【技术实现步骤摘要】
本专利技术属于网络安全攻击调查,具体涉及基于内存取证的无文件攻击调查方法及系统。
技术介绍
1、虽然现代无文件恶意软件利用各种技术来逃避检测,但研究人员一直在探索内存取证作为检测此类攻击的方法。常见的方法是利用volatility内存取证现有插件来提取特征,并利用机器学习算法进行分类;另一种方法是将内存镜像转换为图片表示,并利用深度学习技术进行检测。但这些方法利用内存镜像作为样本来判断主机是否被破坏,或以内存镜像中的进程为样本识别恶意进程。但是检测的粒度仍然相对较粗,不能定位到具体的内存区域。因此,要应对这些挑战,还需要进一步研究针对无文件攻击进行细粒度调查,目的是识别恶意进程并精确定位恶意虚拟内存区域。
技术实现思路
1、基于上述技术问题,本专利技术提供基于内存取证的无文件攻击调查方法及系统,通过提取特征并准确识别和定位可疑内存区域,有效地帮助分析人员调查无文件恶意软件攻击。
2、本专利技术提供基于内存取证的无文件攻击调查方法,所述方法包括:
3、步骤s1:分别运行良性样本和实施无文件攻击,获得内存镜像;所述无文件攻击类型包括代码注入、脚本攻击和离地攻击;所述内存镜像包括恶性样本内存镜像和良性样本内存镜像;
4、步骤s2:将每个所述内存镜像的虚拟地址描述符节点作为样本,提取所述样本对应的内存区域的特征;
5、步骤s3:将所述样本进行去重操作,同时对所述样本的数值进行归一化操作,构建数据集;
6、步骤s4:将所述数据集划分
7、步骤s5:根据所述测试结果,对测试的恶意样本进行验证分析。
8、可选地,所述分别运行良性样本和实施无文件攻击,获得内存镜像,具体包括:
9、所述无文件攻击类型包括代码注入、脚本攻击和离地攻击;
10、所述代码注入特征包括函数、二进制、代码、加密信息、对策、内存、木马和攻击框架;
11、所述脚本攻击特征包括恶意字符串、中性字符串和脚本,分别用于检测恶意命令提示符脚本、中性命令提示符脚本和其他恶意脚本;
12、所述离地攻击特征包括离地而生攻击、远程桌面协议和暗网通信协议;
13、所述内存镜像包括恶性样本内存镜像和良性样本内存镜像。
14、可选地,所述将每个所述内存镜像的虚拟地址描述符节点作为样本,提取所述样本对应的内存区域的特征,具体包括:
15、获取所述样本对应的内存区域的特征集;
16、基于内存取证框架设置插件,提取所述特征集的特征。
17、可选地,所述将所述样本进行去重操作,同时对所述样本的数值进行归一化操作,构建数据集,具体包括:
18、将所述样本转换为集合元素,去重重复项,再转回原始数据类型;
19、归一化操作公式为:
20、
21、式中,x标为经过min-max归一化转换函数处理后的结果,x为所述样本的数据,xmax为所述样本数据的最大值,xmin为所述样本数据的最小值。
22、可选地,所述将所述数据集划分为训练集和测试集,使用自动化机器学习库在所述训练集进行模型训练,选择最优模型,将所述最优模型应用于所述数据集进行测试,得到测试结果,具体包括:
23、将所述数据集划分为训练集和测试集,随机分配所述样本;
24、使用自动化机器学习库在所述训练集上进行模型训练,根据输出结果,比较不同模型的评估指标,选择在所述训练集上精度最高的模型作为最优模型;
25、将最优模型应用于所述测试集进行测试,得到所述最优模型的预测输出,计算所述最优模型在所述测试集的评估指标;
26、根据所述测试集上的评估指标,判断所述最优模型是否达到预期的目标,如果不满意,则调整参数并重新进行训练和测试;如果满意,将模型部署到实际应用中。
27、本专利技术还提供基于内存取证的无文件攻击调查系统,所述系统包括:
28、内存镜像采集模块,用于分别运行良性样本和实施无文件攻击,获得内存镜像;所述无文件攻击类型包括代码注入、脚本攻击和离地攻击;所述内存镜像包括恶性样本内存镜像和良性样本内存镜像;
29、特征提取模块,用于将每个所述内存镜像的虚拟地址描述符节点作为样本,提取所述样本对应的内存区域的特征;
30、数据处理模块,用于将所述样本进行去重操作,同时对所述样本的数值进行归一化操作,构建数据集;
31、自动机器学习模块,用于将所述数据集划分为训练集和测试集,使用自动化机器学习库在所述训练集进行模型训练,选择最优模型,将所述最优模型应用于所述数据集进行测试,得到测试结果;
32、验证分析模块,用于根据所述测试结果,对测试的恶意样本进行验证分析。
33、可选地,所述内存镜像采集模块,具体包括:
34、所述无文件攻击类型包括代码注入、脚本攻击和离地攻击;
35、所述代码注入特征包括函数、二进制、代码、加密信息、对策、内存、木马和攻击框架;
36、所述脚本攻击特征包括恶意字符串、中性字符串和脚本,分别用于检测恶意命令提示符脚本、中性命令提示符脚本和其他恶意脚本;
37、所述离地攻击包括离地而生攻击、远程桌面协议和暗网通信协议;
38、所述内存镜像包括恶性样本内存镜像和良性样本内存镜像。
39、可选地,所述特征提取模块,具体包括:
40、特征集获取子模块,用于获取所述样本对应的内存区域的特征集;
41、特征提取子模块,用于基于内存取证框架设置插件,提取所述特征集的特征。
42、可选地,所述数据处理模块,具体包括:
43、去重操作子模块,用于将所述样本转换为集合元素,去重重复项,再转回原始数据类型;
44、归一化操作公式为:
45、
46、式中,x标为经过min-max归一化转换函数处理后的结果,x为所述样本的数据,xmax为所述样本数据的最大值,xmin为所述样本数据的最小值。
47、可选地,所述自动机器学习模块,具体包括:
48、数据集划分子模块,用于将所述数据集划分为训练集和测试集,随机分配所述样本;
49、模型训练子模块,用于使用自动化机器学习库在所述训练集上进行模型训练,根据输出结果,比较不同模型的评估指标,选择在所述训练集上精度最高的模型作为最优模型;
50、模型测试子模块,用于将最优模型应用于所述测试集进行测试,得到所述最优模型的预测输出,计算所述最优模型在所述测试集的评估指标;
51、模型判断子模块,用于根据所述测试集上的评估指标,判断所述最优模型是否达到预期的目标,如果不满意,则调整参数并重新进行训练和测试;如果满本文档来自技高网...
【技术保护点】
1.基于内存取证的无文件攻击调查方法,其特征在于,所述方法包括:
2.根据权利要求1所述的基于内存取证的无文件攻击调查方法,其特征在于,所述分别运行良性样本和实施无文件攻击,获得内存镜像,具体包括:
3.根据权利要求1所述的基于内存取证的无文件攻击调查方法,其特征在于,所述将每个所述内存镜像的虚拟地址描述符节点作为样本,提取所述样本对应的内存区域的特征,具体包括:
4.根据权利要求1所述的基于内存取证的无文件攻击调查方法,其特征在于,所述将所述样本进行去重操作,同时对所述样本的数值进行归一化操作,构建数据集,具体包括:
5.根据权利要求1所述的基于内存取证的无文件攻击调查方法,其特征在于,所述将所述数据集划分为训练集和测试集,使用自动化机器学习库在所述训练集进行模型训练,选择最优模型,将所述最优模型应用于所述数据集进行测试,得到测试结果,具体包括:
6.基于内存取证的无文件攻击调查系统,其特征在于,所述系统包括:
7.根据权利要求6所述的基于内存取证的无文件攻击调查系统,其特征在于,所述内存镜像采集模块,具体
8.根据权利要求6所述的基于内存取证的无文件攻击调查系统,其特征在于,所述特征提取模块,具体包括:
9.根据权利要求6所述的基于内存取证的无文件攻击调查系统,其特征在于,所述数据处理模块,具体包括:
10.根据权利要求6所述的基于内存取证的无文件攻击调查系统,其特征在于,所述自动机器学习模块,具体包括:
...【技术特征摘要】
1.基于内存取证的无文件攻击调查方法,其特征在于,所述方法包括:
2.根据权利要求1所述的基于内存取证的无文件攻击调查方法,其特征在于,所述分别运行良性样本和实施无文件攻击,获得内存镜像,具体包括:
3.根据权利要求1所述的基于内存取证的无文件攻击调查方法,其特征在于,所述将每个所述内存镜像的虚拟地址描述符节点作为样本,提取所述样本对应的内存区域的特征,具体包括:
4.根据权利要求1所述的基于内存取证的无文件攻击调查方法,其特征在于,所述将所述样本进行去重操作,同时对所述样本的数值进行归一化操作,构建数据集,具体包括:
5.根据权利要求1所述的基于内存取证的无文件攻击调查方法,其特征在于,所述将所述数据集划分为训练集...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。