CN108363922B - 一种自动化恶意代码仿真检测方法及*** - Google Patents
一种自动化恶意代码仿真检测方法及*** Download PDFInfo
- Publication number
- CN108363922B CN108363922B CN201710974003.9A CN201710974003A CN108363922B CN 108363922 B CN108363922 B CN 108363922B CN 201710974003 A CN201710974003 A CN 201710974003A CN 108363922 B CN108363922 B CN 108363922B
- Authority
- CN
- China
- Prior art keywords
- protocol
- malicious
- special
- family
- sample
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提出一种自动化恶意代码仿真检测方法及***,所述方法包括:通过对已知恶意代码样本集进行家族分类,并提取出信息交互数据,建立专用协议数据库、专用协议知识库、通用协议数据库及通用协议知识库;获取恶意样本的网络请求,根据专用协议知识库,对恶意样本的家族及专用通信协议进行识别;根据通用协议知识库,对恶意样本的通信请求类型及通用通信协议进行识别;对恶意代码通用协议及专用协议自动化仿真,触发恶意代码的恶意行为。通过本发明的技术方案,能够触发恶意行为操作执行机制,优化沙箱的自动化恶意代码分析能力,极大减少人工分析投入。
Description
技术领域
本发明涉及计算机网络安全领域,特别涉及一种自动化恶意代码仿真检测方法及***。
背景技术
现有恶意代码沙箱模拟检测方法,或是对恶意代码结构进行分析检测,或是基于对恶意代码行为监控,确定行为特征,给出相应反馈,来实现沙箱检测。对于C2已经失活的恶意代码样本,在没有获取与C2正常通讯的情况下,沙箱检测***仅能检测出恶意代码初始阶段的正常行为或恶意行为,只有恶意代码获取C2的相关指令,才会表现出恶意代码的核心恶意功能。
发明内容
为解决上述问题,本发明提出了一种自动化恶意代码仿真检测方法及***,通过仿真各通信协议的响应反馈,模拟C2正常通讯,进一步激发恶意代码行为,对恶意代码进行深度检测。
首先本发明提出一种自动化恶意代码仿真检测方法,包括:
对已知恶意代码样本集进行家族分类,并提取出信息交互数据,建立专用协议数据库、专用协议知识库、通用协议数据库及通用协议知识库;
获取恶意样本的网络请求,根据专用协议知识库,对恶意样本的家族及专用通信协议进行识别;
根据通用协议知识库,对恶意样本的通信请求类型及通用通信协议进行识别;
对恶意代码通用协议自动化仿真:根据识别的通信请求类型及通用通信协议,向恶意样本反馈响应信息,触发恶意代码的恶意行为;
对恶意代码专用协议自动化仿真:根据识别的恶意样本家族及专用通信协议,向恶意样本反馈响应信息,进一步触发恶意代码的恶意行为。
所述的方法中,还包括对恶意代码应用层协议自动化仿真:根据已知的恶意代码定制化网络访问请求,建立定制网络访问请求知识库,对恶意样本的应用层协议进行识别,并根据识别的应用层协议定制网络访问请求,向恶意代码反馈响应信息。
所述的方法中,所述对已知恶意代码样本集进行家族分类,并提取出信息交互数据具体为:
筛选出各恶意代码家族中能够与控制端正常通讯的样本进行交互,获取通信交互数据及网络行为响应数据;所述通信交互数据用于建立专用协议数据库及专用协议知识库;所述网络行为响应数据用于建立通用协议数据库及通用协议知识库。
所述的方法中,根据识别的恶意样本家族及专用通信协议,向恶意样本反馈响应信息,包括:自动化CRC32专用协议校验仿真,具体为:
判断恶意样本所属恶意代码家族是否进行CRC32专用协议校验,如果是,则模拟响应CRC32专用协议校验请求,完成校验。
所述的中,根据识别的恶意样本家族及专用通信协议,向恶意样本反馈响应信息,还包括:自动化首包专用协议校验仿真,具体为:
判断恶意样本所属恶意代码家族,根据所属恶意代码家族对应的首包专用协议的协议格式及专用协议知识库,确定对应的首包请求家族。
所述的方法中,自动化首包专用协议校验仿真后,还包括:自动化确认包专用协议校验仿真,具体为:
在确定对应的首包请求家族后,向恶意样本发送相应确认包专用协议数据。
所述的方法中,自动化确认包专用协议校验仿真完成后,还包括:自动化心跳请求校验仿真,具体为:
识别恶意样本发送的心跳请求中的专用协议,完成专用协议识别,并作出相应响应,向恶意样本发送符合专用协议格式的各种远程控制请求指令。
本发明还提出一种自动化恶意代码仿真检测***,包括:
数据库模块,通过对已知恶意代码样本集进行家族分类,并提取出信息交互数据,建立专用协议数据库、专用协议知识库、通用协议数据库及通用协议知识库;
专用通信协议识别模块,通过获取恶意样本的网络请求,根据专用协议知识库,对恶意样本的家族及专用通信协议进行识别;
通用通信协议识别模块,通过根据通用协议知识库,对恶意样本的通信请求类型及通用通信协议进行识别;
通用协议仿真模块,对恶意代码通用协议自动化仿真:根据识别的通信请求类型及通用通信协议,向恶意样本反馈响应信息,触发恶意代码的恶意行为;
专用协议仿真模块,对恶意代码专用协议自动化仿真:根据识别的恶意样本家族及专用通信协议,向恶意样本反馈响应信息,进一步触发恶意代码的恶意行为。
所述的***中,还包括应用协议仿真模块,对恶意代码应用层协议自动化仿真:根据已知的恶意代码定制化网络访问请求,建立定制网络访问请求知识库,对恶意样本的应用层协议进行识别,并根据识别的应用层协议定制网络访问请求,向恶意代码反馈响应信息。
所述的***中,所述对已知恶意代码样本集进行家族分类,并提取出信息交互数据具体为:
筛选出各恶意代码家族中能够与控制端正常通讯的样本进行交互,获取通信交互数据及网络行为响应数据;所述通信交互数据用于建立专用协议数据库及专用协议知识库;所述网络行为响应数据用于建立通用协议数据库及通用协议知识库。
所述的***中,根据识别的恶意样本家族及专用通信协议,向恶意样本反馈响应信息,包括:自动化CRC32专用协议校验仿真,具体为:
判断恶意样本所属恶意代码家族是否进行CRC32专用协议校验,如果是,则模拟响应CRC32专用协议校验请求,完成校验。
所述的***中,根据识别的恶意样本家族及专用通信协议,向恶意样本反馈响应信息,还包括:自动化首包专用协议校验仿真,具体为:
判断恶意样本所属恶意代码家族,根据所属恶意代码家族对应的首包专用协议的协议格式及专用协议知识库,确定对应的首包请求家族。
所述的***中,自动化首包专用协议校验仿真后,还包括:自动化确认包专用协议校验仿真,具体为:
在确定对应的首包请求家族后,向恶意样本发送相应确认包专用协议数据。
所述的***中,自动化确认包专用协议校验仿真完成后,还包括:自动化心跳请求校验仿真,具体为:
识别恶意样本发送的心跳请求中的专用协议,完成专用协议识别,并作出相应响应,向恶意样本发送符合专用协议格式的各种远程控制请求指令。
本发明的优势在于:触发恶意代码的恶意行为操作执行机制,诱导恶意代码执行恶意操作,全面触发恶意代码的核心功能;优化沙箱的自动化恶意代码分析能力,提高沙箱自动化分析样本能力及准确性和全面性;自动化仿真***能够自动与恶意代码交互,并触发恶意代码核心行为,实现全面恶意代码自动化分析,可以极大的减少人工分析投入。
本发明所提供的技术方案主要是以完善恶意代码深度养殖与动态分析为目的,进一步挖掘深度养殖恶意代码潜在的情报价值。通过建立仿真僵尸网络的Client端(Commandand Control,下统称C2)模拟与Server端的正常通讯交互,触发其更多的执行机制,执行更多的恶意行为,促使沙箱监控获取更多的恶意代码行为分析结果,进一步提高沙箱对恶意代码的检测率和准确率。对于C2已经失活的恶意代码样本,在没有获取与C2正常通讯的情况下,沙箱检测***仅能检测出恶意代码初始阶段的正常/恶意行为,只有恶意代码获取C2的相关指令,才会表现出恶意代码的核心恶意功能。
本发明正是为了仿真C2与恶意代码进行通讯交互,激活恶意代码,并向恶意代码发送相关协议指令请求的响应,满足恶意代码通讯类型及通用及专用协议请求,触发恶意代码的恶意行为操作执行机制,诱导恶意代码执行恶意操作,以优化沙箱的自动化恶意代码分析能力,极大的减少人工分析投入。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一种自动化恶意代码仿真检测方法实施例流程图;
图2为本发明一种自动化恶意代码仿真检测***实施例结构示意图;
图3为本发明一种计算机设备实施例结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
本发明提出了一种自动化恶意代码仿真检测方法及***,通过仿真各通信协议的响应反馈,模拟C2正常通讯,进一步激发恶意代码行为,对恶意代码进行深度检测。
首先本发明提出一种自动化恶意代码仿真检测方法,如图1所示,包括:
S101:对已知恶意代码样本集进行家族分类,并提取出信息交互数据,建立专用协议数据库、专用协议知识库、通用协议数据库及通用协议知识库;
对恶意代码样本进行家族分类,是由于恶意代码家族的分类和通过网络协议分类通常是吻合的,所以为提高工作效率避免因同家族恶意代码多次分析而浪费工作资源,在进行恶意代码网络协议逆向分析之前,需求将大量恶意样本进行家族分类。
S102:获取恶意样本的网络请求,根据专用协议知识库,对恶意样本的家族及专用通信协议进行识别;
用于后期专用协议仿真实现自动化鉴定到的家族名称,反馈准确的家族协议响应请求数据提供知识依据。
S103:根据通用协议知识库,对恶意样本的通信请求类型及通用通信协议进行识别;
对DNS请求、HTTP请求、FTP请求、GET等常见通信请求,需要细致识别鉴定各种请求类型,用于后期通用层协议环境仿真阶段根据请求类型及协议的自动化鉴定,并准确返回预定的IP或者文件数据,触发恶意代码的执行机制,并诱使恶意代码与仿真之***进行交互提供知识依据。
S104:对恶意代码通用协议自动化仿真:根据识别的通信请求类型及通用通信协议,向恶意样本反馈响应信息,触发恶意代码的恶意行为;
针对恶意代码常用网络访问请求,仿真子***需要实现自动化并及时精准响应恶意代码的各种常见的访问请求。通过以前期通用协议的自动化识别和知识库为依据,实现自动化识别恶意代码的请求类型,并根据请求类型自动反馈符合网络逻辑、恶意代码功能逻辑的响应信息,并且能够替代恶意代码的C2角色。
S105:对恶意代码应用层协议自动化仿真:根据已知的恶意代码定制化网络访问请求,建立定制网络访问请求知识库,对恶意样本的应用层协议进行识别,并根据识别的应用层协议定制网络访问请求,向恶意代码反馈响应信息;
在通用协议中,会存在异于常见的通用网络访问的可配置请求,在这种情况下使用常见的通用协议仿真反馈并不能满足触发恶意代码后期恶意行为的执行机制,因此,需要实现自动化应用层协议定制仿真。通过量化研究恶意代码常见的网络协议层的定制参数形式,积累多种定制化网络访问请求知识,建立定制网络访问请求知识库,使仿真子***实现对应用层协议定制请求的精准响应。
S106:对恶意代码专用协议自动化仿真:根据识别的恶意样本家族及专用通信协议,向恶意样本反馈响应信息,进一步触发恶意代码的恶意行为。
以上仅为对本申请技术方案的流程举例,并不限定执行顺序,其相关步骤间执行顺序可以调换。
所述的方法中,所述对已知恶意代码样本集进行家族分类,并提取出信息交互数据具体为:
筛选出各恶意代码家族中能够与控制端正常通讯的样本进行交互,获取通信交互数据及网络行为响应数据;所述通信交互数据用于建立专用协议数据库及专用协议知识库;所述网络行为响应数据用于建立通用协议数据库及通用协议知识库。
通信交互数据可以包括例如:恶意代码的OpenHeart请求、C2对恶意代码的Sure响应请求、Ping请求、C2对恶意代码下发攻击等远程指令请求;网络行为响应数据可以包括例如:恶意代码的DNS请求、HTTP请求、FTP请求等常见网络行为得到的响应数据;
所述的方法中,根据识别的恶意样本家族及专用通信协议,向恶意样本反馈响应信息,包括:自动化CRC32专用协议校验仿真,具体为:
判断恶意样本所属恶意代码家族是否进行CRC32专用协议校验,如果是,则模拟响应CRC专用协议校验请求,完成校验。
在少部分恶意代码家族中,恶意代码在与C2三次握手建立网络通信后,需要进行CRC32专用协议校验,通常称为Hello请求,只有双方经过Hello请求协议校验后,恶意代码才会向C2发送OpenHeart请求。例如XorDDoS、Mirai等家族,恶意代码先向C2发送Hello专用协议校验请求并成功校验后,才向C2发送OpenHeart请求。
所述的中,根据识别的恶意样本家族及专用通信协议,向恶意样本反馈响应信息,还包括:自动化首包专用协议校验仿真,具体为:
判断恶意样本所属恶意代码家族,根据所属恶意代码家族对应的首包专用协议的协议格式及专用协议知识库,确定对应的首包请求家族。
常见的恶意代码在与C2三次握手建立网络通信后,都会首先向C2发送OpenHeart专用协议请求,但是每个家族恶意代码的OpenHeart请求都有自己的专属协议格式,对应的C2也都有与之吻合的OpenHeart协议格式校验机制,用于校验OpenHeart请求的恶意代码是否属于该家族。OpenHeart专用协议校验阶段,仿真子***需要通过协议知识库建立OpenHeart专有协议校验机制,实现快速精准识别OpenHeart请求家族。
所述的方法中,自动化首包专用协议校验仿真后,还包括:自动化确认包专用协议校验仿真,具体为:
在确定对应的首包请求家族后,向恶意样本发送相应确认包专用协议数据。
C2经过OpenHeart协议格式校验成功后,随即发送Sure专用协议数据作为对恶意代码的OpenHeart专用协议请求的响应,恶意代码接收到C2响应的反馈数据Sure后,同样对Sure进行专有协议格式校验,只有Sure校验成功后双方才能进行正常进行通讯交互。Sure专用协议校验在规模较庞大的botnet家族都比较常见,Mayday、Xor、Gates、Dofloo、Gafgyt、Mirai、Gh0st等都存在Sure专用协议校验。
所述的方法中,自动化确认包专用协议校验仿真完成后,还包括:自动化心跳请求校验仿真,具体为:
识别恶意样本发送的心跳请求中的专用协议,完成专用协议识别,并作出相应响应,向恶意样本发送符合专用协议格式的各种远程控制请求指令。
在经过前面的协议校验后,实现了正常通信交互,恶意代码可以在指定的时间间隔向C2发送带有内存使用率、CPU使用率、网络带宽等数据的网络请求,统称心跳/Ping请求,C2也可以随时向恶意代码发送远程桌面控制、CMD、文件下载、DDoS开始/停止攻击、文件更新等指令请求,这也是能触发恶意代码更多恶意行为的通信阶段。然而每个家族的Ping及各种远程控制指令请求都是存在差异的,双方的请求协议只有通过经过专有协议校验才能使彼此触发各种行为,如果请求协议校验不成功,就会出现协议解析异常,造成不触发目标行为甚至触发进程或***因异常而崩溃的严重后果。因此想要发现恶意代码更多的恶意行为,需要仿真子***能够精准识别各恶意代码家族的各种专有协议请求,并作出与之对应的专有协议响应,然后向恶意代码发送符合恶意代码家族专有协议格式的各种指令请求,诱使恶意代码触发更全面的核心恶意行为。
本发明还提出一种自动化恶意代码仿真检测***,如图2所示,包括:
数据库模块201,通过对已知恶意代码样本集进行家族分类,并提取出信息交互数据,建立专用协议数据库、专用协议知识库、通用协议数据库及通用协议知识库;
专用通信协议识别模块202,通过获取恶意样本的网络请求,根据专用协议知识库,对恶意样本的家族及专用通信协议进行识别;
通用通信协议识别模块203,通过根据通用协议知识库,对恶意样本的通信请求类型及通用通信协议进行识别;
通用协议仿真模块204对恶意代码通用协议自动化仿真:根据识别的通信请求类型及通用通信协议,向恶意样本反馈响应信息,触发恶意代码的恶意行为;
专用协议仿真模块205,对恶意代码专用协议自动化仿真:根据识别的恶意样本家族及专用通信协议,向恶意样本反馈响应信息,进一步触发恶意代码的恶意行为。
所述的***中,还包括应用协议仿真模块206,对恶意代码应用层协议自动化仿真:根据已知的恶意代码定制化网络访问请求,建立定制网络访问请求知识库,对恶意样本的应用层协议进行识别,并根据识别的应用层协议定制网络访问请求,向恶意代码反馈响应信息。
所述的***中,所述对已知恶意代码样本集进行家族分类,并提取出信息交互数据具体为:
筛选出各恶意代码家族中能够与控制端正常通讯的样本进行交互,获取通信交互数据及网络行为响应数据;所述通信交互数据用于建立专用协议数据库及专用协议知识库;所述网络行为响应数据用于建立通用协议数据库及通用协议知识库。
所述的***中,根据识别的恶意样本家族及专用通信协议,向恶意样本反馈响应信息,包括:自动化CRC32专用协议校验仿真,具体为:
判断恶意样本所属恶意代码家族是否进行CRC32专用协议校验,如果是,则模拟响应CRC专用协议校验请求,完成校验。
所述的***中,根据识别的恶意样本家族及专用通信协议,向恶意样本反馈响应信息,还包括:自动化首包专用协议校验仿真,具体为:
判断恶意样本所属恶意代码家族,根据所属恶意代码家族对应的首包专用协议的协议格式及专用协议知识库,确定对应的首包请求家族。
所述的***中,自动化首包专用协议校验仿真后,还包括:自动化确认包专用协议校验仿真,具体为:
在确定对应的首包请求家族后,向恶意样本发送相应确认包专用协议数据。
所述的***中,自动化确认包专用协议校验仿真完成后,还包括:自动化心跳请求校验仿真,具体为:
识别恶意样本发送的心跳请求中的专用协议,完成专用协议识别,并作出相应响应,向恶意样本发送符合专用协议格式的各种远程控制请求指令。
另外,本发明还给出了一种实施例的计算机设备的结构示意图,如图3所示,包括存储器301、处理器302及存储在存储器301上并可在处理器302上运行的计算机程序,所述处理器302执行所述程序时,实现上述实施例中自动化恶意代码仿真检测方法;同时还可能包括用于存储器301和处理器302通信的通信接口;所述存储器可能包含RAM存储器,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器;所述处理器302可能是一个中央处理器(Central Processing Unit,简称为CPU),或者是特定集成电路(Application Specific Integrated Circuit,简称为ASIC),或者是被配置成实施本发明实施例的一个或多个集成电路;所述存储器301、处理器302可以独立部署,也可以集成在一块芯片上。
为了实现上述实施例,本发明还给出了一种非临时性计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器302执行时实现上述实施例中自动化恶意代码仿真检测方法。
本发明的优势在于:触发恶意代码的恶意行为操作执行机制,诱导恶意代码执行恶意操作,全面触发恶意代码的核心功能;优化沙箱的自动化恶意代码分析能力,提高沙箱自动化分析样本能力及准确性和全面性;自动化仿真***能够自动与恶意代码交互,并触发恶意代码核心行为,实现全面恶意代码自动化分析,可以极大的减少人工分析投入。
本发明所提供的技术方案主要是以完善恶意代码深度养殖与动态分析为目的,进一步挖掘深度养殖恶意代码潜在的情报价值。通过建立仿真僵尸网络的Client端(Commandand Control,下统称C2)模拟与Server端的正常通讯交互,触发其更多的执行机制,执行更多的恶意行为,促使沙箱监控获取更多的恶意代码行为分析结果,进一步提高沙箱对恶意代码的检测率和准确率。对于C2已经失活的恶意代码样本,在没有获取与C2正常通讯的情况下,沙箱检测***仅能检测出恶意代码初始阶段的正常/恶意行为,只有恶意代码获取C2的相关指令,才会表现出恶意代码的核心恶意功能。
本发明正是为了仿真C2与恶意代码进行通讯交互,激活恶意代码,并向恶意代码发送相关协议指令请求的响应,满足恶意代码通讯类型及通用及专用协议请求,触发恶意代码的恶意行为操作执行机制,诱导恶意代码执行恶意操作,以优化沙箱的自动化恶意代码分析能力,极大的减少人工分析投入。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于***实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
Claims (16)
1.一种自动化恶意代码仿真检测方法,其特征在于,包括:
对已知恶意代码样本集进行家族分类,并提取出信息交互数据,建立专用协议数据库、专用协议知识库、通用协议数据库及通用协议知识库;
获取恶意样本的网络请求,根据专用协议知识库,对恶意样本的家族及专用通信协议进行识别;
根据通用协议知识库,对恶意样本的通信请求类型及通用通信协议进行识别;
对恶意代码通用协议自动化仿真:根据识别的通信请求类型及通用通信协议,向恶意样本反馈响应信息,触发恶意代码的恶意行为;
对恶意代码专用协议自动化仿真:根据识别的恶意样本家族及专用通信协议,向恶意样本反馈响应信息,进一步触发恶意代码的恶意行为。
2.如权利要求1所述的方法,其特征在于,还包括对恶意代码应用层协议自动化仿真:根据已知的恶意代码定制化网络访问请求,建立定制网络访问请求知识库,对恶意样本的应用层协议进行识别,并根据识别的应用层协议定制网络访问请求,向恶意代码反馈响应信息。
3.如权利要求1所述的方法,其特征在于,所述对已知恶意代码样本集进行家族分类,并提取出信息交互数据具体为:
筛选出各恶意代码家族中能够与控制端正常通讯的样本进行交互,获取通信交互数据及网络行为响应数据;所述通信交互数据用于建立专用协议数据库及专用协议知识库;所述网络行为响应数据用于建立通用协议数据库及通用协议知识库。
4.如权利要求1所述的方法,其特征在于,根据识别的恶意样本家族及专用通信协议,向恶意样本反馈响应信息,包括:自动化CRC32专用协议校验仿真,具体为:
判断恶意样本所属恶意代码家族是否进行CRC32专用协议校验,如果是,则模拟响应CRC32专用协议校验请求,完成校验。
5.如权利要求1-4任一所述的方法,其特征在于,根据识别的恶意样本家族及专用通信协议,向恶意样本反馈响应信息,还包括:自动化首包专用协议校验仿真,具体为:
判断恶意样本所属恶意代码家族,根据所属恶意代码家族对应的首包专用协议的协议格式及专用协议知识库,确定对应的首包请求家族。
6.如权利要求5所述的方法,其特征在于,自动化首包专用协议校验仿真后,还包括:自动化确认包专用协议校验仿真,具体为:
在确定对应的首包请求家族后,向恶意样本发送相应确认包专用协议数据。
7.如权利要求6所述的方法,其特征在于,自动化确认包专用协议校验仿真完成后,还包括:自动化心跳请求校验仿真,具体为:
识别恶意样本发送的心跳请求中的专用协议,完成专用协议识别,并作出相应响应,向恶意样本发送符合专用协议格式的各种远程控制请求指令。
8.一种自动化恶意代码仿真检测***,其特征在于,包括:
数据库模块,通过对已知恶意代码样本集进行家族分类,并提取出信息交互数据,建立专用协议数据库、专用协议知识库、通用协议数据库及通用协议知识库;
专用通信协议识别模块,通过获取恶意样本的网络请求,根据专用协议知识库,对恶意样本的家族及专用通信协议进行识别;
通用通信协议识别模块,通过根据通用协议知识库,对恶意样本的通信请求类型及通用通信协议进行识别;
通用协议仿真模块,对恶意代码通用协议自动化仿真:根据识别的通信请求类型及通用通信协议,向恶意样本反馈响应信息,触发恶意代码的恶意行为;
专用协议仿真模块,对恶意代码专用协议自动化仿真:根据识别的恶意样本家族及专用通信协议,向恶意样本反馈响应信息,进一步触发恶意代码的恶意行为。
9.如权利要求8所述的***,其特征在于,还包括应用协议仿真模块,对恶意代码应用层协议自动化仿真:根据已知的恶意代码定制化网络访问请求,建立定制网络访问请求知识库,对恶意样本的应用层协议进行识别,并根据识别的应用层协议定制网络访问请求,向恶意代码反馈响应信息。
10.如权利要求8所述的***,其特征在于,所述对已知恶意代码样本集进行家族分类,并提取出信息交互数据具体为:
筛选出各恶意代码家族中能够与控制端正常通讯的样本进行交互,获取通信交互数据及网络行为响应数据;所述通信交互数据用于建立专用协议数据库及专用协议知识库;所述网络行为响应数据用于建立通用协议数据库及通用协议知识库。
11.如权利要求8所述的***,其特征在于,根据识别的恶意样本家族及专用通信协议,向恶意样本反馈响应信息,包括:自动化CRC32专用协议校验仿真,具体为:
判断恶意样本所属恶意代码家族是否进行CRC32专用协议校验,如果是,则模拟响应CRC32专用协议校验请求,完成校验。
12.如权利要求8-11任一所述的***,其特征在于,根据识别的恶意样本家族及专用通信协议,向恶意样本反馈响应信息,还包括:自动化首包专用协议校验仿真,具体为:
判断恶意样本所属恶意代码家族,根据所属恶意代码家族对应的首包专用协议的协议格式及专用协议知识库,确定对应的首包请求家族。
13.如权利要求12所述的***,其特征在于,自动化首包专用协议校验仿真后,还包括:自动化确认包专用协议校验仿真,具体为:
在确定对应的首包请求家族后,向恶意样本发送相应确认包专用协议数据。
14.如权利要求13所述的***,其特征在于,自动化确认包专用协议校验仿真完成后,还包括:自动化心跳请求校验仿真,具体为:
识别恶意样本发送的心跳请求中的专用协议,完成专用协议识别,并作出相应响应,向恶意样本发送符合专用协议格式的各种远程控制请求指令。
15.一种计算机设备,其特征在于,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时,实现如权利要求1至7任一所述的自动化恶意代码仿真检测方法。
16.一种非临时性计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7任一所述的自动化恶意代码仿真检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710974003.9A CN108363922B (zh) | 2017-10-19 | 2017-10-19 | 一种自动化恶意代码仿真检测方法及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710974003.9A CN108363922B (zh) | 2017-10-19 | 2017-10-19 | 一种自动化恶意代码仿真检测方法及*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108363922A CN108363922A (zh) | 2018-08-03 |
| CN108363922B true CN108363922B (zh) | 2020-02-07 |
Family
ID=63010106
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710974003.9A Active CN108363922B (zh) | 2017-10-19 | 2017-10-19 | 一种自动化恶意代码仿真检测方法及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108363922B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112261029B (zh) * | 2020-10-16 | 2023-05-02 | 北京锐驰信安技术有限公司 | 一种基于养殖的DDoS恶意代码检测及溯源方法 |
| CN113051560B (zh) * | 2021-04-13 | 2024-05-24 | 北京安天网络安全技术有限公司 | 终端行为的安全识别方法和装置 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9497213B2 (en) * | 2013-03-15 | 2016-11-15 | Fireeye, Inc. | System and method to manage sinkholes |
| US20140344931A1 (en) * | 2013-05-17 | 2014-11-20 | Arbor Networks, Inc. | Systems and methods for extracting cryptographic keys from malware |
| CN106529291B (zh) * | 2016-10-19 | 2019-10-29 | 北京海杭通讯科技有限公司 | 恶意软件检测方法 |
| CN106603521A (zh) * | 2016-12-09 | 2017-04-26 | 北京安天电子设备有限公司 | 一种网络控制节点探测方法及*** |
-
2017
- 2017-10-19 CN CN201710974003.9A patent/CN108363922B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN108363922A (zh) | 2018-08-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106886494B (zh) | 一种接口自动化测试方法及其*** | |
| US10250483B2 (en) | System and method thereof for dynamically testing networked target systems through simulation by a mobile device | |
| KR102199054B1 (ko) | 직렬 포트 기반 사이버 보안 취약점 점검 장치 및 그 방법 | |
| CN104506484A (zh) | 一种私有协议分析与识别方法 | |
| CN109582556B (zh) | 应用程序在移动终端运行情况的测试方法、装置和*** | |
| EP3547121B1 (en) | Combining device, combining method and combining program | |
| CN109063486B (zh) | 一种基于plc设备指纹识别的安全渗透测试方法与*** | |
| CN104980421A (zh) | 一种批量请求处理方法及*** | |
| CN111211934A (zh) | 集群远程通信测试方法以及*** | |
| CN108363922B (zh) | 一种自动化恶意代码仿真检测方法及*** | |
| CN107168844B (zh) | 一种性能监控的方法及装置 | |
| CN111327636B (zh) | 一种涉及网络安全的s7-300plc私有协议逆向方法 | |
| CN112887333A (zh) | 一种异常设备检测方法、装置、电子设备及可读存储介质 | |
| CN102136964B (zh) | 一种网站测试方法和*** | |
| CN112235300B (zh) | 云虚拟网络漏洞检测方法、***、装置及电子设备 | |
| CN114363053A (zh) | 一种攻击识别方法、装置及相关设备 | |
| US9329960B2 (en) | Methods, systems, and computer readable media for utilizing abstracted user-defined data to conduct network protocol testing | |
| CN111245800B (zh) | 网络安全测试方法和装置、存储介质、电子装置 | |
| CN103731315A (zh) | 一种服务器故障检测方法 | |
| CN104270431B (zh) | 一种并发控制的方法及装置 | |
| CN106055571A (zh) | 网站识别方法及*** | |
| CN106326419B (zh) | 网络自动机处理方法及装置 | |
| CN112817816B (zh) | 埋点处理方法、装置、计算机设备和存储介质 | |
| CN115065510A (zh) | 登录方法、装置、***、电子设备及可读存储介质 | |
| Su et al. | AndroGenerator: An automated and configurable android app network traffic generation system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |