[发明专利]一种基于动态行为链和动态特征的样本同源分析方法

权利要求书

1.一种基于动态行为链和动态特征的样本同源分析方法，其特征在于：其步骤如下：

步骤101：收集整理已知APT组织曾使用的攻击样本，覆盖可执行文件格式包括exe文件和dll文件，通过组织名分类，再分为训练样本集数据和测试数据集数据两部分，分别用作训练和测试用途；

步骤102：将训练样本集通过恶意家族及类型名进行分类处理，并标记样本的家族及类型名；

步骤103：将训练样本集投入沙箱运行，通过动态引擎提取样本的动态行为集合和样本运行中暴露的IOCs信息；

步骤104：将样本在沙箱中被捕获到的动态行为集合按照时间顺序进行排序整理，生成动态行为链；将通过动态沙箱执行捕获到的样本IOCs信息存入同源分析知识库中；

步骤105：使用以训练样本集提取的行为链训练同源分析决策树模型；

步骤106：测试数据集投入沙箱运行，提取行为链和样本IOCs信息；

步骤107：测试数据集通过决策树模型判断所属APT组织，及所属恶意家族和类型；

步骤108：测试数据集通过同源分析知识库模糊匹配IOCs信息，得出同源信息；

步骤109：使用权值法综合分析决策树判断结果和IOCs匹配结果，得出最终同源分析结论；

其中，在步骤101中所述的APT组织，是指Advanced Persistent Threat组织，即高级持续性威胁组织及集团；所述的exe文件，是指Executable File,即可执行文件，能移植可执行文件格式的文件，能加载到内存中并由操作系统加载程序执行；所述的dll文件，是指Dynamic Link Library File，即动态链接库文件，是软件文件类型，又称应用程序拓展；

在步骤103中所述的IOCs信息，是指样本执行过程中暴露的受关联文件名、网络信息、注册表访问信息和进程名。

2.根据权利要求1所述的一种基于动态行为链和动态特征的样本同源分析方法，其特征在于：

在步骤101中所述的训练样本集数据，是指用于收集同源特征，建立同源分析知识库的样本集，占总样本数的90％；

在步骤101中所述的测试数据集数据，是指用于测试检测率和效率的样本集，占总样本数的10％。

3.根据权利要求1所述的一种基于动态行为链和动态特征的样本同源分析方法，其特征在于：在步骤102中所述的家族及类型名具有总体相似性和个体差异性，包括该恶意家族的变种。

4.根据权利要求1所述的一种基于动态行为链和动态特征的样本同源分析方法，其特征在于：在步骤103中所述的沙箱，是指用于仿真执行样本搭建的虚拟运行环境，具备可执行文件执行系统环境，具备反沙箱对抗手段，具备仿真用户沙箱环境，能够确保攻击样本进入沙箱后被正确执行并暴露恶意行为；

在步骤103中所述的动态引擎，是指在沙箱中能提供动态行为提取功能的工具,由驱动程序和代理程序组成，能够以样本为污染源，对样本执行过程中触发的行为和与样本有关联的进程、文件触发的行为进行定向捕获提取；

在步骤103中所述的行为集合，是指样本执行过程中产生的进程行为、文件行为、注册表行为、内存行为和网络行为。

5.根据权利要求1所述的一种基于动态行为链和动态特征的样本同源分析方法，其特征在于：在步骤104中所述的行为链，是指通过时间顺序将样本行为进行排序生成的链式可视化行为流程图；

在步骤104中所述的同源分析知识库，是指以样本为单位，存放样本行为链信息和IOCs信息的数据库，用于对未知样本进行匹配和同源分析。

6.根据权利要求1所述的一种基于动态行为链和动态特征的样本同源分析方法，其特征在于：在步骤105中所述的同源分析决策树模型，是指通过决策树方法，即一种逼近离散函数值的方法，建立的用于通过行为链判断样本所属APT组织及恶意家族及类型的机器学习模型。