一种针对恶意软件家族的威胁情报生成方法
发布时间:2021-03-28 09:01
针对目前威胁情报冗余度较高,无法快速生成和共享情报的不足,文章提出一种针对恶意软件家族的威胁情报快速生成方法。该方法通过开源自动化恶意软件分析平台运行恶意软件并提取恶意特征,计算特征模糊哈希值,根据恶意代码的模糊哈希值使用改进的CFSFDP算法对恶意软件进行聚类,最后依据每类恶意软件家族的特征生成符合STIX1.2标准的威胁情报。实验表明,该方法可有效生成可机读、可共享的威胁情报,显著缩短了威胁情报的生成时间。
【文章来源】:信息网络安全. 2020,20(12)北大核心CSCD
【文章页数】:8 页
【部分图文】:
STIX1.2架构
Cuckoo系统由1个主机和多个虚拟客户机组成,其结构如图2所示。主机是运行Cuckoo沙箱的核心组件,负责管理虚拟客户机和恶意软件,虚拟客户机负责恶意软件的执行和分析。每个恶意软件都在新隔离的虚拟机中运行,以此确保恶意软件样本实际上可以被安全地执行和分析。主机和虚拟客户机之间通过虚拟网络通信,分析完恶意软件后通过该网络返回分析结果。2 RAGTI威胁情报生成方法
本文提出的RAGTI方法主要由5个模块组成,分别是恶意软件预处理、特征提取、模糊哈希计算、改进的CFSFDP聚类和情报生成模块。RAGTI方法的概念性架构如图3所示。2.1 预处理
【参考文献】:
期刊论文
[1]基于STIX标准的威胁情报实体抽取研究[J]. 王沁心,杨望. 网络空间安全. 2020(08)
[2]基于Conformal Prediction的威胁情报繁殖方法[J]. 张永生,王志,武艺杰,杜振华. 信息网络安全. 2020(06)
[3]网络空间威胁情报共享技术综述[J]. 杨沛安,武杨,苏莉娅,刘宝旭. 计算机科学. 2018(06)
[4]基于攻击链和网络流量检测的威胁情报分析研究[J]. 吕宗平,钟友兵,顾兆军. 计算机应用研究. 2017(06)
[5]基于纹理指纹的恶意代码变种检测方法研究[J]. 韩晓光,曲武,姚宣霞,郭长友,周芳. 通信学报. 2014(08)
硕士论文
[1]美国网络威胁情报工作研究[D]. 黄雅娟.国防科技大学 2018
本文编号:3105261
【文章来源】:信息网络安全. 2020,20(12)北大核心CSCD
【文章页数】:8 页
【部分图文】:
STIX1.2架构
Cuckoo系统由1个主机和多个虚拟客户机组成,其结构如图2所示。主机是运行Cuckoo沙箱的核心组件,负责管理虚拟客户机和恶意软件,虚拟客户机负责恶意软件的执行和分析。每个恶意软件都在新隔离的虚拟机中运行,以此确保恶意软件样本实际上可以被安全地执行和分析。主机和虚拟客户机之间通过虚拟网络通信,分析完恶意软件后通过该网络返回分析结果。2 RAGTI威胁情报生成方法
本文提出的RAGTI方法主要由5个模块组成,分别是恶意软件预处理、特征提取、模糊哈希计算、改进的CFSFDP聚类和情报生成模块。RAGTI方法的概念性架构如图3所示。2.1 预处理
【参考文献】:
期刊论文
[1]基于STIX标准的威胁情报实体抽取研究[J]. 王沁心,杨望. 网络空间安全. 2020(08)
[2]基于Conformal Prediction的威胁情报繁殖方法[J]. 张永生,王志,武艺杰,杜振华. 信息网络安全. 2020(06)
[3]网络空间威胁情报共享技术综述[J]. 杨沛安,武杨,苏莉娅,刘宝旭. 计算机科学. 2018(06)
[4]基于攻击链和网络流量检测的威胁情报分析研究[J]. 吕宗平,钟友兵,顾兆军. 计算机应用研究. 2017(06)
[5]基于纹理指纹的恶意代码变种检测方法研究[J]. 韩晓光,曲武,姚宣霞,郭长友,周芳. 通信学报. 2014(08)
硕士论文
[1]美国网络威胁情报工作研究[D]. 黄雅娟.国防科技大学 2018
本文编号:3105261
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/3105261.html
