CN107491691A

CN107491691A - 一种基于机器学习的远程取证工具安全分析系统

Info

Publication number: CN107491691A
Application number: CN201710672209.6A
Authority: CN
Inventors: 周福才; 王强; 吴淇毓; 玄鹏开
Original assignee: Northeastern University China
Current assignee: Northeastern University China
Priority date: 2017-08-08
Filing date: 2017-08-08
Publication date: 2017-12-19

Abstract

本发明公开了一种基于机器学习的远程取证工具安全分析系统,其特征在于包括：沙箱配置与启动模块、API监控与匹配模块和预测与评价模块。本发明提供一种基于机器学习的远程取证工具安全分析系统，通过调用API的方式来监控待检测的远程取证工具在沙箱里的行为，通过相应的匹配算法，将得到的API调用记录进行行为分类，同时，根据达到的特征行为，利用机器学习模型进行安全性预测，利用评价指标计算模型进行安全性等级评估，并最终生成一份安全性分析报告。

Description

一种基于机器学习的远程取证工具安全分析系统

技术领域

本发明涉及取证工具技术领域，尤其涉及一种基于机器学习的远程取证工具安全分析系统。

背景技术

随着计算机技术在全球的广泛普及，信息、网络技术也在高速发展，据不完全统计，自2010年以来，面向我国的信息网络的入侵、网络欺诈等恶意行为呈现上升的趋势，通过取证技术实施网络攻击已经能够成为了世界各国信息战的常用手段。比如，维基解密曾报道过美国中央情报局内部名为“7号军火库”的文件，在公布的军火库中的676个文件中，维基解密揭露了CIA企图通过一款叫“Marble”的工具，将病毒、恶意代码、木马的真实源代码进行混淆，让取证调查人员无法溯源到CIA身上，顺便嫁祸给其他国家。维基解密表示，在Marble的源代码中发现了中文、俄文、朝鲜文、阿拉伯文、伊朗文字。显然，使用别国的语言伪装成其他国家的语言，就可以把“嫌疑人”撇到国外。近年来这样的例子屡见不鲜，通过某种技术手段将嫌疑嫁祸给中国，不仅危害了中国的利益，也破坏了中国的国际声誉。面对如此紧迫的网络安全问题，大力发展网络信息攻防技术刻不容缓。由于目前国内并没有专门针对远程取证工具安全性的相关研究，也没有相对完善的远程取证工具安全性分析系统及方法，因此我们不仅需要开发出稳定的防御检测系统、防止涉及国家机密的计算机及信息系统受到网络的攻击，更要先行一步对于远程取证工具技术进行研究，其中针对当前远程取证工具普遍存在的安全性问题的研究更是重中之重。

远程取证工具一般通过移动存储介质或者涉密电脑违规上互联网，从而通过外网渗入内网、感染主机，窃取秘密信息资料，它们通常会有一些共同行为，且该类行为比较特殊，在正常程序中较为罕见。此外，由于一些网络远程取证工具开发者的疏忽，可能在远程取证工具工作的时候留下一些相关的敏感信息。因此，远程取证工具在取证的同时，还需要保证自身的安全性，防止对方追踪溯源。远程取证工具的安全性研究是当前信息安全领域的前沿课题，保证远程取证工具的安全性对于维护国家利益、保障国家安全具有重大的意义。

发明内容

根据现有技术存在的问题，本发明公开了一种基于机器学习的远程取证工具安全分析系统，该系统融合沙箱技术、钩子技术、机器学习技术以及风险评估等对远程取证工具安全性进行分析，具体包括：沙箱配置与启动模块、API监控与匹配模块和预测与评价模块；

所述沙箱配置与启动模块在沙箱启动前加载待测程序、对沙箱进行参数配置、在沙箱程序启动时运行待测程序，所述沙箱配置与启动模块包括待测程序加载模块、沙箱配置模块和沙箱启动模块；待测程序加载模块在检测之前定位待检测远程取证工具的位置信息将其加载到系统中、在沙箱配置完成后由沙箱程序启动；沙箱配置模块为待测远程取证工具提供运行环境，通过进行相关配置使其满足远程取证工具的运行及检测环境；当待测程序加载模块和沙箱配置模块完成启动后所述沙箱启动模块开始工作；

所述API监控与匹配模块对沙箱中运行的待测远程取证工具进行动态监控，将API调用记录全部保存，根据API字典对API调用记录进行行为匹配；所述API监控与匹配模块包括API调用动态监控模块、行为匹配模块；API调用动态监控模块对待检测远程取证工具在运行过程中调用的所有API进行监控、对API调用信息进行记录，该API调用信息包括API名称、DLL文件名和调用参数；

行为匹配模块对API调用动态监控模块得到的API调用记录进行分析，根据预先定义好的字典文件将API调用记录分别匹配到相应的行为，包括文件行为、进程行为、注册表行为，最后将得到待检测远程取证工具的行为记录；

所述预测与评价模块根据行为匹配模块记录的行为信息、利用训练完成的决策树模型进行计算，得到机器学习算法的预测结果；采用评价指标模型进行计算得到该远程取证工具的评价分数及对应的危险等级，生成相应的安全性分析报告；

所述预测与评价模块包括机器学习模块、评价指标计算模块；

机器学习模块将待检测远程取证工具的行为记录输入至本模块的机器学习算法中，经过计算预测出待检测远程取证工具是否安全；

评价指标计算模块调取行为匹配模块输出的待检测远程取证工具的行为记录，通过模型参数计算出评价分数及对应的安全等级。

所述机器学习模块中采用已经训练完成的决策树模型对待检测远程取证工具进行安全检测。

所述评价指标计算模块中采用风险评估模型对待检测远程取证工具进行安全等级评估。

由于采用了上述技术方案，本发明提供一种基于机器学习的远程取证工具安全分析系统，通过调用API的方式来监控待检测的远程取证工具在沙箱里的行为，通过相应的匹配算法，将得到的API调用记录进行行为分类，同时，根据达到的特征行为，利用机器学习模型进行安全性预测，利用评价指标计算模型进行安全性等级评估，并最终生成一份安全性分析报告。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明基于机器学习的远程取证工具安全分析系统的结构示意图。

图2为本发明中待测程序加载流程图。

图3为本发明中沙箱配置流程图。

图4为本发明中调用沙箱运行待检测远程取证工具流程图。

图5为本发明中API调用动态监控模流程图。

图6为本发明中行为匹配流程图。

图7为本发明中机器学习模块流程图。

图8为本发明中评价指标计算模块流程图。

图9为本发明中特征风险分数和风险评估计算流程图。

具体实施方式

为使本发明的技术方案和优点更加清楚，下面结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚完整的描述：

如图1所示的基于机器学习的远程取证工具安全分析系统，该系统通过调用API的方式来监控待检测的远程取证工具在沙箱里的行为，通过相应的匹配算法，将得到的API调用记录进行行为分类，同时，根据达到的特征行为，利用机器学习模型进行安全性预测，利用评价指标计算模型进行安全性等级评估，并最终生成一份安全性分析报告。

该系统中，首先运行沙箱配置与启动模块。沙箱配置与启动模块包括待测程序加载模块、沙箱配置模块、沙箱启动模块。其中待测程序加载模块的流程图如2所示，该模块用于加载待测远程取证工具到系统中，需要用户主动进行选择。在得到待测远程取证工具的路径之后，系统进行文件的读取，文件读取成功后申请足够的内存空间，待测远程取证工具以及沙箱程序都将在指定的内存空间运行，申请成功后就可把待测远程取证工具路径传给沙箱，沙箱经过配置后便可等待启动。不过在文件读取、内存申请以及路径传递过程中可能会发生错误，如果有错误产生就输出错误信息，并停止加载。沙箱配置流程图如图3所示，首先需要设置待测远程取证工具的路径，因为沙箱需要在自己完成启动之后需要启动待测远程取证工具，之后需要设置内存空间地址，设置成功之后还需要设置启动的时间，最后等待启动沙箱。再设置待测远程取证工具路径、内存空间地址、启动时间过程中，很可能出现错误，此时终止程序并输出错误信息。沙箱启动模块流程图如图4所示，本系统中使用的是Sandboxie沙箱，系统首先会对指定路径信息下的待检测程序进行读取，然后，系统会根据用户的配置信息生成用于检测的命令语句，当系统成功获取上述两项信息后，系统会通过管道技术创建并运行沙箱，并且在沙箱中运行待检测远程取证工具并对其动态分析。

之后系统调用API监控与匹配模块对待检测的远程取证工具进行行为分析。API监控与匹配模块包括API调用动态监控模块、行为匹配模块。其中API调用动态监控模块的流程图如图5所示，系统首先在目标进程中注入APIOverride.dll，这将创建一个远程线程，LoadLibrary函数作为起始地址，DLL的名称将作为参数注入。然后，APIOverride.dll的DllMain函数将初始化由API监控程序管理的进程间通信。注入的DLL的工作是设置钩子、加载DLL和监视文件，并在目标进程中进行函数调用。API监控模块包括以下两个部分：(1)ApiMonitor.exe：用户界面程序，对注入的DLL进行管理；(2)APIOverride.dll：注入到目标待测远程取证工具的DLL。经过动态监控之后，可以得到API调用记录，而调用记录中同时存储着很多的信息，这些信息是行为匹配模块所必需的，根据这些信息匹配到对应的行为，因此这些API调用记录便是动态监控和行为匹配的接口。API调用信息及其说明如表1所示。

表1 API调用信息表

行为匹配模块的流程图如图6所示，在本系统中API行为匹配模块首先读取检测到的所有API调用记录，然后系统会读取由管理员维护的恶意行为字典文件，系统会分析被检测远程取证工具所调用API函数的行为，判断其返回值，输入值等信息；最后根据检测到的API调用信息生成行为记录。行为匹配阶段最关键的就是实现KMP算法，并使之能够很好的用于长文本的字符串匹配工作。在匹配阶段除了KMP算法之外，还需要调用恶意API的字典、API调用记录，最后返回行为匹配的结果。FindApiFromDic()函数即完成API匹配的关键函数，

最后，系统调用预测与评价模块对待检测的远程取证工具的安全性进行预测和分析，并生成一份安全分析报告。预测与评价模块包括机器学习模块、评价指标计算模块。其中，机器学习模块执行的流程如图7所示，将前面得到的检测结果放入前期训练好的决策树模型中，经过计算后得到机器学习预测的结果。决策树模型的训练过程如下：

(1)选取n个远程取证工具样本。

(2)样本特征的分析。

静态分析：完成对样本各项静态属性，如名称、地理信息、个人信息、主机信息、语言信息、路径分析等；

动态分析：利用虚拟机运行样本，监控记录其行为。如：修改文件、入侵进程、删除注册表键、回传方式等；

人工分析：利用分析的常用手段和工具，如：16进制分析、反汇编分析、查杀脚本的调杀、特征提取，以及样本相关信息。

样本的分析工作可以由以上任意一种、两种或三种模式组成，最终得到样本的特征。设共有m个特征，因而可以得到数据矩阵Data(n*m)。

(3)得到样本的特征后，根据其行为特征来判断远程取证工具的安全性。对n个样本进行人工标记，即远程取证工具是否为安全的，从而得到标记矩阵：Label(n*1)。

(4)使用数据矩阵和标记矩阵，构建决策树模型。

构建搜索树模型的过程也就是学习的过程。学习的内容是远程取证工具样本的特征，通过对样本的特征的学习，利用决策树建立算法不断得出对判定最有利的特征。最终学习的结果为远程取证工具是否是安全的。

决策树的搜索过程即是分析远程取证工具安全性的过程。决策树的搜索空间是所有可能的行为特征，每一个非叶子节点都代表一种行为特征，叶子节点即为对其特征的判定结果。

候选属性就是所有可能的特征，每种候选属性只有两个值：真或假，真代表存在该特征，假代表不存在该特征。通过学习远程取证工具样本的特征建立决策树。

①从树根开始，通过决策树建立算法计算得到每一个非叶子节点。

每一个非叶子节点都代表一个特征，左右子树分别代表该特征是否存在。

②选择根节点代表的候选属性。

学习的样本是所有的训练样本，候选属性是所有可能存在的特征。经过计算每一个特征的信息增益率后选择有最大信息增益率的那个特征作为根节点。

③根据根节点的特征属性值确定左右子树。

根据根节点代表的特征的属性值：真或假，将所有的样本文件分成了两部分：该特征属性值为真的样本作为左子树的训练样本集，该特征属性值取假的样本作为右子树的训练样本。而左右子树的候选特征集中将不含根节点代表的特征。如此对左右子树进行递归计算就得出了剩余的非叶子节点的属性集。

④计算结束。

计算结束的条件有两个：训练样本属于同一类以及训练样本个数低于预设的阈值。阈值是指在建立决策树的过程中，当某子树的训练样本个数到达一个特定数目后就不再进行计算，直接返回训练样本集中类别个数最多的那个类。这样在防止“过拟合”的同时也可以降低决策树高度，提高建立决策树的速度和将来的判定速度。以上内容是根据训练样本的行为特征建立决策树的过程。

由于选取的机器学习模型为决策树模型，所以得到的预测结果只有两种情况，即有风险和没有风险，而不是风险的概率。基于决策树模型进行预测的过程如下：

(1)选取待测的远程取证工具样本。

(2)一定时间t内，通过样本分析，获得远程取证工具的m个特征值，得到矩阵A。

(3)通过矩阵A，以及之前训练好的决策树模型，可以得到该样本标记的预测，即该远程取证工具样本是否为安全的。

预测的过程即为搜索决策树的过程，通过对远程取证工具的行为特征进行寻找类别来实现。得到远程取证工具的特征后，每一个可能存在的特征的属性值都被赋于真或假。从决策树的树根开始，首先判断树根代表的特征的属性值：

①若远程取证工具的行为特征中，该特征属性值为真，即该特征是存在的，则继续搜索左子树；

②若远程取证工具的特征中，该特征属性值为假，即该特征不存在，则继续搜索右子树。

如此进行搜索，由于决策树建立算法保证了决策树的高度最高为候选属性的个数，并且保证了一定有解，所以搜索到叶子节点后就能得出远程取证工具是否是安全的。以上内容为利用决策树进行安全性检测的整个过程。

当然，在加载决策树模型和计算预测结果的时候，可能会产生错误，如果发生了错误，就输出错误信息给用户。

评价指标计算模块执行的流程如图8所示，利用前面得到的检测结果，接下来读取评价指标，该评价指标最初为程序预设，但可以由用户修改，所以每次执行的时候都需要读取评价指标，然后通过评价指标计算出行为特征的评价指标分数，再读取权重矩阵，由这个风险分数和权重矩阵，可以计算得到最终的风险评估的结果，相关内容将生成一份安全分析报告。当然，在加载评价模型的参数和计算评价分数的时候会有可能产生错误，如果发生错误，就输出错误信息给用户。在评价指标计算模块中，最为关键的是计算评价指标分数及其危险程度，我们将计算评价指标分数及评估远程取证工具危险程度的相关算法称为风险评估模型，接下来对模型中算法的计算过程进行介绍。行为特征风险分数和风险评估结果计算过程如图9所示。

(1)在一定时间t内，将得到的远程取证工具的动态行为记录并进行统计。该段时间内，设某一特定行为出现的次数为u，行为总数为v，则即可得到特定行为发生的概率。分别计算各类行为的概率，并为行为影响力的权重进行赋值，可得到远程取证工具A到D四类行为特征的评价矩阵I如表2所示。此外，为行为概率及行为影响力的权重赋值，得到隶属度矩阵为

表2远程取证工具行为特征评价矩阵

(2)利用得到的行为特征评价矩阵I及隶属矩阵P，可以得到针对远程取证工具每类行为特征的风险分数。计算公式如下：

其中，P₁表示行为概率在评价体系中的隶属度，P₂表示行为影响力在评价体系中的隶属度；a_i表示A类行为的第i项内容的行为概率，a_i'表示A类行为的第i项内容的行为影响力，R_A表示A类行为特征的风险分数；b_i表示B类行为的第i项内容的行为概率，b_i'表示B类行为的第i项内容的行为影响力，R_B表示B类行为特征的风险分数；c_i表示C类行为的第i项内容的行为概率，c_i'表示C类行为的第i项内容的行为影响力，R_C表示C类行为特征的风险分数；d_i表示D类行为的第i项内容的行为概率，d_i'表示D类行为的第i项内容的行为影响力，R_D表示D类行为特征的风险分数；

同理，可以得到：

(3)根据前两步的内容，可以得到远程取证工具四类行为的特征风险分数矩阵R。为了对远程工具的行为特征进行风险评估，还需确定一个针对上述四类行为的评价权重矩阵M。则：

①利用矩阵R和矩阵M计算得到综合评判分数W。计算公式如下：

W＝R^T×M。

②根据计算得到的综合评判分数W，来确定远程取证工具行为特征的风险程度。W越大，远程取证工具越容易暴露，风险越大。相应评价指标及风险处理意见如表3所示。

表3风险评估表

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，根据本发明的技术方案及其发明构思加以等同替换或改变，都应涵盖在本发明的保护范围之内。

Claims

1.一种基于机器学习的远程取证工具安全分析系统,其特征在于包括：沙箱配置与启动模块、API监控与匹配模块和预测与评价模块；

所述API监控与匹配模块对沙箱中运行的待测远程取证工具进行动态监控，将API调用记录全部保存，根据API字典对API调用记录进行行为匹配；所述API监控与匹配模块包括API调用动态监控模块、行为匹配模块；API调用动态监控模块对待检测远程取证工具在运行过程中调用的所有API进行监控、对API调用信息进行记录，该API调用信息包括API名称、DLL文件名和调用参数；行为匹配模块对API调用动态监控模块得到的API调用记录进行分析，根据预先定义好的字典文件将API调用记录分别匹配到相应的行为，包括文件行为、进程行为、注册表行为等，最后将得到待检测远程取证工具的行为记录；

2.根据权利要求1所述的基于机器学习的远程取证工具安全分析系统，其特征还在于：所述机器学习模块中采用已经训练完成的决策树模型对待检测远程取证工具进行安全检测。

3.根据权利要求1所述的基于机器学习的远程取证工具安全分析系统，其特征还在于：所述评价指标计算模块中采用风险评估模型对待检测远程取证工具进行安全等级评估。