[发明专利]一种基于机器学习的远程取证工具安全分析系统

说明书

技术领域

本发明涉及取证工具技术领域，尤其涉及一种基于机器学习的远程取证工具安全分析系统。

背景技术

随着计算机技术在全球的广泛普及，信息、网络技术也在高速发展，据不完全统计，自2010年以来，面向我国的信息网络的入侵、网络欺诈等恶意行为呈现上升的趋势，通过取证技术实施网络攻击已经能够成为了世界各国信息战的常用手段。比如，维基解密曾报道过美国中央情报局内部名为“7号军火库”的文件，在公布的军火库中的676个文件中，维基解密揭露了CIA企图通过一款叫“Marble”的工具，将病毒、恶意代码、木马的真实源代码进行混淆，让取证调查人员无法溯源到CIA身上，顺便嫁祸给其他国家。维基解密表示，在Marble的源代码中发现了中文、俄文、朝鲜文、阿拉伯文、伊朗文字。显然，使用别国的语言伪装成其他国家的语言，就可以把“嫌疑人”撇到国外。近年来这样的例子屡见不鲜，通过某种技术手段将嫌疑嫁祸给中国，不仅危害了中国的利益，也破坏了中国的国际声誉。面对如此紧迫的网络安全问题，大力发展网络信息攻防技术刻不容缓。由于目前国内并没有专门针对远程取证工具安全性的相关研究，也没有相对完善的远程取证工具安全性分析系统及方法，因此我们不仅需要开发出稳定的防御检测系统、防止涉及国家机密的计算机及信息系统受到网络的攻击，更要先行一步对于远程取证工具技术进行研究，其中针对当前远程取证工具普遍存在的安全性问题的研究更是重中之重。

远程取证工具一般通过移动存储介质或者涉密电脑违规上互联网，从而通过外网渗入内网、感染主机，窃取秘密信息资料，它们通常会有一些共同行为，且该类行为比较特殊，在正常程序中较为罕见。此外，由于一些网络远程取证工具开发者的疏忽，可能在远程取证工具工作的时候留下一些相关的敏感信息。因此，远程取证工具在取证的同时，还需要保证自身的安全性，防止对方追踪溯源。远程取证工具的安全性研究是当前信息安全领域的前沿课题，保证远程取证工具的安全性对于维护国家利益、保障国家安全具有重大的意义。

发明内容

根据现有技术存在的问题，本发明公开了一种基于机器学习的远程取证工具安全分析系统，该系统融合沙箱技术、钩子技术、机器学习技术以及风险评估等对远程取证工具安全性进行分析，具体包括：沙箱配置与启动模块、API监控与匹配模块和预测与评价模块；

所述沙箱配置与启动模块在沙箱启动前加载待测程序、对沙箱进行参数配置、在沙箱程序启动时运行待测程序，所述沙箱配置与启动模块包括待测程序加载模块、沙箱配置模块和沙箱启动模块；待测程序加载模块在检测之前定位待检测远程取证工具的位置信息将其加载到系统中、在沙箱配置完成后由沙箱程序启动；沙箱配置模块为待测远程取证工具提供运行环境，通过进行相关配置使其满足远程取证工具的运行及检测环境；当待测程序加载模块和沙箱配置模块完成启动后所述沙箱启动模块开始工作；

所述API监控与匹配模块对沙箱中运行的待测远程取证工具进行动态监控，将API调用记录全部保存，根据API字典对API调用记录进行行为匹配；所述API监控与匹配模块包括API调用动态监控模块、行为匹配模块；API调用动态监控模块对待检测远程取证工具在运行过程中调用的所有API进行监控、对API调用信息进行记录，该API调用信息包括API名称、DLL文件名和调用参数；

行为匹配模块对API调用动态监控模块得到的API调用记录进行分析，根据预先定义好的字典文件将API调用记录分别匹配到相应的行为，包括文件行为、进程行为、注册表行为，最后将得到待检测远程取证工具的行为记录；

所述预测与评价模块根据行为匹配模块记录的行为信息、利用训练完成的决策树模型进行计算，得到机器学习算法的预测结果；采用评价指标模型进行计算得到该远程取证工具的评价分数及对应的危险等级，生成相应的安全性分析报告；

所述预测与评价模块包括机器学习模块、评价指标计算模块；

机器学习模块将待检测远程取证工具的行为记录输入至本模块的机器学习算法中，经过计算预测出待检测远程取证工具是否安全；

评价指标计算模块调取行为匹配模块输出的待检测远程取证工具的行为记录，通过模型参数计算出评价分数及对应的安全等级。

所述机器学习模块中采用已经训练完成的决策树模型对待检测远程取证工具进行安全检测。

所述评价指标计算模块中采用风险评估模型对待检测远程取证工具进行安全等级评估。