本发明涉及计算机,具体提供一种恶意代码动静态检测分析方法及装置。
背景技术:
::1、随着信息产业的发展和经济的信息化的推进,越来越多的敏感数据可以通过互联网访问,越来越多的重要设备可以通过互联网操控,因而网络安全的重要性也愈发凸显。而恶意代码检测是一种网络安全技术,它通过基于对恶意代码特征的分析和匹配,以及对其行为模式的识别和监控从而达到识别未知软件安全性的目的,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。本发明所提出的恶意代码检测,是一种结合动静态检测方法,对未知软件进行恶意代码识别的方法。优势是在拥有较高识别准确率的同时,也保证系统的安全性以及较高的识别效率。2、简单随机森林是一种机器学习算法,它是分类算法的一种改进。随机森林算法通过自助法(bootstrap)重采样技术,从原始训练样本集中有放回地随机抽取n个样本生成新的训练样本集合,然后按以上步骤生成m棵决策树组成随机森林。在分类问题中,每棵树的分类结果按投票多少形成的分数而定。这是一种bagging的思想,通过多个决策树的分类结果进行统计,选择最可能的分类作为最终的分类结果。随机森林算法的预测精度在运算量没有显著提高的前提下得到了提高,且对多元公线性不敏感,对缺失数据和非平衡的数据比较稳健,可以很好地预测多达几千个解释变量的作用。3、线性向量机是一种支持向量机(svm),用于将实例的特征向量映射为空间的一些点。它的目的是找到一个划分超平面,以最好地分离两个类别。这个超平面是根据训练数据集中的特征向量确定的,并且是通过优化间隔(margin)来实现最大化的鲁棒性和泛化能力。在训练过程中,线性向量机采用拉格朗日乘数法和二次规划方法来求解最优的划分超平面。它将数据点映射到特征空间,并找到一个使得间隔最大的线性划分超平面。这个间隔是数据点与超平面之间的最小距离,也称为“间隔”(margin)。4、网络安全沙箱技术是一种按照安全策略限制程序行为的执行环境。它创造了一个类似沙盒的独立作业环境,在其内部运行的程序并不能对硬盘产生永久性的影响。它常常被用于测试不受信任的应用程序或上网行为,可以检测和防止恶意软件、病毒等的运行,也可以模拟真实的使用环境,测试应用程序的安全性。常见的沙箱技术有两种,一种是基于虚拟机的技术,另一种是基于容器技术的。基于虚拟机的技术是通过虚拟化整个操作系统,将恶意软件隔离在一个虚拟的环境中,可以有效地防止恶意软件的感染和扩散。基于容器技术的沙箱则是在宿主机上创建一个个隔离的容器,每个容器中都有自己独立的文件系统、用户、网络等,可以有效地限制应用程序的访问权限和网络权限。5、当前对未知软件进行恶意代码检测时,单一使用静态检测或动态监测的识别准确率以及效率较低,这样简单的识别方式容易被绕过和欺骗,此外攻击者也容易进行针对性操作。技术实现思路1、本发明是针对上述现有技术的不足,提供一种实用性强的恶意代码动静态检测分析方法。2、本发明进一步的技术任务是提供一种设计合理,安全适用的恶意代码动静态检测分析装置。3、本发明解决其技术问题所采用的技术方案是:4、一种恶意代码动静态检测分析方法,具有如下步骤:5、s1、采集实现生产环境的文件并且还原为样本;6、s2、准备静态检测引擎;7、s3、基于收集的可执行真实文件样本训练ai分析模型;8、s4、准备网络安全沙箱;9、s5、置信度设置;10、s6、根据文件类型,使用clamav,训练所得到的分析模型结合网络安全沙箱对未知文件安全性进行识别。11、进一步的,在步骤s1中,进一步包括:12、s1-1、部署suricata;13、s1-2、修改suricata的配置;14、s1-3、启动suricata捕获流量,还原文件样本。15、进一步的,步骤s1-2包括:16、(1)配置抓包网卡为机器使用网卡,并设置网卡为混杂模式;17、(2)配置规则捕获流量;18、(3)配置文件还原参数:文件还原路径,文件还原大小。19、进一步的,在步骤s2中,进一步包括:20、s2-1、部署clamav静态杀毒引擎;21、s2-2、导入pyclamd库,使用该库的clamdagnostic统筹管理clamav。22、进一步的,在步骤s3中,进一步包括:23、s3-1、对suricata还原的样本文件进行筛选,获取其中的executable类型文件,进行数据清洗以及格式化;24、s3-2、分别采用random forest以及linear vector machine进行模型训练,最终再进行结果对比;25、s3-3、最终确认random forest单模型检测,linear vector machine单模型检测以及双模型检测方式。26、进一步的,在步骤s4中,进一步包括:27、s4-1、部署cuckoo sandbox;28、s4-2、部署以及配置virtualbox;29、包括:(1)virtualbox安装;30、(2)虚拟网卡配置以及设置iptables转发,使得虚拟环境与宿主机以及互联网连接;31、(3)创建windows 7和linux虚拟环境;32、s4-3、虚拟环境配置;33、包括:34、(1)网卡配置为host only模式,并设置静态ip和dns,使得环境与宿主机以及互联网连接;35、(2)各虚拟环境统一设置:安装python2.7,pil并关闭防火墙,并运行cuckoosandbox的agent.py文件;36、(3)windows7环境特定设置:安装office和java必要组件;关闭windows自动更新;关闭uac;在windows组件的附件管理器中增加中等风险文件类型包含列表;将admini账户开启并取消密码登陆;37、(4)虚拟环境配置完成后,创建快照;38、s4-4、配置cuckoo sandbox;39、包括:40、(1)配置使用虚拟环境为virtualbox;41、(2)配置虚拟网卡为步骤s4-2中所配置的网卡;42、(3)配置虚拟环境为步骤s4-2和步骤s4-3中的虚拟机快照。43、进一步的,在步骤s5中,进一步包括:44、s5-1、设置网络安全沙箱的置信度为高;45、s5-2、设置clamav检测引擎置信度为中;46、s5-3、设置ai分析模型置信度为低。47、进一步的,在步骤s5中,进一步包括:48、s6-1、文件是executable类型时;49、包括:50、(1)采用clamav对文件进行扫描,输出结果;如果是恶意,将恶意家族进行存储;51、(2)采用ai分析模型双模型方式对文件进行检测,输出结果;52、(3)对步骤(1)和步骤(2)中两种结果进行对比,若结果相同,直接输出最终检测结果;若结果不同,则将文件传入沙箱进行检测,输出结果,最终对比三种结果,输出多数类结果;53、(4)置信度计算,置信度为3种等级,分别为高、中、低;54、计算规则:步骤(3)中结果相同,取二者置信度平均值;55、步骤(3)中结果不同,取多数类结果置信度平均值;56、(5)威胁级别设定,威胁级别为3种等级,分别为高危、中危、低危;57、设定规则:步骤(3)中结果相同且为恶意,威胁级别为高危;步骤(3)中结果相同且为安全,威胁级别为低危;步骤(3)中结果不同且最终结果为恶意,威胁级别为中危;步骤(3)中结果不同且最终结果为安全,威胁级别为低危。58、s6-2、文件类型不是executable类型时;59、(1)采用clamav对文件进行扫描,直接输出结果;如果是恶意,将恶意家族进行存储;60、(2)置信度计算,直接采用clamav设定的置信度;61、(3)威胁级别设定;设定规则:步骤(1)中输出结果为恶意,威胁级别为中危;步骤(1)中输出结果为安全,威胁级别为低危。62、一种恶意代码动静态检测分析装置,包括:至少一个存储器和至少一个处理器;63、所述至少一个存储器,用于存储机器可读程序;64、所述至少一个处理器,用于调用所述机器可读程序,执行一种恶意代码动静态检测分析方法。65、本发明的一种恶意代码动静态检测分析方法及装置和现有技术相比,具有以下突出的有益效果:66、本发明提供的利用动静态检测恶意代码的方法,结合了静态检测以及动态检测的优点,相比于传统的单一恶意代码检测显著提升了识别准确率以及识别效率。当前第1页12当前第1页12
技术特征:1.一种恶意代码动静态检测分析方法,其特征在于,具有如下步骤:
2.根据权利要求1所述的一种恶意代码动静态检测分析方法,其特征在于,在步骤s1中,进一步包括:
3.根据权利要求2所述的一种恶意代码动静态检测分析方法,其特征在于,步骤s1-2包括:
4.根据权利要求3所述的一种恶意代码动静态检测分析方法,其特征在于,在步骤s2中,进一步包括:
5.根据权利要求4所述的一种恶意代码动静态检测分析方法,其特征在于,在步骤s3中,进一步包括:
6.根据权利要求5所述的一种恶意代码动静态检测分析方法,其特征在于,在步骤s4中,进一步包括:
7.根据权利要求6所述的一种恶意代码动静态检测分析方法,其特征在于,在步骤s5中,进一步包括:
8.根据权利要求7所述的一种恶意代码动静态检测分析方法,其特征在于,在步骤s5中,进一步包括:
9.一种恶意代码动静态检测分析装置,其特征在于,包括:至少一个存储器和至少一个处理器;
技术总结本发明涉及计算机技术领域,具体提供了一种恶意代码动静态检测分析方法及装置,具有如下步骤:S1、采集实现生产环境的文件并且还原为样本;S2、准备静态检测引擎;S3、基于收集的可执行真实文件样本训练AI分析模型;S4、准备网络安全沙箱;S5、置信度设置;S6、根据文件类型,使用clamav,训练所得到的分析模型结合网络安全沙箱对未知文件安全性进行识别。与现有技术相比,本发明能够结合了静态检测以及动态检测的优点,相比于传统的单一恶意代码检测显著提升了识别准确率以及识别效率。
技术研发人员:马云云,徐士强,孙海峰,豆世鑫,左鹏
受保护的技术使用者:浪潮云信息技术股份公司
技术研发日:技术公布日:2024/10/24
