CN113779573B - 一种基于系统溯源图的大规模勒索软件分析方法和分析装置 - Google Patents
一种基于系统溯源图的大规模勒索软件分析方法和分析装置 Download PDFInfo
- Publication number
- CN113779573B CN113779573B CN202110890621.1A CN202110890621A CN113779573B CN 113779573 B CN113779573 B CN 113779573B CN 202110890621 A CN202110890621 A CN 202110890621A CN 113779573 B CN113779573 B CN 113779573B
- Authority
- CN
- China
- Prior art keywords
- software
- event
- graph
- analysis
- scale
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/36—Preventing errors by testing or debugging software
- G06F11/3668—Software testing
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Abstract
本发明是有关于一种基于系统溯源图的大规模勒索软件分析方法包括采集大规模勒索软件样本集,构建勒索软件分析沙箱集群,采集勒索软件运行时系统事件日志,过滤和裁剪原始事件日志数据,事件日志标准化和归一化,生成勒索软件系统溯源图,采用日志压缩算法优化溯源图规模,基于图论度量指标分析勒索软件行为。本发明的分析装置包括样本采集模块、系统日志采集模块、系统溯源图生成模块和样本行为分析模块。本发明通过生成勒索软件运行时的系统溯源图,达到了自动化大规模分析勒索软件的恶意行为的目标,解决了现有采用数据科学方法需要大量人工标注和可解释性差的问题。
Description
技术领域
本发明涉及一种是网络安全领域的大规模勒索软件分析技术,特别是涉及一种基于系统溯源图的大规模勒索软件分析方法和分析装置。
背景技术
恶意软件分析技术是网络安全领域的一种重要的威胁分析技术,特别地,随着勒索软件的大规模传播能力和严重的破坏程度,针对勒索软件的大规模分析方法十分必要。随着网络攻防的博弈,勒索软件呈现出隐形化、多态化、多歧化等特点,即勒索软件常常伪装成可信的系统程序实施对用户文件的恶意加密、破坏和窃取敏感数据等行为,这对勒索软件的检测和防护带来的新的挑战。尽管不同家族的勒索软件的实现方式具有较大的差异性,但其恶意行为不可避免地与底层操作系统交互,并会被系统事件跟踪机制所捕获,因此准确而高效的自动化分析技术是当前大规模勒索软件检测和分析的关键能力之一。
当前的大规模勒索软件分析技术,通常有如下两种方法:
1.基于传统恶意代码动静态分析相结合的方法
传统的恶意代码检测和分析主要有两种方法:静态分析和动态分析。前者是指在不运行样本的情况下进行分析(如反汇编分析、反编译分析和源代码分析),属于逆向工程技术;后者是指利用系统调试工具跟踪和监控恶意代码的执行过程,进而分析恶意代码的行为。目前关于静态分析的代表性工作YARA工具,支持文本文件、二进制文件的字节序列提取,支持通配符、正则表达式等特性;而动态分析的代表性工具Cuckoo沙箱可以提取勒索软件在运行中的主机行为和网络通信行为。
虽然此方法分析结果准确性较高,但是,该方法过度依赖于专家知识经验和人工分析,因此无法应用于大规模勒索软件分析中。此外,由于此方法无法获取勒索软件恶意行为间的因果依赖关系,因此也无法进一步深入分析勒索软件攻击活动的动机和目标。
2.基于数据科学的分析方法
通过结合大数据和机器学习等方法,对勒索软件的指令、代码、行为等特征进行表示学习和建模,借助训练得到的勒索软件分析模型对勒索软件进行分类和聚类,进而分析勒索软件家族的特点。代表性工作STAMINA将勒索软件的二进制文件转换为灰度图像,以便利用图像算法进行分析。
由于此方法基于数据科学方法如统计特征和概率决策模型,因此可以采用新的大数据技术实现大规模勒索软件分析。但是,此类方法通常需要大量的勒索软件样本进行训练,才有可能得到相对较高的准确率和召回率,这对大量的人工分析和标记是一个极大的挑战。此外,该方法面临机器学习模型的一个共性问题,即模型分析结果的可解释性难题。
综上,目前针对勒索软件的大规模分析方法的主要缺陷在于:采用上述方法1,则无法开展大规模勒索软件样本分析,也无法进一步分析勒索软件攻击活动的动机和目标;采用上述方法2,则需要大量人工标记勒索软件样本进行训练,也面临着可解释性难题。
有鉴于上述现有的大规模勒索软件分析技术存在的缺陷,本发明经过不断的研究、设计,并经反复试作及改进后,终于创设出确具实用价值的本发明。
发明内容
本发明的主要目的在于,克服现有的大规模勒索软件分析技术存在的缺陷,而提供一种新的一种基于系统溯源图的大规模勒索软件分析方法和分析装置,所要解决的技术问题是使其能够大规模勒索软件样本分析且能进一步分析勒索软件攻击活动的动机和目标,非常适于实用。
本发明的另一目的在于,克服现有的大规模勒索软件分析技术存在的缺陷,而提供一种基于系统溯源图的大规模勒索软件分析方法和分析装置,所要解决的技术问题是使其无需进行大量人工标记勒索软件样本的训练,解决模型分析结果的可解释性难题,从而得到相对较高的准确率和召回率。
本发明的另一目的在于,克服现有的大规模勒索软件分析技术存在的缺陷,而提供一种基于系统溯源图的大规模勒索软件分析方法和分析装置,所要解决的技术问题是使其能够从系统底层分析勒索软件的潜在行为,实现自动化大规模分析采用多线程并发实施恶意文件加密、伪装或注入系统进程逃逸检测等行为。
本发明的构思是通过生成勒索软件运行过程中与系统的交互事件,生成勒索软件的系统溯源图,进而实现准确而有效的勒索软件大规模自动化分析装置。
本发明的目的及解决其技术问题是采用以下技术方案来实现的。
依据本发明提出的一种基于系统溯源图的大规模勒索软件分析方法,其包括以下步骤:
步骤101:采集大规模勒索软件样本集
采集多源威胁情报中的勒索软件攻击活动报告以及勒索软件样本集,提取恶意代码分析引擎提供的勒索软件样本分析报告;
步骤102:构建勒索软件分析沙箱集群
构建勒索软件分析的沙箱集群,沙箱集群中提供系统级事件跟踪能力和系统事件日志采集能力;
步骤103:采集勒索软件运行时的系统事件日志
将步骤101中的勒索软件样本集投放到步骤102构建的沙箱集群中运行,跟踪系统事件,并将系统事件日志保存到数据库中;
步骤104:过滤和裁剪系统事件日志数据
检索步骤103输出的勒索软件运行时的系统事件日志,过滤和裁剪仅用于构建系统溯源图的系统事件日志子集;
步骤105:事件日志标准化和归一化
采用数据标准化和归一化方法,对步骤104输出的系统事件日志子集进行数据预处理;
步骤106:生成勒索软件系统溯源图
基于系统事件日志的时序关系,控制依赖关系和数据依赖关系,对步骤105处理后的勒索软件的系统事件日志,生成勒索软件的系统溯源图;
步骤107:采用日志压缩算法优化溯源图规模
采用日志压缩算法降低步骤106生成的勒索软件系统的溯源图的规模;
步骤108:基于图论度量指标分析勒索软件行为
基于图算法对步骤107优化的系统溯源图进行分析,计算图的度量指标,自动分析勒索软件的恶意行为特点。
本发明的目的及解决其技术问题还可采用以下技术措施进一步实现。
进一步,在步骤101中所述的多源威胁情报包括网络安全厂商、开源安全社区,商业付费安全大数据供应商所提供的勒索软件攻击活动报告、网络安全事件报告、入侵检测指标(Compromise of Indicator)中的勒索软件样本哈希列表。
在步骤101中所述的勒索软件样本分析报告包括通用恶意代码分析引擎对勒索软件的分析结果,还包括静态特征、动态行为、网络通信流量数据包。
进一步,在步骤102中所述的提供系统级事件跟踪能力的方法如下:
102-1:在操作系统内核中部署或开启底层系统事件跟踪模块;
102-2:实时监测系统的当前状态,跟踪所有的用户态(User Mode)向内核态(Kernel Mode)的系统调用(Syscall),以及用户态进程间通信(Inter-ProcessCommunication,IPC);
102-3:将102-2中的每一次系统跟踪标记为一个系统事件,并记录事件的主体、客体、时间戳、事件细节。
进一步,在步骤102中所述的提供系统日志采集能力的方法法如下:
102-3:将系统事件跟踪模块输出的所有事件数据转换为结构化数据;
102-4:存储到沙箱中的本地日志文件,或传输到网络中的远程日志服务器中。
进一步,在步骤104中所述的过滤和裁剪的方法法如下:
104-1:过滤系统事件类型,仅保留用于生成系统溯源图的系统事件日志;
104-2:裁剪系统事件中涉及的主体和客体,移除与沙箱调度管理和勒索软件加载/卸载的通用系统实体即主体和客体相关的系统事件。
进一步,在步骤105中所述的数据标准化和归一化是对系统事件中不同字段的数据进行格式化,使其在一致的取值范围和逻辑内涵上进行统一处理。
进一步,在步骤106中,
所述的时序关系是所有的系统事件都基于其时间戳,构建基于时间先后顺序的事件序列。
所述的控制依赖是基于系统事件发生的控制流的因果关系,构建其控制依赖序列;
所述的数据依赖是基于数据在系统中的“定义-引用”关系,构建其所关联事件的数据依赖序列。
进一步,在步骤107中,
所述的日志压缩算法是在不牺牲勒索软件分析所需信息的前提下,对系统溯源图进行裁剪,以降低分析的数据规模,提高分析效率;
所述的系统溯源图的规模包括:系统溯源图的节点数规模和系统溯源图的边数规模。
进一步,在步骤108中所述的度量指标是基于系统溯源图能够度量的勒索软件的恶意行为,包括:多线程并发实施恶意文件加密、伪装或注入系统进程逃逸检测、加密行为,伪装行为,信息窃取行为,拒绝服务行为。
本发明的目的及解决其技术问题还采用以下技术方案来实现。依据本发明提出的一种基于系统溯源图的大规模勒索软件分析方法的分析装置,其至少包括:样本采集模块、系统日志采集模块、系统溯源图生成模块和样本行为分析模块,其中:所述的样本采集模块采集多源威胁情报中的勒索软件攻击活动报告以及勒索软件样本集,提取恶意代码分析引擎提供的勒索软件样本分析报告;将样板采集模块采集的勒索软件样本投放到沙箱集群中运行,跟踪系统事件,并将原始日志保存到数据库中;
所述的系统日志采集模块,构建勒索软件分析的沙箱集群,在沙箱集群中提供系统级事件跟踪能力和系统日志采集能力;
所述的系统溯源图生成模块过滤和裁剪原始事件日志数据并进行标准化和归一化处理,得到系统溯源图;
所述的样本行为分析模块根据系统溯源图生成模块得到的系统溯源图,计算图度量指标,分析勒索软件的恶意行为。
进一步,其中所述系统级事件跟踪能力是在操作系统内核中部署或开启底层系统事件跟踪模块;实时监测系统的当前状态,跟踪所有的用户态向内核态的系统调用,以及用户态进程间通信;将每一次系统跟踪标记为一个系统事件,并记录事件的主体、客体、时间戳、事件细节。
进一步,其中所述的系统日志采集能力是将系统事件跟踪模块输出的所有事件数据转换为结构化数据;存储到沙箱集群中的本地日志文件,或传输到网络中的远程日志服务器中。
进一步,其中所述的过滤原始事件日志数据是过滤系统事件类型,仅保留用于生成系统溯源图的系统事件日志;
裁剪原始事件日志数据是裁剪系统事件中涉及的主体和客体,移除与沙箱集群调度管理和勒索软件加载/卸载的通用系统实体即主体和客体相关的系统事件。
进一步,其中所述的系统溯源图生成模块所进行的数据标准化和归一化处理是对系统事件中不同字段的数据进行格式化,使其在一致的取值范围和逻辑内涵上进行统一表示。
进一步,系统溯源图生成模块是根据系统事件的时序关系、控制依赖关系、数据依赖关系,生成系统溯源图。
进一步,所述的系统溯源图生成模块采用日志压缩算法对系统溯源图进行裁剪,以降低分析的数据规模,提高分析效率。
本发明与现有技术相比具有明显的优点和有益效果。其至少具有下列优点:
(1)本发明所公开的系统事件日志过滤和裁剪过程,通过过滤和裁剪不相关的系统事件类型以及事件涉及的主体和客体,仅保留用于生成勒索软件系统溯源图的系统事件日志,极大的降低了冗余事件的处理,提升了后续勒索软件分析的准确性和效率。
(2)本发明所公开的勒索软件系统溯源图的生成过程,通过事件的时序关系、控制依赖、数据依赖关系,在不损失勒索软件行为语义的基础上重建了勒索软件运行时的事件间因果关系,显著提升勒索软件分析的准确性。
(3)本发明所公开的图论度量指标的计算过程,通过将图计算得到的度量指标,映射到勒索软件的恶意行为,该过程提升了大规模勒索软件数据集上开展自动化分析的有效性和效率。
(4)本发明通过自动化生成勒索软件样本在沙箱中运行时的系统溯源图,将勒索软件的恶意行为映射到基于图论的度量指标,因而可以使复杂的勒索软件分析转化为成熟的图计算技术,使得勒索软件大规模分析具备更高的效率和自动化能力,有效避免了传统的半自动化分析方法无法开展大规模分析和新兴数据科学方法可解释性弱的问题。
(5)本发明所生成的勒索软件样本运行时的系统溯源图,不仅可以分析不同勒索软件家族的典型恶意行为,还能够基于系统溯源图的相似性比较算法,分析同一勒索软件家族内的不同样本的独特行为,从而能够分析同一家族不同样本在时间轴上的演化特点。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其他目的、特征和优点能够更明显易懂,以下特举较佳实施例,并配合附图,详细说明如下。
附图说明
图1是本发明的流程示意图。
其中:
101:采集大规模勒索软件样本集
102:构建勒索软件分析沙箱集群
103:采集勒索软件运行时系统事件日志
104:过滤和裁剪原始事件日志数据
105:事件日志标准化和归一化
106:生成勒索软件系统溯源图
107:采用日志压缩算法优化溯源图规模
108:基于图论度量指标分析勒索软件行为
图2是本发明的示例性地示出了勒索软件分析装置实施例的结构示意图。
其中:
1:样本采集模块
2:系统日志采集模块
3:系统溯源图生成模块
4:样本行为分析模块
具体实施方式
为更进一步阐述本发明为达成预定发明目的所采取的技术手段及功效,以下结合附图及较佳实施例,对依据本发明提出的一种基于系统溯源图的大规模勒索软件分析方法和分析装置,其具体实施方式、方法、步骤、结构、特征及其功效,详细说明如后。
本发明,通过生成勒索软件运行时的系统溯源图,达到了自动化大规模分析勒索软件的恶意行为的目标,解决了现有采用数据科学方法需要大量人工标注和可解释性差的问题。
一种基于系统溯源图的大规模勒索软件分析方法,其步骤如下:
步骤101:采集大规模勒索软件样本集
采集多源威胁情报中的勒索软件攻击活动报告以及勒索软件样本集,提取恶意代码分析引擎提供的勒索软件样本分析报告;
步骤102:构建勒索软件分析沙箱集群
构建勒索软件分析沙箱集群,沙箱集群中提供系统级事件跟踪能力和系统事件日志采集能力;
步骤103:采集勒索软件运行时系统事件日志
将步骤101中的勒索软件样本集投放到步骤102构建的沙箱集群中运行,跟踪系统事件,并将系统事件日志保存到数据库中;
步骤104:过滤和裁剪系统事件日志数据
检索步骤103输出的勒索软件运行时的系统事件日志,过滤和裁剪仅用于构建系统溯源图的系统事件日志子集;
步骤105:事件日志标准化和归一化
采用数据标准化和归一化方法,对步骤104输出的系统事件日志子集进行数据预处理;
步骤106:生成勒索软件系统溯源图
基于系统事件日志的时序关系,控制依赖关系和数据依赖关系,对步骤105处理后的勒索软件的系统事件日志,生成勒索软件的系统溯源图;
步骤107:采用日志压缩算法优化溯源图规模
采用日志压缩算法降低步骤106生成的勒索软件系统溯源图的规模;
步骤108:基于图论度量指标分析勒索软件行为
基于图算法对步骤107优化的系统溯源图进行分析,计算图的度量指标,自动分析勒索软件的恶意行为特点。
其中,在步骤101中所述的“多源威胁情报”,指的是网络安全厂商、开源安全社区,商业付费安全大数据供应商所提供的勒索软件攻击活动报告、网络安全事件报告、入侵检测指标(Compromise of Indicator)中的勒索软件样本哈希列表。
其中,在步骤101中所述的“勒索软件样本分析报告”,指的是通用恶意代码分析引擎对勒索软件的分析结果,包括静态特征、动态行为、网络通信流量数据包。
其中,在步骤102中所述的“提供系统级事件跟踪能力”,做法如下:
102-1:在操作系统内核中部署或开启底层系统事件跟踪模块;
102-2:实时监测系统的当前状态,跟踪所有的用户态(User Mode)向内核态(Kernel Mode)的系统调用(Syscall),以及用户态进程间通信(Inter-ProcessCommunication,IPC);
102-3:将102-2中的每一次系统跟踪标记为一个系统事件,并记录事件的主体、客体、时间戳、事件细节。
其中,在步骤102中所述的“提供系统日志采集能力”,做法如下:
102-4:将系统事件跟踪模块输出的所有事件数据转换为结构化数据;
102-5:存储到沙箱中的本地日志文件,或传输到网络中的远程日志服务器中。
其中,在步骤104中所述的“过滤和裁剪”,做法如下:
104-1过滤系统事件类型,仅保留用于生成系统溯源图的系统事件日志;
104-2:裁剪系统事件中涉及的主体和客体,移除与沙箱调度管理和勒索软件加载/卸载的通用系统实体(主体和客体)相关的系统事件。
其中,在步骤105中所述的“数据标准化和归一化”,指的是对系统事件中不同字段的数据进行格式化,使其在一致的取值范围和逻辑内涵上进行统一处理。
其中,在步骤106中所述的“时序关系”,指的是所有的系统事件都基于其时间戳,构建基于时间先后顺序的事件序列。
其中,在步骤106中所述的“控制依赖”,指的是基于系统事件发生的控制流的因果关系,构建其控制依赖序列。
其中,在步骤106中所述的“数据依赖”,指的是基于数据在系统中的“定义-引用”关系,构建其所关联事件的数据依赖序列。
其中,在步骤107中所述的“日志压缩算法”,指的是在不牺牲勒索软件分析所需信息的前提下,对系统溯源图进行裁剪,以降低分析的数据规模,提高分析效率。
其中,在步骤107中所述的“系统溯源图的规模”,包括:(1)系统溯源图的节点数规模;(2)系统溯源图的边数规模。
其中,在步骤108中所述的“度量指标”,指的是基于系统溯源图能够度量的勒索软件的恶意行为,包括:加密行为,伪装行为,信息窃取行为,拒绝服务行为。
通过以上步骤,本发明达到了自动化大规模分析勒索软件的恶意行为的目标,解决了现有采用数据科学方法需要大量人工标注和可解释性差的问题。
请参阅图1所示,本发明较佳实施例的一种基于系统溯源图的大规模勒索软件分析方法,其主要包括以下步骤:
步骤101:采集大规模勒索软件样本集
采集多源威胁情报中的勒索软件攻击活动报告以及勒索软件样本集,并从VirusTotal中获取通用恶意代码分析引擎对样本的初步静态特征和动态行为。
步骤102:构建勒索软件分析沙箱集群
采用VirtualBox构建勒索软件分析沙箱集群,沙箱集群操作系统包括Windows系统和Linux系统,其中:Windows系统开启并配置事件跟踪机制(Event Tracing forWindows),Linux系统开启并配置审计框架Linux Audit Framework。
步骤103:采集勒索软件运行时系统事件日志
将勒索软件样本投入到沙箱集群中运行10分钟,记录系统事件日志原始数据,并将数据传输到远程Elasticsearch服务器中保存。
步骤104:过滤和裁剪原始事件日志数据
过滤和筛选勒索软件运行时的系统事件日志,保留文件读写、网络通信、进程操作三类事件,并过滤沙箱管理程序、样本分发和日志采集代理程序产生的通用非恶意事件。
步骤105:事件日志标准化和归一化
对系统事件日志数据进行预处理,包括:文件路径采用通配符进行泛化处理;将时间戳长度统一精确到秒级;IP地址和端口统一为小端对齐十进制表示;数据包大小和文件大小计量单位统一为字节Byte。
步骤106:生成勒索软件系统溯源图
按时间序列对系统事件日志进行排序,并选择控制依赖关系即父进程创建子进程,和数据依赖关系即文件读、文件写、网络通信发送数据包、网络通信接收数据包,构建勒索软件的系统事件日志的系统溯源图,并分别保存为Graphviz可识别的dot格式和Gephi可识别的gexf格式。
步骤S107:采用日志压缩算法优化溯源图规模
采用依赖保持简化(Causality-preserving Reduction,CPR)算法降低系统溯源图的规模。
步骤108:基于图论度量指标分析勒索软件行为
采用复杂网络分析组件NetworkX计算系统溯源图的度量指标,包括节点度中心系数(Degree Centrality)、紧密中心系数(Closeness Centrality)、介数中心系数(Betweenness Centrality)、图密度(Density)、聚类系数(Clustering Coefficient),根据每个度量指标的阈值自动识别勒索软件的行为。
为了实现上述目的,还提供了一种基于系统溯源图的大规模勒索软件分析装置,其至少包括:
样本采集模块:用于获取待分析的勒索软件样本集,以及通用恶意代码分析引擎提供的样本分析报告;
系统日志采集模块:用于构建勒索软件分析沙箱集群,并采集勒索软件运行时系统事件日志;
系统溯源图生成模块:用于过滤和裁剪原始事件日志数据并进行标准化和归一化处理,得到系统溯源图;
样本行为分析模块:用于根据系统溯源图,计算图度量指标,分析勒索软件的恶意行为。
请参阅图2所示:其中:样本采集模块采集多源威胁情报中的勒索软件攻击活动报告以及勒索软件样本集,提取恶意代码分析引擎提供的勒索软件样本分析报告;将样板采集模块采集的勒索软件样本投放到沙箱集群中运行,跟踪系统事件,并将原始日志保存到数据库中;
系统日志采集模块,构建勒索软件分析的沙箱集群,在沙箱集群中提供系统级事件跟踪能力和系统日志采集能力;
系统溯源图生成模块过滤和裁剪原始事件日志数据并进行标准化和归一化处理,得到系统溯源图;
样本行为分析模块根据系统溯源图生成模块得到的系统溯源图,计算图度量指标,分析勒索软件的恶意行为。
进一步地,所述样本采集模块具体用于:
采集多源威胁情报中的勒索软件攻击活动报告以及勒索软件样本集,提取恶意代码分析引擎提供的勒索软件样本分析报告。
进一步地,所述系统日志采集模块具体用于:
构建勒索软件分析沙箱集群,在沙箱中提供系统级事件跟踪能力和系统日志采集能力。其中,
系统级事件跟踪能力是在操作系统内核中部署或开启底层系统事件跟踪模块;实时监测系统的当前状态,跟踪所有的用户态向内核态的系统调用,以及用户态进程间通信;将每一次系统跟踪标记为一个系统事件,并记录事件的主体、客体、时间戳、事件细节。
系统日志采集能力是将系统事件跟踪模块输出的所有事件数据转换为结构化数据;存储到沙箱集群中的本地日志文件,或传输到网络中的远程日志服务器中。
进一步地,所述系统日志采集模块具体还用于:
将勒索软件样本投放到沙箱集群中运行,跟踪系统事件,并将原始日志保存到数据库中。
进一步地,所述系统溯源图生成模块具体用于:
过滤原始事件日志数据是过滤系统事件类型,仅保留用于生成系统溯源图的系统事件日志;
裁剪原始事件日志数据是裁剪系统事件中涉及的主体和客体,移除与沙箱集群调度管理和勒索软件加载/卸载的通用系统实体即主体和客体相关的系统事件。
进一步地,所述系统溯源图生成模块具体还用于:
系统溯源图生成模块进行数据标准化和归一化处理,是对系统事件中不同字段的数据进行格式化,使其在一致的取值范围和逻辑内涵上进行统一表示。
进一步地,所述系统溯源图生成模块具体还用于:
根据系统事件的时序关系、控制依赖关系、数据依赖关系,生成系统溯源图。
进一步地,所述系统溯源图生成模块具体还用于:
采用日志压缩算法对系统溯源图进行裁剪,以降低分析的数据规模,提高分析效率。
进一步地,所述样本行为分析模块具体用于:
基于系统溯源图,计算图论度量指标,进而分析的勒索软件的恶意行为。
尽管为说明目的公开了本发明的具体实施方式,其目的在于帮助理解本发明的内容并据以实施,但是本领域的技术人员可以理解:在不脱离本发明及所附的权利要求的精神和范围内,各种替换、变化和修改都是可能的。因此,本发明不应局限于最佳实施方法所公开的内容,本发明要求保护的范围以权利要求书界定的范围为准。
Claims (16)
1.一种基于系统溯源图的大规模勒索软件分析方法,其特征在于:其包括以下步骤:
步骤101:采集大规模勒索软件样本集
采集多源威胁情报中的勒索软件攻击活动报告以及勒索软件样本集,提取恶意代码分析引擎提供的勒索软件样本分析报告;
步骤102:构建勒索软件分析沙箱集群
构建勒索软件分析的沙箱集群,沙箱集群中提供系统级事件跟踪能力和系统事件日志采集能力;
步骤103:采集勒索软件运行时的系统事件日志
将步骤101中的勒索软件样本集投放到步骤102构建的沙箱集群中运行,跟踪系统事件,并将系统事件日志保存到数据库中;
步骤104:过滤和裁剪系统事件日志数据
检索步骤103输出的勒索软件运行时的系统事件日志,过滤和裁剪仅用于构建系统溯源图的系统事件日志子集;
步骤105:事件日志标准化和归一化
采用数据标准化和归一化方法,对步骤104输出的系统事件日志子集进行数据预处理;
步骤106:生成勒索软件系统溯源图
基于系统事件日志的时序关系,控制依赖关系和数据依赖关系,对步骤105处理后的勒索软件的系统事件日志,生成勒索软件的系统溯源图;
步骤107:采用日志压缩算法优化溯源图规模
采用日志压缩算法降低步骤106生成的勒索软件系统的溯源图的规模;
步骤108:基于图论度量指标分析勒索软件行为
基于图算法对步骤107优化的系统溯源图进行分析,计算图的度量指标,自动分析勒索软件的恶意行为特点。
2.根据权利要求1所述的一种基于系统溯源图的大规模勒索软件分析方法,其特征在于:在步骤101中所述的多源威胁情报包括网络安全厂商、开源安全社区,商业付费安全大数据供应商所提供的勒索软件攻击活动报告、网络安全事件报告、入侵检测指标即Compromise of Indicator中的勒索软件样本哈希列表;
在步骤101中所述的勒索软件样本分析报告包括通用恶意代码分析引擎对勒索软件的分析结果,还包括静态特征、动态行为、网络通信流量数据包。
3.根据权利要求1所述的一种基于系统溯源图的大规模勒索软件分析方法,其特征在于:在步骤102中所述的提供系统级事件跟踪能力的方法如下:
102-1:在操作系统内核中部署或开启底层系统事件跟踪模块;
102-2:实时监测系统的当前状态,跟踪所有的用户态即User Mode向内核态即KernelMode的系统调用即Syscal l,以及用户态进程间通信即Inter-Process Communication,IPC;
102-3:将102-2中的每一次系统跟踪标记为一个系统事件,并记录事件的主体、客体、时间戳、事件细节。
4.根据权利要求1所述的一种基于系统溯源图的大规模勒索软件分析方法,其特征在于:在步骤102中所述的提供系统日志采集能力的方法如下:
102-3:将系统事件跟踪模块输出的所有事件数据转换为结构化数据;
102-4:存储到沙箱中的本地日志文件,或传输到网络中的远程日志服务器中。
5.根据权利要求1所述的一种基于系统溯源图的大规模勒索软件分析方法,其特征在于:在步骤104中所述的过滤和裁剪的方法如下:
104-1:过滤系统事件类型,仅保留用于生成系统溯源图的系统事件日志;
104-2:裁剪系统事件中涉及的主体和客体,移除与沙箱调度管理和勒索软件加载/卸载的通用系统实体即主体和客体相关的系统事件。
6.根据权利要求1所述的一种基于系统溯源图的大规模勒索软件分析方法,其特征在于:在步骤105中所述的数据标准化和归一化是对系统事件中不同字段的数据进行格式化,使其在一致的取值范围和逻辑内涵上进行统一处理。
7.根据权利要求1所述的一种基于系统溯源图的大规模勒索软件分析方法,其特征在于:在步骤106中,
所述的时序关系是所有的系统事件都基于其时间戳,构建基于时间先后顺序的事件序列;
所述的控制依赖是基于系统事件发生的控制流的因果关系,构建其控制依赖序列;
所述的数据依赖是基于数据在系统中的“定义-引用”关系,构建其所关联事件的数据依赖序列。
8.根据权利要求1所述的一种基于系统溯源图的大规模勒索软件分析方法,其特征在于:在步骤107中,
所述的日志压缩算法是在不牺牲勒索软件分析所需信息的前提下,对系统溯源图进行裁剪,以降低分析的数据规模,提高分析效率;
所述的系统溯源图的规模包括:系统溯源图的节点数规模和系统溯源图的边数规模。
9.根据权利要求1所述的一种基于系统溯源图的大规模勒索软件分析方法,其特征在于:在步骤108中所述的度量指标是基于系统溯源图能够度量的勒索软件的恶意行为,包括:多线程并发实施恶意文件加密、伪装或注入系统进程逃逸检测、加密行为,伪装行为,信息窃取行为,拒绝服务行为。
10.根据权利要求1-9中任意一项所述的采用一种基于系统溯源图的大规模勒索软件分析方法的分析装置,其特征在于,其至少包括:样本采集模块、系统日志采集模块、系统溯源图生成模块和样本行为分析模块,其中:所述的样本采集模块采集多源威胁情报中的勒索软件攻击活动报告以及勒索软件样本集,提取恶意代码分析引擎提供的勒索软件样本分析报告;将样板采集模块采集的勒索软件样本投放到沙箱集群中运行,跟踪系统事件,并将原始日志保存到数据库中;
所述的系统日志采集模块,构建勒索软件分析的沙箱集群,在沙箱集群中提供系统级事件跟踪能力和系统日志采集能力;
所述的系统溯源图生成模块过滤和裁剪原始事件日志数据并进行标准化和归一化处理,得到系统溯源图;
所述的样本行为分析模块根据系统溯源图生成模块得到的系统溯源图,计算图度量指标,分析勒索软件的恶意行为。
11.根据权利要求10所述的一种基于系统溯源图的大规模勒索软件的分析装置,其特征在于:其中所述系统级事件跟踪能力是在操作系统内核中部署或开启底层系统事件跟踪模块;实时监测系统的当前状态,跟踪所有的用户态向内核态的系统调用,以及用户态进程间通信;将每一次系统跟踪标记为一个系统事件,并记录事件的主体、客体、时间戳、事件细节。
12.根据权利要求10所述的一种基于系统溯源图的大规模勒索软件的分析装置,其特征在于:其中所述的系统日志采集能力是将系统事件跟踪模块输出的所有事件数据转换为结构化数据;存储到沙箱集群中的本地日志文件,或传输到网络中的远程日志服务器中。
13.根据权利要求10所述的一种基于系统溯源图的大规模勒索软件的分析装置,其特征在于:其中所述的过滤原始事件日志数据是过滤系统事件类型,仅保留用于生成系统溯源图的系统事件日志;
裁剪原始事件日志数据是裁剪系统事件中涉及的主体和客体,移除与沙箱集群调度管理和勒索软件加载/卸载的通用系统实体即主体和客体相关的系统事件。
14.根据权利要求10所述的一种基于系统溯源图的大规模勒索软件的分析装置,其特征在于:其中所述的系统溯源图生成模块所进行的数据标准化和归一化处理是对系统事件中不同字段的数据进行格式化,使其在一致的取值范围和逻辑内涵上进行统一表示。
15.根据权利要求10所述的一种基于系统溯源图的大规模勒索软件的分析装置,其特征在于,系统溯源图生成模块是根据系统事件的时序关系、控制依赖关系、数据依赖关系,生成系统溯源图。
16.根据权利要求10所述的一种基于系统溯源图的大规模勒索软件的分析装置,其特征在于:所述的系统溯源图生成模块采用日志压缩算法对系统溯源图进行裁剪,以降低分析的数据规模,提高分析效率。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110890621.1A CN113779573B (zh) | 2021-08-04 | 2021-08-04 | 一种基于系统溯源图的大规模勒索软件分析方法和分析装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110890621.1A CN113779573B (zh) | 2021-08-04 | 2021-08-04 | 一种基于系统溯源图的大规模勒索软件分析方法和分析装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113779573A CN113779573A (zh) | 2021-12-10 |
| CN113779573B true CN113779573B (zh) | 2023-08-29 |
Family
ID=78836721
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110890621.1A Active CN113779573B (zh) | 2021-08-04 | 2021-08-04 | 一种基于系统溯源图的大规模勒索软件分析方法和分析装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113779573B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115086071B (zh) * | 2022-07-20 | 2022-12-06 | 中孚安全技术有限公司 | 一种基于日志因果溯源的数据窃取检测方法、系统及设备 |
| CN115543951B (zh) * | 2022-11-30 | 2023-04-07 | 浙江工业大学 | 一种基于起源图的日志采集、压缩、存储方法 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106778268A (zh) * | 2016-11-28 | 2017-05-31 | 广东省信息安全测评中心 | 恶意代码检测方法与系统 |
| CN107273747A (zh) * | 2017-05-22 | 2017-10-20 | 中国人民公安大学 | 勒索软件检测的方法 |
| CN107403091A (zh) * | 2017-07-06 | 2017-11-28 | 华中科技大学 | 一种结合溯源路径和溯源图的实时入侵检测系统 |
| CN109067815A (zh) * | 2018-11-06 | 2018-12-21 | 深信服科技股份有限公司 | 攻击事件溯源分析方法、系统、用户设备及存储介质 |
| CN109472143A (zh) * | 2017-12-29 | 2019-03-15 | 北京安天网络安全技术有限公司 | 一种对勒索软件进行自动分析的方法及系统 |
| CN110719291A (zh) * | 2019-10-16 | 2020-01-21 | 杭州安恒信息技术股份有限公司 | 一种基于威胁情报的网络威胁识别方法及识别系统 |
| CN112287340A (zh) * | 2020-03-06 | 2021-01-29 | 杭州奇盾信息技术有限公司 | 用于终端攻击的取证溯源方法、装置、计算机设备 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10791133B2 (en) * | 2016-10-21 | 2020-09-29 | Tata Consultancy Services Limited | System and method for detecting and mitigating ransomware threats |
-
2021
- 2021-08-04 CN CN202110890621.1A patent/CN113779573B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106778268A (zh) * | 2016-11-28 | 2017-05-31 | 广东省信息安全测评中心 | 恶意代码检测方法与系统 |
| CN107273747A (zh) * | 2017-05-22 | 2017-10-20 | 中国人民公安大学 | 勒索软件检测的方法 |
| CN107403091A (zh) * | 2017-07-06 | 2017-11-28 | 华中科技大学 | 一种结合溯源路径和溯源图的实时入侵检测系统 |
| CN109472143A (zh) * | 2017-12-29 | 2019-03-15 | 北京安天网络安全技术有限公司 | 一种对勒索软件进行自动分析的方法及系统 |
| CN109067815A (zh) * | 2018-11-06 | 2018-12-21 | 深信服科技股份有限公司 | 攻击事件溯源分析方法、系统、用户设备及存储介质 |
| CN110719291A (zh) * | 2019-10-16 | 2020-01-21 | 杭州安恒信息技术股份有限公司 | 一种基于威胁情报的网络威胁识别方法及识别系统 |
| CN112287340A (zh) * | 2020-03-06 | 2021-01-29 | 杭州奇盾信息技术有限公司 | 用于终端攻击的取证溯源方法、装置、计算机设备 |
Non-Patent Citations (1)
| Title |
|---|
| 电力监控系统的网络安全威胁溯源技术研究;李泽科 等;;电力工程技术;39(02);第166-172页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113779573A (zh) | 2021-12-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110912890B (zh) | 一种面向内网的漏洞攻击检测系统 | |
| CN108471429B (zh) | 一种网络攻击告警方法及系统 | |
| CN108683687B (zh) | 一种网络攻击识别方法及系统 | |
| CN108881263B (zh) | 一种网络攻击结果检测方法及系统 | |
| CN113779573B (zh) | 一种基于系统溯源图的大规模勒索软件分析方法和分析装置 | |
| CN111866016B (zh) | 日志的分析方法及系统 | |
| CN111914468A (zh) | 一种空气污染智能监控分析方法及装置 | |
| US20240129327A1 (en) | Context informed abnormal endpoint behavior detection | |
| Thangavelooa et al. | Datdroid: Dynamic analysis technique in android malware detection | |
| CN104615936A (zh) | 云平台vmm层行为监控方法 | |
| CN112039858A (zh) | 一种区块链服务安全加固系统与方法 | |
| US20230252145A1 (en) | Cyber threat information processing apparatus, cyber threat information processing method, and storage medium storing cyber threat information processing program | |
| CN114090406A (zh) | 电力物联网设备行为安全检测方法、系统、设备及存储介质 | |
| CN110865866B (zh) | 一种基于自省技术的虚拟机安全检测方法 | |
| CN110855461A (zh) | 一种基于关联分析和规则库的日志分析方法 | |
| CN116248362A (zh) | 一种基于双层隐马尔可夫链的用户异常网络访问行为识别方法 | |
| CN110149303B (zh) | 一种党校的网络安全预警方法及预警系统 | |
| US20240054210A1 (en) | Cyber threat information processing apparatus, cyber threat information processing method, and storage medium storing cyber threat information processing program | |
| CN115659351B (zh) | 一种基于大数据办公的信息安全分析方法、系统及设备 | |
| US20230048076A1 (en) | Cyber threat information processing apparatus, cyber threat information processing method, and storage medium storing cyber threat information processing program | |
| CN110912753A (zh) | 一种基于机器学习的云安全事件实时检测系统及方法 | |
| Sekar et al. | eAudit: A Fast, Scalable and Deployable Audit Data Collection System | |
| US20230252144A1 (en) | Cyber threat information processing apparatus, cyber threat information processing method, and storage medium storing cyber threat information processing program | |
| CN117240598B (zh) | 攻击检测方法、装置、终端设备及存储介质 | |
| CN115757068B (zh) | 一种基于eBPF的进程日志采集及自动降噪方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |