System.ArgumentOutOfRangeException: 索引和长度必须引用该字符串内的位置。 参数名: length 在 System.String.Substring(Int32 startIndex, Int32 length) 在 zhuanliShow.Bind() 基于ATT&CK框架针对大规模恶意代码的同源性分析方法、装置、处理器及存储介质制造方法及图纸_技高网

基于ATT&CK框架针对大规模恶意代码的同源性分析方法、装置、处理器及存储介质制造方法及图纸

技术编号:41754136 阅读:18 留言:0更新日期:2024-06-21 21:37
本发明专利技术涉及一种基于ATT&CK框架实现针对大规模恶意代码进行同源性分析的方法,包括以下步骤:通过技术自动化提取样本的静态特征;利用ATT&CK框架表征动态攻击行为;构建同源性分析模型;攻击者识别与归因。本发明专利技术还涉及一种用于实现基于ATT&CK框架针对大规模恶意代码进行同源性分析的装置、处理器及可读存储介质。采用了本发明专利技术的基于ATT&CK框架实现针对大规模恶意代码进行同源性分析的方法、装置、处理器及其计算机可读存储介质,可有效对大规模未知恶意样本进行分类,识别其内在关联性和相似性,归因其攻击组织,进一步辅助研究攻击组织的攻击手法、掌握常用攻击工具、挖掘其典型攻击特征。同时,通过同源性分析,可以挖掘出可溯源攻击痕迹。

【技术实现步骤摘要】

本专利技术涉及恶意代码分析领域,尤其涉及恶意代码源性分析领域,具体是指一种基于att&ck框架实现针对大规模恶意代码进行同源性分析的方法、装置、处理器及其计算机可读存储介质。


技术介绍

1、近年来,apt组织攻击、勒索软件攻击等各类攻击活动频发,其使用的各类新型病毒木马层出不穷。研究发现,很多新型恶意程序多为已有恶意程序的变种,并通过加壳、多态、代码扰乱等技术逃避传统的检测技术。然而同一个攻击组织的恶意程序往往具有高度相似的代码结果、雷同的函数调用顺序和一致的编码习惯。通过分析未知恶意程序的特征,计算与已知恶意程序的相似性、关联性和同源性,是帮助识别和归因其背后攻击组织的有效手段。当前常见的恶意代码源性分析方法可以分为如下3种:

2、1、基于哈希值匹配的同源性分析方法。该方法通过哈希算法计算文件签名的摘要值,并与数据库中已有恶意样本签名的摘要值比对来识别恶意程序,是一种哈希值完全匹配的方式。但恶意程序代码的微小变动都将会导致哈希值的改变,因此,该方法在应对那些变种的恶意程序时,无法有效发挥同源性识别能力,其抗变形能力较弱。

3、2、基于静态特征的同源性分析方法。静态分析是指在不执行恶意程序的情况下,使用逆向工具获取恶意程序的二进制数据、操作码、函数调用等静态信息,进而构建静态特征序列,并根据代码的静态结构的相似度来判定两款恶意程序是否为同一个家族。静态分析仅关注恶意程序的代码静态结构,不实际执行恶意程序,因此,分析速度相对较快,且不会对用户和操作系统造成实质性危害。但静态分析必须基于成功的程序反汇编结果,面对恶意代码加壳、扰乱、变形和多态等自保护技术的挑战,静态分析技术往往存在诸多不足。

4、静态分析和动态分析是恶意代码分析领域的基础概念,主要区分方式为是否执行恶意程序。相应方式提取出的特征称为静态特征和动态特征。而具体提取静态特征和动态特征的方式存在多样性。

5、3、基于动态特征的同源性分析方法。动态分析是基于恶意程序行为特征的分析技术,通过搭建沙箱模拟一个真实系统环境,并在真实的物理机或者在该环境下执行恶意程序,动态监测并收集记录恶意程序运行中的各种特征信息,提取相应的行为特征。该方法可较为全面的获取恶意程序的动态信息,在一定程度上可有效规避加壳、混淆等技术带来的同源性识别精度不高的影响。但该方法需要执行恶意程序,系统开销大、分析周期长、时间复杂度高,且沙箱仅能捕获当下的行为,若存在因特定条件才能触发的行为,无法有效捕获,不适用于大规模样本的高效识别和归因。


技术实现思路

1、本专利技术的目的是克服了上述现有技术的缺点,提供了一种满足准确度高、操作简便、适用范围较为广泛的基于att&ck框架实现针对大规模恶意代码进行同源性分析的方法、装置、处理器及其计算机可读存储介质。

2、为了实现上述目的,本专利技术的基于att&ck框架实现针对大规模恶意代码进行同源性分析的方法、装置、处理器及其计算机可读存储介质如下:

3、该基于att&ck框架实现针对大规模恶意代码进行同源性分析的方法,其主要特点是,所述的方法包括以下步骤:

4、(1)通过技术自动化提取样本的多维静态特征;

5、(2)利用att&ck框架来表征动态攻击行为;

6、(3)构建同源性分析模型;

7、(4)攻击者识别与归因。

8、较佳地,所述的步骤(2)具体为:

9、针对提取的静态特征,编写capa规则刻画其对应的动态行为,并将其有效映射至att&ck框架中,形成可描述其攻击行为的多维动态行为特征库。

10、较佳地,所述的步骤(3)具体包括以下步骤:

11、(3.1)采用transformer模型进行特征融合,将获取的静态特征s∈r1×l和映射至att&ck攻击矩阵的动态攻击行为特征a∈rn×m,通过向量w∈rl×n进行拼接,作为模型的输入x;

12、(3.2)通过自注意力机制编码静态特征和动态特征之间的关联信息;

13、(3.3)通过前馈神经网络经过非线性变化,对综合特征分析判定同源性类别。

14、较佳地,所述的步骤(3.1)后还包括以下步骤:

15、对输入信息进行位置编码pe;具体为:

16、根据以下公式进行位置编码pe:

17、x=ws×a(s,a);

18、pe(pos,2i)=sin(pos/100002i/d);

19、pe(pos,2i+1)=cos(pos/100002i/d);

20、其中,pos为具体攻击技术在att&ck攻击矩阵中的位置,d为pe的维度,2i为偶数的维度,2i+1为奇数维度。

21、较佳地,所述的步骤(3.1)的transformer模型的每一层transformer网络包括两个子层,其中第一层为多头注意力机制,第二层为全连接前馈神经网络,所述的第一层和第二层之间使用残差连接,并进行层归一化处理。

22、较佳地,所述的步骤(1)具体包括以下步骤:

23、将单个注意力的参数通过线性变换映射到不同的子空间,并行计算自注意力,并将输出结果进行拼接融合,得到多头注意力。

24、较佳地,所述的步骤中计算自注意力,具体为:

25、根据以下公式计算自注意力:

26、

27、其中,通过自注意力机制将输入x线性变换得到三个向量矩阵q,k,v,dk是q,k矩阵的列数,即向量维度。

28、较佳地,所述的步骤中得到多头注意力,具体为:

29、根据以下公式得到多头注意力:

30、multihead(q,k,v)=concat(head1,head2,…,headh)wo;

31、headi=attention(qwiq,kwik,vwiv);

32、其中,w0、wiv、wik、wiq为参数矩阵,headh代表第h个注意力子空间,h代表多头的数量。

33、较佳地,所述的步骤(1)具体包括以下步骤:

34、利用(3)构建的同源性分析模型,将待分析的大规模未知恶意样本输入其中,识别样本属性并对恶意样本进行同源性分析,归因其攻击组织。

35、该用于实现基于att&ck框架针对大规模恶意代码进行同源性分析的装置,其主要特点是,所述的装置包括:

36、处理器,被配置成执行计算机可执行指令;

37、存储器,存储一个或多个计算机可执行指令,所述的计算机可执行指令被所述的处理器执行时,实现上述的基于att&ck框架实现针对大规模恶意代码进行同源性分析的方法的各个步骤。

38、该用于实现基于att&ck框架针对大规模恶意代码进行同源性分析的处理器,其主要特点是,所述的处理器被配置成执行计算机可执行指令,所本文档来自技高网...

【技术保护点】

1.一种基于ATT&CK框架实现针对大规模恶意代码进行同源性分析的方法,其特征在于,所述的方法包括以下步骤:

2.根据权利要求1所述的基于ATT&CK框架实现针对大规模恶意代码进行同源性分析的方法,其特征在于,所述的步骤(2)具体为:

3.根据权利要求1所述的基于ATT&CK框架实现针对大规模恶意代码进行同源性分析的方法,其特征在于,所述的步骤(3)具体包括以下步骤:

4.根据权利要求3所述的基于ATT&CK框架实现针对大规模恶意代码进行同源性分析的方法,其特征在于,所述的步骤(3.1)后还包括以下步骤:

5.根据权利要求1所述的基于ATT&CK框架实现针对大规模恶意代码进行同源性分析的方法,其特征在于,所述的步骤(3.1)的Transformer模型的每一层Transformer网络包括两个子层,其中第一层为多头注意力机制,第二层为全连接前馈神经网络,所述的第一层和第二层之间使用残差连接,并进行层归一化处理。

6.根据权利要求5所述的基于ATT&CK框架实现针对大规模恶意代码进行同源性分析的方法,其特征在于,所述的步骤(1)具体包括以下步骤:

7.根据权利要求6所述的基于ATT&CK框架实现针对大规模恶意代码进行同源性分析的方法,其特征在于,所述的步骤中计算自注意力,具体为:

8.根据权利要求6所述的基于ATT&CK框架实现针对大规模恶意代码进行同源性分析的方法,其特征在于,所述的步骤中得到多头注意力,具体为:

9.根据权利要求1所述的基于ATT&CK框架实现针对大规模恶意代码进行同源性分析的方法,其特征在于,所述的步骤(1)具体包括以下步骤:

10.一种用于实现基于ATT&CK框架针对大规模恶意代码进行同源性分析的装置,其特征在于,所述的装置包括:

11.一种用于实现基于ATT&CK框架针对大规模恶意代码进行同源性分析的处理器,其特征在于,所述的处理器被配置成执行计算机可执行指令,所述的计算机可执行指令被所述的处理器执行时,实现权利要求1至9中任一项所述的基于ATT&CK框架实现针对大规模恶意代码进行同源性分析的方法的各个步骤。

12.一种计算机可读存储介质,其特征在于,其上存储有计算机程序,所述的计算机程序可被处理器执行以实现权利要求1至9中任一项所述的基于ATT&CK框架实现针对大规模恶意代码进行同源性分析的方法的各个步骤。

...

【技术特征摘要】

1.一种基于att&ck框架实现针对大规模恶意代码进行同源性分析的方法,其特征在于,所述的方法包括以下步骤:

2.根据权利要求1所述的基于att&ck框架实现针对大规模恶意代码进行同源性分析的方法,其特征在于,所述的步骤(2)具体为:

3.根据权利要求1所述的基于att&ck框架实现针对大规模恶意代码进行同源性分析的方法,其特征在于,所述的步骤(3)具体包括以下步骤:

4.根据权利要求3所述的基于att&ck框架实现针对大规模恶意代码进行同源性分析的方法,其特征在于,所述的步骤(3.1)后还包括以下步骤:

5.根据权利要求1所述的基于att&ck框架实现针对大规模恶意代码进行同源性分析的方法,其特征在于,所述的步骤(3.1)的transformer模型的每一层transformer网络包括两个子层,其中第一层为多头注意力机制,第二层为全连接前馈神经网络,所述的第一层和第二层之间使用残差连接,并进行层归一化处理。

6.根据权利要求5所述的基于att&ck框架实现针对大规模恶意代码进行同源性分析的方法,其特征在于,所述的步骤(1)具体包括以下步骤:

7.根据权利要求6所述...

【专利技术属性】
技术研发人员:郑啸宇林九川付文豪
申请(专利权)人:公安部第三研究所
类型:发明
国别省市:

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1