針對(duì)目前威脅情報(bào)冗余度較高,無(wú)法快速生成和共享情報(bào)的不足,文章提出一種針對(duì)惡意軟件家族的威脅情報(bào)快速生成方法。該方法通過(guò)開(kāi)源自動(dòng)化惡意軟件分析平臺(tái)運(yùn)行惡意軟件并提取惡意特征,計(jì)算特征模糊哈希值,根據(jù)惡意代碼的模糊哈希值使用改進(jìn)的CFSFDP算法對(duì)惡意軟件進(jìn)行聚類,最后依據(jù)每類惡意軟件家族的特征生成符合STIX1.2標(biāo)準(zhǔn)的威脅情報(bào)。實(shí)驗(yàn)表明,該方法可有效生成可機(jī)讀、可共享的威脅情報(bào),顯著縮短了威脅情報(bào)的生成時(shí)間。 

【文章來(lái)源】：信息網(wǎng)絡(luò)安全. 2020,20(12)北大核心CSCD

【文章頁(yè)數(shù)】：8 頁(yè)

【部分圖文】：

STIX1.2架構(gòu)

Cuckoo系統(tǒng)由1個(gè)主機(jī)和多個(gè)虛擬客戶機(jī)組成，其結(jié)構(gòu)如圖2所示。主機(jī)是運(yùn)行Cuckoo沙箱的核心組件，負(fù)責(zé)管理虛擬客戶機(jī)和惡意軟件，虛擬客戶機(jī)負(fù)責(zé)惡意軟件的執(zhí)行和分析。每個(gè)惡意軟件都在新隔離的虛擬機(jī)中運(yùn)行，以此確保惡意軟件樣本實(shí)際上可以被安全地執(zhí)行和分析。主機(jī)和虛擬客戶機(jī)之間通過(guò)虛擬網(wǎng)絡(luò)通信，分析完惡意軟件后通過(guò)該網(wǎng)絡(luò)返回分析結(jié)果。2 RAGTI威脅情報(bào)生成方法

本文提出的RAGTI方法主要由5個(gè)模塊組成，分別是惡意軟件預(yù)處理、特征提取、模糊哈希計(jì)算、改進(jìn)的CFSFDP聚類和情報(bào)生成模塊。RAGTI方法的概念性架構(gòu)如圖3所示。2.1 預(yù)處理

【參考文獻(xiàn)】：
期刊論文
[1]基于STIX標(biāo)準(zhǔn)的威脅情報(bào)實(shí)體抽取研究[J]. 王沁心,楊望.  網(wǎng)絡(luò)空間安全. 2020(08)
[2]基于Conformal Prediction的威脅情報(bào)繁殖方法[J]. 張永生,王志,武藝杰,杜振華.  信息網(wǎng)絡(luò)安全. 2020(06)
[3]網(wǎng)絡(luò)空間威脅情報(bào)共享技術(shù)綜述[J]. 楊沛安,武楊,蘇莉婭,劉寶旭.  計(jì)算機(jī)科學(xué). 2018(06)
[4]基于攻擊鏈和網(wǎng)絡(luò)流量檢測(cè)的威脅情報(bào)分析研究[J]. 呂宗平,鐘友兵,顧兆軍.  計(jì)算機(jī)應(yīng)用研究. 2017(06)
[5]基于紋理指紋的惡意代碼變種檢測(cè)方法研究[J]. 韓曉光,曲武,姚宣霞,郭長(zhǎng)友,周芳.  通信學(xué)報(bào). 2014(08)

碩士論文
[1]美國(guó)網(wǎng)絡(luò)威脅情報(bào)工作研究[D]. 黃雅娟.國(guó)防科技大學(xué) 2018



本文編號(hào)：3105261