123,123

SimMal：基于异构图学习的恶意软件关联分析系统

信息技术与网络安全 11期

章瑞康，周娟，袁军，李文瑾，顾杜娟

(绿盟科技集团股份有限公司，北京100089)

摘要： 随着恶意软件快速增长和传播，近年来网络安全生态面临极大威胁；同时不断发展的攻击技术，可以绕过安全防御系统的分析检测，对网络安全分析人员提出了新的挑战。传统的人工分析方式由于资源限制，即使借助自动化工具也难以挖掘恶意软件潜在的攻击载体和技术，发现恶意软件之间的共性。设计了一种恶意软件关联分析系统SimMal，通过异构图的方式清晰地展示恶意软件、恶意行为、攻击技术和利用漏洞等多种维度间的关联；同时基于异构图表示学习算法预测恶意软件关联的恶意软件家族和APT（高级持续威胁）组织，协助分析人员提前发现恶意软件相关的风险和意图并做出预先防御。该系统目前已应用在现网真实的恶意软件数据集上，实验结果验证了恶意软件家族分类和APT组织溯源分析的有效性。

關鍵詞： 恶意软件自动化分析关联分析异构图学习

中圖分類號： TP309
文獻標識碼： A
DOI： 10.19358/j.issn.2096-5133.2021.11.002
引用格式：章瑞康，周娟，袁軍，等. SimMal：基于異構圖學習的惡意軟件關聯(lián)分析系統(tǒng)[J].信息技術與網(wǎng)絡安全，2021，40(11)：8-15.

SimMal：heterogeneous graph learning-based malware association analysis system

Zhang Ruikang，Zhou Juan，Yuan Jun，Li Wenjin，Gu Dujuan

(NSFOCUS Technologies Group Co.，Ltd.，Beijing 100089，China)

Abstract： With the rapid growth and spread of malware, cybersecurity system is facing great threat in recent years. Meanwhile, the continuous development of attack technology can bypass the threat analysis and detection of security system, which poses new challenges to security analysts. Due to the limitation of resources in traditional manual malware analysis, the traditional method faces difficulties in uncovering the potential attack vectors and technologies of malware even with the help of automated analysis tools, and it is difficult to find the commonality between malware.This paper designs a malware association analysis system called SimMal，which can clearly show the relationship between various dimensions of malware by heterogeneous network graph, such as malware instance, malicious behavior, attack techniques and exploits. Furtherly based on heterogeneous graph representation learning, SimMal can predict potential malware family and APT(Advanced Persistent Threats) groups associated with malware, and thus can assist analysts to discover malware-related risks and intentions in advance, and making advance defenses. The SimMal system currently is applied to real malware datasets and the experimental result has verified the effectiveness of malware family classification and APT groups traceability analysis.

Key words : malware；automated analysis；association analysis；heterogeneous graph learning

0 引言

隨著網(wǎng)絡環(huán)境日趨復雜，越來越多的惡意軟件混合使用不同的技術，已經發(fā)展成為影響網(wǎng)絡安全極為常見和嚴重的威脅之一。如惡意軟件“Stuxnet”因為能夠對工業(yè)基礎設施造成巨大破壞引起了黑客的廣泛關注，與此同時也有相當數(shù)量的“Stuxnet”被發(fā)現(xiàn)通過使用不同的技術來持續(xù)性攻擊特定類型的網(wǎng)絡和基礎設施[1]；根據(jù)綠盟科技發(fā)布的網(wǎng)絡安全觀察報告，以“GandCrab”勒索軟件家族為例，其背后組織在一年半時間內非法獲取20億美元，攻擊者通過暗網(wǎng)對“GandCrab”勒索軟件僵尸網(wǎng)絡進行管理面板，從而保持長時間匿名，并使用多種方式傳播，包括漏洞利用工具包、釣魚郵件、木馬程序。如今有許多惡意軟件使用多種攻擊技術和載體，具有高隱蔽性、持久化和規(guī)避傳統(tǒng)防御的特性[2]。

惡意軟件的復雜程度越高，對安全分析人員所需要的技術和知識水平要求就越高，惡意軟件分析需要一系列的方法和技術來進行，挖掘惡意軟件的威脅和意圖、識別所利用漏洞和確定攻擊來源等，這一系列分析幫助安全運維人員做出應急響應和防御措施。如圖1所示，目前關于惡意軟件的檢測分析方法主要有人工分析、動態(tài)行為分析和惡意代碼分析，惡意代碼分析又分為靜態(tài)分析和動態(tài)分析[3]。靜態(tài)分析方法旨在提取惡意軟件代碼塊、strings、控制流、函數(shù)調用等特征進行分析[4]。動態(tài)分析使用沙箱監(jiān)控惡意軟件在運行過程中產生的行為數(shù)據(jù)，如API調用序列、進程調用、文件操作、網(wǎng)絡通信等信息[5]。由于動態(tài)行為之間存在關聯(lián)性，有研究工作對其構建動態(tài)圖，使用圖神經網(wǎng)絡學習惡意軟件的特征表示，利用機器學習進行惡意/非惡意二分類或惡意軟件家族分類[6-8]。

本文詳細內容請下載：http://www.ihrv.cn/resource/share/2000003842

作者信息：

章瑞康，周娟，袁軍，李文瑾，顧杜娟

(綠盟科技集團股份有限公司，北京100089)

原創(chuàng)聲明：此內容為AET網(wǎng)站原創(chuàng)，未經授權禁止轉載。

相關內容