
。
[0016]因果树生成和可视化系统获得从威胁分析生成的报告，该威胁分析是基于检测可疑或未知软件样本
(
下文中为“样本”)
而执行的，并解析该报告
。
该报告至少包括对样本的判定
、
动态分析结果的指示
(
包括对样本捕捉的动作和行为
)、
以及涉及促成判定的事件序列的实体的标识符
。
对于判定该样本是恶意的报告，该报告还指示从分析中检测到的一个或多个恶意软件实例以及其中涉及
(
一个或多个
)
恶意软件实例的源
‑
目标关系
(
例如，该恶意软件实例和其他恶意软件实例
、
恶意软件家族
、
动作
/
行为等之间的关系
)。
因果树的根节点可以基于源
‑
目标关系以及报告中标示的主要恶意软件实例的指示来确定
。
还可以基于解析报告中的相关联字段来标识动作
、
行为和附加恶意软件实例
。
[0017]尽管可以基于解析报告和标识对应的字段
‑
值对来确定报告中的这些项目，但是可以从报告的进一步解析和处理中提取数据之中可能未明确用字段
‑
值对表示的附加关系
。
例如，因为与报告中引用的实体相关联的动作和行为可能不是由实体组织的，所以关系取而代之是隐含的，并且可以在从对应于由根节点表示的实体的数据开始“跟踪”报告数据中的关系时被发现，其中为进程
、
文件
、
或被识别为对应于因果树节点的其他类型添加子节点
。
对于作为节点添加到因果树的每个实体，系统可以确定报告中相关行为和动作两者的计数，并且将该计数以及动作和行为的对应细节与节点相关联
。
一些节点也可以对应于报告中列举的检测原因
。
对于这些节点，系统还可以将实体或相关联的
(
一个或多个
)
动作
/(
一个或多个
)
行为被标示为报告中的检测原因的指示与节点相关联
。
对报告数据的解析和处理生成了包括在报告中的数据的格式，该格式与
GUI
创建技术兼容，而不丢失来自原始报告的信息
本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.
一种方法，包括：解析基于检测到的软件样本的安全性分析生成的报告，所述报告包括与所述安全性分析期间发生的事件序列相关联的多个实体的标识符以及检测到的软件样本是恶意的判定；从所述报告中确定在所述安全性分析期间记录的多个动作和多个行为；基于确定所述多个实体之间的分层结构，生成包括多个节点的因果树，其中所述多个节点中的每一个对应于所述多个实体中的相应一个实体；对于所述多个节点中的一个或多个节点中的每个节点，将所述多个动作中的对应动作的指示和所述多个行为的指示与所述节点相关联；以及在图形用户接口
(GUI)
上显示所述因果树的可视化
。2.
根据权利要求1所述的方法，其中基于确定所述多个实体之间的分层结构生成因果树包括：确定实体对之间的一个或多个关系，其中所述一个或多个关系中的每一个指示源实体和目标实体；对于所述实体对中的每个实体，向所述因果树添加对应于所述实体的节点，确定进程树是否与所述报告中的所述实体相关联，和基于确定进程树与所述实体相关联，至少部分地基于所述进程树中的进程的分层结构，将多个节点添加到所述因果树作为对应于所述实体的节点的子节点
。3.
根据权利要求2所述的方法，其中向所述因果树添加对应于所述实体的节点包括，基于确定所述实体被标识为所述一个或多个关系中的第一个中的源实体并且未被标识为所述一个或多个关系中的任何一个中的目标实体，创建所述因果树的根节点；以及基于确定所述实体被标识为所述一个或多个关系中的第一个中的目标实体，将节点添加到所述因果树作为对应于其相应源实体的节点的子节点；并且其中将所述多个节点添加到所述因果树包括，基于确定所述进程树的父进程，将对应于所述父进程的第一节点添加到所述因果树作为对应于所述实体的节点的子节点；以及对于所述进程树中剩余的每个子进程，将对应于子进程的节点添加到所述因果树作为所述第一节点的子节点，和为所述进程树中指示的子进程的子进程添加附加的子节点
。4.
根据权利要求1所述的方法，进一步包括至少部分地基于所述报告中具有对应于所述判定的原因的值的字段，确定所述多个节点中与所述检测到的软件样本是恶意的判定的原因对应的一个或多个节点，其中显示所述因果树的可视化包括在视觉上区分表示所确定的一个或多个节点对应于所述判定的原因的图形元素
。5.
根据权利要求1所述的方法，进一步包括：至少部分地基于所述报告中指示所述多个动作中的每一个的输入和输出的字段来确定与所述多个动作相关联的多个对象，其中所述多个对象中的每一个是所述多个动作中的对应一个动作的输入或输出；和对于所述多个节点中的一个或多个节点中的每个节点，将所述多个对象中的对应对象
的指示与所述节点相关联
。6.
根据权利要求1所述的方法，其中所述多个节点中的每个节点包括用于对应于所述节点的实体的名称
、
实体的类型
、
经由命令行执行的命令
、
和进程标识符的字段，并且其中所述多个实体中的每一个包括进程
、
文件或恶意软件实例
。7.
根据权利要求1所述的方法，进一步包括：对于所述多个节点中的一个或多个节点中的每个节点，确定所述多个行为和所述多个动作中的每个对应行为和动作的计数，并将所述计数与所述节点相关联，其中在
GUI
上显示所述因果树的可视化包括显示所述一个或多个节点中的每个节点的计数；和响应于表示所述因果树的第一节点的图形元素的选择，显示对应于所述第一节点的实体类型的指示符以及与所述第一节点相关联的多个动作和多个行为中的对应动作和行为的描述
。8.
一种或多种非暂时性机器可读介质，其包括程序代码以：解析根据基于对潜在威胁的检测执行威胁分析而生成的报告，所述报告指示所述潜在威胁是恶意的判定；确定多个动作
、
多个行为以及多个对象，所述多个对象与从所述威胁分析中记录的
、
在解析的报告中指示的所述多个动作相关联；基于因果树的初始化，确定在解析的报告中指示的恶意软件实例
、
进程和文件的分层结构，并且将标识恶意软件实例
、...

【专利技术属性】
技术研发人员：S，
申请(专利权)人：帕洛阿尔托网络公司，
类型：发明
国别省市：