基于恶意样本分析检测的沙箱技术研究.pdf
《基于恶意样本分析检测的沙箱技术研究.pdf》由会员分享,可在线阅读,更多相关《基于恶意样本分析检测的沙箱技术研究.pdf(3页珍藏版)》请在咨信网上搜索。
1、网络信息安全基于恶意样本分析检测的沙箱技术研究邹睿徐宁易仙福国家计算机网络应急技术处理协调中心江西分中心南昌市邹睿徐宁易仙福国家计算机网络应急技术处理协调中心江西分中心南昌市330038330038摘要摘要:以不同恶意代码静态分析以不同恶意代码静态分析、行为特征行为特征、网络通联为底层模型和实现机制网络通联为底层模型和实现机制,研究一种基于样本行为特征研究一种基于样本行为特征分析的本地杀沙箱技术平台分析的本地杀沙箱技术平台,解决传统互联网检测平台存在的保密性解决传统互联网检测平台存在的保密性、时效性时效性、准确性问题准确性问题。通过分析关键函数通过分析关键函数、网络流量等特征网络流量等特征,实
2、现样本静态检测实现样本静态检测、行为分析行为分析、网络通联等功能网络通联等功能,支撑安全研究人员对样本安全性进行研判支撑安全研究人员对样本安全性进行研判。关键词关键词:网络安全沙箱技术样本检测网络安全沙箱技术样本检测0引言百年变局和世纪疫情叠加影响下百年变局和世纪疫情叠加影响下,网络安全威胁网络安全威胁、数字不平等和地缘政治资源争夺数字不平等和地缘政治资源争夺、经济对抗等风险成倍经济对抗等风险成倍放大放大,全球网络安全遭受严重冲击全球网络安全遭受严重冲击,国际形势的不稳定国际形势的不稳定性性、不确定性更加凸显不确定性更加凸显,境外黑客组织逐步从境外黑客组织逐步从“广撒网广撒网”转向定向攻击转向
3、定向攻击,表现出更强的针对性表现出更强的针对性,政务政务、能源能源、金金融融、卫健等重要行业卫健等重要行业/领域信息化资产已逐步成为主要攻领域信息化资产已逐步成为主要攻击目标击目标。同时同时,攻击技术呈现快速升级趋势攻击技术呈现快速升级趋势,自动化自动化、集成化集成化、模块化模块化、组织化的特点越发明显组织化的特点越发明显。在对恶意样在对恶意样本行为特征充分研究分析基础上本行为特征充分研究分析基础上,提出一种本地沙箱设提出一种本地沙箱设计思路计思路,旨在满足恶意样本识别确定性旨在满足恶意样本识别确定性、文件检测保密文件检测保密性性、行为特征完整性行为特征完整性、分析时间高效性分析时间高效性。1
4、沙箱原理浅析恶意程序检测通常采用样本特征比对方式恶意程序检测通常采用样本特征比对方式,针对特针对特征相对复杂混淆的恶意程序征相对复杂混淆的恶意程序,样本库成为恶意程序识别样本库成为恶意程序识别的关键的关键。但是目前单一杀毒软件所使用的样本库但是目前单一杀毒软件所使用的样本库,无法无法涵盖所有病毒特征涵盖所有病毒特征,需要多个杀毒软件共同作用需要多个杀毒软件共同作用,才能才能正确研判样本的安全性正确研判样本的安全性,同时互联网病毒查杀平台无法同时互联网病毒查杀平台无法保证被检测文件或样本的保密性保证被检测文件或样本的保密性,为了解决样本检测存为了解决样本检测存在的准确性在的准确性、高效性高效性、
5、保密性问题保密性问题,目前主流的方式是目前主流的方式是通过搭建本地沙箱通过搭建本地沙箱,通过在虚拟环境中运行样本程序通过在虚拟环境中运行样本程序,对比运行前后的行为特征对比运行前后的行为特征、网络通联以及样本静态分析网络通联以及样本静态分析三种方式三种方式,判断被检测文件或样本的安全性以及危害判断被检测文件或样本的安全性以及危害程度程度。1.1样本行为特征正常程序运行时正常程序运行时,首先加载调用程序所需的依赖库首先加载调用程序所需的依赖库,根据其功能创建文件或子进程根据其功能创建文件或子进程,并根据程序既定权限并根据程序既定权限,引导用户赋予程序部分系统权限引导用户赋予程序部分系统权限,如修
6、改注册表如修改注册表、增加增加服务等服务等;恶意程序运行时恶意程序运行时,往往会绕过用户引导部分往往会绕过用户引导部分,通过创建隐藏文件通过创建隐藏文件、劫持正常进程劫持正常进程、添加计划任务等方添加计划任务等方式式,进行权限维持进行权限维持,达到感染用户主机的目的达到感染用户主机的目的。比如比如:蠕虫病毒利用系统漏洞或者钓鱼攻击成功植入目标主机蠕虫病毒利用系统漏洞或者钓鱼攻击成功植入目标主机,在系统文件夹在系统文件夹(/Windows/System/Windows/System3232/)中创建伪装文件中创建伪装文件混淆用户混淆用户,并通过修改注册表设置开机自启并通过修改注册表设置开机自启,
7、稳固系统稳固系统权限权限;蠕虫病毒入侵成功后蠕虫病毒入侵成功后,将此终端作为宿主将此终端作为宿主,进而进而扫描并感染其他终端扫描并感染其他终端,达到自我扩散达到自我扩散、自我复制的目的自我复制的目的。1.2网络通联行为通常情况下通常情况下,木马病毒的结构主要分为客户端和服木马病毒的结构主要分为客户端和服务端务端,客户端程序即木马病毒本身客户端程序即木马病毒本身,通过隐藏运行的方通过隐藏运行的方式式,控制目标主机控制目标主机;服务端作为攻击者的控制台服务端作为攻击者的控制台,负责负责远程遥控客户端远程遥控客户端,执行所需的代码命令执行所需的代码命令。木马病毒的网木马病毒的网络行为主要包括端口复用
8、混淆络行为主要包括端口复用混淆、本地监听开放端口本地监听开放端口、端端口反向连接口反向连接、执行代码接收执行代码接收,执行结果回传等执行结果回传等。以常见以常见的的CobaltCobaltStrikeStrike木马为例木马为例,在服务端创建木马程序时在服务端创建木马程序时,须明确服务端地址和监听端口两个必要参数须明确服务端地址和监听端口两个必要参数,在目标用在目标用户运行该木马病毒后户运行该木马病毒后,会与服务端地址的监听端口进行会与服务端地址的监听端口进行通联通联,形成网络通道形成网络通道,攻击者利用这条通道攻击者利用这条通道,向目标主向目标主机发送恶意报文机发送恶意报文(PayloadP
9、ayload)执行命令执行命令,控制目标主机控制目标主机。1.3样本静态分析样本的静态分析是通过反病毒引擎扫描样本的静态分析是通过反病毒引擎扫描、计算计算HashHash值值、查找字符串查找字符串、解析宏等方式对样本的程序指令和结解析宏等方式对样本的程序指令和结1009-0940-2023(2)-45-474545JIANGXITONGXINKEJI2023第2期江西通信科技构进行分析构进行分析,初步确定样本特征初步确定样本特征。一般样本静态分析的一般样本静态分析的流程为流程为:首先需要通过首先需要通过Detect It EasyDetect It Easy(DiEDiE)、)、PEIDPEI
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 基于 恶意 样本 分析 检测 技术研究
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【自信****多点】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【自信****多点】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。