[发明专利]一种基于系统溯源图的大规模勒索软件分析方法和分析装置

说明书

本发明是有关于一种基于系统溯源图的大规模勒索软件分析方法包括采集大规模勒索软件样本集，构建勒索软件分析沙箱集群，采集勒索软件运行时系统事件日志，过滤和裁剪原始事件日志数据，事件日志标准化和归一化，生成勒索软件系统溯源图，采用日志压缩算法优化溯源图规模，基于图论度量指标分析勒索软件行为。本发明的分析装置包括样本采集模块、系统日志采集模块、系统溯源图生成模块和样本行为分析模块。本发明通过生成勒索软件运行时的系统溯源图，达到了自动化大规模分析勒索软件的恶意行为的目标，解决了现有采用数据科学方法需要大量人工标注和可解释性差的问题。

技术领域

本发明涉及一种是网络安全领域的大规模勒索软件分析技术，特别是涉及一种基于系统溯源图的大规模勒索软件分析方法和分析装置。

背景技术

恶意软件分析技术是网络安全领域的一种重要的威胁分析技术，特别地，随着勒索软件的大规模传播能力和严重的破坏程度，针对勒索软件的大规模分析方法十分必要。随着网络攻防的博弈，勒索软件呈现出隐形化、多态化、多歧化等特点，即勒索软件常常伪装成可信的系统程序实施对用户文件的恶意加密、破坏和窃取敏感数据等行为，这对勒索软件的检测和防护带来的新的挑战。尽管不同家族的勒索软件的实现方式具有较大的差异性，但其恶意行为不可避免地与底层操作系统交互，并会被系统事件跟踪机制所捕获，因此准确而高效的自动化分析技术是当前大规模勒索软件检测和分析的关键能力之一。

当前的大规模勒索软件分析技术，通常有如下两种方法：

1.基于传统恶意代码动静态分析相结合的方法

传统的恶意代码检测和分析主要有两种方法：静态分析和动态分析。前者是指在不运行样本的情况下进行分析(如反汇编分析、反编译分析和源代码分析)，属于逆向工程技术；后者是指利用系统调试工具跟踪和监控恶意代码的执行过程，进而分析恶意代码的行为。目前关于静态分析的代表性工作YARA工具，支持文本文件、二进制文件的字节序列提取，支持通配符、正则表达式等特性；而动态分析的代表性工具Cuckoo沙箱可以提取勒索软件在运行中的主机行为和网络通信行为。

虽然此方法分析结果准确性较高，但是，该方法过度依赖于专家知识经验和人工分析，因此无法应用于大规模勒索软件分析中。此外，由于此方法无法获取勒索软件恶意行为间的因果依赖关系，因此也无法进一步深入分析勒索软件攻击活动的动机和目标。

2.基于数据科学的分析方法

通过结合大数据和机器学习等方法，对勒索软件的指令、代码、行为等特征进行表示学习和建模，借助训练得到的勒索软件分析模型对勒索软件进行分类和聚类，进而分析勒索软件家族的特点。代表性工作STAMINA将勒索软件的二进制文件转换为灰度图像，以便利用图像算法进行分析。

由于此方法基于数据科学方法如统计特征和概率决策模型，因此可以采用新的大数据技术实现大规模勒索软件分析。但是，此类方法通常需要大量的勒索软件样本进行训练，才有可能得到相对较高的准确率和召回率，这对大量的人工分析和标记是一个极大的挑战。此外，该方法面临机器学习模型的一个共性问题，即模型分析结果的可解释性难题。

综上，目前针对勒索软件的大规模分析方法的主要缺陷在于：采用上述方法1，则无法开展大规模勒索软件样本分析，也无法进一步分析勒索软件攻击活动的动机和目标；采用上述方法2，则需要大量人工标记勒索软件样本进行训练，也面临着可解释性难题。

有鉴于上述现有的大规模勒索软件分析技术存在的缺陷，本发明经过不断的研究、设计,并经反复试作及改进后，终于创设出确具实用价值的本发明。

发明内容

本发明的主要目的在于，克服现有的大规模勒索软件分析技术存在的缺陷，而提供一种新的一种基于系统溯源图的大规模勒索软件分析方法和分析装置，所要解决的技术问题是使其能够大规模勒索软件样本分析且能进一步分析勒索软件攻击活动的动机和目标，非常适于实用。