[发明专利]一种基于系统溯源图的大规模勒索软件分析方法和分析装置

权利要求书

1.一种基于系统溯源图的大规模勒索软件分析方法，其特征在于:其包括以下步骤：

步骤101：采集大规模勒索软件样本集

采集多源威胁情报中的勒索软件攻击活动报告以及勒索软件样本集，提取恶意代码分析引擎提供的勒索软件样本分析报告；

步骤102：构建勒索软件分析沙箱集群

构建勒索软件分析的沙箱集群，沙箱集群中提供系统级事件跟踪能力和系统事件日志采集能力；

步骤103：采集勒索软件运行时的系统事件日志

将步骤101中的勒索软件样本集投放到步骤102构建的沙箱集群中运行，跟踪系统事件，并将系统事件日志保存到数据库中；

步骤104：过滤和裁剪系统事件日志数据

检索步骤103输出的勒索软件运行时的系统事件日志，过滤和裁剪仅用于构建系统溯源图的系统事件日志子集；

步骤105：事件日志标准化和归一化

采用数据标准化和归一化方法，对步骤104输出的系统事件日志子集进行数据预处理；

步骤106：生成勒索软件系统溯源图

基于系统事件日志的时序关系，控制依赖关系和数据依赖关系，对步骤105处理后的勒索软件的系统事件日志，生成勒索软件的系统溯源图；

步骤107：采用日志压缩算法优化溯源图规模

采用日志压缩算法降低步骤106生成的勒索软件系统的溯源图的规模；

步骤108：基于图论度量指标分析勒索软件行为

基于图算法对步骤107优化的系统溯源图进行分析，计算图的度量指标，自动分析勒索软件的恶意行为特点。

2.根据权利要求1所述的一种基于系统溯源图的大规模勒索软件分析方法，其特征在于：在步骤101中所述的多源威胁情报包括网络安全厂商、开源安全社区，商业付费安全大数据供应商所提供的勒索软件攻击活动报告、网络安全事件报告、入侵检测指标即Compromise of Indicator中的勒索软件样本哈希列表；

在步骤101中所述的勒索软件样本分析报告包括通用恶意代码分析引擎对勒索软件的分析结果，还包括静态特征、动态行为、网络通信流量数据包。

3.根据权利要求1所述的一种基于系统溯源图的大规模勒索软件分析方法，其特征在于：在步骤102中所述的提供系统级事件跟踪能力的方法如下：

102-1：在操作系统内核中部署或开启底层系统事件跟踪模块；

102-2：实时监测系统的当前状态，跟踪所有的用户态即User Mode向内核态即KernelMode的系统调用即Syscal l，以及用户态进程间通信即Inter-Process Communication,IPC；

102-3：将102-2中的每一次系统跟踪标记为一个系统事件，并记录事件的主体、客体、时间戳、事件细节。

4.根据权利要求1所述的一种基于系统溯源图的大规模勒索软件分析方法，其特征在于：在步骤102中所述的提供系统日志采集能力的方法如下：

102-3：将系统事件跟踪模块输出的所有事件数据转换为结构化数据；

102-4：存储到沙箱中的本地日志文件，或传输到网络中的远程日志服务器中。

5.根据权利要求1所述的一种基于系统溯源图的大规模勒索软件分析方法，其特征在于：在步骤104中所述的过滤和裁剪的方法如下：

104-1：过滤系统事件类型，仅保留用于生成系统溯源图的系统事件日志；

104-2：裁剪系统事件中涉及的主体和客体，移除与沙箱调度管理和勒索软件加载/卸载的通用系统实体即主体和客体相关的系统事件。

6.根据权利要求1所述的一种基于系统溯源图的大规模勒索软件分析方法，其特征在于：在步骤105中所述的数据标准化和归一化是对系统事件中不同字段的数据进行格式化，使其在一致的取值范围和逻辑内涵上进行统一处理。