[发明专利]一种基于动态行为链和动态特征的样本同源分析方法

说明书

本发明提供一种基于动态行为链和动态特征的样本同源分析方法，步骤如下：1：收集整理攻击样本；2：将训练样本集进行分类处理；3：将训练样本集投入沙箱运行；4：将样本进行排序整理，生成动态行为链；5：使用以训练数据集提取的行为链训练同源分析决策树模型；6：提取行为链和样本IOCs信息；7：测试数据集通过决策树模型判断所属APT组织，或所属恶意家族和类型；8：测试数据集通过知识库模糊匹配IOCs信息，得出同源信息；9：得出最终同源分析结论；本发明达到了从动态行为入手，对恶意样本进行基于动态行为链和动态特征的样本同源分析的效果，解决了传统同源分析手段导致的样本特征单一，人工分析效率低投入大等实际问题。

一.技术领域

本发明提供一种基于动态行为链和动态特征的样本同源分析方法，它涉及恶意样本同源分析技术，属于网络安全技术领域。

二.背景技术

面对日渐频繁的针对政府，军工，航空航天，能源，教育，医疗，高科技单位和企业的高级持续性威胁事件(Advanced Persistent Threat-APT)，以及APT组织的不断增多，对层出不穷的攻击样本进行从样本到组织的关联和同源分析，由样本关联到事件再关联到幕后的犯罪组织的同源分析变得越来越重要，它不仅能为防御APT攻击做出贡献，也为攻击溯源分析提供强有力的数据支持。

现在，APT组织同源分析已经成为APT攻击防御与溯源领域的研究热点，在对可执行文件的同源分析方面，目前主要有特征码识别，人工分析两个方面。其中，人工分析对人力物力要求极高，需要具有专业知识和丰富经验的研究人员投入大量时间分析，无法做到高效的追踪各APT攻击事件。特征码识别方面，由于APT样本的多变性和复杂性，大部分时候提取的特征只能做到一对一检测，和同源分析的目的相去甚远，无法适应越来越严峻的APT攻击事态。

综上所述，随着APT攻击越来越频繁，对APT攻击的检测和追踪都需要有同源性样本分析作为数据基础和支持。而目前的主流同源分析技术，从识别能力、反应时间以及工作效率上无法达到要求。

三.发明内容

1.发明目的

为解决上述同源分析领域问题，更高效更准确的进行APT组织样本同源分析，本发明提供一种基于动态行为链和动态特征的样本同源分析方法，旨在从海量攻击样本中智能高效的发现APT攻击样本并进行同源分析，定位攻击来源，同时，减少人力成本和时间消耗，从而在严峻的APT攻击形势和海量的攻击样本数据中，做出高效准确的响应，并为后续溯源分析提供强有力的数据支撑。

2.技术方案

本发明是一种基于动态行为链和动态特征的样本同源分析方法，步骤如下：

步骤101：收集整理已知APT组织曾使用的攻击样本，覆盖可执行文件格式包括exe文件和dll文件，通过组织名分类，再分为训练集数据和测试集数据两部分，分别用作训练和测试用途；

步骤102：将训练样本集通过恶意样本家族及类型名进行分类处理，并标记样本的家族及类型名；

步骤103：将训练样本集投入沙箱运行，通过动态引擎提取样本的动态行为集合和样本运行中暴露的IOCs信息；

步骤104：将样本在沙箱中被捕获到的动态行为集合按照时间顺序进行排序整理，生成动态行为链；将通过动态沙箱执行捕获到的样本IOCs信息存入同源分析知识库中；

步骤105：使用以训练数据集提取的行为链训练同源分析决策树模型；

步骤106：测试数据集投入沙箱运行，提取行为链和样本IOCs信息；

步骤107：测试数据集通过决策树模型判断所属APT组织，或所属恶意家族和类型；

步骤108：测试数据集通过知识库模糊匹配IOCs信息，得出同源信息；