isc|网络空间危机四伏,如何发现威胁的蛛丝马迹?( 四 )


深耕攻防之道 , 安全分析技术一网打尽前沿网安黑科技
随着大数据时代的来临 , 传统的实时检测与防御已不能胜任对海量数据中细微异常的甄别 。 相比主机层和应用层以日志、请求等为分析对象 , 网络流量分析面对更底层的网络数据包 , 其中包含更多信息元素 。
绿盟科技伏影实验室安全研究员杜元正分享了关于“图卷集神经网络的样本家族分类”的相关研究进展 。 目前 , 可执行程序黑白二分类的技术相对成熟 , 在此基础上进行由功能、代码复用情况对恶意可执行程序进行多分类成为下一个突破方向 。
演讲中 , 杜元正分享了其研究团队针对此方向的研究历程 , 团队首先使用API\LIB调用序列作为特征对可执行文件进行分类 , 但由于恶意样本家族之间的API\LIB调用序列的特异性不足 , 导致分类结果不理想 。 随后更换特征提取思路 , 以恶意样本的控制流图(ControlFlow Graph, CFG)作为特征、使用可以采集图特征的图卷积神经网络(Graph Convolutional NerualNetwork)进行多分类 。
其中 , 控制流图具有图结构和和节点属性两个特征 , 且通过图卷积层对图结构与节点属性的特征采集 , 具有以下特征:
节点属性缩放
isc|网络空间危机四伏,如何发现威胁的蛛丝马迹?
本文插图

节点属性传播
isc|网络空间危机四伏,如何发现威胁的蛛丝马迹?
本文插图

针对排序池化层 , 杜元正提出 , 控制流图节点数量任意 , 因此特征图大小任意; 在分类前 , 使用排序池化层固定特征图的维度 。 而排序原则 , 即对于一个大小为M*N特征图 , 根据第N列的值排序 , 若相等 , 则比较第N-1列的值 , 以此类推 。
isc|网络空间危机四伏,如何发现威胁的蛛丝马迹?
本文插图

理想·环境下的分类结果 , 杜元正表示 , 使用恶意样本控制流图作为多分类特征 , 然后使用图卷积神经网络对分类特征进行分类 , 理想环境下分类效果拔群 。
恶意样本图节点属性缺失的情况下 , 分类:仅凭恶意样本的图结构进行分类
恶意样本增加图节点属性后 , 收敛的所需要的轮数减少了30%
与此同时 , 研究团队在此过程中遇到了两个工程问题但最终得以解决 , 其一是缺数据 , 最终通过做数据增强成功解决 , 其二是关于壳保护技术 , 研究发现利用“壳函数不会调用恶意样本自定义函数、恶意样本自定义函数不会调用壳函数”的这一特点 , 能够成功分离壳特征 。 就壳保护技术解决方案如下:
壳特征分离 , 可见恶意样本函数调用图 , 包括壳函数调用图以及恶意样本本地函数调用图 。
isc|网络空间危机四伏,如何发现威胁的蛛丝马迹?
本文插图

基于“壳函数不会调用恶意样本本地函数 , 恶意样本本地函数不会调用壳函数”的观测结果 , 分离壳函数调用图与恶意样本本地函数调用图 。
isc|网络空间危机四伏,如何发现威胁的蛛丝马迹?
本文插图

沙箱建设 。 通过注入插桩代码 , 在不影响程序动态执行结果的前提下 , 在程序执行过程中插入特定分析代码 , 实现对程序动态执行过程的监控与分析 。
isc|网络空间危机四伏,如何发现威胁的蛛丝马迹?
本文插图

等保2.0时代 , 信息技术开启合规之路
等保2.0时代高位启航一周年有余 , 显然对信息技术运营者、使用单位等提出了新的要求 , 全面护航自身安全隐患和不足 , 提高信息技术的安全防护能力 , 成为一大难题 。
中国工程院院士 , 国家集成电路产业发展咨询委员会委员 , 国家三网融合专家组成员 , 中央网信办专家咨询委员会顾问沈昌祥院士以“按等保2.0可信计算3.0筑牢新基建网络安全防线”为议题提出 , 按照国家网络安全法律、战略和等级保护制度要求 , 推广安全可信产品和服务 , 筑牢网络安全底线是历史的使命 。 新型基础设施是以数据和网络为核心 , 其发展前提是用主动免疫的可信计算筑牢安全防线 。


推荐阅读