CN115564970A - 一种网络攻击追踪溯源方法、系统及可存储介质 - Google Patents
一种网络攻击追踪溯源方法、系统及可存储介质 Download PDFInfo
- Publication number
- CN115564970A CN115564970A CN202211143036.6A CN202211143036A CN115564970A CN 115564970 A CN115564970 A CN 115564970A CN 202211143036 A CN202211143036 A CN 202211143036A CN 115564970 A CN115564970 A CN 115564970A
- Authority
- CN
- China
- Prior art keywords
- attack
- neural network
- network model
- constructing
- executable file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 48
- 238000003062 neural network model Methods 0.000 claims abstract description 65
- 238000001514 detection method Methods 0.000 claims abstract description 29
- 238000012545 processing Methods 0.000 claims abstract description 18
- 238000012549 training Methods 0.000 claims description 13
- 238000011478 gradient descent method Methods 0.000 claims description 9
- 238000013507 mapping Methods 0.000 claims description 6
- 239000011159 matrix material Substances 0.000 claims description 6
- 244000035744 Hura crepitans Species 0.000 claims description 5
- 238000002372 labelling Methods 0.000 claims description 4
- 238000007781 pre-processing Methods 0.000 claims description 4
- 230000006835 compression Effects 0.000 claims description 3
- 238000007906 compression Methods 0.000 claims description 3
- 238000010276 construction Methods 0.000 claims description 3
- 238000001914 filtration Methods 0.000 claims description 3
- 238000007493 shaping process Methods 0.000 claims description 3
- 230000006399 behavior Effects 0.000 description 72
- 206010001488 Aggression Diseases 0.000 description 6
- 230000016571 aggressive behavior Effects 0.000 description 6
- 208000012761 aggressive behavior Diseases 0.000 description 6
- 230000008569 process Effects 0.000 description 5
- 238000013527 convolutional neural network Methods 0.000 description 4
- 238000000605 extraction Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 230000011218 segmentation Effects 0.000 description 3
- 238000012800 visualization Methods 0.000 description 3
- 208000025174 PANDAS Diseases 0.000 description 2
- 208000021155 Paediatric autoimmune neuropsychiatric disorders associated with streptococcal infection Diseases 0.000 description 2
- 240000004718 Panda Species 0.000 description 2
- 235000016496 Panda oleosa Nutrition 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 108090000623 proteins and genes Proteins 0.000 description 2
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 238000003064 k means clustering Methods 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000005065 mining Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000008707 rearrangement Effects 0.000 description 1
- 241000894007 species Species 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06V—IMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
- G06V10/00—Arrangements for image or video recognition or understanding
- G06V10/40—Extraction of image or video features
- G06V10/54—Extraction of image or video features relating to texture
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06V—IMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
- G06V10/00—Arrangements for image or video recognition or understanding
- G06V10/70—Arrangements for image or video recognition or understanding using pattern recognition or machine learning
- G06V10/764—Arrangements for image or video recognition or understanding using pattern recognition or machine learning using classification, e.g. of video objects
- G06V10/765—Arrangements for image or video recognition or understanding using pattern recognition or machine learning using classification, e.g. of video objects using rules for classification or partitioning the feature space
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06V—IMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
- G06V10/00—Arrangements for image or video recognition or understanding
- G06V10/70—Arrangements for image or video recognition or understanding using pattern recognition or machine learning
- G06V10/82—Arrangements for image or video recognition or understanding using pattern recognition or machine learning using neural networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- General Physics & Mathematics (AREA)
- Multimedia (AREA)
- Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Evolutionary Computation (AREA)
- Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- Computer Vision & Pattern Recognition (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Software Systems (AREA)
- Artificial Intelligence (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Image Analysis (AREA)
Abstract
本发明公开了一种网络攻击追踪溯源方法、系统及可存储介质,属于网络安全技术领域,包括:给定攻击行为的可执行文件;对可执行文件进行处理,生成攻击行为的纹理图像;构建神经网络模型,并对神经网络模型进行优化,得到优化后的神经网络模型;将可执行文件以及纹理图像输入至优化后的神经网络模型,输出检测结果;根据检测结果构建攻击链的分析图,通过分析图对攻击链进行溯源分析。通过本发明可以高效的完成同源性比对,以实现对恶意代码变种的有效识别,解决单一网络或防护目标网络相关的恶意DNS识别问题,从而更好地提高网络安全攻击溯源能力,保障网络空间安全。
Description
技术领域
本发明涉及网络安全技术领域,更具体的说是涉及一种网络攻击追踪溯源方法、系统及可存储介质。
背景技术
随着攻击平台、商用木马和开源恶意工具的使用,网络攻防战争的日趋深入和精进,亟需引入人工智能、大数据等分析技术。
然而,现有的统计分析和机器学习虽然能检测恶意软件、恶意代码、恶意行为等,但在训练过程中,攻击数据不足,远远少于正常数据,尤其缺少极端频率的网络攻击数据,导致无法有效追溯未知的攻击数据。其次传统攻击行为的特征代码的检测方法,通过检测是否拥有已知攻击行为的特征码(如一段特殊代码或字符串)来判断其是否为攻击行为,但是无法检测攻击行为变种和未知的攻击行为。而且,该方法需要安全专家对大量攻击行为进行人工特征码提取,更新特征库,并没有涉及到基于大数据图挖掘技术的网络攻击链溯源技术,存在特征检测的人工提取困难、行为检测的时间开销大等问题。无法提高网络安全攻击溯源能力,难以保障网络空间安全。
因此,如何提供一种网络攻击追踪溯源方法、系统及可存储介质是本领域技术人员亟需解决的问题。
发明内容
有鉴于此,本发明提供了一种网络攻击追踪溯源方法、系统及可存储介质,利用静态及动态特征相结合的DGA域名识别系统,解决了单一网络或防护目标网络相关的恶意DNS识别问题,将攻击行为映射为图像,然后利用卷积神经元网络的优点对图像进行识别,解决了特征检测的人工提取困难、行为检测的时间开销大且误报高等问题。
为了实现上述目的,本发明提供如下技术方案:
一方面,本发明提供了一种网络攻击追踪溯源方法,包括以下步骤:
S100:给定攻击行为的可执行文件;
S200:对所述可执行文件进行处理,生成攻击行为的纹理图像;
S300:构建神经网络模型,并对所述神经网络模型进行优化,得到优化后的神经网络模型;
S400:将所述可执行文件以及所述纹理图像输入至优化后的神经网络模型,输出检测结果;
S500:根据所述检测结果构建攻击链的分析图,通过所述分析图对攻击链进行溯源分析。
优选的,所述给定攻击行为的可执行文件为二进制文件。
优选的,所述S200:对所述可执行文件进行处理,生成攻击行为的纹理图像,包括以下步骤:
S210:将给定的攻击行为的可执行文件分为多个段;
S220:读取各段二进制的可执行文件,按照8位为一个无符号的整形,固定的行宽为一个向量,将每段所述攻击行为的可执行文件生成对应的二维数组;
S220:设定所述二维数组中每个元素的范围的取值为[0,255],0表示黑色,255表示白色;
S230:将每个所述二维数组可视化为一个对应的纹理图像,得到文件分块灰度图像。
优选的,所述S300:构建神经网络模型,并对所述神经网络模型进行优化,得到优化后的神经网络模型,包括以下步骤:
S310:获取攻击行为库;
S320:对所述攻击行为库中的攻击行为数据进行预处理;
S330:构建神经网络模型,并基于预处理后的攻击行为数据,通过梯度下降法训练神经网络模型的内部参数;
S340:对所述训练后的神经网络模型进行轻量化压缩处理,得到优化后的神经网络模型。
优选的,所述S330:构建神经网络模型,并基于预处理后的攻击行为数据,通过梯度下降法训练神经网络模型的内部参数,具体步骤包括:
S331:构建神经网络模型;
S332:将所述攻击行为库中的攻击行为数据映射为文件灰度图像,并提取所述灰度图像中的特征;
S333:对所述灰度图像的特征进行聚类,并将聚类结果进行攻击行为家族标注;
S334:基于标注后的攻击行为家族文件以及文件灰度图像,通过梯度下降法训练神经网络模型的内部参数。
优选的,所述S500:根据检测结果构建攻击链的分析图,通过所述分析图对攻击链进行溯源分析,包括以下步骤:
S510:根据所述检测结果建立索引树,获取邻近信息;
S520:通过邻近信息构建邻接矩阵,计算邻接矩阵的特征向量;
S530:根据特征向量确定攻击行为的威胁程度;
S540:根据威胁程度构建攻击链的分析图,通过所述分析图对攻击链进行溯源分析,最终定位到攻击者。
优选的,所述S500:根据检测结果构建攻击链的分析图,通过所述分析图对攻击链进行溯源分析,还包括:
S521:通过匹配率过滤所述邻近信息确定同源样本;
S522:将所述同源样本信息输入至所述神经网络模型,对同源样本信息的攻击特征、启发式特征以及沙箱动态特征进行比对发掘分析,得到攻击者的背景信息、网络资产以及攻击目的。
另一方面,本发明还提供了一种网络攻击追踪溯源系统,包括:
输入模块,用于给定攻击行为的可执行文件;
处理模块,与所述输入模块连接,用于对所述可执行文件进行处理,生成攻击行为的纹理图像;
构建模块,与所述处理模块连接,用于构建神经网络模型,并对所述神经网络模型进行优化,得到优化后的神经网络模型;
执行模块,与所述输入模块、所述处理模块以及所述构建模块连接,用于将所述可执行文件以及所述纹理图像输入至优化后的神经网络模型,输出检测结果;
分析模块,与所述执行模块快连接,用于根据所述检测结果构建攻击链的分析图,通过所述分析图对攻击链进行溯源分析。
再一方面,本发明还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机可读指令,其特征在于,所述计算机可读指令被处理器执行时实现如权利要求1至7任一项所述的网络攻击追踪溯源方法的步骤
经由上述的技术方案可知,与现有技术相比,本发明公开提供了一种网络攻击追踪溯源方法、系统及可存储介质,首先使用B2G算法将攻击行为映射为灰度图像,从而提高后续分析的效率和准确性。其次基于段自增长的纹理分割算法,将攻击行为纹理文件进行分割,使用分割后的代码块进行特征匹配,具有如下有益效果:
(1)将攻击行为映射为纹理图像,从而提高后续分析的效率和准确性;
(2)利用神经网络模型对纹理图像进行识别,可以在不使用沙箱对样本进行模拟的情况下,高效的完成同源性比对,以实现对恶意代码变种的有效识别,从而在一定程度上解决了特征检测的人工提取困难、行为检测的时间开销大且误报高等问题;
(3)以海量样本下攻击行为呈现的同源性为基础,引入卷积神经网络构建攻击行为的多个层次,对攻击特征、启发式特征、沙箱动态特征等进行比对发掘分析,从而实现攻击行为的扩员,提高溯源分析能力;
(4)构建攻击链的分析图,实现对攻击链进行自动、高效、精准的溯源分析。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明提供的网络攻击追踪溯源方法流程示意图;
图2为本发明实施例提供的使用B2G算法映射攻击行为熊猫烧香到纹理图片的可视化流程示意图
图3为本发明实施例提供的攻击行为Worm.Win32.WBNA 3个家族成员内容纹理差异示意图;
图4为本发明实施例提供的网络攻击追踪溯源系统结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参见附图1所示,本发明实施例公开了一种网络攻击追踪溯源方法,包括以下步骤:
S100:给定攻击行为的可执行文件;
S200:对可执行文件进行处理,生成攻击行为的纹理图像;
S300:构建神经网络模型,并对神经网络模型进行优化,得到优化后的神经网络模型;
S400:将可执行文件以及纹理图像输入至优化后的神经网络模型,输出检测结果;
S500:根据检测结果构建攻击链的分析图,通过分析图对攻击链进行溯源分析。
在一个具体实施例中,给定攻击行为的可执行文件为二进制文件。
在一个具体实施例中,S200:对可执行文件进行处理,生成攻击行为的纹理图像,包括以下步骤:
S210:将给定的攻击行为的可执行文件分为多个段;
S220:读取各段二进制的可执行文件,按照8位为一个无符号的整形,固定的行宽为一个向量,将每段攻击行为可执行文件生成对应的二维数组;
S220:设定二维数组中每个元素的范围的取值为[0,255],0表示黑色,255表示白色;
S230:将每个二维数组可视化为一个对应的纹理图像,得到文件分块灰度图像。
在一个具体实施例中,利用B2G算法,对攻击行为库进行处理,将库中的攻击行为映射为文件灰度图像,并提取其灰度图像特征;利用通用聚类算法,例如层次聚类、密度聚类、K-means聚类等,对攻击行为灰度图像的特征进行聚类,并将聚类结果依据微软MSE杀毒软件进行攻击行为家族标注;构建卷积神经元网络用于训练灰度图像识别模型,并设置网络结构参数和训练参数;数据预处理阶段,利用B2G算法将攻击行为文件分为多个section段。然后,将攻击行为的各个section段映射为灰度图像;训练阶段,利用标注后的攻击行为家族文件与文件分块灰度图像集合训练卷积神经元网络模型;
具体的,首先使用B2G算法将攻击行为映射为灰度图像,从而提高后续分析的效率和准确性。
参见附图2所示,为使用B2G算法映射攻击行为熊猫烧香到纹理图片的可视化流程:对于给定的攻击行为可执行文件,即二进制文件,读取8位为一个无符号的整形(范围为0~255),固定的行宽为一个向量,整个文件最后生成一个二维数组。此数组中每个元素的范围都是取值为[0,255](0表示黑色,255表示白色),将此数组可视化为一个灰阶图像,图像的宽度和高度取决于文件大小,例如宽度选择PE文件段宽度(512字节)的一半为256个字节,高度为文件大小与256的比值。映射后的灰度纹理图片将被存储为无压缩的PNG图片,对于攻击行为可视化后的灰度图像,不同的纹理结构往往代表这不同类型的数据信息。
更具体的,将样本项目文件进行二维图形化处理,生成每个样本的独有灰度图形文件,灰度图形文件也能实现“图形”到文件的无损转换。然后基于段自增长的纹理分割算法对攻击行为的灰度图像进行分析,分析效率更高。
在一个具体实施例中,S300:构建神经网络模型,并对神经网络模型进行优化,得到优化后的神经网络模型,包括以下步骤:
S310:获取攻击行为库;
S320:对所攻击行为库中的数据进行预处理;
S330:构建神经网络模型,并基于预处理后的攻击行为数据,通过梯度下降法训练神经网络模型的内部参数;
S340:对训练后的神经网络模型进行轻量化压缩处理,得到优化后的神经网络模型。
在一个具体实施例中,S330:构建神经网络模型,并基于预处理后的攻击行为数据,通过梯度下降法训练神经网络模型的内部参数,具体步骤包括:
S331:构建神经网络模型;
S332:将攻击行为库中的攻击行为数据映射为文件灰度图像,并提取灰度图像中的特征;
S333:对所述灰度图像的特征进行聚类,并将聚类结果进行攻击行为家族标注;
S334:基于标注后的攻击行为家族文件以及文件灰度图像,通过梯度下降法训练神经网络模型的内部参数。
具体的,攻击行为家族是指有具有明显特征的攻击行为种类,是由很多拥有共同特性的攻击行为个体组成,共同特性通常包括相同的代码、图案、应用特征及相似的行为方式。攻击行为家族中的个体成员之间差异较小,而且它们的基因结构也比较相近,犹如物种在进化过程中基因变化一样,参见附图3所示,攻击行为家族Worm.Win32.WBNA中的三个成员,查看其PE文件纹理变化情况。从上到下分为三层,每层分为三列。第一层从左到右为三个攻击行为的纹理图像,第二层从左到右为第一层三个纹理图像的差异(与第一层的第一幅纹理图像比较),第三层为攻击行为标识,命名规则为“来源+md5”。由附图3可见,同属于一个攻击行为家族的攻击行为在PE文件内容和纹理上(可视化)具有很大程度的相似性,因此可以通过攻击行为整体内容纹理上的相似性来判断攻击行为是否是某个家族的变种。但是,这个朴素方法存在一个较大的弊端,对于代码重排、垃圾代码插入等混淆方法无能为力,为了解决此类问题,本发明提出基于段自增长的纹理分割算法,将攻击行为纹理文件进行分割,使用分割后的代码块进行特征匹配。
在一个具体实施例中,S500:根据检测结果构建攻击链的分析图,通过分析图对攻击链进行溯源分析,包括以下步骤:
S510:根据检测结果建立索引树,获取邻近信息;
S520:通过邻近信息构建邻接矩阵,计算邻接矩阵的特征向量;
S530:根据特征向量确定攻击行为的威胁程度;
S540:根据攻击行为的威胁程度构建攻击链的分析图,通过分析图对攻击链进行溯源分析,最终定位到攻击者。
在一个具体实施例中,S500:根据检测结果构建攻击链的分析图,通过分析图对攻击链进行溯源分析,还包括:
S521:通过匹配率过滤邻近信息确定同源样本;
S522:将同源样本信息输入至神经网络模型,对同源样本信息的攻击特征、启发式特征以及沙箱动态特征进行比对发掘分析,得到攻击者的背景信息、网络资产以及攻击目的。
另一方面,参见附图4所示,提供了一种网络攻击追踪溯源系统,包括:
输入模块,用于给定攻击行为的可执行文件;
处理模块,与输入模块连接,用于对可执行文件进行处理,生成攻击行为的纹理图像;
构建模块,与处理模块连接,用于构建神经网络模型,并对神经网络模型进行优化,得到优化后的神经网络模型;
执行模块,与输入模块、处理模块以及构建模块连接,用于将可执行文件以及纹理图像输入至优化后的神经网络模型,输出检测结果;
分析模块,与执行模块快连接,用于根据检测结果构建攻击链的分析图,通过分析图对攻击链进行溯源分析。
再一方面,提供了一种计算机可读存储介质,计算机可读存储介质存储有计算机可读指令,其特征在于,计算机可读指令被处理器执行时实现如上述的网络攻击追踪溯源方法的步骤。
通过本发明可以高效的完成同源性比对,以实现对恶意代码变种的有效识别,解决单一网络或防护目标网络相关的恶意DNS识别问题,从而更好地提高网络安全攻击溯源能力,保障网络空间安全。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (9)
1.一种网络攻击追踪溯源方法,其特征在于,包括以下步骤:
S100:给定攻击行为的可执行文件;
S200:对所述可执行文件进行处理,生成攻击行为的纹理图像;
S300:构建神经网络模型,并对所述神经网络模型进行优化,得到优化后的神经网络模型;
S400:将所述可执行文件以及所述纹理图像输入至优化后的神经网络模型,输出检测结果;
S500:根据所述检测结果构建攻击链的分析图,通过所述分析图对攻击链进行溯源分析。
2.根据权利要求1所述的一种网络攻击追踪溯源方法,其特征在于,所述给定攻击行为的可执行文件为二进制文件。
3.根据权利要求2所述的一种网络攻击追踪溯源方法,其特征在于,所述S200:对所述可执行文件进行处理,生成攻击行为的纹理图像,包括以下步骤:
S210:将给定的攻击行为的可执行文件分为多个段;
S220:读取各段二进制的可执行文件,按照8位为一个无符号的整形,固定的行宽为一个向量,将每段所述攻击行为的可执行文件生成对应的二维数组;
S220:设定所述二维数组中每个元素的范围的取值为[0,255],0表示黑色,255表示白色;
S230:将每个所述二维数组可视化为一个对应的纹理图像,得到文件分块灰度图像。
4.根据权利要求3所述的一种网络攻击追踪溯源方法,其特征在于,所述S300:构建神经网络模型,并对所述神经网络模型进行优化,得到优化后的神经网络模型,包括以下步骤:
S310:获取攻击行为库;
S320:对所述攻击行为库中的攻击行为数据进行预处理;
S330:构建神经网络模型,并基于预处理后的攻击行为数据,通过梯度下降法训练神经网络模型的内部参数;
S340:对所述训练后的神经网络模型进行轻量化压缩处理,得到优化后的神经网络模型。
5.根据权利要求4所述的一种网络攻击追踪溯源方法,其特征在于,所述S330:构建神经网络模型,并基于预处理后的攻击行为数据,通过梯度下降法训练神经网络模型的内部参数,具体步骤包括:
S331:构建神经网络模型;
S332:将所述攻击行为库中的攻击行为数据映射为文件灰度图像,并提取所述灰度图像中的特征;
S333:对所述灰度图像的特征进行聚类,并将聚类结果进行攻击行为家族标注;
S334:基于标注后的攻击行为家族文件以及文件灰度图像,通过梯度下降法训练神经网络模型的内部参数。
6.根据权利要求5所述的一种网络攻击追踪溯源方法,其特征在于,所述S500:根据检测结果构建攻击链的分析图,通过所述分析图对攻击链进行溯源分析,包括以下步骤:
S510:根据所述检测结果建立索引树,获取邻近信息;
S520:通过邻近信息构建邻接矩阵,计算邻接矩阵的特征向量;
S530:根据特征向量确定攻击行为的威胁程度;
S540:根据威胁程度构建攻击链的分析图,通过所述分析图对攻击链进行溯源分析,最终定位到攻击者。
7.根据权利要求6所述的一种网络攻击追踪溯源方法,其特征在于,所述S500:根据检测结果构建攻击链的分析图,通过所述分析图对攻击链进行溯源分析,还包括:
S521:通过匹配率过滤所述邻近信息确定同源样本;
S522:将所述同源样本信息输入至所述神经网络模型,对同源样本信息的攻击特征、启发式特征以及沙箱动态特征进行比对发掘分析,得到攻击者的背景信息、网络资产以及攻击目的。
8.一种利用权利要求1-7任一项所述的一种网络攻击追踪溯源方法的网络攻击追踪溯源系统,其特征在于,包括:
输入模块,用于给定攻击行为的可执行文件;
处理模块,与所述输入模块连接,用于对所述可执行文件进行处理,生成攻击行为的纹理图像;
构建模块,与所述处理模块连接,用于构建神经网络模型,并对所述神经网络模型进行优化,得到优化后的神经网络模型;
执行模块,与所述输入模块、所述处理模块以及所述构建模块连接,用于将所述可执行文件以及所述纹理图像输入至优化后的神经网络模型,输出检测结果;
分析模块,与所述执行模块快连接,用于根据所述检测结果构建攻击链的分析图,通过所述分析图对攻击链进行溯源分析。
9.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机可读指令,其特征在于,所述计算机可读指令被处理器执行时实现如权利要求1至7任一项所述的网络攻击追踪溯源方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211143036.6A CN115564970A (zh) | 2022-09-20 | 2022-09-20 | 一种网络攻击追踪溯源方法、系统及可存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211143036.6A CN115564970A (zh) | 2022-09-20 | 2022-09-20 | 一种网络攻击追踪溯源方法、系统及可存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115564970A true CN115564970A (zh) | 2023-01-03 |
Family
ID=84741448
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211143036.6A Pending CN115564970A (zh) | 2022-09-20 | 2022-09-20 | 一种网络攻击追踪溯源方法、系统及可存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115564970A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116132197A (zh) * | 2023-04-13 | 2023-05-16 | 中国华能集团清洁能源技术研究院有限公司 | 一种基于功能码的网络同源攻击分析方法及系统 |
| CN118611983A (zh) * | 2024-07-31 | 2024-09-06 | 国网江西省电力有限公司信息通信分公司 | 一种网络攻击组织的行为基因识别方法 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104978522A (zh) * | 2014-04-10 | 2015-10-14 | 北京启明星辰信息安全技术有限公司 | 一种检测恶意代码的方法和装置 |
| CN107392019A (zh) * | 2017-07-05 | 2017-11-24 | 北京金睛云华科技有限公司 | 一种恶意代码家族的训练和检测方法及装置 |
| CN107657175A (zh) * | 2017-09-15 | 2018-02-02 | 北京理工大学 | 一种基于图像特征描述子的恶意样本同源检测方法 |
| CN108062478A (zh) * | 2018-01-04 | 2018-05-22 | 北京理工大学 | 全局特征可视化与局部特征相结合的恶意代码分类方法 |
| CN110135157A (zh) * | 2019-04-04 | 2019-08-16 | 国家计算机网络与信息安全管理中心 | 恶意软件同源性分析方法、系统、电子设备及存储介质 |
| CN111552966A (zh) * | 2020-04-07 | 2020-08-18 | 哈尔滨工程大学 | 一种基于信息融合的恶意软件同源性检测方法 |
| CN111935192A (zh) * | 2020-10-12 | 2020-11-13 | 腾讯科技(深圳)有限公司 | 网络攻击事件溯源处理方法、装置、设备和存储介质 |
| CN112906002A (zh) * | 2021-03-26 | 2021-06-04 | 山西三友和智慧信息技术股份有限公司 | 一种基于深度学习的恶意软件识别方法 |
-
2022
- 2022-09-20 CN CN202211143036.6A patent/CN115564970A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104978522A (zh) * | 2014-04-10 | 2015-10-14 | 北京启明星辰信息安全技术有限公司 | 一种检测恶意代码的方法和装置 |
| CN107392019A (zh) * | 2017-07-05 | 2017-11-24 | 北京金睛云华科技有限公司 | 一种恶意代码家族的训练和检测方法及装置 |
| CN107657175A (zh) * | 2017-09-15 | 2018-02-02 | 北京理工大学 | 一种基于图像特征描述子的恶意样本同源检测方法 |
| CN108062478A (zh) * | 2018-01-04 | 2018-05-22 | 北京理工大学 | 全局特征可视化与局部特征相结合的恶意代码分类方法 |
| CN110135157A (zh) * | 2019-04-04 | 2019-08-16 | 国家计算机网络与信息安全管理中心 | 恶意软件同源性分析方法、系统、电子设备及存储介质 |
| CN111552966A (zh) * | 2020-04-07 | 2020-08-18 | 哈尔滨工程大学 | 一种基于信息融合的恶意软件同源性检测方法 |
| CN111935192A (zh) * | 2020-10-12 | 2020-11-13 | 腾讯科技(深圳)有限公司 | 网络攻击事件溯源处理方法、装置、设备和存储介质 |
| CN112906002A (zh) * | 2021-03-26 | 2021-06-04 | 山西三友和智慧信息技术股份有限公司 | 一种基于深度学习的恶意软件识别方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116132197A (zh) * | 2023-04-13 | 2023-05-16 | 中国华能集团清洁能源技术研究院有限公司 | 一种基于功能码的网络同源攻击分析方法及系统 |
| CN118611983A (zh) * | 2024-07-31 | 2024-09-06 | 国网江西省电力有限公司信息通信分公司 | 一种网络攻击组织的行为基因识别方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107908963B (zh) | 一种自动化检测恶意代码核心特征的方法 | |
| CN111832019B (zh) | 基于生成对抗网络的恶意代码检测方法 | |
| CN115564970A (zh) | 一种网络攻击追踪溯源方法、系统及可存储介质 | |
| CN108718310B (zh) | 基于深度学习的多层次攻击特征提取及恶意行为识别方法 | |
| CN110135157B (zh) | 恶意软件同源性分析方法、系统、电子设备及存储介质 | |
| CN106599686B (zh) | 一种基于tlsh特征表示的恶意软件聚类方法 | |
| CN109829306A (zh) | 一种优化特征提取的恶意软件分类方法 | |
| Zhao et al. | A malware detection method of code texture visualization based on an improved faster RCNN combining transfer learning | |
| CN107169504A (zh) | 一种基于扩展非线性核残差网络的手写字符识别方法 | |
| CN113221115B (zh) | 基于协同学习的可视化恶意软件检测方法 | |
| CN115017511A (zh) | 一种源代码漏洞检测方法、装置以及存储介质 | |
| CN116368487A (zh) | 用于恶意软件的检测的方法 | |
| CN111241550B (zh) | 基于二进制映射和深度学习的漏洞检测方法 | |
| CN116977853A (zh) | 基于x射线图像的输电线压接缺陷识别方法及装置 | |
| O’Shaughnessy | Image-based malware classification: A space filling curve approach | |
| Hashemi et al. | IFMD: image fusion for malware detection | |
| CN116541841A (zh) | 一种恶意软件的分类方法,分类装置以及存储介质 | |
| CN117218449A (zh) | 基于图像分类的恶意代码检测方法、装置、设备及介质 | |
| CN116910753A (zh) | 一种恶意软件检测和模型构建方法、装置、设备及介质 | |
| CN111581640A (zh) | 一种恶意软件检测方法、装置及设备、存储介质 | |
| CN108446558B (zh) | 一种基于空间填充曲线的恶意代码可视化分析方法 | |
| CN116595525A (zh) | 一种基于软件图谱的阈值机制恶意软件检测方法及系统 | |
| CN115292702A (zh) | 一种恶意代码家族的识别方法、装置、设备及存储介质 | |
| CN112163217B (zh) | 恶意软件变种识别方法、装置、设备及计算机存储介质 | |
| Xiaolin et al. | Research on malicious code homology analysis method based on texture fingerprint clustering |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20230103 |