CN106778268A - 恶意代码检测方法与系统 - Google Patents
恶意代码检测方法与系统 Download PDFInfo
- Publication number
- CN106778268A CN106778268A CN201611065716.5A CN201611065716A CN106778268A CN 106778268 A CN106778268 A CN 106778268A CN 201611065716 A CN201611065716 A CN 201611065716A CN 106778268 A CN106778268 A CN 106778268A
- Authority
- CN
- China
- Prior art keywords
- analysis
- analyzed
- malicious code
- sample
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种恶意代码检测方法与系统,分析待分析样本对象的结构,当为PE可执行文体结构时,对待分析样本进行静态分析、杀毒软件接口分析、虚拟环境沙箱动态分析以及网络数据分析,获得第一分析结果,当为文档结构时,对待分析样本进行静态分析,获得第二分析结果,根据第一分析结果或第二分析结果,采用恶意代码分类器,检测是否存在恶意代码。整个过程中,分析不同样本对象类型的数据结构,采用静态分析、杀毒软件接口分析、虚拟环境沙箱动态分析以及网络数据分析,具备可靠的分析识别能力并且可对网络攻击事件溯源。
Description
技术领域
本发明涉及网络安全技术领域,特别是涉及恶意代码检测方法与系统。
背景技术
在大数据时代背景下,传统的反恶意代码软件厂商所采用的技术较为单一,随着恶意代码技术的发展,APT(Advanced Persistent Threat,高级持续性威胁)组织为了可以进行持续性的黑客渗透活动,恶意代码工具的形态也发生了较大的变化,传统反病毒厂商的产品已经无法满足及应对现有的恶意代码的攻击威胁。
随着网络环境的日趋复杂,面临着越来越多不确定性因素的安全威胁。先进的恶意软件主要考虑的渗透方式且非常活跃的攻击手法就是通过电子邮件恶意载荷投递进行有组织性的鱼叉式网络钓鱼攻击目标网络。此类针对邮件系统渗透攻击通常使用了已知或未知的零日漏洞触发、生成恶意结构的文件文档发起持续性的网络渗透活动。主要目的是为了窃取内网系统的数据信息与邮件系统环境内的敏感数据资产。攻击者可能重新开发或者修改更新恶意代码实体,可有效躲避企业或相关机构部署安装的传统反病毒安全防御产品的扫描检测。
针对新型且未知的恶意软件或家族成员识别检测效率低下,恶意文件攻击如此常见并有效的主要原因是恶意文件更新快且易于变形。尽管国内目前存在很多产品能够对已被标记的恶意文件能够扫描查杀,但是这些产品往往并不能检测出新型变种的恶意文件。
发明内容
基于此,有必要针对一般恶意文件检测方法检测效果不佳的问题,提供一种检测效果好的恶意代码检测方法与系统。
一种恶意代码检测方法,包括步骤:
分析待分析样本对象的结构,结构包括PE可执行文体结构与文档结构;
当待分析样本对象为PE可执行文体结构时,对待分析样本进行静态分析、杀毒软件接口分析、虚拟环境沙箱动态分析以及网络数据分析,获得第一分析结果;
当待分析样本对象为文档结构时,对待分析样本进行静态分析,获得第二分析结果;
根据第一分析结果或第二分析结果,采用恶意代码分类器,检测是否存在恶意代码。
一种恶意代码检测系统,包括:
结构分析模块,用于分析待分析样本对象的结构,结构包括PE可执行文体结构与文档结构;
第一分析模块,用于当待分析样本对象为PE可执行文体结构时,对待分析样本进行静态分析、杀毒软件接口分析、虚拟环境沙箱动态分析以及网络数据分析,获得第一分析结果;
第二分析模块,用于当待分析样本对象为文档结构时,对待分析样本进行静态分析,获得第二分析结果;
检测模块,用于根据第一分析结果或第二分析结果,采用恶意代码分类器,检测是否存在恶意代码。
本发明恶意代码检测方法与系统,分析待分析样本对象的结构,当为PE可执行文体结构时,对待分析样本进行静态分析、杀毒软件接口分析、虚拟环境沙箱动态分析以及网络数据分析,获得第一分析结果,当为文档结构时,对待分析样本进行静态分析,获得第二分析结果,根据第一分析结果或第二分析结果,采用恶意代码分类器,检测是否存在恶意代码。整个过程中,分析不同样本对象类型的数据结构,采用静态分析、杀毒软件接口分析、虚拟环境沙箱动态分析以及网络数据分析,具备可靠的分析识别能力并且可对网络攻击事件溯源。
附图说明
图1为本发明恶意代码检测方法第一个实施例的流程示意图;
图2为本发明恶意代码检测方法第二个实施例的流程示意图;
图3为本发明恶意代码检测系统第一个实施例的结构示意图;
图4为本发明恶意代码检测系统第二个实施例的结构示意图。
具体实施方式
如图1所示,一种恶意代码检测方法,包括步骤:
S200:分析待分析样本对象的结构,结构包括PE可执行文体结构与文档结构。
获取待分析样本,并且识别待分析样本对象,再进一步分析待分析样本对象的结构,其中,待分析样本对象的结构包括PE(Windows Preinstallation Environment,Windows预安装环境)可执行文体结构和文档结构。PE是Windows这个计算机系统所预先安装的数据。针对不同待分析样本对象的结构需要采用不同的检测、分析方式进行更进一步处理。
S400:当待分析样本对象为PE可执行文体结构时,对待分析样本进行静态分析、杀毒软件接口分析、虚拟环境沙箱动态分析以及网络数据分析,获得第一分析结果。
针对待分析样本对象为PE可执行文体结构时,需要对待分析样本进行静态分析、杀毒软件接口分析、虚拟环境沙箱动态分析以及网络数据分析,最终获得第一分析结果。非必要的,上述静态分析、杀毒软件接口分析、虚拟环境沙箱动态分析以及网络数据分析可以是依次进行的,并行同步处理的。在其中一个实施例中,当待分析样本对象为PE可执行文体结构时,对待分析样本进行静态分析的步骤具体包括:当待分析样本对象为PE可执行文体结构时,采用恶意代码API(Application Programming Interface,应用程序编程接口)序列威胁因子分析引擎TFAE(Threat Factor Analysis Engine,威胁因素分析引擎)技术、可机读威胁情报指标技术以及恶意代码家族归类FCSH(Family Classify Sequence Hash,家族分类序列归类)技术,对待分析样本进行静态分析。
下面将着重针对静态分析中恶意代码API序列威胁因子分析引擎TFAE技术、可机读威胁情报指标技术与恶意代码家族归类FCSH技术进行展开说明。
恶意代码API序列威胁因子分析引擎TFAE是一种基于非传统病毒库特征的无特征码新型分析技术手段,属于前摄性威胁侦测。其主要侧重如何提升识别未知类型恶意软件样本的能力。可用于解决传统反病毒厂商在检测新型且未知恶意样本方面的技术不足及检测的滞后性。包括Exploit漏洞利用程序、木马病毒、后门程序、勒索软件等。其弥补了传统反病毒技术在面对新型且未知类型的恶意软件样本所遵循的“先入库、后更新、点查杀”滞后性模式。优先做到及时分析识别潜在威胁价值的恶意代码样本对象。能够快速、有效的提高了恶意代码分析的效率和覆盖面。在面临传统领域安全威胁的样本对象和新型领域安全威胁的渗透活动过程采用的后门隧道、密码提取工具及远程控制管理工具等都具有足够的应对处理能力。
IOC可机读威胁情报指标,是一套威胁情报共享的标准且灵活的格式,把数据表示成可机读(MRTI)的形式,用于发现已知类型或未知的恶意代码,可以通过训练筛选出检测程度较高的规则模型,在恶意代码分析阶段实现自动生成机读IOC威胁指标的数据规范。其重点关注的方向是APT高级持续性威胁样本的发现、检测到输出完整威胁评估报告的过程,可以直接转化成恶意样本大数据威胁模型的核心数据源之一。也为日后的威胁情报共享平台的建立奠定数据基础。
面向恶意代码家族归类技术FCSH搜索同一个威胁群可能已经创建和使用新的、类似的样本数据。为了证明这一分析方法的有效性,已经就相关的APT报告的恶意软件家族进行了研究测试,能够发现更多的恶意软件样本,进一步的分析表明是相同的恶意软件家族的一部分,归属于同一个威胁群。其与任何其他的分析方法相比,恶意代码家族归类是通过一种低成本,高效率和有价值的方式来分析潜在的恶意软件样本,采用这种方法也能够在分析跟踪结果中,随着时间的推移来验证攻击者所使用的后门程序,可以揭露后门威胁团体之间的组织关系。
下面将着重针对杀毒软件接口分析、虚拟环境沙箱动态分析以及网络数据分析技术进行详细说明。
杀毒软件接口分析
基于云端多引擎查杀接口,利用第三方扩展资源协同检测样本对象数据,集成国内外众多安全厂商的反病毒产品查杀服务,增强了恶意代码检测服务的侦测能力,分析结果只作为参考权重的组成部分。
虚拟环境沙箱动态分析
虚拟环境沙箱动态分析主要包括如下四个方面:1、文件基础结构信息,文件类型识别和加壳程序识别,详细信息包括,文件导入表、文件导出表以及资源目录在内的PE/COFF(Common Object File Format,通用对象文件格式)文件头部值;2、字符串特征数据,从恶意软件样本中提取出的任意可读字符串。若样本文件被加壳,可自动转储提取其中的字符串信息;3、记录敏感操作行为特征,跟踪恶意软件执行过程中所使用的Windows API函数和输入参数及输出返回值。完整记录API调用、程序与操作系统之间的会话,并产生恶意软件的活动记录。也可识别反模拟器检测、反虚拟化调试检测技术等;4、分析环境差异化比较,日志记录恶意软件在活动周期内造成的沙箱环境的差异性。获取程序执行前和执行后的文件系统变化列表和注册表变化列表信息,以快速获得相关恶意软件能力的动态行为分析特征。简单来说,动态分析主要是利用虚拟环境触发恶意文件在被激活过程中的所有行为记录与网络流量数据包解析;由此产生的报告将会包括文件敏感特征分析、反调试,反跟踪分析、字符串分析、文件结构分析,行为分析。
网络数据分析
内嵌于虚拟沙箱动态分析环境,实时捕获恶意软件在触发阶段活动的网络通讯状况,对通讯的数据报文协议进行深入解析分析,实现对恶意代码网络行为的完整且详细的流量监控。
S600:当待分析样本对象为文档结构时,对待分析样本进行静态分析,获得第二分析结果。
当待分析样本对象为文档结构时,主要对其进行静态分析。具体来说,文档结构具体可以Office办公文档结构,采用的静态分析方式以及所采用的技术可以与S400中的相同也可以不同。更进一步来说,针对待分析样本对象为文档结构这种情况静态分析主要采用IOC(Indicator of Compromise,可机读威胁情报指标)、恶意文档结构Payload数据提取。主要解决DOC、DOCX、XLS、XLSM、PPT及RTF(Rich Text Format,多信息文本格式)等文档类型结构内的恶意代码分析识别与恶意数据的转储工作。涵盖了常见办公文档格式类型的分析检测能力,分析穿透方面可与机读威胁情报IOC指标进行共享性的资源调用。对于内部结构可能存在的利用已知(CVE编号)或未知安全漏洞捆绑内嵌类型的恶意文档的分析检测能力具备了较高的可扩展性与IOC资源共享性。
S800:根据第一分析结果或第二分析结果,采用恶意代码分类器,检测是否存在恶意代码。
恶意代码分类器根据第一分析结果或第二分析结果,检测待分析样本中是否存在恶意代码。非必要的,恶意代码分类器可以采用具有学习功能的恶意代码分类器。通过机器学习恶意代码的威胁建模评估分类器研究,可以基于多个威胁分析模型的决策算法对样本数据进行相关统计,提取出恶意软件的分类标签;能够识别新型恶意软件,还能找到相似的样本进行关联,并扩大的恶意代码库。
本发明恶意代码检测方法,分析待分析样本对象的结构,当为PE可执行文体结构时,对待分析样本进行静态分析、杀毒软件接口分析、虚拟环境沙箱动态分析以及网络数据分析,获得第一分析结果,当为文档结构时,对待分析样本进行静态分析,获得第二分析结果,根据第一分析结果或第二分析结果,采用恶意代码分类器,检测是否存在恶意代码。整个过程中,分析不同样本对象类型的数据结构,采用静态分析、杀毒软件接口分析、虚拟环境沙箱动态分析以及网络数据分析,具备可靠的分析识别能力并且可对网络攻击事件溯源。
在其中一个实施例中,采用恶意代码API序列威胁因子分析引擎TFAE技术对待分析样本进行静态分析的步骤包括:
步骤一:对大数据原始恶意软件样本集进行特征工程试验研究。
步骤二:对特征工程试验研究的数据进行清洗及加工,生成基于恶意API序列威胁因子的数据模型。
恶意样本特征工程的数据清洗及加工,通过海量的大数据原始恶意样本集的特征工程实验研究,清洗可能存在白名单数据集的API序列因子杂质,筛选合适的特征向量进行泛化处理。通过训练多批次(N+批次)API序列数据,及迭代的工程参数调整,可生成一套基于恶意API序列威胁因子的数据模型。
步骤三:以JSON(avaScript Object Notation,轻量级的数据交换格式)接口交互方式,将基于恶意API序列威胁因子的数据模型存储。
JSON是一种轻量级的数据交换格式。它基于ECMAScript的一个子集。JSON采用完全独立于语言的文本格式,但是也使用了类似于C语言家族的习惯,这些特性使JSON成为理想的数据交换语言,易于人阅读和编写,同时也易于机器解析和生成(一般用于提升网络传输速率)。通过原始恶意样本集训练输出的恶意API序列因子分析模型,以JSON接口交互方式存储于远程数据库服务器,以MongoDB作为数据存储介质。易于长期的数据维护管理、数据检索及关联数据模型分析处理等。
步骤四:验证初始阶段不同批次生成的恶意API序列因子数据模型,判断测试样本对象是否存在恶意API序列威胁检测的标注指标。
输入多批次的已知或者未知样本数据对象,验证初始阶段多批次生成的恶意API序列因子数据模型,判断测试样本对象是否存在恶意API序列威胁检测的标注指标。实验研究结果表明,数据模型针对已知的恶意样本数据集合(黑名单恶意样本及良性样本集合)的分析侦测率达到预期标准。未知样本数据集(主要验证数据包含,利用零日漏洞及CVE(Common Vulnerabilities&Exposures,公共漏洞和暴露)漏洞编号开发的木马病毒、WEB服务中间件应用程序及Windows系统提权工具)的分析侦测率也达到预期结果。
步骤五:根据标注指标,生成恶意API序列威胁数据模型。
可通过技术研究,逐步实现在已有的训练模型基础上进行自我构建生成恶意API序列威胁的数据模型,并自动导入数据模型至远程数据库服务端进行存储。优势是具有更加快速、可靠的分析识别能力。
在其中一个实施例中,采用恶意代码家族归类FCSH技术,对待分析样本进行静态分析包括步骤:
步骤一:获取并导入待分析样本对象的地址表,生成FCSH数据值。
步骤二:对FCSH数据值进行检测,提取待分析样本对象的FCSH数据值作为每个分组成员名称。
步骤三:将待分析样本对象的FCSH数据值与预设的数据库存档恶意代码FCSH分类工作组对应的FCSH数据值进行比较。
步骤四:将待分析样本对象的FCSH数据值与预设的数据库存档恶意代码FCSH分类工作组对应的FCSH数据值相同的分类组成员归属于同一团体的威胁家族群。
基于函数的源文件中的特定顺序导入待分析样本对象的地址表,生成特定FCSH数据值,在FCSH数据值检测阶段,首先提取出待分析样本对象的FCSH数据值作为每个分组成员名称,然后执行待分析样本对象的FCSH数据值与数据库存档的恶意代码FCSH分类工作组进行数据值比较。如果等于其中任何一个分类成员组,即金额将该待分析样本与该分类成员组归属于同一个团体的威胁家族群。
非必要的,还可以进行模糊哈希处理,具体处理过程为:自动提取恶意软件样本文件上下结构相关的分段哈希值,能够找到同一系列的变种代码,计算其相似度,可确定文件是否存在被加壳或进行了源代码自修改模块。
如图2所示,在其中一个实施例中,步骤S800之后还包括:
S920:当存在恶意代码时,提取恶意代码的特征。
S940:根据恶意代码的特征,生成可机读威胁情报IOC数据标准。
如果恶意代码分类器标注的样本对象属于恶意文件标签,则自动提取样本文件对象特征规则,自动生成可机读威胁情报数据交互共享格式。来源不同阶段分析任务已分类完成恶意性指标的样本对象,实现自我递增规则模型数据流程。
如图3所示,一种恶意代码检测系统,包括:
结构分析模块200,用于分析待分析样本对象的结构,结构包括PE可执行文体结构与文档结构。
第一分析模块400,用于当待分析样本对象为PE可执行文体结构时,对待分析样本进行静态分析、杀毒软件接口分析、虚拟环境沙箱动态分析以及网络数据分析,获得第一分析结果。
第二分析模块600,用于当待分析样本对象为文档结构时,对待分析样本进行静态分析,获得第二分析结果。
检测模块800,用于根据第一分析结果或第二分析结果,采用恶意代码分类器,检测是否存在恶意代码。
本发明恶意代码检测系统,结构分析模块200分析待分析样本对象的结构,当为PE可执行文体结构时,第一分析模块400对待分析样本进行静态分析、杀毒软件接口分析、虚拟环境沙箱动态分析以及网络数据分析,获得第一分析结果,当为文档结构时,第二分析模块600对待分析样本进行静态分析,获得第二分析结果,检测模块800根据第一分析结果或第二分析结果,采用恶意代码分类器,检测是否存在恶意代码。整个过程中,分析不同样本对象类型的数据结构,采用静态分析、杀毒软件接口分析、虚拟环境沙箱动态分析以及网络数据分析,具备可靠的分析识别能力并且可对网络攻击事件溯源。
在其中一个实施例中,第一分析模块400具体用于当待分析样本对象为PE可执行文体结构时,采用恶意代码API序列威胁因子分析引擎TFAE技术、可机读威胁情报指标技术以及恶意代码家族归类FCSH技术,对待分析样本进行静态分析。
在其中一个实施例中,第一分析模块400包括:
研究单元,用于对大数据原始恶意软件样本集进行特征工程试验研究。
威胁因子数据模型单元,用于对特征工程试验研究的数据进行清洗及加工,生成基于恶意API序列威胁因子的数据模型。
存储单元,用于以JSON接口交互方式,将基于恶意API序列威胁因子的数据模型存储。
判断单元,用于验证初始阶段不同批次生成的恶意API序列因子数据模型,判断测试样本对象是否存在恶意API序列威胁检测的标注指标。
威胁数据模型单元,用于根据标注指标,生成恶意API序列威胁数据模型。
在其中一个实施例中,第一分析模块400包括:
获取单元,用于获取并导入待分析样本对象的地址表,生成FCSH数据值。
检测单元,用于对FCSH数据值进行检测,提取待分析样本对象的FCSH数据值作为每个分组成员名称。
比较单元,用于将待分析样本对象的FCSH数据值与预设的数据库存档恶意代码FCSH分类工作组对应的FCSH数据值进行比较。
处理单元,用于将待分析样本对象的FCSH数据值与预设的数据库存档恶意代码FCSH分类工作组对应的FCSH数据值相同的分类组成员归属于同一团体的威胁家族群。
如图4所示,在其中一个实施例中,恶意代码检测系统还包括:
提取模块920,用于当存在恶意代码时,提取恶意代码的特征。
生成模块940,用于根据恶意代码的特征,生成可机读威胁情报IOC数据标准。
具体来说,在实际应用中采用本发明恶意代码检测方法与系统不同实施例的技术方案可以实现如下显著的效果与利用价值。
1、解决传统安全技术体系在识别日趋复杂网络安全环境下出现的新型未知恶意样本的滞后性,也覆盖了主流可能被利用生成捆绑的恶意文件结构,做到可及时分析检测包括Open-Source(开源)后门样本源代码同源性编译生成、已公开CVE漏洞利用样本或者利用了未知零日漏洞编译生成的Exploit-Toolkit、木马程序等。
2、可覆盖主流的文件样本格式,全面分析不同样本对象类型的数据结构,提供更加深入、快速有效的检测与提取文件结构内部恶意攻击载荷数据,实现不同阶段完成的不同任务处理的核心功能指标,包括:基于训练算法的恶意样本数据预测分类、同源性恶意家族样本自动化归类、恶意样本数据关联分析且转化成威胁情报服务,可对网络攻击事件溯源。
3、具备更加快速、可靠的分析识别能力,包括恶意样本变种、已知的同源性家族成员与未知的新型恶意软件等,最大化提升分析文件及评估文件的潜在威胁的效率,科学且合理的根据分析结果对文件进行恶意性判断。
4、解决了在恶意代码家族归类过程中如何能够低成本、高效率且有价值的方式在分析跟踪结果中,随着时间的推移来验证攻击者所使用的后门程序,可以揭露后门威胁团体之间的组织关系。
5、以“自动化流程、批量化处理”的工厂模式作业线特点,优化了文件分析结构层的处理能力,使其结构更加简洁方便,大大减少了人工干预的可能性。
6、在功能性方面,极大的增强了与杀毒分析接口、信息系统应用交互接口的灵活性、共享性。例如,邮件系统接口调用,可以根据业务需要进行基于邮件系统IMAP(InternetMail Access Protocol,交互邮件访问协议)交互接口或基于BCC规则(Blind CarbonCopy,密文抄送)邮件副本分析,实现可能针对企业或政府内部邮件系统进行的附件数据恶意载荷投送的高级持续性威胁渗透活动,提供恶意文件数据分析检测服务,做到实时响应分析。
7、逐渐积累的恶意代码数据资产库可在研究APT(Advanced Persistent Threat,高级持续性威胁)攻击及漏洞利用提供源数据支持,利用恶意文件样本的分析报告提供的资料溯源可以收集整理威胁情报提供案例,通过增加的恶意样本库帮助或支撑其他项目的展开。
8、基于大数据恶意样本信息资产发展方向,可以通过科学有效的数据分析、数据提取及数据清洗技术方案,协助机器自动化生成符合业界标准规范的恶意分析指标,提升整合可利用威胁样本资源,做到以“关联分析”为核心的威胁情报服务,进行可操作性推理的APT高级持续性威胁网络溯源、高威胁预警的网络安全态势感知分析报告。
以上实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种恶意代码检测方法,其特征在于,包括步骤:
分析待分析样本对象的结构,所述结构包括PE可执行文体结构与文档结构;
当所述待分析样本对象为PE可执行文体结构时,对待分析样本进行静态分析、杀毒软件接口分析、虚拟环境沙箱动态分析以及网络数据分析,获得第一分析结果;
当所述待分析样本对象为文档结构时,对待分析样本进行静态分析,获得第二分析结果;
根据所述第一分析结果或所述第二分析结果,采用恶意代码分类器,检测是否存在恶意代码。
2.根据权利要求1所述的恶意代码检测方法,其特征在于,当所述待分析样本对象为PE可执行文体结构时,对待分析样本进行静态分析包括步骤:
当所述待分析样本对象为PE可执行文体结构时,采用恶意代码API序列威胁因子分析引擎TFAE技术、可机读威胁情报指标技术以及恶意代码家族归类FCSH技术,对待分析样本进行静态分析。
3.根据权利要求2所述的恶意代码检测方法,其特征在于,采用恶意代码API序列威胁因子分析引擎TFAE技术对待分析样本进行静态分析的步骤包括:
对大数据原始恶意软件样本集进行特征工程试验研究;
对特征工程试验研究的数据进行清洗及加工,生成基于恶意API序列威胁因子的数据模型;
以JSON接口交互方式,将所述基于恶意API序列威胁因子的数据模型存储;
验证初始阶段不同批次生成的恶意API序列因子数据模型,判断所述测试样本对象是否存在恶意API序列威胁检测的标注指标;
根据所述标注指标,生成恶意API序列威胁数据模型。
4.根据权利要求2所述的恶意代码检测方法,其特征在于,采用恶意代码家族归类FCSH技术,对待分析样本进行静态分析包括步骤:
获取并导入所述待分析样本对象的地址表,生成FCSH数据值;
对所述FCSH数据值进行检测,提取待分析样本对象的FCSH数据值作为每个分组成员名称;
将所述待分析样本对象的FCSH数据值与预设的数据库存档恶意代码FCSH分类工作组对应的FCSH数据值进行比较;
将所述待分析样本对象的FCSH数据值与所述预设的数据库存档恶意代码FCSH分类工作组对应的FCSH数据值相同的分类组成员归属于同一团体的威胁家族群。
5.根据权利要求1所述的恶意代码检测方法,其特征在于,所述检测是否存在恶意代码的步骤之后还包括:
当存在恶意代码时,提取所述恶意代码的特征;
根据所述恶意代码的特征,生成可机读威胁情报IOC数据标准。
6.一种恶意代码检测系统,其特征在于,包括:
结构分析模块,用于分析待分析样本对象的结构,所述结构包括PE可执行文体结构与文档结构;
第一分析模块,用于当所述待分析样本对象为PE可执行文体结构时,对待分析样本进行静态分析、杀毒软件接口分析、虚拟环境沙箱动态分析以及网络数据分析,获得第一分析结果;
第二分析模块,用于当所述待分析样本对象为文档结构时,对待分析样本进行静态分析,获得第二分析结果;
检测模块,用于根据所述第一分析结果或所述第二分析结果,采用恶意代码分类器,检测是否存在恶意代码。
7.根据权利要求6所述的恶意代码检测系统,其特征在于,第一分析模块具体用于当所述待分析样本对象为PE可执行文体结构时,采用恶意代码API序列威胁因子分析引擎TFAE技术、可机读威胁情报指标技术以及恶意代码家族归类FCSH技术,对待分析样本进行静态分析。
8.根据权利要求7所述的恶意代码检测系统,其特征在于,所述第一分析模块包括:
研究单元,用于对大数据原始恶意软件样本集进行特征工程试验研究;
威胁因子数据模型单元,用于对特征工程试验研究的数据进行清洗及加工,生成基于恶意API序列威胁因子的数据模型;
存储单元,用于以JSON接口交互方式,将所述基于恶意API序列威胁因子的数据模型存储;
判断单元,用于验证初始阶段不同批次生成的恶意API序列因子数据模型,判断所述测试样本对象是否存在恶意API序列威胁检测的标注指标;
威胁数据模型单元,用于根据所述标注指标,生成恶意API序列威胁数据模型。
9.根据权利要求7所述的恶意代码检测系统,其特征在于,所述第一分析模块包括:
获取单元,用于获取并导入所述待分析样本对象的地址表,生成FCSH数据值;
检测单元,用于对所述FCSH数据值进行检测,提取待分析样本对象的FCSH数据值作为每个分组成员名称;
比较单元,用于将所述待分析样本对象的FCSH数据值与预设的数据库存档恶意代码FCSH分类工作组对应的FCSH数据值进行比较;
处理单元,用于将所述待分析样本对象的FCSH数据值与所述预设的数据库存档恶意代码FCSH分类工作组对应的FCSH数据值相同的分类组成员归属于同一团体的威胁家族群。
10.根据权利要求6所述的恶意代码检测系统,其特征在于,还包括:
提取模块,用于当存在恶意代码时,提取所述恶意代码的特征;
生成模块,用于根据所述恶意代码的特征,生成可机读威胁情报IOC数据标准。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611065716.5A CN106778268A (zh) | 2016-11-28 | 2016-11-28 | 恶意代码检测方法与系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611065716.5A CN106778268A (zh) | 2016-11-28 | 2016-11-28 | 恶意代码检测方法与系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106778268A true CN106778268A (zh) | 2017-05-31 |
Family
ID=58902211
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611065716.5A Pending CN106778268A (zh) | 2016-11-28 | 2016-11-28 | 恶意代码检测方法与系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106778268A (zh) |
Cited By (32)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107742079A (zh) * | 2017-10-18 | 2018-02-27 | 杭州安恒信息技术有限公司 | 恶意软件识别方法及系统 |
| CN107896212A (zh) * | 2017-11-16 | 2018-04-10 | 成都艾尔普科技有限责任公司 | 基于高速网络环数据采集的apt防御方法和系统 |
| CN108197471A (zh) * | 2017-12-19 | 2018-06-22 | 北京神州绿盟信息安全科技股份有限公司 | 一种恶意软件检测方法及装置 |
| CN108363919A (zh) * | 2017-10-19 | 2018-08-03 | 北京安天网络安全技术有限公司 | 一种病毒专杀工具生成方法及系统 |
| CN108718293A (zh) * | 2018-04-08 | 2018-10-30 | 安徽展航信息科技发展有限公司 | 一种信息安全网络安全实验室系统 |
| CN108920943A (zh) * | 2018-05-08 | 2018-11-30 | 国家计算机网络与信息安全管理中心 | 针对应用软件检测安装捆绑行为的方法及装置 |
| CN109361643A (zh) * | 2018-06-22 | 2019-02-19 | 中国移动通信集团广东有限公司 | 一种恶意样本的深度溯源方法 |
| CN109472143A (zh) * | 2017-12-29 | 2019-03-15 | 北京安天网络安全技术有限公司 | 一种对勒索软件进行自动分析的方法及系统 |
| CN109472134A (zh) * | 2017-12-25 | 2019-03-15 | 北京安天网络安全技术有限公司 | 一种基于api调用序列提取控制端的方法及系统 |
| CN109492386A (zh) * | 2018-10-09 | 2019-03-19 | 郑州云海信息技术有限公司 | 一种构建文件信誉库的系统和方法 |
| CN109995705A (zh) * | 2017-12-29 | 2019-07-09 | 北京安天网络安全技术有限公司 | 基于高交互蜜罐系统的攻击链检测方法及装置 |
| WO2019141091A1 (zh) * | 2018-01-19 | 2019-07-25 | 论客科技(广州)有限公司 | 一种邮件的监控方法、系统与装置 |
| CN110210215A (zh) * | 2018-03-21 | 2019-09-06 | 腾讯科技(深圳)有限公司 | 一种病毒检测的方法以及相关装置 |
| CN110224975A (zh) * | 2019-04-26 | 2019-09-10 | 北京奇安信科技有限公司 | Apt信息的确定方法及装置、存储介质、电子装置 |
| CN110955893A (zh) * | 2019-11-22 | 2020-04-03 | 杭州安恒信息技术股份有限公司 | 一种恶意文件威胁分析平台及恶意文件威胁分析方法 |
| CN111447215A (zh) * | 2020-03-25 | 2020-07-24 | 深信服科技股份有限公司 | 数据检测方法、装置和存储介质 |
| CN111460445A (zh) * | 2020-03-04 | 2020-07-28 | 奇安信科技集团股份有限公司 | 样本程序恶意程度自动识别方法及装置 |
| CN111611583A (zh) * | 2020-04-08 | 2020-09-01 | 国家计算机网络与信息安全管理中心 | 恶意代码同源性分析方法和恶意代码同源性分析装置 |
| CN112131571A (zh) * | 2020-11-20 | 2020-12-25 | 腾讯科技(深圳)有限公司 | 威胁溯源方法及相关设备 |
| US20210026959A1 (en) * | 2018-03-26 | 2021-01-28 | Huawei Technologies Co., Ltd. | Malicious File Detection Method, Device, and System |
| CN112468515A (zh) * | 2020-12-15 | 2021-03-09 | 北京京航计算通讯研究所 | 基于多源信息分析的网络攻击监测方法 |
| CN112560020A (zh) * | 2021-02-19 | 2021-03-26 | 鹏城实验室 | 威胁攻击检测方法、装置、终端设备以及存储介质 |
| CN112579878A (zh) * | 2019-09-30 | 2021-03-30 | 奇安信安全技术(珠海)有限公司 | 病毒的识别方法及装置、存储介质、计算机设备 |
| CN112580048A (zh) * | 2020-12-23 | 2021-03-30 | 苏州三六零智能安全科技有限公司 | 恶意文件静态判别方法、装置、设备及存储介质 |
| CN113127870A (zh) * | 2021-04-08 | 2021-07-16 | 重庆电子工程职业学院 | 一种移动恶意软件大数据的快速智能比对和安全检测方法 |
| CN113221109A (zh) * | 2021-03-30 | 2021-08-06 | 浙江工业大学 | 一种基于生成对抗网络的恶意文件智能分析方法 |
| CN113709134A (zh) * | 2021-08-24 | 2021-11-26 | 中国电子科技集团公司第二十八研究所 | 一种基于N-gram和机器学习的恶意软件检测方法及系统 |
| CN113779573A (zh) * | 2021-08-04 | 2021-12-10 | 国家计算机网络与信息安全管理中心 | 一种基于系统溯源图的大规模勒索软件分析方法和分析装置 |
| CN114662111A (zh) * | 2022-05-18 | 2022-06-24 | 成都数默科技有限公司 | 一种恶意代码软件基因同源性分析方法 |
| CN116910756A (zh) * | 2023-09-13 | 2023-10-20 | 北京安天网络安全技术有限公司 | 一种恶意pe文件的检测方法 |
| CN117521068A (zh) * | 2023-12-08 | 2024-02-06 | 北京云弈科技有限公司 | Linux主机恶意软件检测方法、系统、设备及介质 |
| CN117909978A (zh) * | 2024-03-14 | 2024-04-19 | 福建银数信息技术有限公司 | 一种基于大数据安全的分析管理方法及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110265182A1 (en) * | 2010-04-27 | 2011-10-27 | Microsoft Corporation | Malware investigation by analyzing computer memory |
| CN102346829A (zh) * | 2011-09-22 | 2012-02-08 | 重庆大学 | 基于集成分类的病毒检测方法 |
| CN103778373A (zh) * | 2014-01-10 | 2014-05-07 | 深圳市深信服电子科技有限公司 | 病毒检测方法及装置 |
| CN103825888A (zh) * | 2014-02-17 | 2014-05-28 | 北京奇虎科技有限公司 | 网络威胁处理方法及设备 |
| CN105488408A (zh) * | 2014-12-31 | 2016-04-13 | 中国信息安全认证中心 | 一种基于特征的恶意样本类型识别的方法与系统 |
-
2016
- 2016-11-28 CN CN201611065716.5A patent/CN106778268A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110265182A1 (en) * | 2010-04-27 | 2011-10-27 | Microsoft Corporation | Malware investigation by analyzing computer memory |
| CN102346829A (zh) * | 2011-09-22 | 2012-02-08 | 重庆大学 | 基于集成分类的病毒检测方法 |
| CN103778373A (zh) * | 2014-01-10 | 2014-05-07 | 深圳市深信服电子科技有限公司 | 病毒检测方法及装置 |
| CN103825888A (zh) * | 2014-02-17 | 2014-05-28 | 北京奇虎科技有限公司 | 网络威胁处理方法及设备 |
| CN105488408A (zh) * | 2014-12-31 | 2016-04-13 | 中国信息安全认证中心 | 一种基于特征的恶意样本类型识别的方法与系统 |
Cited By (45)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107742079A (zh) * | 2017-10-18 | 2018-02-27 | 杭州安恒信息技术有限公司 | 恶意软件识别方法及系统 |
| CN107742079B (zh) * | 2017-10-18 | 2020-02-21 | 杭州安恒信息技术股份有限公司 | 恶意软件识别方法及系统 |
| CN108363919A (zh) * | 2017-10-19 | 2018-08-03 | 北京安天网络安全技术有限公司 | 一种病毒专杀工具生成方法及系统 |
| CN108363919B (zh) * | 2017-10-19 | 2021-04-20 | 北京安天网络安全技术有限公司 | 一种病毒专杀工具生成方法及系统 |
| CN107896212A (zh) * | 2017-11-16 | 2018-04-10 | 成都艾尔普科技有限责任公司 | 基于高速网络环数据采集的apt防御方法和系统 |
| CN108197471A (zh) * | 2017-12-19 | 2018-06-22 | 北京神州绿盟信息安全科技股份有限公司 | 一种恶意软件检测方法及装置 |
| CN108197471B (zh) * | 2017-12-19 | 2020-07-10 | 北京神州绿盟信息安全科技股份有限公司 | 一种恶意软件检测方法及装置 |
| CN109472134B (zh) * | 2017-12-25 | 2022-04-19 | 北京安天网络安全技术有限公司 | 一种基于api调用序列提取控制端的方法及系统 |
| CN109472134A (zh) * | 2017-12-25 | 2019-03-15 | 北京安天网络安全技术有限公司 | 一种基于api调用序列提取控制端的方法及系统 |
| CN109472143A (zh) * | 2017-12-29 | 2019-03-15 | 北京安天网络安全技术有限公司 | 一种对勒索软件进行自动分析的方法及系统 |
| CN109995705A (zh) * | 2017-12-29 | 2019-07-09 | 北京安天网络安全技术有限公司 | 基于高交互蜜罐系统的攻击链检测方法及装置 |
| WO2019141091A1 (zh) * | 2018-01-19 | 2019-07-25 | 论客科技(广州)有限公司 | 一种邮件的监控方法、系统与装置 |
| CN110210215A (zh) * | 2018-03-21 | 2019-09-06 | 腾讯科技(深圳)有限公司 | 一种病毒检测的方法以及相关装置 |
| US11836253B2 (en) * | 2018-03-26 | 2023-12-05 | Huawei Technologies Co., Ltd. | Malicious file detection method, device, and system |
| US20210026959A1 (en) * | 2018-03-26 | 2021-01-28 | Huawei Technologies Co., Ltd. | Malicious File Detection Method, Device, and System |
| CN108718293A (zh) * | 2018-04-08 | 2018-10-30 | 安徽展航信息科技发展有限公司 | 一种信息安全网络安全实验室系统 |
| CN108920943A (zh) * | 2018-05-08 | 2018-11-30 | 国家计算机网络与信息安全管理中心 | 针对应用软件检测安装捆绑行为的方法及装置 |
| CN109361643A (zh) * | 2018-06-22 | 2019-02-19 | 中国移动通信集团广东有限公司 | 一种恶意样本的深度溯源方法 |
| CN109361643B (zh) * | 2018-06-22 | 2021-05-25 | 中国移动通信集团广东有限公司 | 一种恶意样本的深度溯源方法 |
| CN109492386A (zh) * | 2018-10-09 | 2019-03-19 | 郑州云海信息技术有限公司 | 一种构建文件信誉库的系统和方法 |
| CN110224975A (zh) * | 2019-04-26 | 2019-09-10 | 北京奇安信科技有限公司 | Apt信息的确定方法及装置、存储介质、电子装置 |
| CN110224975B (zh) * | 2019-04-26 | 2021-10-22 | 奇安信科技集团股份有限公司 | Apt信息的确定方法及装置、存储介质、电子装置 |
| CN112579878A (zh) * | 2019-09-30 | 2021-03-30 | 奇安信安全技术(珠海)有限公司 | 病毒的识别方法及装置、存储介质、计算机设备 |
| CN110955893A (zh) * | 2019-11-22 | 2020-04-03 | 杭州安恒信息技术股份有限公司 | 一种恶意文件威胁分析平台及恶意文件威胁分析方法 |
| CN111460445B (zh) * | 2020-03-04 | 2023-08-22 | 奇安信科技集团股份有限公司 | 样本程序恶意程度自动识别方法及装置 |
| CN111460445A (zh) * | 2020-03-04 | 2020-07-28 | 奇安信科技集团股份有限公司 | 样本程序恶意程度自动识别方法及装置 |
| CN111447215A (zh) * | 2020-03-25 | 2020-07-24 | 深信服科技股份有限公司 | 数据检测方法、装置和存储介质 |
| CN111611583A (zh) * | 2020-04-08 | 2020-09-01 | 国家计算机网络与信息安全管理中心 | 恶意代码同源性分析方法和恶意代码同源性分析装置 |
| CN111611583B (zh) * | 2020-04-08 | 2023-07-18 | 国家计算机网络与信息安全管理中心 | 恶意代码同源性分析方法和恶意代码同源性分析装置 |
| CN112131571A (zh) * | 2020-11-20 | 2020-12-25 | 腾讯科技(深圳)有限公司 | 威胁溯源方法及相关设备 |
| CN112468515A (zh) * | 2020-12-15 | 2021-03-09 | 北京京航计算通讯研究所 | 基于多源信息分析的网络攻击监测方法 |
| CN112580048A (zh) * | 2020-12-23 | 2021-03-30 | 苏州三六零智能安全科技有限公司 | 恶意文件静态判别方法、装置、设备及存储介质 |
| CN112560020A (zh) * | 2021-02-19 | 2021-03-26 | 鹏城实验室 | 威胁攻击检测方法、装置、终端设备以及存储介质 |
| CN113221109A (zh) * | 2021-03-30 | 2021-08-06 | 浙江工业大学 | 一种基于生成对抗网络的恶意文件智能分析方法 |
| CN113221109B (zh) * | 2021-03-30 | 2022-06-28 | 浙江工业大学 | 一种基于生成对抗网络的恶意文件智能分析方法 |
| CN113127870A (zh) * | 2021-04-08 | 2021-07-16 | 重庆电子工程职业学院 | 一种移动恶意软件大数据的快速智能比对和安全检测方法 |
| CN113779573A (zh) * | 2021-08-04 | 2021-12-10 | 国家计算机网络与信息安全管理中心 | 一种基于系统溯源图的大规模勒索软件分析方法和分析装置 |
| CN113779573B (zh) * | 2021-08-04 | 2023-08-29 | 国家计算机网络与信息安全管理中心 | 一种基于系统溯源图的大规模勒索软件分析方法和分析装置 |
| CN113709134A (zh) * | 2021-08-24 | 2021-11-26 | 中国电子科技集团公司第二十八研究所 | 一种基于N-gram和机器学习的恶意软件检测方法及系统 |
| CN114662111B (zh) * | 2022-05-18 | 2022-08-09 | 成都数默科技有限公司 | 一种恶意代码软件基因同源性分析方法 |
| CN114662111A (zh) * | 2022-05-18 | 2022-06-24 | 成都数默科技有限公司 | 一种恶意代码软件基因同源性分析方法 |
| CN116910756A (zh) * | 2023-09-13 | 2023-10-20 | 北京安天网络安全技术有限公司 | 一种恶意pe文件的检测方法 |
| CN116910756B (zh) * | 2023-09-13 | 2024-01-23 | 北京安天网络安全技术有限公司 | 一种恶意pe文件的检测方法 |
| CN117521068A (zh) * | 2023-12-08 | 2024-02-06 | 北京云弈科技有限公司 | Linux主机恶意软件检测方法、系统、设备及介质 |
| CN117909978A (zh) * | 2024-03-14 | 2024-04-19 | 福建银数信息技术有限公司 | 一种基于大数据安全的分析管理方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106778268A (zh) | 恶意代码检测方法与系统 | |
| Dushyant et al. | Utilizing machine learning and deep learning in cybesecurity: an innovative approach | |
| Shibahara et al. | Efficient dynamic malware analysis based on network behavior using deep learning | |
| CN103150509B (zh) | 一种基于虚拟执行的病毒检测系统 | |
| Dhakar et al. | A novel data mining based hybrid intrusion detection framework | |
| Dewanje et al. | A new malware detection model using emerging machine learning algorithms | |
| Lounici et al. | Optimizing Leak Detection in Open-source Platforms with Machine Learning Techniques. | |
| Tumuluru et al. | APMWMM: Approach to Probe Malware on Windows Machine using Machine Learning | |
| Akour et al. | The malware detection challenge of accuracy | |
| Si et al. | Malware detection using automated generation of yara rules on dynamic features | |
| Amarasinghe et al. | AI based cyber threats and vulnerability detection, prevention and prediction system | |
| Mohammadkhani et al. | A new method for behavioural-based malware detection using reinforcement learning | |
| Irawan et al. | Malware Detection and Classification Model Using Machine Learning Random Forest Approach | |
| Stahl et al. | Intelligence Techniques in Computer Security and Forensics: at the boundaries of ethics and law | |
| Wu et al. | IoT malware analysis and new pattern discovery through sequence analysis using meta-feature information | |
| CN113468555A (zh) | 一种客户端访问行为识别方法、系统及装置 | |
| Sopuru et al. | Modeling A malware detection and categorization system based on seven network flow-based features | |
| Fukushi et al. | Exploration into gray area: Efficient labeling for malicious domain name detection | |
| Bhardwaj et al. | Integrating a Rule-Based Approach to Malware Detection with an LSTM-Based Feature Selection Technique | |
| Venkatramulu et al. | Usage patterns and implementation of machine learning for malware detection and predictive evaluation | |
| Ravi et al. | Static Malware Analysis using ELF features for Linux based IoT devices | |
| Gurbani Kaur | Classification of Intrusion using Artificial Neural Network with GWO | |
| Yamsani et al. | Estimate and prevention of malicious URL using logistic regression ML techniques | |
| Patil et al. | Impact of PCA Feature Extraction Method used in Malware Detection for Security Enhancement | |
| Kudrekar et al. | Classification of malware using multinomial linked latent modular double q learning |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170531 |
|
| RJ01 | Rejection of invention patent application after publication |