針對目前威脅情報冗余度較高,無法快速生成和共享情報的不足,文章提出一種針對惡意軟件家族的威脅情報快速生成方法。該方法通過開源自動化惡意軟件分析平臺運行惡意軟件并提取惡意特征,計算特征模糊哈希值,根據(jù)惡意代碼的模糊哈希值使用改進的CFSFDP算法對惡意軟件進行聚類,最后依據(jù)每類惡意軟件家族的特征生成符合STIX1.2標準的威脅情報。實驗表明,該方法可有效生成可機讀、可共享的威脅情報,顯著縮短了威脅情報的生成時間。 

【文章來源】：信息網(wǎng)絡安全. 2020,20(12)北大核心CSCD

【文章頁數(shù)】：8 頁

【部分圖文】：

STIX1.2架構

Cuckoo系統(tǒng)由1個主機和多個虛擬客戶機組成，其結構如圖2所示。主機是運行Cuckoo沙箱的核心組件，負責管理虛擬客戶機和惡意軟件，虛擬客戶機負責惡意軟件的執(zhí)行和分析。每個惡意軟件都在新隔離的虛擬機中運行，以此確保惡意軟件樣本實際上可以被安全地執(zhí)行和分析。主機和虛擬客戶機之間通過虛擬網(wǎng)絡通信，分析完惡意軟件后通過該網(wǎng)絡返回分析結果。2 RAGTI威脅情報生成方法

本文提出的RAGTI方法主要由5個模塊組成，分別是惡意軟件預處理、特征提取、模糊哈希計算、改進的CFSFDP聚類和情報生成模塊。RAGTI方法的概念性架構如圖3所示。2.1 預處理

【參考文獻】：
期刊論文
[1]基于STIX標準的威脅情報實體抽取研究[J]. 王沁心,楊望.  網(wǎng)絡空間安全. 2020(08)
[2]基于Conformal Prediction的威脅情報繁殖方法[J]. 張永生,王志,武藝杰,杜振華.  信息網(wǎng)絡安全. 2020(06)
[3]網(wǎng)絡空間威脅情報共享技術綜述[J]. 楊沛安,武楊,蘇莉婭,劉寶旭.  計算機科學. 2018(06)
[4]基于攻擊鏈和網(wǎng)絡流量檢測的威脅情報分析研究[J]. 呂宗平,鐘友兵,顧兆軍.  計算機應用研究. 2017(06)
[5]基于紋理指紋的惡意代碼變種檢測方法研究[J]. 韓曉光,曲武,姚宣霞,郭長友,周芳.  通信學報. 2014(08)

碩士論文
[1]美國網(wǎng)絡威脅情報工作研究[D]. 黃雅娟.國防科技大學 2018



本文編號：3105261