[发明专利]一种基于动态行为链和动态特征的样本同源分析方法有效
| 申请号: | 201910375363.6 | 申请日: | 2019-05-07 |
| 公开(公告)号: | CN110222715B | 公开(公告)日: | 2021-07-27 |
| 发明(设计)人: | 韩志辉;吕志泉;梅瑞;严寒冰;丁丽;李佳;沈元;张帅;李志辉;张腾;陈阳;王适文;马莉雅;高川;周昊;周彧 | 申请(专利权)人: | 国家计算机网络与信息安全管理中心 |
| 主分类号: | G06K9/62 | 分类号: | G06K9/62;H04L29/06 |
| 代理公司: | 北京慧泉知识产权代理有限公司 11232 | 代理人: | 王顺荣;唐爱华 |
| 地址: | 100029*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明提供一种基于动态行为链和动态特征的样本同源分析方法,步骤如下:1:收集整理攻击样本;2:将训练样本集进行分类处理;3:将训练样本集投入沙箱运行;4:将样本进行排序整理,生成动态行为链;5:使用以训练数据集提取的行为链训练同源分析决策树模型;6:提取行为链和样本IOCs信息;7:测试数据集通过决策树模型判断所属APT组织,或所属恶意家族和类型;8:测试数据集通过知识库模糊匹配IOCs信息,得出同源信息;9:得出最终同源分析结论;本发明达到了从动态行为入手,对恶意样本进行基于动态行为链和动态特征的样本同源分析的效果,解决了传统同源分析手段导致的样本特征单一,人工分析效率低投入大等实际问题。 | ||
| 搜索关键词: | 一种 基于 动态 行为 特征 样本 同源 分析 方法 | ||
【主权项】:
1.一种基于动态行为链和动态特征的样本同源分析方法,其特征在于:其步骤如下:步骤101:收集整理已知APT组织曾使用的攻击样本,覆盖能执行文件格式包括exe文件和dll文件,通过组织名分类,再分为训练集数据和测试集数据两部分,分别用作训练和测试用途;步骤102:将训练样本集通过恶意样本家族及类型名进行分类处理,并标记样本的家族及类型名;步骤103:将训练样本集投入沙箱运行,通过动态引擎提取样本的动态行为集合和样本运行中暴露的IOCs信息;步骤104:将样本在沙箱中被捕获到的动态行为集合按照时间顺序进行排序整理,生成动态行为链;将通过动态沙箱执行捕获到的样本IOCs信息存入同源分析知识库中;步骤105:使用以训练数据集提取的行为链训练同源分析决策树模型;步骤106:测试数据集投入沙箱运行,提取行为链和样本IOCs信息;步骤107:测试数据集通过决策树模型判断所属APT组织,及所属恶意家族和类型;步骤108:测试数据集通过知识库模糊匹配IOCs信息,得出同源信息;步骤109:使用权值法综合分析决策树判断结果和IOCs匹配结果,得出最终同源分析结论。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于国家计算机网络与信息安全管理中心,未经国家计算机网络与信息安全管理中心许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201910375363.6/,转载请声明来源钻瓜专利网。
