《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 其他 > 設(shè)計(jì)應(yīng)用 > SimMal:基于異構(gòu)圖學(xué)習(xí)的惡意軟件關(guān)聯(lián)分析系統(tǒng)
SimMal:基于異構(gòu)圖學(xué)習(xí)的惡意軟件關(guān)聯(lián)分析系統(tǒng)
信息技術(shù)與網(wǎng)絡(luò)安全 11期
章瑞康,周 娟,,袁 軍,李文瑾,,顧杜娟
(綠盟科技集團(tuán)股份有限公司,,北京100089)
摘要: 隨著惡意軟件快速增長和傳播,,近年來網(wǎng)絡(luò)安全生態(tài)面臨極大威脅;同時不斷發(fā)展的攻擊技術(shù),,可以繞過安全防御系統(tǒng)的分析檢測,,對網(wǎng)絡(luò)安全分析人員提出了新的挑戰(zhàn),。傳統(tǒng)的人工分析方式由于資源限制,即使借助自動化工具也難以挖掘惡意軟件潛在的攻擊載體和技術(shù),,發(fā)現(xiàn)惡意軟件之間的共性,。設(shè)計(jì)了一種惡意軟件關(guān)聯(lián)分析系統(tǒng)SimMal,通過異構(gòu)圖的方式清晰地展示惡意軟件,、惡意行為、攻擊技術(shù)和利用漏洞等多種維度間的關(guān)聯(lián),;同時基于異構(gòu)圖表示學(xué)習(xí)算法預(yù)測惡意軟件關(guān)聯(lián)的惡意軟件家族和APT(高級持續(xù)威脅)組織,,協(xié)助分析人員提前發(fā)現(xiàn)惡意軟件相關(guān)的風(fēng)險(xiǎn)和意圖并做出預(yù)先防御。該系統(tǒng)目前已應(yīng)用在現(xiàn)網(wǎng)真實(shí)的惡意軟件數(shù)據(jù)集上,,實(shí)驗(yàn)結(jié)果驗(yàn)證了惡意軟件家族分類和APT組織溯源分析的有效性,。
中圖分類號: TP309
文獻(xiàn)標(biāo)識碼: A
DOI: 10.19358/j.issn.2096-5133.2021.11.002
引用格式: 章瑞康,周娟,,袁軍,,等. SimMal:基于異構(gòu)圖學(xué)習(xí)的惡意軟件關(guān)聯(lián)分析系統(tǒng)[J].信息技術(shù)與網(wǎng)絡(luò)安全,2021,,40(11):8-15.
SimMal:heterogeneous graph learning-based malware association analysis system
Zhang Ruikang,,Zhou Juan,,Yuan Jun,Li Wenjin,,Gu Dujuan
(NSFOCUS Technologies Group Co.,,Ltd.,Beijing 100089,,China)
Abstract: With the rapid growth and spread of malware, cybersecurity system is facing great threat in recent years. Meanwhile, the continuous development of attack technology can bypass the threat analysis and detection of security system, which poses new challenges to security analysts. Due to the limitation of resources in traditional manual malware analysis, the traditional method faces difficulties in uncovering the potential attack vectors and technologies of malware even with the help of automated analysis tools, and it is difficult to find the commonality between malware.This paper designs a malware association analysis system called SimMal,,which can clearly show the relationship between various dimensions of malware by heterogeneous network graph, such as malware instance, malicious behavior, attack techniques and exploits. Furtherly based on heterogeneous graph representation learning, SimMal can predict potential malware family and APT(Advanced Persistent Threats) groups associated with malware, and thus can assist analysts to discover malware-related risks and intentions in advance, and making advance defenses. The SimMal system currently is applied to real malware datasets and the experimental result has verified the effectiveness of malware family classification and APT groups traceability analysis.
Key words : malware;automated analysis,;association analysis,;heterogeneous graph learning


0 引言

隨著網(wǎng)絡(luò)環(huán)境日趨復(fù)雜,越來越多的惡意軟件混合使用不同的技術(shù),,已經(jīng)發(fā)展成為影響網(wǎng)絡(luò)安全極為常見和嚴(yán)重的威脅之一,。如惡意軟件“Stuxnet”因?yàn)槟軌驅(qū)I(yè)基礎(chǔ)設(shè)施造成巨大破壞引起了黑客的廣泛關(guān)注,,與此同時也有相當(dāng)數(shù)量的“Stuxnet”被發(fā)現(xiàn)通過使用不同的技術(shù)來持續(xù)性攻擊特定類型的網(wǎng)絡(luò)和基礎(chǔ)設(shè)施[1];根據(jù)綠盟科技發(fā)布的網(wǎng)絡(luò)安全觀察報(bào)告,,以“GandCrab”勒索軟件家族為例,,其背后組織在一年半時間內(nèi)非法獲取20億美元,攻擊者通過暗網(wǎng)對“GandCrab”勒索軟件僵尸網(wǎng)絡(luò)進(jìn)行管理面板,,從而保持長時間匿名,,并使用多種方式傳播,,包括漏洞利用工具包,、釣魚郵件,、木馬程序,。如今有許多惡意軟件使用多種攻擊技術(shù)和載體,具有高隱蔽性,、持久化和規(guī)避傳統(tǒng)防御的特性[2]。

惡意軟件的復(fù)雜程度越高,,對安全分析人員所需要的技術(shù)和知識水平要求就越高,,惡意軟件分析需要一系列的方法和技術(shù)來進(jìn)行,,挖掘惡意軟件的威脅和意圖、識別所利用漏洞和確定攻擊來源等,,這一系列分析幫助安全運(yùn)維人員做出應(yīng)急響應(yīng)和防御措施,。如圖1所示,,目前關(guān)于惡意軟件的檢測分析方法主要有人工分析、動態(tài)行為分析和惡意代碼分析,,惡意代碼分析又分為靜態(tài)分析和動態(tài)分析[3]。靜態(tài)分析方法旨在提取惡意軟件代碼塊,、strings,、控制流、函數(shù)調(diào)用等特征進(jìn)行分析[4]。動態(tài)分析使用沙箱監(jiān)控惡意軟件在運(yùn)行過程中產(chǎn)生的行為數(shù)據(jù),,如API調(diào)用序列、進(jìn)程調(diào)用、文件操作,、網(wǎng)絡(luò)通信等信息[5],。由于動態(tài)行為之間存在關(guān)聯(lián)性,,有研究工作對其構(gòu)建動態(tài)圖,,使用圖神經(jīng)網(wǎng)絡(luò)學(xué)習(xí)惡意軟件的特征表示,,利用機(jī)器學(xué)習(xí)進(jìn)行惡意/非惡意二分類或惡意軟件家族分類[6-8]。



本文詳細(xì)內(nèi)容請下載:http://forexkbc.com/resource/share/2000003842




作者信息:

章瑞康,,周  娟,袁  軍,,李文瑾,顧杜娟

(綠盟科技集團(tuán)股份有限公司,,北京100089)


此內(nèi)容為AET網(wǎng)站原創(chuàng),,未經(jīng)授權(quán)禁止轉(zhuǎn)載,。