浅析属性图在异常程序检测的应用
2023-8-9 15:59:41 Author: mp.weixin.qq.com(查看原文) 阅读量:3 收藏

一. 概

大量的恶意软件/程序攻击给用户带来了极大的困扰。国内外的研究人员检测恶意程序的技术主要分为:基于程序结构、文件数据特征等恶意程序静态识别技术,基于程序运行时函数行为调用序列、函数参数信息等恶意程序动态识别技术[1]。目前,基于规则等检测技术以及基于机器学习等检测技术均存在相关问题。当未知恶意异常程序进行检测时,基于规则(YARA等)检测技术需要靠追加规则来实现,无法应对未知恶意异常程序的检测。此外,由于设备产生的数据量巨大,存在线索难以调查的问题,导致有效攻击线索淹没在背景数据中,基于机器学习检测技术通常具有较高的误报率和漏报率,难以快速识别。构建溯源图,能够作为威胁狩猎的关键资源,为威胁的识别、评估、关联提供丰富的上下文。《Provenance Mining:终端溯源数据挖掘与威胁狩猎》[2]一文,介绍了终端溯源数据(Provenance)以及溯源图(Provenance Graph)的概念,并介绍了如何在溯源数据完整有效采集的情况下,通过溯源图的后向追溯(backward-trace)和前向追溯(forward-trace),实现攻击事件的溯源与取证。为了检测未知恶意程序,相关研究人员[3]提出MatchGNet,通过数据驱动的方法进行检测,利用图神经网络来学习表示以及相似性度量,捕获不同实体之间的关系,利用相似性学习模型在未知程序与现有良性程序之间进行相似性评分,发现行为表示与良性程序有区分的未知恶意程序,最终,通过实验证明了有效性。随着异常程序检测技术的发展,攻击者躲避检测的方式也越来越多。本文将分析属性图在检测异常程序的应用。

二.基于属性图的异常程序检测方法

目前,大部分企业面对异常软件/程序检测时采用基于yara等规则检测技术以及基于机器学习的检测技术。其中,yara规则会从二进制数据层面检测恶意样本,可通过自定义的规则从文件的内容、哈希值、程序函数功能二进制特征、文件大小等维度对检测内容进行约束,来检测识别。虽然yara规则检测技术较为准确,但是当新出现一种样本,或者加壳、混淆时,需要靠追加规则来覆盖新的这些场景。

基于属性图来对异常程序进行检测[6],首先,利用属性图对攻击者进行建模需要明确属性、顶点与边。由于属性图包含终端日志,因此,涉及到进程、文件、服务等信息的构图。然后,通过规则检测匹配进程中的内容,进程映射的磁盘文件,进程的外联IP以及cpu占有率高的进程是否超过阈值,将潜在受害的数据进行威胁度标注。利用预处理后的数据结合规则匹配的威胁度标注构建属性图。

基于属性图中的异常检测主要是找出在行为模式上与其他节点差异较大的节点。相关基于属性图的检测方法,可以参考文章攻击推理专题-属性图异常检测及在网络安全领域的应用[4]。通过PyGOD[5]可以快速调用多种最新的图异常检测算法。相关检测算法如下图所示。

图 1 PyGOD实现的算法

针对上述方案进行简单的实验效果说明,首先,运行两个样本,其中,一个可以通过已知规则方法检测出来,另一个因为加壳缘故等相关规则检测不到。将日志导出后基于上述方案进行构图,通过训练好的异常检测算法进行检测。在高威胁度的top10节点中,存在由加壳缘故等导致相关规则检测不到软件引起的异常程序,如下图所示。

图2 异常检测结果

三.结束语

传统静态特征规则等驱动的异常程序检测方法,难以应对日益更新的相关攻击带来的潜在重大风险。基于属性图的异常程序检测技术依赖更加自动化的数据与知识挖掘基础设施,以弥补专家视野的局限性,为异常程序检测带来新的视角,拓宽其监控范围,自动化的识别更广泛的威胁。如何在后续工作中提高算法在不同真实场景下的检测性能,需要进一步的探索。

参考文献

[1] 龚琪.基于分布式沙箱的恶意程序检测系统设计与研究

[2] 绿盟科技.Provenance Mining:终端溯源数据挖掘与威胁狩猎

[3] Wang S , Chen Z , Yu X ,et al.Heterogeneous Graph Matching Networks.

[4] 绿盟科技.攻击推理专题-属性图异常检测及在网络安全领域的应用

[5] https://docs.pygod.org/en/latest/

[6] 绿盟科技.一种基于属性图的异常程序检测方法及装置

内容编辑:创新研究院 王星凯
    责任编辑:创新研究院 舒展

本公众号原创文章仅代表作者观点,不代表绿盟科技立场。所有原创内容版权均属绿盟科技研究通讯。未经授权,严禁任何媒体以及微信公众号复制、转载、摘编或以其他方式使用,转载须注明来自绿盟科技研究通讯并附上本文链接。

关于我们

绿盟科技研究通讯由绿盟科技创新研究院负责运营,绿盟科技创新研究院是绿盟科技的前沿技术研究部门,包括星云实验室、天枢实验室和孵化中心。团队成员由来自清华、北大、哈工大、中科院、北邮等多所重点院校的博士和硕士组成。

绿盟科技创新研究院作为“中关村科技园区海淀园博士后工作站分站”的重要培养单位之一,与清华大学进行博士后联合培养,科研成果已涵盖各类国家课题项目、国家专利、国家标准、高水平学术论文、出版专业书籍等。

我们持续探索信息安全领域的前沿学术方向,从实践出发,结合公司资源和先进技术,实现概念级的原型系统,进而交付产品线孵化产品并创造巨大的经济价值。

长按上方二维码,即可关注我


文章来源: https://mp.weixin.qq.com/s?__biz=MzIyODYzNTU2OA==&mid=2247495635&idx=1&sn=a7d34b0e550e85b3e90cc2be427af4b0&chksm=e84c490cdf3bc01a2a6724119daf8758603767ed8a34b7aa4b7e61aa84aa3a8e3606c2a57dbd&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh