CN111460445A - 样本程序恶意程度自动识别方法及装置 - Google Patents
样本程序恶意程度自动识别方法及装置 Download PDFInfo
- Publication number
- CN111460445A CN111460445A CN202010143686.5A CN202010143686A CN111460445A CN 111460445 A CN111460445 A CN 111460445A CN 202010143686 A CN202010143686 A CN 202010143686A CN 111460445 A CN111460445 A CN 111460445A
- Authority
- CN
- China
- Prior art keywords
- analysis result
- sample program
- malicious
- intelligence
- dynamic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例提供一种样本程序恶意程度自动识别方法及装置,所述方法包括:获取样本程序;对所述样本程序进行静态分析,获取静态分析结果;对所述样本程序进行动态分析,获取动态分析结果;基于所述静态分析结果和/或所述动态分析结果,对所述样本程序进行情报分析,获取情报分析结果;根据所述静态分析结果、所述动态分析结果和所述情报分析结果,确定所述样本程序的恶意程度。本发明实施例综合了考虑静态分析结果、动态分析结果和情报分析结果,从而克服了依靠单一手段分析样本程序进而导致分析结果准确度不高的缺陷,本发明实施例能够提高样本程序分析结果的准确度。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种样本程序恶意程度自动识别方法及装置。
背景技术
网络攻击是黑客或者病毒木马等对电子设备发起的攻击,通过窃取文件等给用户带来了巨大损失。
在对高级持续性威胁(Advanced Persistent Threat,APT)团伙进行追踪发现时,主要依据网络传播中的恶意文件、钓鱼邮件等攻击进行上下文关联分析。攻击者利用恶意程序对网络及信息系统进行入侵控制,达到窃取敏感数据和破坏系统和网络环境的目的,亟待提高对企业网络中传播的恶意样本检测分析能力。
然而,目前在对恶意样本进行检测分析时,通常只采用较为单一的检测分析方式,从而使得检测分析结果的准确度不高。
发明内容
针对现有技术中的问题,本发明实施例提供一种样本程序恶意程度自动识别方法及装置。
具体地,本发明实施例提供了以下技术方案:
第一方面,本发明实施例提供了一种样本程序恶意程度自动识别方法,包括:
获取样本程序;
对所述样本程序进行静态分析,获取静态分析结果;
对所述样本程序进行动态分析,获取动态分析结果;
基于所述静态分析结果和/或所述动态分析结果,对所述样本程序进行情报分析,获取情报分析结果;
根据所述静态分析结果、所述动态分析结果和所述情报分析结果,确定所述样本程序的恶意程度。
进一步地,对所述样本程序进行静态分析,获取静态分析结果,具体包括:
采用至少一种静态分析方法对所述样本程序进行静态分析,获取所述样本程序的静态分析结果;其中,所述静态分析结果包括恶意类型和/或恶意家族类型。
进一步地,对所述样本程序进行动态分析,获取动态分析结果,具体包括:
在系统、沙箱或虚拟机中运行所述样本程序,获取所述样本程序在运行过程中产生的动态行为特征;其中,所述动态行为特征包括:主机行为、网络行为、衍生文件和开机自启动项中的一种或多种;
根据所述动态行为特征以及预设的规则库,获取动态分析结果;其中,所述动态分析结果包括:是否包含非法主机行为、可疑网络行为、可疑衍生文件和非法开机自启动项中的一种或多种。
进一步地,基于所述静态分析结果和/或所述动态分析结果,对所述样本程序进行情报分析,获取情报分析结果,具体包括:
基于所述样本程序在进行动态分析中产生的可疑网络行为,根据所述可疑网络行为确定与所述可疑网络行为匹配的攻陷指标IOC信息,并将所述攻陷指标IOC信息与失陷检测情报进行匹配,获取失陷检测情报匹配结果;
基于所述样本程序在进行动态分析中产生的衍生文件,将所述衍生文件的哈希值与文件信誉情报进行匹配,获取文件信誉情报匹配结果;
基于所述样本程序在进行静态分析中确定的恶意家族类型,将所述恶意家族类型与恶意家族情报进行匹配,获取恶意家族情报匹配结果;
根据所述失陷检测情报匹配结果、文件信誉情报匹配结果和恶意家族情报匹配结果中的一种或多种,确定情报分析结果。
进一步地,根据所述静态分析结果、所述动态分析结果和所述情报分析结果,确定所述样本程序的恶意程度,具体包括:
根据所述静态分析结果中包括的恶意类型和/或恶意家族类型,按照第一分值确定标准,确定静态分析结果分值;
根据所述动态分析结果中包括的非法主机行为、可疑网络行为、可疑衍生文件和非法开机自启动项中的一种或多种,按照第二分值确定标准,确定动态分析结果分值;
根据所述情报分析结果中包括的失陷检测情报匹配结果、文件信誉情报匹配结果和恶意家族情报匹配结果中的一种或多种,按照第三分值确定标准,确定情报分析结果分值;
根据预设权重系数,对所述静态分析结果分值、所述动态分析结果分值和所述情报分析结果分值进行加权求和,确定所述样本程序的恶意程度。
进一步地,所述样本程序恶意程度自动识别方法,还包括:
判断所述样本程序的恶意程度是否大于预设阈值,若是,则根据与所述样本程序匹配的失陷检测情报、文件信誉情报和恶意家族情报,分别确定与所述失陷检测情报对应的第一类高级持续性威胁APT团伙,与所述文件信誉情报对应的第二类APT团伙,以及与所述恶意家族情报对应的第三类APT团伙;
将所述样本程序在静态分析中产生的静态特征、恶意类型和恶意家族类型,以及所述样本程序在动态分析中产生的非法主机行为、可疑网络行为、可疑衍生文件和非法开机自启动项,分别添加至所述第一类APT团伙、所述第二类APT团伙和所述第三类APT团伙对应的情报库信息中。
进一步地,在对所述样本程序进行静态分析和动态分析之前,所述方法还包括:
根据预设白名单判断所述样本程序是否安全,若是,则不进行静态分析和动态分析,否则进行静态分析和动态分析。
第二方面,本发明实施例还提供了一种样本程序恶意程度自动识别装置,包括:
获取模块,用于获取样本程序;
静态分析模块,用于对所述样本程序进行静态分析,获取静态分析结果;
动态分析模块,用于对所述样本程序进行动态分析,获取动态分析结果;
情报分析模块,用于基于所述静态分析结果和/或所述动态分析结果,对所述样本程序进行情报分析,获取情报分析结果;
恶意程度识别模块,用于根据所述静态分析结果、所述动态分析结果和所述情报分析结果,确定所述样本程序的恶意程度。
第三方面,本发明实施例还提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如第一方面所述样本程序恶意程度自动识别方法。
第四方面,本发明实施例还提供了一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如第一方面所述样本程序恶意程度自动识别方法。
第五方面,本发明实施例还提供了一种计算机程序产品,其上存储有可执行指令,该指令被处理器执行时使处理器实现如第一方面所述样本程序恶意程度自动识别方法。
由上面技术方案可知,本发明实施例提供的样本程序恶意程度自动识别方法及装置,不但对样本程序进行了静态分析和动态分析,还对样本程序进行了情报分析,并根据静态分析结果、动态分析结果和情报分析结果,共同确定所述样本程序的恶意程度,从而克服了依靠单一手段分析样本程序进而导致分析结果准确度不高的缺陷。本发明实施例综合了考虑静态分析结果、动态分析结果和情报分析结果,因而能够提高样本程序分析结果的准确度。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一实施例提供的样本程序恶意程度自动识别方法的流程图;
图2为本发明一实施例提供的样本程序恶意程度自动识别方法的实现过程示意图;
图3为本发明一实施例提供的样本程序恶意程度自动识别装置的结构示意图;
图4为本发明一实施例提供的电子设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1示出了本发明实施例提供的样本程序恶意程度自动识别方法的流程图。如图1所示,本发明实施例提供的样本程序恶意程度自动识别方法包括如下步骤:
步骤101:获取样本程序。
在本步骤中,在获取样本程序时,可以从业务系统的网络流量中获取样本程序,也可以从钓鱼邮件的附件列表中获取样本程序,还可以通过其他方式获取样本程序,本实施例对此不作限定。
步骤102:对所述样本程序进行静态分析,获取静态分析结果。
在本步骤中,需要所述对样本程序进行静态分析获取静态分析结果。举例来说,在对所述样本程序进行静态分析时,可以采用至少一种静态分析方法对所述样本程序进行静态分析,获取所述样本程序的静态分析结果;这里的静态分析方法可以包括:采用杀毒软件的静态分析方法,采用数字证书的静态分析方法,采用模糊哈希值的静态分析方法等静态分析方法。
在本实施例中,所述静态分析结果包括恶意类型和/或恶意家族类型等。举例来说,在静态分析过程中,可以先获取样本程序的静态特征(例如,样本程序大小、样本程序名称、样本程序图标、样本程序扩展名、样本程序内的数字证书的签署方、数字证书是否有效等等),然后基于这些静态特征,可以采用多AV(AntiVirus,杀毒软件)引擎,还可以采用数字证书的方式,还可以采用计算模糊哈希值SSDEEP的方式,或,其他静态分析方法对样本程序进行分析。
在本实施例中,通过对所述样本程序进行静态分析,可以获取样本程序的恶意类型以及恶意家族。这里的恶意类型可以包括病毒类型、木马类型等。这里的恶意家族类型可以包括宏病毒家族、CIH病毒家族、蠕虫病毒家族、木马病毒家族等。
此外,在对所述样本程序进行静态分析时,可以采用静态沙箱的分析方式,也即利用静态沙箱对样本程序进行静态检测,匹配预设静态规则,通过提取样本程序的静态特征,包括文件名、文件类型、文件类型匹配度、文件大小、MD5(消息摘要算法,Message-DigestAlgorithm)、SHA(Secure Hash Algorithm,安全散列算法)SHA256、SHA512、SSDEEP等信息,同时通过静态引擎规则,进行样本程序的检测与筛选。
步骤103:对所述样本程序进行动态分析,获取动态分析结果。
在本步骤中,需要对所述样本程序进行动态分析获取动态分析结果。举例来说,在对所述样本程序进行动态分析时,可以将所述样本程序输入动态沙箱中进行运行,然后获取所述样本程序在运行过程中产生的主机行为、网络行为、衍生文件行为、开机自启动项行为等,最后对这些在运行过程中产生的行为进行分析,获取动态分析结果。例如,所述动态分析结果包括:是否包含非法主机行为、可疑网络行为、可疑衍生文件和非法开机自启动项中的一种或多种。
需要说明的是,在对所述样本程序进行动态分析时,除了可以在沙箱中运行外,还可以在系统或虚拟机中运行,本实施例对此不作限定。
步骤104:基于所述静态分析结果和/或所述动态分析结果,对所述样本程序进行情报分析,获取情报分析结果。
在本步骤中,根据前面步骤介绍可知,通过静态分析可以获得所述样本程序所属的恶意家族类型,而通过动态分析可以获得所述样本程序的可疑网络行为,进而使得可以根据可疑网络行为获得对应的攻陷指标IOC(Indicators of compromise,攻陷指标)信息。此外,需要说明是,通过动态分析还可以获得所述样本程序派生出的衍生文件。基于这些静态分析结果和动态分析结果,可以对所述样本程序进行情报分析,从而获得情报分析结果。举例来说,可以根据所述可疑网络行为确定与所述可疑网络行为匹配的攻陷指标IOC信息,并将所述攻陷指标IOC信息与失陷检测情报进行匹配,获取失陷检测情报匹配结果。此外,还可以计算衍生文件的哈希值,并将衍生文件的哈希值与文件信誉情报进行匹配,获取文件信誉情报匹配结果。此外,还可以将恶意家族类型与恶意家族情报进行匹配,获取恶意家族情报匹配结果。最后,可以根据所述失陷检测情报匹配结果、文件信誉情报匹配结果和恶意家族情报匹配结果中的一种或多种,确定情报分析结果。
步骤105:根据所述静态分析结果、所述动态分析结果和所述情报分析结果,确定所述样本程序的恶意程度。
在本步骤中,为准确反映所述样本程序的恶意程度,对静态分析结果、动态分析结果和情报分析结果进行了量化处理。具体来说,根据所述静态分析结果中包括的恶意类型和/或恶意家族类型,按照第一分值确定标准,确定静态分析结果分值;根据所述动态分析结果中包括的非法主机行为、可疑网络行为、可疑衍生文件和非法开机自启动项中的一种或多种,按照第二分值确定标准,确定动态分析结果分值;根据所述情报分析结果中包括的失陷检测情报匹配结果、文件信誉情报匹配结果和恶意家族情报匹配结果中的一种或多种,按照第三分值确定标准,确定情报分析结果分值;然后根据预设权重系数,对所述静态分析结果分值、所述动态分析结果分值和所述情报分析结果分值进行加权求和,确定所述样本程序的恶意程度。
举例来说,例如某样本程序为office安装包,假设对该office安装包进行静态分析后得到其对应的恶意类型为A类型,对应的恶意家族类型为B家族,且假设A恶意类型对应的恶意程度分值为3分,B家族对应的恶意程度分值为2分。接着,假设对该office安装包进行动态分析后发现其衍生了5个文件,且访问了网络地址Y,经分析获知该网络地址Y为远控地址,由于正常的office安装包进行安装时并不会访问远控地址,因此可以确定该网络地址Y为一个可疑网络地址,假设该可疑网络地址对应的恶意程度分值为5分。接着,假设对该office安装包进行情报分析后发现其衍生的5个文件中有3个文件的哈希值与文件信誉情报匹配,且根据文件信誉情况匹配结果确定这3个文件属于木马文件,假设根据文件信誉情况匹配结果确定出3个木马文件对应的恶意程度分值为9。针对该情况采用本实施例提供的方法可知,静态分析结果对应的分值为3+2=5,动态分析结果对应的分值为5,情报分析结果对应的分值为9。假设静态分析结果对应的权重为0.2,动态分析结果对应的权重为0.2,情报分析结果对应的权重为0.6,则根据本实施例提供的方案可以确定所述样本程序的恶意程度为:0.2*5+0.2*5+0.6*9=7.4。假设恶意程度位于0~3属于安全样本,恶意程度位于3~6属于可疑样本,恶意程度位于6~10属于恶意样本,则根据上面的计算结果可知7.4位于6~10之间,因此可知,该样本程序office安装包为恶意样本,且恶意程度较高,为7.4。由此可见,本实施例根据静态分析结果、动态分析结果和情报分析结果,共同确定所述样本程序的恶意程度,从而克服了依靠单一手段分析样本程序进而导致分析结果准确度不高的缺陷。例如,对于上述例子描述的情况来说,若仅仅采用动态分析手段,就会将其认定为可疑样本而不是恶意样本,因此会造成样本检测不准确的后果。由此可知,本实施例综合考虑静态分析结果、动态分析结果和情报分析结果,能够提高样本程序分析结果的准确度。
在本实施例中,需要说明的是,在某些情况下,对样本程序进行静态分析和动态分析后认为其正常,并未发现恶意情况。此时,若不进行情报分析,则就有可能漏检恶意样本。举例来说,假设某样本程序为office安装包,在对该office安装包进行静态分析后并未发现其存在对应的恶意类型和恶意家族。接着对该office安装包的安装过程进行动态分析后发现其衍生了5个文件,这5个文件在动态分析过程中并未发现异常,且在该office安装包的安装过程发现其访问了网络地址X,经分析获知网络地址X属于office官网地址,也即动态分析结果中的衍生文件和网络行为均没有问题。因此,如若仅采用静态分析或仅采用动态分析或同时采用静态分析和动态分析的方式,均会认定其为安全样本。但是假设对该office安装包进行情报分析后发现其衍生的5个文件的哈希值与文件信誉情报能够匹配成功,且根据文件信誉情况匹配结果可以确定这5个文件属于病毒文件,假设根据文件信誉情况匹配结果确定出5个病毒文件对应的恶意程度分值为9。则针对该情况可知,静态分析结果对应的恶意程度分值为0,动态分析结果对应的恶意程度分值为0,情报分析结果对应的恶意程度分值为10。假设静态分析结果对应的权重为0.2,动态分析结果对应的权重为0.2,情报分析结果对应的权重为0.6,则根据本实施例提供的方案可以确定所述样本程序的恶意程度为:0.2*0+0.2*0+0.6*10=6。假设恶意程度位于0~3属于安全样本,恶意程度位于3~6属于可疑样本,恶意程度位于6~10属于恶意样本,则根据上面的计算结果可知6位于6~10之间,因此可知,该样本程序office安装包为恶意样本。由此可知,即便静态分析和动态分析时均未检测出该样本为恶意样本,但是通过情报分析依然可以将该样本检测出来,从而提高了样本检测的准确度,避免恶意样本的漏检。
在本实施例中,需要说明的是,本实施例的执行主体可以为连接一个或多个客户端或服务器的云端服务器或本地服务器等,也可以是移动终端,PC等,本实施例对此不作限定。
由上面技术方案可知,本发明实施例提供的样本程序恶意程度自动识别方法,不但对样本程序进行了静态分析和动态分析,还对样本程序进行了情报分析,并根据静态分析结果、动态分析结果和情报分析结果,共同确定所述样本程序的恶意程度,从而克服了依靠单一手段分析样本程序进而导致分析结果准确度不高的缺陷。本发明实施例综合了考虑静态分析结果、动态分析结果和情报分析结果,因而能够提高样本程序分析结果的准确度。
基于上述实施例的内容,在本实施例中,所述步骤102对所述样本程序进行静态分析,获取静态分析结果,具体可通过如下方式实现:
采用至少一种静态分析方法对所述样本程序进行静态分析,获取所述样本程序的静态分析结果;其中,所述静态分析结果包括恶意类型和/或恶意家族类型。
在本实施例中,在对所述样本程序进行静态分析时,采用至少一种静态分析方法对所述样本程序进行静态分析,获取所述样本程序的静态分析结果。例如,可以采用杀毒软件的静态分析方法,或,采用数字证书的静态分析方法,或,采用模糊哈希值的静态分析方法等静态分析方法对所述样本程序进行静态分析,获取所述样本程序的静态分析结果。
在本实施例中,所述静态分析结果包括恶意类型和/或恶意家族类型等。举例来说,在静态分析过程中,可以先获取样本程序的静态特征(例如,样本程序大小、样本程序名称、样本程序图标、样本程序扩展名、样本程序内的数字证书的签署方、数字证书是否有效等等),然后基于这些静态特征,可以采用多AV(AntiVirus,杀毒软件)引擎,还可以采用数字证书的方式,还可以采用计算模糊哈希值SSDEEP的方式,或,其他静态分析方法对样本程序进行分析。
在本实施例中,通过对所述样本程序进行静态分析,可以获取样本程序的恶意类型以及恶意家族。这里的恶意类型可以包括病毒类型、木马类型等。这里的恶意家族类型可以包括宏病毒家族、CIH病毒家族、蠕虫病毒家族、木马病毒家族等。
基于上述实施例的内容,在本实施例中,所述步骤103对所述样本程序进行动态分析,获取动态分析结果,具体可通过如下方式实现:
在系统、沙箱或虚拟机中运行所述样本程序,获取所述样本程序在运行过程中产生的动态行为特征;其中,所述动态行为特征包括:主机行为、网络行为、衍生文件和开机自启动项中的一种或多种;
根据所述动态行为特征以及预设的规则库,获取动态分析结果;其中,所述动态分析结果包括:是否包含非法主机行为、可疑网络行为、可疑衍生文件和非法开机自启动项中的一种或多种。
在本实施例中,在对所述样本程序进行动态分析时,可以将所述样本程序输入动态沙箱中进行运行,然后获取所述样本程序在运行过程中产生的主机行为、网络行为、衍生文件行为、开机自启动项行为等,最后对这些在运行过程中产生的行为进行分析,将其与预设的规则库进行匹配,以获取动态分析结果。例如,所述动态分析结果包括:是否包含非法主机行为、可疑网络行为、可疑衍生文件和非法开机自启动项中的一种或多种。其中,所述预设的规则库中存储有与各类样本程序对应的动态行为判断规则。例如,对于某一样本程序,预设规则库中规定了与该样本程序对应的合法主机行为有哪些,那么可以理解的是,如果检测到该样本程序在运行时调用了规则库规定的合法主机行为以外的其他主机行为,则可以确定其动态分析结果中包含了非法主机行为。又比如,某一样本程序,预设规则库中规定了与该样本程序对应的正常应用访问网址为E网址,那么可以理解的是,如果检测到该样本程序在运行时访问了F网址,则可以确定其动态分析结果中包含了可疑网络行为。再举个例子,假设样本程序为word文件,而预设规则库中规定了word文件一般不会触发开机自启动项,而如果该样本程序word文件在动态运行时启动了开机自启动项,则会得到其存在非法开机自启动项的动态分析结果。
需要说明的是,在对所述样本程序进行动态分析时,除了可以在沙箱中运行外,还可以在系统或虚拟机中运行,本实施例对此不作限定。下面以在动态沙箱中运行所述样本程序为例说明动态分析过程。
举例来说,在动态沙箱中模拟运行样本程序,并获取所述样本程序在所述动态沙箱内运行时产生的主机行为、网络行为、衍生文件和开机自启动项等动态行为。需要说明的是,在对动态沙箱内的样本程序进行动态行为分析时,可以用系统监视类软件捕获其系统调用,从捕获的信息中就可以得到其对注册表,文件读写等一系列操作,便于进一步分析,也可以模拟出一个虚拟的网络应答来响应恶意代码的网络访问,监控其网络动态,从而了解网络相关特性,例如:Apate Dns(检测恶意代码的域名访问)、netcat(网络监听)、wireshark嗅探器、INetSim(模拟网络服务,linux环境)。其中,所述动态沙箱可以为Norman沙箱、GFI沙箱、Joe沙箱等。
基于上述实施例的内容,在本实施例中,所述步骤104基于所述静态分析结果和/或所述动态分析结果,对所述样本程序进行情报分析,获取情报分析结果,具体包括:
基于所述样本程序在进行动态分析中产生的可疑网络行为,根据所述可疑网络行为确定与所述可疑网络行为匹配的攻陷指标IOC信息,并将所述攻陷指标IOC信息与失陷检测情报进行匹配,获取失陷检测情报匹配结果;
基于所述样本程序在进行动态分析中产生的衍生文件,将所述衍生文件的哈希值与文件信誉情报进行匹配,获取文件信誉情报匹配结果;
基于所述样本程序在进行静态分析中确定的恶意家族类型,将所述恶意家族类型与恶意家族情报进行匹配,获取恶意家族情报匹配结果;
根据所述失陷检测情报匹配结果、文件信誉情报匹配结果和恶意家族情报匹配结果中的一种或多种,确定情报分析结果。
在本步骤中,根据前面步骤介绍可知,通过静态分析可以获得所述样本程序所属的恶意家族类型,而通过动态分析可以获得所述样本程序的可疑网络行为,进而可以根据可疑网络行为获得对应的攻陷指标IOC信息。此外,通过动态分析还可以获得所述样本程序派生出的衍生文件。基于这些静态分析结果和动态分析结果,可以对所述样本程序进行情报分析,从而获得情报分析结果。举例来说,可以根据所述可疑网络行为确定与所述可疑网络行为匹配的攻陷指标IOC信息,并将所述攻陷指标IOC信息与失陷检测情报进行匹配,获取失陷检测情报匹配结果。此外,还可以计算衍生文件的哈希值,并将衍生文件的哈希值与文件信誉情报进行匹配,获取文件信誉情报匹配结果。此外,还可以将恶意家族类型与恶意家族情报进行匹配,获取恶意家族情报匹配结果。最后,可以根据所述失陷检测情报匹配结果、文件信誉情报匹配结果和恶意家族情报匹配结果中的一种或多种,确定情报分析结果。由此可见,在本实施例中,在样本程序自动化分析过程中,对样本程序进行静态检测和动态行为检测,并在恶意程序的扩展维度关联失陷检测情报、文件信誉威胁情报和恶意家族情报,从而实现对恶意程序的多维度综合判定。
基于上述实施例的内容,在本实施例中,所述步骤105根据所述静态分析结果、所述动态分析结果和所述情报分析结果,确定所述样本程序的恶意程度,具体包括:
根据所述静态分析结果中包括的恶意类型和/或恶意家族类型,按照第一分值确定标准,确定静态分析结果分值;
根据所述动态分析结果中包括的非法主机行为、可疑网络行为、可疑衍生文件和非法开机自启动项中的一种或多种,按照第二分值确定标准,确定动态分析结果分值;
根据所述情报分析结果中包括的失陷检测情报匹配结果、文件信誉情报匹配结果和恶意家族情报匹配结果中的一种或多种,按照第三分值确定标准,确定情报分析结果分值;
根据预设权重系数,对所述静态分析结果分值、所述动态分析结果分值和所述情报分析结果分值进行加权求和,确定所述样本程序的恶意程度。
在本实施例中,为准确反映所述样本程序的恶意程度,对静态分析结果、动态分析结果和情报分析结果进行了量化处理。具体来说,根据所述静态分析结果中包括的恶意类型和/或恶意家族类型,按照第一分值确定标准,确定静态分析结果分值;根据所述动态分析结果中包括的非法主机行为、可疑网络行为、可疑衍生文件和非法开机自启动项中的一种或多种,按照第二分值确定标准,确定动态分析结果分值;根据所述情报分析结果中包括的失陷检测情报匹配结果、文件信誉情报匹配结果和恶意家族情报匹配结果中的一种或多种,按照第三分值确定标准,确定情报分析结果分值;然后根据预设权重系数,对所述静态分析结果分值、所述动态分析结果分值和所述情报分析结果分值进行加权求和,确定所述样本程序的恶意程度。
在本实施例中,所述第一分值确定标准中存储有各恶意类型对应的恶意程度分值,以及,各恶意家族类型对应的恶意程度分值。需要说明的是,各恶意类型对应的恶意程度分值为预先根据相应恶意类型的文件能够造成的破坏程度预先确定好的。类似地,各恶意家族类型对应的恶意程度分值为预先根据相应恶意家族类型的文件能够造成的破坏程度预先确定好的。例如,通过查询所述第一分值确定标准,可以得到A恶意类型对应的恶意程度分值为3分,A1恶意类型对应的恶意程度分值为5分。B恶意家族类型对应的恶意程度分值为2分,B1恶意家族类型对应的恶意程度分值为6分。
在本实施例中,所述第二分值确定标准中存储有各非法主机行为、各可疑网络行为、各可疑衍生文件,以及,各非法开机自启动项对应的恶意程度分值。需要说明的是,各非法主机行为对应的恶意程度分值为预先根据具有相应非法主机行为的文件能够造成的破坏程度预先确定好的。类似地,各可疑网络行为对应的恶意程度分值为预先根据具有相应可疑网络行为的文件能够造成的破坏程度预先确定好的。类似地,各可疑衍生文件对应的恶意程度分值为预先根据具有相应可疑衍生文件的文件能够造成的破坏程度预先确定好的。类似地,各非法开机自启动项对应的恶意程度分值为预先根据具有相应非法开机自启动项的文件能够造成的破坏程度预先确定好的。例如,通过查询所述第二分值确定标准,可以得到非法主机行为a对应的恶意程度分值为8分,非法主机行为b对应的恶意程度分值为1分。可疑网络行为f对应的恶意程度分值为2分,可疑网络行为e对应的恶意程度分值为9分。可疑衍生文件w对应的恶意程度分值为1分,可疑衍生文件r对应的恶意程度分值为3分。非法开机自启动项t对应的恶意程度分值为4分,非法开机自启动项o对应的恶意程度分值为2分等等。
在本实施例中,所述第三分值确定标准中存储有各失陷检测情报匹配结果、各文件信誉情报匹配结果,以及,各恶意家族情报匹配结果对应的恶意程度分值。需要说明的是,各失陷检测情报匹配结果对应的恶意程度分值为预先根据具有相应失陷检测情报匹配结果的文件能够造成的破坏程度预先确定好的。类似地,各文件信誉情报匹配结果对应的恶意程度分值为预先根据具有相应文件信誉情报匹配结果的文件能够造成的破坏程度预先确定好的。类似地,各恶意家族情报匹配结果对应的恶意程度分值为预先根据具有相应恶意家族情报匹配结果的文件能够造成的破坏程度预先确定好的。例如,通过查询所述第三分值确定标准,可以得到当失陷检测情报匹配结果中包含6种攻陷指标IOC信息时,对应的恶意程度分值为3,当失陷检测情报匹配结果中包含4种攻陷指标IOC信息时,对应的恶意程度分值为2。当文件信誉情报匹配结果中包含3个木马文件时,对应的恶意程度分值为9,当文件信誉情报匹配结果中包含1个木马文件时,对应的恶意程度分值为3。当恶意家族情报匹配结果中包含D恶意家族情报时,对应的恶意程度分值为6。当恶意家族情报匹配结果中包含H恶意家族情报时,对应的恶意程度分值为3。
举例来说,例如某样本程序为office安装包,假设对该office安装包进行静态分析后得到其对应的恶意类型为A类型,对应的恶意家族类型为B家族。则可以通过查询所述第一分值确定标准确定A恶意类型对应的恶意程度分值为3分,B恶意家族类型对应的恶意程度分值为2分。
接着,假设对该office安装包进行动态分析后发现其衍生了5个文件,且访问了网络地址Y,经分析获知该网络地址Y为远控地址(恶意远程操控的地址),由于正常的office安装包进行安装时并不会访问远控地址,因此可以确定该网络地址Y为一个可疑网络地址,假设经查询第二分值确定标准获知该可疑网络地址对应的恶意程度分值为5分。
接着,假设对该office安装包进行情报分析后发现其衍生的5个文件中有3个文件的哈希值与文件信誉情报匹配,且根据文件信誉情况匹配结果确定这3个文件属于木马文件,假设根据文件信誉情况匹配结果经查询第三分值确定标准确定该文件信誉情况匹配结果对应的恶意程度分值为9。
针对该情况采用本实施例提供的方法可知,静态分析结果对应的分值为3+2=5,动态分析结果对应的分值为5,情报分析结果对应的分值为9。
假设,情报分析结果相对于静态分析结果和动态分析结果,更能准确反映样本程序的恶意程度,则可以设定情报分析结果的权重相对于静态分析结果和动态分析结果更大一些。例如,可以将静态分析结果对应的权重设置为0.2,动态分析结果对应的权重设置为0.2,情报分析结果对应的权重设置为0.6。需要说明的是,对于不同类型的样本程序,静态分析结果、动态分析结果和情报分析结果来说,反映样本程序恶意程度的能力不尽相同,因此,可以根据实际需要设定静态分析结果、动态分析结果和情报分析结果各自的权重,本实施例对此不作限定。假设在本实施例中,静态分析结果对应的权重为0.2,动态分析结果对应的权重为0.2,情报分析结果对应的权重为0.6,则根据本实施例提供的方案可以确定所述样本程序的恶意程度为:0.2*5+0.2*5+0.6*9=7.4。
假设恶意程度位于0~3属于安全样本,恶意程度位于3~6属于可疑样本,恶意程度位于6~10属于恶意样本,则根据上面的计算结果可知7.4位于6~10之间,因此可知,该样本程序office安装包为恶意样本,且恶意程度较高,为7.4。
由此可见,本实施例根据静态分析结果、动态分析结果和情报分析结果,共同确定所述样本程序的恶意程度,从而克服了依靠单一手段分析样本程序进而导致分析结果准确度不高的缺陷。例如,对于上述例子描述的情况来说,若仅仅采用动态分析手段,就会将其认定为可疑样本而不是恶意样本,因此会造成样本检测不准确的后果。由此可知,本实施例综合考虑静态分析结果、动态分析结果和情报分析结果,能够提高样本程序分析结果的准确度。
在本实施例中,需要说明的是,由于网络安全事件频发,因此对事件的分析溯源越来越重要。目前网络黑客攻击事件的分析主要依靠人工分析,不但难度高,而且效率低。为解决该问题,本实施例提出一种基于恶意程序自动化分析方法的APT情报生产的方法,本实施例能够自动对恶意样本的功能、网络行为、家族信息等进行自动分析关联溯源,帮助威胁分析人员进行APT情报生产,能够提高APT溯源的工作效率,同时提升事件响应能力。因此,基于上述实施例的内容,在本实施例中,所述样本程序恶意程度自动识别方法,还包括:
判断所述样本程序的恶意程度是否大于预设阈值,若是,则根据与所述样本程序匹配的失陷检测情报、文件信誉情报和恶意家族情报,分别确定与所述失陷检测情报对应的第一类高级持续性威胁APT团伙,与所述文件信誉情报对应的第二类APT团伙,以及与所述恶意家族情报对应的第三类APT团伙;
将所述样本程序在静态分析中产生的静态特征、恶意类型和恶意家族类型,以及所述样本程序在动态分析中产生的非法主机行为、可疑网络行为、可疑衍生文件和非法开机自启动项,分别添加至所述第一类APT团伙、所述第二类APT团伙和所述第三类APT团伙对应的情报库信息中。
在本实施例中,若判断获知所述样本程序的恶意程度大于预设阈值(假设为6),则可以获知所述样本程序为恶意样本,进而根据与所述样本程序匹配的失陷检测情报、文件信誉情报和恶意家族情报,可以确定与所述失陷检测情报对应的第一类高级持续性威胁APT团伙,与所述文件信誉情报对应的第二类APT团伙,以及与所述恶意家族情报对应的第三类APT团伙,进而可以根据所述样本程序在静态分析中产生的静态特征、恶意类型和恶意家族类型,以及所述样本程序在动态分析中产生的非法主机行为、可疑网络行为、可疑衍生文件和非法开机自启动项进行APT情报信息完善。
举例来说,在确定与所述失陷检测情报对应的第一APT团伙时,可以根据与所述可疑网络行为匹配的攻陷指标IOC信息查找与样本程序相关的上下文;从所述上下文中解析得到所述样本程序的家族信息和历史访问信息,并将所述家族信息和所述历史访问信息确定第一APT团伙。
在本实施例中,在样本程序自动化分析过程中,通过多AV引擎检测和数据比对,对提交样本进行静态和动态分析,自动分析恶意样本的功能、家族信息和恶意行为等,再利用失陷检测情报、文件信誉情报和恶意家族情报来关联样本的恶意家族信息和特征,进一步与APT团伙情报关联分析出可疑的黑客组织或人员。具体来说,在样本程序自动化分析过程中,识别出来的恶意样本匹配恶意家族关联攻击团伙后,可自动化入库本地的APT攻击团伙情报库中(指标包括但不限于:IP、Domain、URL、HASH等),对数据进行归一化、清洗后,进一步进行数据富化,同时支持补充相关IOC的上下文信息,实现APT情报生产,达到情报二次生产的目的。在本实施例中,还可以将恶意样本结果与平台自身存储情报数据进行可视化关联分析,采用图数据库进行上下文关联,并提供可视化分析。能够从某一恶意样本关联到该样本所相关的IP,域名以及活跃信息、家族团伙等
此外,需要说明的是,本实施例提供的样本程序恶意程度自动识别方法在系统上实现时支持横向扩展,性能可随硬件线性扩展,大大提高对恶意程序功能分析的自动化水平和效率。
由此可知,本实施例提供的样本程序恶意程度自动识别方法具有如下优势:一方面,能够提高分析人员分析APT样本的效率和准确性。另一方面,对APT情报生产起到重要的推进作用,在情报源的提供及多信息判定后综合上下文入库起到至关重要的作用,加强了APT团伙的跟踪和发现。由此可见,本实施例提供的样本程序恶意程度自动识别方法,能够自动对样本程序的功能、网络行为、家族信息等信息进行自动分析关联溯源,帮助威胁分析人员进行APT情报生产,能够提高APT溯源的工作效率,同时提升事件响应能力。
基于上述实施例的内容,在本实施例中,在对所述样本程序进行静态分析和动态分析之前,所述方法还包括:
根据预设白名单判断所述样本程序是否安全,若是,则不进行静态分析和动态分析,否则进行静态分析和动态分析。
在本实施例中,如图2所示,在进行静态分析和动态分析之前,先根据预设白名单判断所述样本程序是否安全,若确定所述样本程序为安全样本,则可以省略后续一系列复杂的判断过程,从而有利于提高样本检测效率。这里的白名单可以预先设定。同样,如图2所示,如果根据预设白名单判断所述样本程序不安全,则需要分别进行静态分析、动态分析和情报分析,并根据静态分析结果、动态分析结果和情报分析结果,共同确定所述样本程序的恶意程度。
图3示出了本发明实施例提供的样本程序恶意程度自动识别装置的结构示意图。如图3所示,本实施例提供的样本程序恶意程度自动识别装置,包括:获取模块21、静态分析模块22、动态分析模块23、情报分析模块24和恶意程度识别模块25,其中:
获取模块21,用于获取样本程序;
静态分析模块22,用于对所述样本程序进行静态分析,获取静态分析结果;
动态分析模块23,用于对所述样本程序进行动态分析,获取动态分析结果;
情报分析模块24,用于基于所述静态分析结果和/或所述动态分析结果,对所述样本程序进行情报分析,获取情报分析结果;
恶意程度识别模块25,用于根据所述静态分析结果、所述动态分析结果和所述情报分析结果,确定所述样本程序的恶意程度。
基于上述实施例的内容,在本实施例中,所述静态分析模块22,具体用于:
采用至少一种静态分析方法对所述样本程序进行静态分析,获取所述样本程序的静态分析结果;其中,所述静态分析结果包括恶意类型和/或恶意家族类型。
基于上述实施例的内容,在本实施例中,所述动态分析模块23,具体用于:
在系统、沙箱或虚拟机中运行所述样本程序,获取所述样本程序在运行过程中产生的动态行为特征;其中,所述动态行为特征包括:主机行为、网络行为、衍生文件和开机自启动项中的一种或多种;
根据所述动态行为特征以及预设的规则库,获取动态分析结果;其中,所述动态分析结果包括:是否包含非法主机行为、可疑网络行为、可疑衍生文件和非法开机自启动项中的一种或多种。
基于上述实施例的内容,在本实施例中,所述情报分析模块24,具体用于:
基于所述样本程序在进行动态分析中产生的可疑网络行为,根据所述可疑网络行为确定与所述可疑网络行为匹配的攻陷指标IOC信息,并将所述攻陷指标IOC信息与失陷检测情报进行匹配,获取失陷检测情报匹配结果;
基于所述样本程序在进行动态分析中产生的衍生文件,将所述衍生文件的哈希值与文件信誉情报进行匹配,获取文件信誉情报匹配结果;
基于所述样本程序在进行静态分析中确定的恶意家族类型,将所述恶意家族类型与恶意家族情报进行匹配,获取恶意家族情报匹配结果;
根据所述失陷检测情报匹配结果、文件信誉情报匹配结果和恶意家族情报匹配结果中的一种或多种,确定情报分析结果。
基于上述实施例的内容,在本实施例中,所述恶意程度识别模块25,具体用于:
根据所述静态分析结果中包括的恶意类型和/或恶意家族类型,按照第一分值确定标准,确定静态分析结果分值;
根据所述动态分析结果中包括的非法主机行为、可疑网络行为、可疑衍生文件和非法开机自启动项中的一种或多种,按照第二分值确定标准,确定动态分析结果分值;
根据所述情报分析结果中包括的失陷检测情报匹配结果、文件信誉情报匹配结果和恶意家族情报匹配结果中的一种或多种,按照第三分值确定标准,确定情报分析结果分值;
根据预设权重系数,对所述静态分析结果分值、所述动态分析结果分值和所述情报分析结果分值进行加权求和,确定所述样本程序的恶意程度。
基于上述实施例的内容,在本实施例中,所述装置还包括:
第一判断模块,用于判断所述样本程序的恶意程度是否大于预设阈值,若是,则根据与所述样本程序匹配的失陷检测情报、文件信誉情报和恶意家族情报,分别确定与所述失陷检测情报对应的第一类高级持续性威胁APT团伙,与所述文件信誉情报对应的第二类APT团伙,以及与所述恶意家族情报对应的第三类APT团伙;
将所述样本程序在静态分析中产生的静态特征、恶意类型和恶意家族类型,以及所述样本程序在动态分析中产生的非法主机行为、可疑网络行为、可疑衍生文件和非法开机自启动项,分别添加至所述第一类APT团伙、所述第二类APT团伙和所述第三类APT团伙对应的情报库信息中。
基于上述实施例的内容,在本实施例中,所述装置还包括:
第二判断模块,用于根据预设白名单判断所述样本程序是否安全,若是,则不进行静态分析和动态分析,否则进行静态分析和动态分析。
由于本发明实施例提供的样本程序恶意程度自动识别装置,可以用于执行上述实施例所述的样本程序恶意程度自动识别方法,其工作原理和有益效果类似,故此处不再详述,具体内容可参见上述实施例的介绍。
在本实施例中,需要说明的是,本发明实施例的装置中的各个模块可以集成于一体,也可以分离部署。上述模块可以合并为一个模块,也可以进一步拆分成多个子模块。
基于相同的发明构思,本发明又一实施例提供了一种电子设备,参见图4,所述电子设备具体包括如下内容:处理器301、存储器302、通信接口303和通信总线304;
其中,所述处理器301、存储器302、通信接口303通过所述通信总线304完成相互间的通信;
所述处理器301用于调用所述存储器302中的计算机程序,所述处理器执行所述计算机程序时实现上述样本程序恶意程度自动识别方法的全部步骤,例如,所述处理器执行所述计算机程序时实现下述过程:获取样本程序;对所述样本程序进行静态分析,获取静态分析结果;对所述样本程序进行动态分析,获取动态分析结果;基于所述静态分析结果和/或所述动态分析结果,对所述样本程序进行情报分析,获取情报分析结果;根据所述静态分析结果、所述动态分析结果和所述情报分析结果,确定所述样本程序的恶意程度。
可以理解的是,所述计算机程序可以执行的细化功能和扩展功能可参照上面实施例的描述。
基于相同的发明构思,本发明又一实施例提供了一种非暂态计算机可读存储介质,该非暂态计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现上述样本程序恶意程度自动识别方法的全部步骤,例如,所述处理器执行所述计算机程序时实现下述过程:获取样本程序;对所述样本程序进行静态分析,获取静态分析结果;对所述样本程序进行动态分析,获取动态分析结果;基于所述静态分析结果和/或所述动态分析结果,对所述样本程序进行情报分析,获取情报分析结果;根据所述静态分析结果、所述动态分析结果和所述情报分析结果,确定所述样本程序的恶意程度。
可以理解的是,所述计算机程序可以执行的细化功能和扩展功能可参照上面实施例的描述。
基于相同的发明构思,本发明又一实施例提供了一种计算机程序产品,其上存储有可执行指令,该指令被处理器执行时使处理器实现上述样本程序恶意程度自动识别方法的全部步骤,例如,该指令被处理器执行时使处理器实现如下内容:获取样本程序;对所述样本程序进行静态分析,获取静态分析结果;对所述样本程序进行动态分析,获取动态分析结果;基于所述静态分析结果和/或所述动态分析结果,对所述样本程序进行情报分析,获取情报分析结果;根据所述静态分析结果、所述动态分析结果和所述情报分析结果,确定所述样本程序的恶意程度。
此外,上述的存储器中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的样本程序恶意程度自动识别方法。
此外,在本发明中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
此外,在本发明中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (11)
1.一种样本程序恶意程度自动识别方法,其特征在于,包括:
获取样本程序;
对所述样本程序进行静态分析,获取静态分析结果;
对所述样本程序进行动态分析,获取动态分析结果;
基于所述静态分析结果和/或所述动态分析结果,对所述样本程序进行情报分析,获取情报分析结果;
根据所述静态分析结果、所述动态分析结果和所述情报分析结果,确定所述样本程序的恶意程度。
2.根据权利要求1所述的样本程序恶意程度自动识别方法,其特征在于,对所述样本程序进行静态分析,获取静态分析结果,具体包括:
采用至少一种静态分析方法对所述样本程序进行静态分析,获取所述样本程序的静态分析结果;其中,所述静态分析结果包括恶意类型和/或恶意家族类型。
3.根据权利要求1所述的样本程序恶意程度自动识别方法,其特征在于,对所述样本程序进行动态分析,获取动态分析结果,具体包括:
在系统、沙箱或虚拟机中运行所述样本程序,获取所述样本程序在运行过程中产生的动态行为特征;其中,所述动态行为特征包括:主机行为、网络行为、衍生文件和开机自启动项中的一种或多种;
根据所述动态行为特征以及预设的规则库,获取动态分析结果;其中,所述动态分析结果包括:是否包含非法主机行为、可疑网络行为、可疑衍生文件和非法开机自启动项中的一种或多种。
4.根据权利要求3所述的样本程序恶意程度自动识别方法,其特征在于,基于所述静态分析结果和/或所述动态分析结果,对所述样本程序进行情报分析,获取情报分析结果,具体包括:
基于所述样本程序在进行动态分析中产生的可疑网络行为,根据所述可疑网络行为确定与所述可疑网络行为匹配的攻陷指标IOC信息,并将所述攻陷指标IOC信息与失陷检测情报进行匹配,获取失陷检测情报匹配结果;
基于所述样本程序在进行动态分析中产生的衍生文件,将所述衍生文件的哈希值与文件信誉情报进行匹配,获取文件信誉情报匹配结果;
基于所述样本程序在进行静态分析中确定的恶意家族类型,将所述恶意家族类型与恶意家族情报进行匹配,获取恶意家族情报匹配结果;
根据所述失陷检测情报匹配结果、文件信誉情报匹配结果和恶意家族情报匹配结果中的一种或多种,确定情报分析结果。
5.根据权利要求4所述的样本程序恶意程度自动识别方法,其特征在于,根据所述静态分析结果、所述动态分析结果和所述情报分析结果,确定所述样本程序的恶意程度,具体包括:
根据所述静态分析结果中包括的恶意类型和/或恶意家族类型,按照第一分值确定标准,确定静态分析结果分值;
根据所述动态分析结果中包括的非法主机行为、可疑网络行为、可疑衍生文件和非法开机自启动项中的一种或多种,按照第二分值确定标准,确定动态分析结果分值;
根据所述情报分析结果中包括的失陷检测情报匹配结果、文件信誉情报匹配结果和恶意家族情报匹配结果中的一种或多种,按照第三分值确定标准,确定情报分析结果分值;
根据预设权重系数,对所述静态分析结果分值、所述动态分析结果分值和所述情报分析结果分值进行加权求和,确定所述样本程序的恶意程度。
6.根据权利要求5所述的样本程序恶意程度自动识别方法,其特征在于,还包括:
判断所述样本程序的恶意程度是否大于预设阈值,若是,则根据与所述样本程序匹配的失陷检测情报、文件信誉情报和恶意家族情报,分别确定与所述失陷检测情报对应的第一类高级持续性威胁APT团伙,与所述文件信誉情报对应的第二类APT团伙,以及与所述恶意家族情报对应的第三类APT团伙;
将所述样本程序在静态分析中产生的静态特征、恶意类型和恶意家族类型,以及所述样本程序在动态分析中产生的非法主机行为、可疑网络行为、可疑衍生文件和非法开机自启动项,分别添加至所述第一类APT团伙、所述第二类APT团伙和所述第三类APT团伙对应的情报库信息中。
7.根据权利要求1~6任一项所述的样本程序恶意程度自动识别方法,其特征在于,在对所述样本程序进行静态分析和动态分析之前,所述方法还包括:
根据预设白名单判断所述样本程序是否安全,若是,则不进行静态分析和动态分析,否则进行静态分析和动态分析。
8.一种样本程序恶意程度自动识别装置,其特征在于,包括:
获取模块,用于获取样本程序;
静态分析模块,用于对所述样本程序进行静态分析,获取静态分析结果;
动态分析模块,用于对所述样本程序进行动态分析,获取动态分析结果;
情报分析模块,用于基于所述静态分析结果和/或所述动态分析结果,对所述样本程序进行情报分析,获取情报分析结果;
恶意程度识别模块,用于根据所述静态分析结果、所述动态分析结果和所述情报分析结果,确定所述样本程序的恶意程度。
9.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1~7任一项所述样本程序恶意程度自动识别方法。
10.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1~7任一项所述样本程序恶意程度自动识别方法。
11.一种计算机程序产品,其上存储有可执行指令,其特征在于,该指令被处理器执行时使处理器实现如权利要求1~7任一项所述样本程序恶意程度自动识别方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010143686.5A CN111460445B (zh) | 2020-03-04 | 2020-03-04 | 样本程序恶意程度自动识别方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010143686.5A CN111460445B (zh) | 2020-03-04 | 2020-03-04 | 样本程序恶意程度自动识别方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111460445A true CN111460445A (zh) | 2020-07-28 |
| CN111460445B CN111460445B (zh) | 2023-08-22 |
Family
ID=71681805
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010143686.5A Active CN111460445B (zh) | 2020-03-04 | 2020-03-04 | 样本程序恶意程度自动识别方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111460445B (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112131571A (zh) * | 2020-11-20 | 2020-12-25 | 腾讯科技(深圳)有限公司 | 威胁溯源方法及相关设备 |
| CN112329014A (zh) * | 2020-11-27 | 2021-02-05 | 杭州安恒信息技术股份有限公司 | 一种病毒识别防御方法、装置、存储介质及设备 |
| CN113177205A (zh) * | 2021-04-27 | 2021-07-27 | 国家计算机网络与信息安全管理中心 | 一种恶意应用检测系统及方法 |
| CN113282922A (zh) * | 2021-06-29 | 2021-08-20 | 北京安天网络安全技术有限公司 | 对移动存储设备进行防护控制的方法、装置、设备及介质 |
| CN113987485A (zh) * | 2021-09-28 | 2022-01-28 | 奇安信科技集团股份有限公司 | 应用程序样本检测方法及装置 |
| CN114021116A (zh) * | 2022-01-05 | 2022-02-08 | 北京微步在线科技有限公司 | 一种同源分析知识库的构建方法、同源分析方法及装置 |
| CN114662111A (zh) * | 2022-05-18 | 2022-06-24 | 成都数默科技有限公司 | 一种恶意代码软件基因同源性分析方法 |
| CN115544504A (zh) * | 2022-09-23 | 2022-12-30 | 国网山西省电力公司 | 一种检测恶意代码的方法和装置 |
| WO2023124166A1 (zh) * | 2021-12-31 | 2023-07-06 | 奇安信科技集团股份有限公司 | 威胁情报内生方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120260342A1 (en) * | 2011-04-05 | 2012-10-11 | Government Of The United States, As Represented By The Secretary Of The Air Force | Malware Target Recognition |
| US20150096022A1 (en) * | 2013-09-30 | 2015-04-02 | Michael Vincent | Dynamically adaptive framework and method for classifying malware using intelligent static, emulation, and dynamic analyses |
| CN106778268A (zh) * | 2016-11-28 | 2017-05-31 | 广东省信息安全测评中心 | 恶意代码检测方法与系统 |
| CN109240920A (zh) * | 2018-08-23 | 2019-01-18 | 北京航空航天大学 | 一种基于ds证据理论的组合加速静态分析方法 |
-
2020
- 2020-03-04 CN CN202010143686.5A patent/CN111460445B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120260342A1 (en) * | 2011-04-05 | 2012-10-11 | Government Of The United States, As Represented By The Secretary Of The Air Force | Malware Target Recognition |
| US20150096022A1 (en) * | 2013-09-30 | 2015-04-02 | Michael Vincent | Dynamically adaptive framework and method for classifying malware using intelligent static, emulation, and dynamic analyses |
| CN106778268A (zh) * | 2016-11-28 | 2017-05-31 | 广东省信息安全测评中心 | 恶意代码检测方法与系统 |
| CN109240920A (zh) * | 2018-08-23 | 2019-01-18 | 北京航空航天大学 | 一种基于ds证据理论的组合加速静态分析方法 |
Non-Patent Citations (1)
| Title |
|---|
| 吴进;戴海彬;: "一种面向未知攻击的安全威胁发现技术研究", no. 04 * |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112131571A (zh) * | 2020-11-20 | 2020-12-25 | 腾讯科技(深圳)有限公司 | 威胁溯源方法及相关设备 |
| CN112329014A (zh) * | 2020-11-27 | 2021-02-05 | 杭州安恒信息技术股份有限公司 | 一种病毒识别防御方法、装置、存储介质及设备 |
| CN113177205A (zh) * | 2021-04-27 | 2021-07-27 | 国家计算机网络与信息安全管理中心 | 一种恶意应用检测系统及方法 |
| CN113177205B (zh) * | 2021-04-27 | 2023-09-15 | 国家计算机网络与信息安全管理中心 | 一种恶意应用检测系统及方法 |
| CN113282922A (zh) * | 2021-06-29 | 2021-08-20 | 北京安天网络安全技术有限公司 | 对移动存储设备进行防护控制的方法、装置、设备及介质 |
| CN113987485A (zh) * | 2021-09-28 | 2022-01-28 | 奇安信科技集团股份有限公司 | 应用程序样本检测方法及装置 |
| WO2023124166A1 (zh) * | 2021-12-31 | 2023-07-06 | 奇安信科技集团股份有限公司 | 威胁情报内生方法及装置 |
| CN114021116B (zh) * | 2022-01-05 | 2022-03-29 | 北京微步在线科技有限公司 | 一种同源分析知识库的构建方法、同源分析方法及装置 |
| CN114021116A (zh) * | 2022-01-05 | 2022-02-08 | 北京微步在线科技有限公司 | 一种同源分析知识库的构建方法、同源分析方法及装置 |
| CN114662111B (zh) * | 2022-05-18 | 2022-08-09 | 成都数默科技有限公司 | 一种恶意代码软件基因同源性分析方法 |
| CN114662111A (zh) * | 2022-05-18 | 2022-06-24 | 成都数默科技有限公司 | 一种恶意代码软件基因同源性分析方法 |
| CN115544504A (zh) * | 2022-09-23 | 2022-12-30 | 国网山西省电力公司 | 一种检测恶意代码的方法和装置 |
| CN115544504B (zh) * | 2022-09-23 | 2023-12-29 | 国网山西省电力公司 | 一种检测恶意代码的方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111460445B (zh) | 2023-08-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111460445B (zh) | 样本程序恶意程度自动识别方法及装置 | |
| US11625485B2 (en) | Method of malware detection and system thereof | |
| US9679136B2 (en) | Method and system for discrete stateful behavioral analysis | |
| US9323928B2 (en) | System and method for non-signature based detection of malicious processes | |
| US8484739B1 (en) | Techniques for securely performing reputation based analysis using virtualization | |
| EP2701092A1 (en) | Method for identifying malicious executables | |
| RU2573265C2 (ru) | Способ выявления ложных положительных результатов сканирования файлов на вредоносное по | |
| US8307434B2 (en) | Method and system for discrete stateful behavioral analysis | |
| RU2726032C2 (ru) | Системы и способы обнаружения вредоносных программ с алгоритмом генерации доменов (dga) | |
| CN110119619B (zh) | 创建防病毒记录的系统和方法 | |
| WO2016121348A1 (ja) | マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラムが格納された記録媒体 | |
| CN103279707A (zh) | 一种用于主动防御恶意程序的方法、设备及系统 | |
| CN110868378A (zh) | 钓鱼邮件检测方法、装置、电子设备及存储介质 | |
| GB2510701A (en) | Detecting malware code injection by determining whether return address on stack thread points to suspicious memory area | |
| Aslan | Performance comparison of static malware analysis tools versus antivirus scanners to detect malware | |
| CN113468542A (zh) | 一种暴露面资产风险评估方法、装置、设备及介质 | |
| CN107070845B (zh) | 用于检测网络钓鱼脚本的系统和方法 | |
| CN115208643A (zh) | 一种基于web动态防御的追踪溯源方法及装置 | |
| US8479289B1 (en) | Method and system for minimizing the effects of rogue security software | |
| US20200007559A1 (en) | Web Threat Investigation Using Advanced Web Crawling | |
| US9239907B1 (en) | Techniques for identifying misleading applications | |
| US10880316B2 (en) | Method and system for determining initial execution of an attack | |
| CN115643044A (zh) | 数据处理方法、装置、服务器及存储介质 | |
| CN110874474A (zh) | 勒索者病毒防御方法、装置、电子设备及存储介质 | |
| US11770388B1 (en) | Network infrastructure detection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Applicant after: Qianxin Technology Group Co.,Ltd. Applicant after: Qianxin Wangshen information technology (Beijing) Co.,Ltd. Address before: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Applicant before: Qianxin Technology Group Co.,Ltd. Applicant before: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |