CN117171748B - 一种恶意代码家族分类方法 - Google Patents

一种恶意代码家族分类方法 Download PDF

Info

Publication number
CN117171748B
CN117171748B CN202311221439.2A CN202311221439A CN117171748B CN 117171748 B CN117171748 B CN 117171748B CN 202311221439 A CN202311221439 A CN 202311221439A CN 117171748 B CN117171748 B CN 117171748B
Authority
CN
China
Prior art keywords
variant
countermeasure
attack
defense
classification
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202311221439.2A
Other languages
English (en)
Other versions
CN117171748A (zh
Inventor
卢黎芳
尚金龙
陆聿航
马福燕
刘伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shandong Weiping Information Security Evaluation Technology Co ltd
Original Assignee
Shandong Weiping Information Security Evaluation Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shandong Weiping Information Security Evaluation Technology Co ltd filed Critical Shandong Weiping Information Security Evaluation Technology Co ltd
Priority to CN202311221439.2A priority Critical patent/CN117171748B/zh
Publication of CN117171748A publication Critical patent/CN117171748A/zh
Application granted granted Critical
Publication of CN117171748B publication Critical patent/CN117171748B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供了一种恶意代码家族分类方法,涉及数据处理技术领域,进行防护系统评估确定局域网攻防对抗等级,调用恶意代码对抗记录,构建攻防链路集,结合变体溯源模组构建变体演化体系,结合本间同源关系遍历低代码模板库提取恶意特征码并生成共用代码片段,配置预分类原则进行恶意代码家族的分类,解决了现有技术中缺乏针对恶意代码演变的同源关联处理与逻辑架构的构建,且未能与恶意代码家族分类相结合,导致分类精细化程度不足,分类效率较低且准确度受限的技术问题,进行攻防链路处理并搭建变体演化体系,提取恶意特征码并确定共用代码片段,结合预分类原则进行体系下的归属类目划分,以执行恶意代码家族的高效精细化准确分类。

Description

一种恶意代码家族分类方法
技术领域
本发明涉及数据处理技术领域,具体涉及一种恶意代码家族分类方法。
背景技术
随着互联网的快速发展,网络安全事件与恶意代码攻击等层出不穷,严重威胁到了网络空间安全,随着恶意代码的高速增长,为了有效进行网络安全管理,需针对恶意代码家族进行有效分类。
目前,通过进行字节码灰度图像转换,结合随机森林等算法进行恶意代码家族分类。现有技术中的分类方法,缺乏针对恶意代码演变的同源关联处理与逻辑架构的构建,且未能与恶意代码家族分类相结合,导致分类精细化程度不足,分类效率较低且准确度受限。
发明内容
本申请提供了一种恶意代码家族分类方法,用于针对解决现有技术中存在的缺乏针对恶意代码演变的同源关联处理与逻辑架构的构建,且未能与恶意代码家族分类相结合,导致分类精细化程度不足,分类效率较低且准确度受限的技术问题。
鉴于上述问题,本申请提供了一种恶意代码家族分类方法。
第一方面,本申请提供了一种恶意代码家族分类方法,所述方法包括:
对目标局域网内的防护系统进行能力评估,确定局域网攻防对抗等级,其中,评估能力维度包括系统对抗能力、系统溯源能力与系统取证能力;
调用恶意代码对抗记录,构建攻防链路集,所述攻防链路集包括多组攻击链与对抗链,且存在链路节点的映射关联;
结合所述局域网攻防对抗等级,基于所述攻防链路集,于变体溯源模组中进行恶意代码变体溯源分析,并构建变体演化体系,所述变体演化体系标识有本间同源关系;
基于所述变体演化体系,结合所述本间同源关系,遍历低代码模板库提取恶意特征码;
基于所述恶意特征码之间的协同关联关系,生成共用代码片段,所述共用代码片段存在攻击组件的映射关联;
配置预分类原则,基于所述变体演化体系与所述共用代码片段执行恶意代码家族的分类。
第二方面,本申请提供了一种恶意代码家族分类系统,所述系统包括:
攻防对抗等级确定模块,所述攻防对抗等级确定模块用于对目标局域网内的防护系统进行能力评估,确定局域网攻防对抗等级,其中,评估能力维度包括系统对抗能力、系统溯源能力与系统取证能力;
攻防链路集构建模块,所述攻防链路集构建模块用于调用恶意代码对抗记录,构建攻防链路集,所述攻防链路集包括多组攻击链与对抗链,且存在链路节点的映射关联;
变体溯源分析模块,所述变体溯源分析模块用于结合所述局域网攻防对抗等级,基于所述攻防链路集,于变体溯源模组中进行恶意代码变体溯源分析,并构建变体演化体系,所述变体演化体系标识有本间同源关系;
特征码提取模块,所述特征码提取模块用于基于所述变体演化体系,结合所述本间同源关系,遍历低代码模板库提取恶意特征码;
共用代码片段生成模块,所述共用代码片段生成模块用于基于所述恶意特征码之间的协同关联关系,生成共用代码片段,所述共用代码片段存在攻击组件的映射关联;
恶意代码分类模块,所述恶意代码分类模块用于配置预分类原则,基于所述变体演化体系与所述共用代码片段执行恶意代码家族的分类。
本申请中提供的一个或多个技术方案,至少具有如下技术效果或优点:
本申请实施例提供的一种恶意代码家族分类方法,对目标局域网内的防护系统进行能力评估确定局域网攻防对抗等级,调用恶意代码对抗记录,构建攻防链路集,结合所述局域网攻防对抗等级,于变体溯源模组中进行恶意代码变体溯源分析,构建变体演化体系,进而结合所述本间同源关系,遍历低代码模板库提取恶意特征码,进行协同关联分析生成共用代码片段,配置预分类原则,基于所述变体演化体系与所述共用代码片段执行恶意代码家族的分类,解决了现有技术中存在的缺乏针对恶意代码演变的同源关联处理与逻辑架构的构建,且未能与恶意代码家族分类相结合,导致分类精细化程度不足,分类效率较低且准确度受限的技术问题,进行攻防链路处理并结合进化进程搭建变体演化体系,提取恶意特征码并协同关联分析确定共用代码片段,结合预分类原则进行体系下的归属类目划分以确定底层分类逻辑,以执行恶意代码家族的高效精细化准确分类。
附图说明
图1为本申请提供了一种恶意代码家族分类方法流程示意图;
图2为本申请提供了一种恶意代码家族分类方法中分类流程框图;
图3为本申请提供了一种恶意代码家族分类系统结构示意图。
附图标记说明:攻防对抗等级确定模块11,攻防链路集构建模块12,变体溯源分析模块13,特征码提取模块14,共用代码片段生成模块15,恶意代码分类模块16。
具体实施方式
本申请通过提供一种恶意代码家族分类方法,进行防护系统评估确定局域网攻防对抗等级,调用恶意代码对抗记录,构建攻防链路集,结合变体溯源模组构建变体演化体系,结合本间同源关系遍历低代码模板库提取恶意特征码并生成共用代码片段,配置预分类原则进行恶意代码家族的分类,用于解决现有技术中存在的缺乏针对恶意代码演变的同源关联处理与逻辑架构的构建,且未能与恶意代码家族分类相结合,导致分类精细化程度不足,分类效率较低且准确度受限的技术问题。
实施例一
如图1、图2所示,本申请提供了一种恶意代码家族分类方法,所述方法包括:
S1:对目标局域网内的防护系统进行能力评估,确定局域网攻防对抗等级,其中,评估能力维度包括系统对抗能力、系统溯源能力与系统取证能力;
其中,所述对目标局域网内的防护系统进行能力评估,本申请S1还包括:
S11:针对所述系统对抗能力、所述系统溯源能力与所述系统取证能力,结合信息对抗评估模组进行能力评估,生成攻防对抗三元组;
其中,所述攻防对抗三元组基于不同评估能力维度下,多个系统的能力评估结果加权求和确定的单项对抗系数构成;
S12:针对所述攻防对抗三元组进行赋权求和,遍历对抗等级参照表匹配确定所述局域网攻防对抗等级;
S13:判定所述局域网攻防对抗等级是否满足攻防对抗阈,若不满足,于所述目标局域网内安装外接插件。
随着互联网的快速发展,网络安全事件与恶意代码攻击等层出不穷,严重威胁到了网络空间安全,为了有效进行网络安全管理,针对恶意代码家族进行有效分类,以便进行网络攻击溯源与恶意代码拦截。本申请提供的一种恶意代码家族分类方法,针对恶意代码对抗记录进行攻防链路处理,基于恶意代码的进化进程搭建变体演化体系,提取恶意特征码并进行协同关联分析,针对确定的共用代码片段,结合配置的预分类原则进行体系下的归属类目划分,确定底层分类逻辑,以执行恶意代码家族的高效精细化准确分类。
其中,所述目标局域网为待进行恶意代码家族分类管理的区域性网络,确定所述目标局域网中所配置的防护系统,例如应用防火墙、入侵防御系统、安全运营中心等,针对各个防护系统,以所述系统对抗能力、所述系统溯源能力与所述系统取证能力为评估维度,即针对恶意攻击的对抗防护能力、针对恶意代码的溯源能力与针对恶意攻击的取证能力分别评估。
具体的,所述信息对抗评估模组为搭建的进行系统能力评估的执行模型,包括对应于所述系统对抗能力、所述系统溯源能力与所述系统取证能力的多个评估分支。如下为一种可实施性的单个评估分支构建方式:调取样本系统配置信息与样本对抗信息,所述样本对抗信息包括恶意入侵信息与样本对抗结果,结合标准化评估基准,由本领域技术人员进行对抗能力、溯源能力与取证能力的人工评估,获取样本系统对抗系数、样本系统溯源系数与样本系统取证系数。进一步的,以所述样本系统配置信息与所述样本对抗信息为输入识别信息,以所述样本系统对抗系数为决策输出信息,进行输入识别信息与决策输出信息的映射关联,获取构建数据并进行神经网络训练,生成对抗能力评估分支。
同理,映射关联所述样本系统配置信息、所述样本对抗信息与所述样本系统溯源系数,进行神经网络训练生成溯源能力评估分支;同理,完成取证能力评估分支的构建,并行布设所述对抗能力评估分支、所述溯源能力评估分支与所述取证能力评估分支,作为所述信息对抗评估模组。
针对所述目标局域网中的各个防护系统,分别进行系统基本配置与历史对抗记录的采集,获取对应于防护系统的多个映射序列。遍历所述多个映射序列分别输入所述信息对抗评估模组中,基于各评估分支进行维度针对性能力评估,对同维度的单项对抗系数进行集成与综合性计算,例如各个防护系统的系统对抗系数,对确定的多个系统对抗系数进行加权求和,其中,权重配置基于各个系统的管辖范围进行确定,配置权重之和为1,获取所述攻防对抗三元组,即不同评估能力维度下的综合评估组。
进一步针对所述系统对抗能力、所述系统溯源能力与所述系统取证能力进行权重配置,其中,以系统能力重要程度为配置标准。并对所述攻防对抗三元组进行赋权求和,遍历所述对抗等级参考表进行所述局域网攻防对抗等级的确定,其中,所述对抗等级参照表存储有多个表征为对抗评估系数-攻防对抗等级的标准化映射序列。
同时,设定所述攻防对抗阈,即基于所述目标局域网的入侵频次、攻击等级等确定的临界对抗等级,若所述局域网攻防对抗等于不满足所述攻防对抗阈,表明防护系统的能力不足,网络安全风险较大,于所述目标局域网内安全外接插件,进行系统能力的补足。
S2:调用恶意代码对抗记录,构建攻防链路集,所述攻防链路集包括多组攻击链与对抗链,且存在链路节点的映射关联;
其中,所述调用恶意代码对抗记录,构建攻防链路集,本申请S2还包括:
S21:调用所述恶意代码对抗记录,针对各条记录进行信息对抗点识别;
S22:基于所述信息对抗点,提取攻击数据与对抗数据,其中,所述攻击数据包括攻击代码,所述对抗数据包括对抗代码;
S23:基于信息对抗时序,对所述攻击数据进行序列化整合链接,生成所述攻击链,对所述对抗数据进行序列化整合链接,生成所述对抗链。
针对所述目标局域网,进行预定历史时间区间内的所述恶意代码对抗记录的调取,其中,一条恶意代码对抗记录包括攻击记录与防护系统的对抗记录。针对各条记录进行信息对抗点的识别,即恶意代码攻击与系统防护对抗的对接点,其中,各条记录分别包括多个所述信息对抗点。
基于各条记录的所述信息对抗点,恶意代码入侵端与系统防护端的数据提取,获取所述攻击数据与所述防护数据。其中,所述攻击数据包括所述攻击代码,所述对抗数据包括所述对抗代码。提取各条记录的攻击数据,基于信息对抗时序,对其进行序列化整合链接,作为所述攻击链;同理,基于所述信息对抗时序进行对抗数据的序列化整合链接,作为所述对抗链,其中,同条记录的所述攻击链与所述对抗链存在链路节点的映射关联。集成各恶意代码对抗记录的攻击链与对抗链并进行归属整合,生成所述攻防链路集。通过进行链路转换,可提高攻防对抗信息的直观性,确保信息间的关联明朗程度,为后续进行代码变体分析夯实了基础。
S3:结合所述局域网攻防对抗等级,基于所述攻防链路集,于变体溯源模组中进行恶意代码变体溯源分析,并构建变体演化体系,所述变体演化体系标识有本间同源关系;
其中,所述于变体溯源模组中进行恶意代码变体溯源分析,本申请S3还包括:
S31:所述局域网攻防对抗等级为恶意代码变体影响因素;
S32:针对所述攻防链路集,结合所述变体溯源模组进行各组攻防链路的变体诱因与变体结果的提取,其中,变体诱因基于对抗链路节点确定,所述变体结果基于攻击链路节点确定;
S33:基于所述变体诱因与变体结果,进行层级演变关联与同级关联,构建所述变体演化体系。
其中,所述结合所述变体溯源模组进行各组攻防链路的变体诱因与变体结果的提取,本申请S32还包括:
S321:所述变体溯源模组包括节点匹配模块、差异化定位模块与信息提取模块,且模块间存在端口连接;
S322:针对各组攻防链路,以初始端链路节点为起点,依据链路连接关系依次进行变体互关信息定位识别与变体分析,并结合所述本间同源关系进行链路连接转换,添加进所述变体诱因与所述变体结果中;
其中,所述变体诱因与所述变体结果存在对应链路组的映射关联关系。
具体的,所述局域网攻防对抗等级为恶意代码变体影响因素,具体的,恶意代码随着与防护系统的对抗进程,实现功能等的进化,会逐步演变生成新型的恶意代码,若所述局域网攻防对抗等级足够,可完成入侵恶意代码的拦截,否则,会成为恶意代码逐步进化的踏板,造成恶意代码的变体进化。
以所述攻防链路集为基准,各个映射对应的攻击链路节点与对抗链路节点的反应,为造成恶意代码变体进化的导引。结合构建的所述变体溯源模组进行变体诱因与变体结果的提取。
具体的,所述变体溯源模组为进行恶意代码变体进程中内容提炼的执行模组,所述变体溯源模组包括所述节点匹配模块、所述差异化定位模块与所述信息提取模块。示例性的,可通过调用样本数据进行神经网络监督训练,搭建所述变体溯源模组的执行机制,具体构建方法与所述信息对抗评估模组中各分支的构建方式相同,具体构建数据不同,构建的所述节点匹配模块、所述差异化定位模块与所述信息提取模块基于串联状态依次端口连接。
针对各组攻防链路,依次输入所述变体溯源模组中,基于所述节点匹配模块,以所述初始链路节点为起点,逐链路次序进行攻击链与对抗链的识别与映射对应,并针对映射链路节点进行次序标识;进而输入所述差异化定位模块中,针对相邻的链路节点进行对应恶意代码的差异化识别定位,即存在变体的位置部分,对其进行标识框选进而输入所述信息提取模块中,变体标识位置进行差异化代码提取,作为所述变体结果;针对所映射对应的对抗链路节点进行变体诱因的识别提取,例如防护原理、防护类型等,针对变体结果,将初始化链路节点对应的局域恶意代码作为本间根源,结合依次确定的变体结果,确定所述本间同源关系。以此为基准进行链路转换,确定该组攻防链路的变体结果,并进行变体诱因的链路映射转换,分别添加进所述变体诱因与所述变体结果中。其中,对所述变体诱因与所述变体结果进行对应链路组的关联,且存在链路节点间的对应关联。
进一步的,针对所述变体结果,针对各条转换链路基于变体演变次序进行层级演变关联,并针对各条转换链路之间进行求同,针对各条链路间的关联性,在层级演变关联的基础上进行同级关联,构建所述变体演化体系。进而对所述变体诱因与所述变体演化体系进行匹配对应,针对匹配结果进行所述变体诱因的对应标识。所述变体演化体系为所述目标局域网的存在性恶意代码,所搭建的底层架构体系,将其作为进行恶意代码家族分类的基本依托。
S4:基于所述变体演化体系,结合所述本间同源关系,遍历低代码模板库提取恶意特征码;
S5:基于所述恶意特征码之间的协同关联关系,生成共用代码片段,所述共用代码片段存在攻击组件的映射关联;
其中,所述低代码模板库为存储有编写语言-代码结构-风险区块的多个参考模板的数据库,同一模板中包括至少一个风险区块,即作为恶意代码的依据,所述风险区块为最小编码块,例如字节等。基于所述变体演化体系,并结合所述本间同源关系,以所述本间根源对应的体系为起点,随着所述变体演化体系的关联分布,依次遍历所述低代码模板库进行风险区块的识别提取,将提取的风险区块编码作为所述恶意特征码,所述恶意特征码与所述变体演化体系的体系节点存在映射标识。
其中,风险区块之间存在编写关联,关联风险区块可构成一项完整的局域代码块,作为所述共用代码片段。对所述恶意特征码之间进行协同关联关系的识别,包括同体系节点的恶意特征码之间与不同体系节点的恶意特征码之间,对其进行映射组合,生成所述共用代码片段。同时,基于所述共用代码片段内的关联关系进行关联网络的构建。并确定所述共用代码片段的攻击组件,并进行对应关联,便于进行针对恶意代码进行预识别与拦截。
S6:配置预分类原则,基于所述变体演化体系与所述共用代码片段执行恶意代码家族的分类。
其中,所述配置预分类原则,基于所述变体演化体系与所述共用代码片段搭建预分类原则执行恶意代码家族的分类,本申请S6还包括:
S61:配置预分类原则,所述预分类原则以编译平台、驱动文件、程序形态、编码风格与攻击原理为基准;
S62:基于所述预分类原则,对所述共用代码片段进行归属,确定片段归置结果;
S63:基于所述预分类原则,结合所述片段归置结果对所述变体演化体系进行体系分割,确定多个子体系,其中,所述多个子体系分别对应一归属类目。
其中,本申请还存在S64,包括:
S641:将所述多个子体系作为底层分类标准,对所述恶意代码家族进行分类;
S642:针对新增恶意代码对抗信息,基于所述底层分类标准进行归属;
S643:若不存在归属类目,对所述新增恶意代码对抗信息逐体系节点进行关联度分析,确定新增关联点位;
S644:基于所述新增关联点位设定新增归属类目,进行所述新增恶意代码的归属划分。
具体的,将所述编译平台、所述驱动文件、所述程序形态、所述编码风格与所述攻击原理作为恶意代码家族的多维分类原则,配置所述预分类原则,例如,针对攻击原理,如渗透原理、自启动原理、恶意软件等进行激活攻击,其中,部分恶意代码基于隐蔽信道、匿名网络等进行隐蔽攻击。对所述多维分类原则进行随机组合,将确定的多个组合,即多个归属类目作为所述预分类原则。
进一步的,基于所述预分类原则,结合所述多个归属类目对所述共用代码片段进行归属,获取所述片段归属结果。进一步的,针对所述预分类原则,基于所述共用代码片段与所述变体演化体系的体系节点存在关系,以所述片段归置结果为基准,对所述变体演化体系进行分割,获取所述多个子体系,所述多个子体系与所述多个归属类目一一对应。所述多个子体系为进行恶意代码分类的底层逻辑。
基于所述多个子体系,对所述恶意代码家族进行匹配与类目归属。若存在新增恶意代码攻击,获取所述新增恶意代码对抗信息并进行恶意特征码的识别与片段关联分析,遍历所述多个子体系进行归属分类。当不存在归属类目时,遍历所述多个子体系,对所述新增恶意代码进行关联分析,确定适配的体系连接位置,作为所述新增关联点位。进而于所述新增关联点位设定新增归属类目,对所述新增恶意代码对抗信息进行归属划分,并整合所述新增恶意代码对应的多维分类原则,对所述新增归属类目进行对应标注。其中,所述底层分类标准具有更新性,以确保时效性,以适应的恶意代码家族的扩展与演变。
本申请提供的一种恶意代码家族分类方法,具有如下技术效果:
1、进行攻防链路处理并结合进化进程搭建变体演化体系,提取恶意特征码并协同关联分析确定共用代码片段,结合预分类原则进行体系下的归属类目划分以确定底层分类逻辑,以执行恶意代码家族的高效精细化准确分类。
2、通过搭建攻防链路,直观展现恶意代码的变体演化进程,便于进行同源关联分析。通过结合本间同源关系,提取恶意特征码,通过进行单节字码间的协同关联分析,确定攻击组件相关的共用代码片段。结合配置的预分类原则,基于变体演化体系与共用代码片段确定底层分类逻辑,提高分类的精细化程度。
实施例二
基于与前述实施例中一种恶意代码家族分类方法相同的发明构思,如图3所示,本申请提供了一种恶意代码家族分类系统,所述系统包括:
攻防对抗等级确定模块11,所述攻防对抗等级确定模块11用于对目标局域网内的防护系统进行能力评估,确定局域网攻防对抗等级,其中,评估能力维度包括系统对抗能力、系统溯源能力与系统取证能力;
攻防链路集构建模块12,所述攻防链路集构建模块12用于调用恶意代码对抗记录,构建攻防链路集,所述攻防链路集包括多组攻击链与对抗链,且存在链路节点的映射关联;
变体溯源分析模块13,所述变体溯源分析模块13用于结合所述局域网攻防对抗等级,基于所述攻防链路集,于变体溯源模组中进行恶意代码变体溯源分析,并构建变体演化体系,所述变体演化体系标识有本间同源关系;
特征码提取模块14,所述特征码提取模块14用于基于所述变体演化体系,结合所述本间同源关系,遍历低代码模板库提取恶意特征码;
共用代码片段生成模块15,所述共用代码片段生成模块15用于基于所述恶意特征码之间的协同关联关系,生成共用代码片段,所述共用代码片段存在攻击组件的映射关联;
恶意代码分类模块16,所述恶意代码分类模块16用于配置预分类原则,基于所述变体演化体系与所述共用代码片段执行恶意代码家族的分类。
进一步而言,所述攻防对抗等级确定模块11还包括:
能力评估模块,所述能力评估模块用于针对所述系统对抗能力、所述系统溯源能力与所述系统取证能力,结合信息对抗评估模组进行能力评估,生成攻防对抗三元组;
其中,所述攻防对抗三元组基于不同评估能力维度下,多个系统的能力评估结果加权求和确定的单项对抗系数构成;
等级匹配模块,所述等级匹配模块用于针对所述攻防对抗三元组进行赋权求和,遍历对抗等级参照表匹配确定所述局域网攻防对抗等级;
等级判定模块,所述等级判定模块用于判定所述局域网攻防对抗等级是否满足攻防对抗阈,若不满足,于所述目标局域网内安装外接插件。
进一步而言,所述攻防链路集构建模块12还包括:
记录调用模块,所述记录调用模块用于调用所述恶意代码对抗记录,针对各条记录进行信息对抗点识别;
数据提取模块,所述数据提取模块用于基于所述信息对抗点,提取攻击数据与对抗数据,其中,所述攻击数据包括攻击代码,所述对抗数据包括对抗代码;
数据整合链接模块,所述数据整合链接模块用于基于信息对抗时序,对所述攻击数据进行序列化整合链接,生成所述攻击链,对所述对抗数据进行序列化整合链接,生成所述对抗链。
进一步而言,所述变体溯源分析模块13还包括:
局域网攻防对抗等级解析模块,所述局域网攻防对抗等级解析模块用于所述局域网攻防对抗等级为恶意代码变体影响因素;
变体数据提取模块,所述变体信息提取模块用于针对所述攻防链路集,结合所述变体溯源模组进行各组攻防链路的变体诱因与变体结果的提取,其中,变体诱因基于对抗链路节点确定,所述变体结果基于攻击链路节点确定;
变体演化体系构建模块,所述变体演化体系构建模块用于基于所述变体诱因与变体结果,进行层级演变关联与同级关联,构建所述变体演化体系。
进一步而言,所述变体数据提取模块还包括:
变体溯源模组解析模块,所述变体溯源模组解析模块用于所述变体溯源模组包括节点匹配模块、差异化定位模块与信息提取模块,且模块间存在端口连接;
变体分析模块,所述变体分析模块用于针对各组攻防链路,以初始端链路节点为起点,依据链路连接关系依次进行变体互关信息定位识别与变体分析,并结合所述本间同源关系进行链路连接转换,添加进所述变体诱因与所述变体结果中;
其中,所述变体诱因与所述变体结果存在对应链路组的映射关联关系。
进一步而言,所述恶意代码分类模块16还包括:
原则配置模块,所述原则配置模块用于配置预分类原则,所述预分类原则以编译平台、驱动文件、程序形态、编码风格与攻击原理为基准;
共用代码片段归属模块,所述共用代码片段归属模块用于基于所述预分类原则,对所述共用代码片段进行归属,确定片段归置结果;
体系分割模块,所述体系分割模块用于基于所述预分类原则,结合所述片段归置结果对所述变体演化体系进行体系分割,确定多个子体系,其中,所述多个子体系分别对应一归属类目。
进一步而言,所述恶意代码分类模块16还包括:
分类模块,所述分类模块用于将所述多个子体系作为底层分类标准,对所述恶意代码家族进行分类;
新增归属模块,所述新增归属模块用于针对新增恶意代码对抗信息,基于所述底层分类标准进行归属;
新增关联点位确定模块,所述新增关联点位确定模块用于若不存在归属类目,对所述新增恶意代码对抗信息逐体系节点进行关联度分析,确定新增关联点位;
代码归属模块,所述代码归属模块用于基于所述新增关联点位设定新增归属类目,进行所述新增恶意代码的归属划分。
本说明书通过前述对一种恶意代码家族分类方法的详细描述,本领域技术人员可以清楚的知道本实施例中一种恶意代码家族分类方法,对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (4)

1.一种恶意代码家族分类方法,其特征在于,所述方法包括:
对目标局域网内的防护系统进行能力评估,确定局域网攻防对抗等级,其中,评估能力维度包括系统对抗能力、系统溯源能力与系统取证能力;
调用恶意代码对抗记录,构建攻防链路集,所述攻防链路集包括多组攻击链与对抗链,且存在链路节点的映射关联;
结合所述局域网攻防对抗等级,基于所述攻防链路集,于变体溯源模组中进行恶意代码变体溯源分析,并构建变体演化体系,所述变体演化体系标识有本间同源关系;
基于所述变体演化体系,结合所述本间同源关系,遍历低代码模板库提取恶意特征码;
基于所述恶意特征码之间的协同关联关系,生成共用代码片段,所述共用代码片段存在攻击组件的映射关联;
配置预分类原则,基于所述变体演化体系与所述共用代码片段执行恶意代码家族的分类;
其中,所述对目标局域网内的防护系统进行能力评估,包括:
针对所述系统对抗能力、所述系统溯源能力与所述系统取证能力,结合信息对抗评估模组进行能力评估,生成攻防对抗三元组;
其中,所述攻防对抗三元组基于不同评估能力维度下,多个系统的能力评估结果加权求和确定的单项对抗系数构成;
针对所述攻防对抗三元组进行赋权求和,遍历对抗等级参照表匹配确定所述局域网攻防对抗等级;
判定所述局域网攻防对抗等级是否满足攻防对抗阈,若不满足,于所述目标局域网内安装外接插件;
其中,所述调用恶意代码对抗记录,构建攻防链路集,包括:
调用所述恶意代码对抗记录,针对各条记录进行信息对抗点识别;
基于所述信息对抗点,提取攻击数据与对抗数据,其中,所述攻击数据包括攻击代码,所述对抗数据包括对抗代码;
基于信息对抗时序,对所述攻击数据进行序列化整合链接,生成所述攻击链,对所述对抗数据进行序列化整合链接,生成所述对抗链;
其中,所述于变体溯源模组中进行恶意代码变体溯源分析,包括:
所述局域网攻防对抗等级为恶意代码变体影响因素;
针对所述攻防链路集,结合所述变体溯源模组进行各组攻防链路的变体诱因与变体结果的提取,其中,变体诱因基于对抗链路节点确定,所述变体结果基于攻击链路节点确定;
基于所述变体诱因与变体结果,进行层级演变关联与同级关联,构建所述变体演化体系;
其中,所述结合所述变体溯源模组进行各组攻防链路的变体诱因与变体结果的提取,包括:
所述变体溯源模组包括节点匹配模块、差异化定位模块与信息提取模块,且模块间存在端口连接;
针对各组攻防链路,以初始端链路节点为起点,依据链路连接关系依次进行变体互关信息定位识别与变体分析,并结合所述本间同源关系进行链路连接转换,添加进所述变体诱因与所述变体结果中;
其中,所述变体诱因与所述变体结果存在对应链路组的映射关联关系。
2.如权利要求1所述的方法,其特征在于,所述配置预分类原则,基于所述变体演化体系与所述共用代码片段执行恶意代码家族的分类,所述方法还包括:
配置预分类原则,所述预分类原则以编译平台、驱动文件、程序形态、编码风格与攻击原理为基准;
基于所述预分类原则,对所述共用代码片段进行归属,确定片段归置结果;
基于所述预分类原则,结合所述片段归置结果对所述变体演化体系进行体系分割,确定多个子体系,其中,所述多个子体系分别对应一归属类目。
3.如权利要求2所述的方法,其特征在于,所述方法还包括:
将所述多个子体系作为底层分类标准,对所述恶意代码家族进行分类;
针对新增恶意代码对抗信息,基于所述底层分类标准进行归属;
若不存在归属类目,对所述新增恶意代码对抗信息逐体系节点进行关联度分析,确定新增关联点位;
基于所述新增关联点位设定新增归属类目,进行所述新增恶意代码的归属划分。
4.一种恶意代码家族分类系统,其特征在于,用于实施所述权利要求1-3中任意一项所述的一种恶意代码家族分类方法,所述系统包括:
攻防对抗等级确定模块,所述攻防对抗等级确定模块用于对目标局域网内的防护系统进行能力评估,确定局域网攻防对抗等级,其中,评估能力维度包括系统对抗能力、系统溯源能力与系统取证能力;
攻防链路集构建模块,所述攻防链路集构建模块用于调用恶意代码对抗记录,构建攻防链路集,所述攻防链路集包括多组攻击链与对抗链,且存在链路节点的映射关联;
变体溯源分析模块,所述变体溯源分析模块用于结合所述局域网攻防对抗等级,基于所述攻防链路集,于变体溯源模组中进行恶意代码变体溯源分析,并构建变体演化体系,所述变体演化体系标识有本间同源关系;
特征码提取模块,所述特征码提取模块用于基于所述变体演化体系,结合所述本间同源关系,遍历低代码模板库提取恶意特征码;
共用代码片段生成模块,所述共用代码片段生成模块用于基于所述恶意特征码之间的协同关联关系,生成共用代码片段,所述共用代码片段存在攻击组件的映射关联;
恶意代码分类模块,所述恶意代码分类模块用于配置预分类原则,基于所述变体演化体系与所述共用代码片段执行恶意代码家族的分类。
CN202311221439.2A 2023-09-21 2023-09-21 一种恶意代码家族分类方法 Active CN117171748B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311221439.2A CN117171748B (zh) 2023-09-21 2023-09-21 一种恶意代码家族分类方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311221439.2A CN117171748B (zh) 2023-09-21 2023-09-21 一种恶意代码家族分类方法

Publications (2)

Publication Number Publication Date
CN117171748A CN117171748A (zh) 2023-12-05
CN117171748B true CN117171748B (zh) 2024-06-18

Family

ID=88944916

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311221439.2A Active CN117171748B (zh) 2023-09-21 2023-09-21 一种恶意代码家族分类方法

Country Status (1)

Country Link
CN (1) CN117171748B (zh)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111611583A (zh) * 2020-04-08 2020-09-01 国家计算机网络与信息安全管理中心 恶意代码同源性分析方法和恶意代码同源性分析装置
CN114021138A (zh) * 2022-01-05 2022-02-08 北京微步在线科技有限公司 一种同源分析知识库的构建方法、同源分析方法及装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116305119A (zh) * 2023-02-24 2023-06-23 中国科学院信息工程研究所 基于预测指导原型的apt恶意软件分类方法和装置

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111611583A (zh) * 2020-04-08 2020-09-01 国家计算机网络与信息安全管理中心 恶意代码同源性分析方法和恶意代码同源性分析装置
CN114021138A (zh) * 2022-01-05 2022-02-08 北京微步在线科技有限公司 一种同源分析知识库的构建方法、同源分析方法及装置

Also Published As

Publication number Publication date
CN117171748A (zh) 2023-12-05

Similar Documents

Publication Publication Date Title
CN108718310B (zh) 基于深度学习的多层次攻击特征提取及恶意行为识别方法
CN111565205A (zh) 网络攻击识别方法、装置、计算机设备和存储介质
CN108647520A (zh) 一种基于脆弱性学习的智能模糊测试方法与系统
CN110276369B (zh) 基于机器学习的特征选择方法、装置、设备及存储介质
CN114398669B (zh) 基于隐私保护计算和跨组织的联合信用评分方法及装置
CN102073708A (zh) 面向大规模不确定图数据库的子图查询方法
JP7213626B2 (ja) セキュリティ対策検討ツール
Ajdani et al. Introduced a new method for enhancement of intrusion detection with random forest and PSO algorithm
CN114091034A (zh) 一种安全渗透测试方法、装置、电子设备及存储介质
CN112580902B (zh) 对象数据处理方法、装置、计算机设备和存储介质
CN111797942A (zh) 用户信息的分类方法及装置、计算机设备、存储介质
Altieri et al. Spatial Sampling for Non‐compact Patterns
CN117155771B (zh) 一种基于工业物联网的设备集群故障溯源方法及装置
CN117171748B (zh) 一种恶意代码家族分类方法
CN118041587A (zh) 一种网络安全测试评估系统及方法
CN117743803A (zh) 一种基于进化特征构建的工作量感知即时缺陷预测方法
CN114707151B (zh) 一种基于api调用和网络行为的僵尸软件检测方法
CN116545679A (zh) 一种工业情境安全基础框架及网络攻击行为特征分析方法
CN112561538B (zh) 风险模型创制方法、装置、计算机设备及可读存储介质
CN114581086A (zh) 基于动态时序网络的钓鱼账户检测方法及系统
Jordan et al. A model-based approach to identify barriers in design knowledge reuse
CN117332923B (zh) 一种网状指标体系的赋权方法及系统
Liu et al. Software vulnerability prediction based on statistical learning
Setitra et al. Combination of Hybrid Feature Selection and LSTM-AE Neural Network for Enhancing DDOS Detection in SDN
Saputra et al. The Robustness of Machine Learning Models Using MLSecOps: A Case Study On Delivery Service Forecasting

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant