伦理片一区二区三区,亚州色图欧美色图,天堂视频中文在线

SimMal：基于異構圖學習的惡意軟件關聯分析系統

信息技術與網絡安全 11期

章瑞康，周娟，袁軍，李文瑾，顧杜娟

(綠盟科技集團股份有限公司，北京100089)

摘要： 隨著惡意軟件快速增長和傳播，近年來網絡安全生態面臨極大威脅；同時不斷發展的攻擊技術，可以繞過安全防御系統的分析檢測，對網絡安全分析人員提出了新的挑戰。傳統的人工分析方式由于資源限制，即使借助自動化工具也難以挖掘惡意軟件潛在的攻擊載體和技術，發現惡意軟件之間的共性。設計了一種惡意軟件關聯分析系統SimMal，通過異構圖的方式清晰地展示惡意軟件、惡意行為、攻擊技術和利用漏洞等多種維度間的關聯；同時基于異構圖表示學習算法預測惡意軟件關聯的惡意軟件家族和APT（高級持續威脅）組織，協助分析人員提前發現惡意軟件相關的風險和意圖并做出預先防御。該系統目前已應用在現網真實的惡意軟件數據集上，實驗結果驗證了惡意軟件家族分類和APT組織溯源分析的有效性。

關鍵詞： 惡意軟件自動化分析關聯分析異構圖學習

中圖分類號： TP309
文獻標識碼： A
DOI： 10.19358/j.issn.2096-5133.2021.11.002
引用格式：章瑞康，周娟，袁軍，等. SimMal：基于異構圖學習的惡意軟件關聯分析系統[J].信息技術與網絡安全，2021，40(11)：8-15.

SimMal：heterogeneous graph learning-based malware association analysis system

Zhang Ruikang，Zhou Juan，Yuan Jun，Li Wenjin，Gu Dujuan

(NSFOCUS Technologies Group Co.，Ltd.，Beijing 100089，China)

Abstract： With the rapid growth and spread of malware, cybersecurity system is facing great threat in recent years. Meanwhile, the continuous development of attack technology can bypass the threat analysis and detection of security system, which poses new challenges to security analysts. Due to the limitation of resources in traditional manual malware analysis, the traditional method faces difficulties in uncovering the potential attack vectors and technologies of malware even with the help of automated analysis tools, and it is difficult to find the commonality between malware.This paper designs a malware association analysis system called SimMal，which can clearly show the relationship between various dimensions of malware by heterogeneous network graph, such as malware instance, malicious behavior, attack techniques and exploits. Furtherly based on heterogeneous graph representation learning, SimMal can predict potential malware family and APT(Advanced Persistent Threats) groups associated with malware, and thus can assist analysts to discover malware-related risks and intentions in advance, and making advance defenses. The SimMal system currently is applied to real malware datasets and the experimental result has verified the effectiveness of malware family classification and APT groups traceability analysis.

Key words : malware；automated analysis；association analysis；heterogeneous graph learning

0 引言

隨著網絡環境日趨復雜，越來越多的惡意軟件混合使用不同的技術，已經發展成為影響網絡安全極為常見和嚴重的威脅之一。如惡意軟件“Stuxnet”因為能夠對工業基礎設施造成巨大破壞引起了黑客的廣泛關注，與此同時也有相當數量的“Stuxnet”被發現通過使用不同的技術來持續性攻擊特定類型的網絡和基礎設施[1]；根據綠盟科技發布的網絡安全觀察報告，以“GandCrab”勒索軟件家族為例，其背后組織在一年半時間內非法獲取20億美元，攻擊者通過暗網對“GandCrab”勒索軟件僵尸網絡進行管理面板，從而保持長時間匿名，并使用多種方式傳播，包括漏洞利用工具包、釣魚郵件、木馬程序。如今有許多惡意軟件使用多種攻擊技術和載體，具有高隱蔽性、持久化和規避傳統防御的特性[2]。

惡意軟件的復雜程度越高，對安全分析人員所需要的技術和知識水平要求就越高，惡意軟件分析需要一系列的方法和技術來進行，挖掘惡意軟件的威脅和意圖、識別所利用漏洞和確定攻擊來源等，這一系列分析幫助安全運維人員做出應急響應和防御措施。如圖1所示，目前關于惡意軟件的檢測分析方法主要有人工分析、動態行為分析和惡意代碼分析，惡意代碼分析又分為靜態分析和動態分析[3]。靜態分析方法旨在提取惡意軟件代碼塊、strings、控制流、函數調用等特征進行分析[4]。動態分析使用沙箱監控惡意軟件在運行過程中產生的行為數據，如API調用序列、進程調用、文件操作、網絡通信等信息[5]。由于動態行為之間存在關聯性，有研究工作對其構建動態圖，使用圖神經網絡學習惡意軟件的特征表示，利用機器學習進行惡意/非惡意二分類或惡意軟件家族分類[6-8]。

本文詳細內容請下載：http://www.jysgc.com/resource/share/2000003842

作者信息：

章瑞康，周娟，袁軍，李文瑾，顧杜娟

(綠盟科技集團股份有限公司，北京100089)

原創聲明：此內容為AET網站原創，未經授權禁止轉載。

相關內容