利用开源情报发现并解释恶意行为
2022-3-26 10:0:0 Author: mp.weixin.qq.com(查看原文) 阅读量:7 收藏

原文标题:Open Source Intelligence for Malicious Behavior Discovery and Interpretation
原文作者:Yi-Ting Huang, Chi Yu Lin, Ying-Ren Guo, Kai-Chieh Lo, Yeali S. Sun, Meng Chang Chen
原文链接:https://ieeexplore.ieee.org/abstract/document/9566808/
原文来源:TDSC'21
笔记作者:[email protected]
文章小编:[email protected]

介绍

目前的主动防御系统能否有效应用的关键,在于是否了解恶意软件的特点,比如它们在目标机器上的各种行为和操作的资源。这篇文章提出了一个基于ATT&CK框架的恶意软件行为分析系统MAMBA(MITRE ATT&CK based Malicious Behavior Analysis),MAMBA首先从MITRE网站和引用的参考文献中提取TTP及其相应的资源,并通过精心设计的神经网络模型从恶意软件中发现TTP及其相应的API执行调用序列。ATT&CK中对TTP的高层次描述可作为恶意行为的解释,并可以通过MAMBA链接到恶意软件的低层次执行痕迹。

方法

MAMBA的主要设计目标是将ATT&CK中带有TTP注释的资源与恶意软件使用的受控资源对齐。上图是MAMBA的整体流程图,由提取阶段、融合阶段和威胁识别阶段组成。

提取阶段包括从ATT&CK中进行的知识抽取,以及生成恶意软件在沙箱中的执行跟踪。知识抽取的方式使用的是正则表达式,从ATT&CK的每项技术的介绍页面中匹配出相关的资源名,如下表所示。经过人工验证,知识抽取的准确率达到90%左右。

融合阶段包括资源的embedding和资源与技术绑定,将提取阶段中收集到的ATT&CK资源名和沙箱执行记录映射到固定长度的向量空间。由于这两者之间的表示方式有所不同,比如ATT&CK中的启动文件夹路径是由Users[Username]组成,而沙箱记录中则是Users\\Baka,作者选择了基于skip-gram的PV-DM算法来进行向量映射,来保证两者在向量空间中的紧密性。

提取和融合阶段完成后,进入威胁识别阶段,通过恶意软件样本中的技术来识别威胁。该阶段的流程图如下图所示,首先从融合阶段的输出生成API调用embedding,然后输入GRU网络得到隐藏向量,第一层注意力机制用于强调API调用与资源间的相关性,第二层注意力机制用于强调绑定组嵌入之间的依赖关系。

实验

作者首先设计实验来对比MAMBA与其他传统机器学习等方法在分类性能上的结果,如下表所示。

可以看出,MAMBA的准确率、召回率和F1都优于对比的其他方法,证明ATT&CK这类开源情报确实能够提供从沙盒执行结果中提取TTP的有用知识,但由于恶意软件样本和TTP标签的数量有限,得到的结果在60%左右,性能适中。

另一个实验中,作者针对APT29组织使用到的相关恶意样本进行评估,并与ATT&CK上一些安全厂商的评估结果进行对比。ATT&CK上的结果共列出了56个TTP,而作者在310个样本中共提取到了6种战术共67个TTP,下图显示了两者结果的对比,圆圈越大,表示识别出该TTP的安全厂商越多。

从结果上看,文章提出的MAMBA确实具有不错的TTP识别能力,证明了从恶意软件样本中提取TTP的可行性;但由于深度学习的统计特性和ATT&CK数据集的大小限制,在准确率等性能方面仍然存在一定不足。

安全学术圈招募队友-ing 
有兴趣加入学术圈的请联系 secdr#qq.com


文章来源: http://mp.weixin.qq.com/s?__biz=MzU5MTM5MTQ2MA==&mid=2247487504&idx=1&sn=0ff870ed6cb05c68363525da20dcb610&chksm=fe2eef9bc959668db4fb8dac420aaae9f148c115ed4fb03df767b6b2d2fde312073b75c18293#rd
如有侵权请联系:admin#unsafe.sh