本申请涉及信息安全领域,尤其涉及多维特征协同的恶意样本分析方法、装置及系统。
背景技术:
1、现有的恶意样本检测方法通常是基于单一特征比如文件特征(如文件哈希、文件代码结构等)或行为特征(代码执行后内核调用序列、文件系统变更特征、流量行为特征等)实现。具体地,在进行恶意样本检测时,可先从有标签数据集中提取上述特征后基于该提取的特征训练出如机器学习或深度学习等算法模型,之后基于算法模型进行恶意样本检测。
2、但是,上述单一特征常会局限恶意样本检测的精度,甚至会出现检测错误或者失效问题。
技术实现思路
1、本申请实施例提供了多维特征协同的恶意样本分析方法、装置及系统,以实现多维特征协同的恶意样本分析。
2、本申请实施例提供了一种多维特征协同的恶意样本分析方法,所述方法应用于中心服务器,所述方法包括:
3、从已构建的检测域层级结构中,确定当前样本所属的目标样本类型节点;该检测域层级结构包括至少一个样本类型节点、连接在每一样本类型节点之下的至少一个维度节点、以及连接在每一维度节点之下的至少一个检测方法节点;检测域层级结构中任一节点被分配了用于恶意样本分析的贡献度权重;
4、针对所述目标样本类型节点连接的每一个维度节点,基于该维度节点下每一检测方法节点指示的检测方法所要求的维度特征,从当前样本中提取该维度特征对应的维度特征数据并下发至运行了该检测方法的检测引擎进行检测处理,以得到当前样本对应的检测结果;所述检测引擎被分配了用于参与对属于目标样本类型的样本进行恶意样本分析的参与权重;所述目标样本类型是指所述目标样本类型节点所指示的样本类型;
5、接收检测引擎上报的当前样本对应的检测结果;若已上报了检测结果的各检测引擎被分配的参与权重满足已设定的秘密分享方式要求,则针对每一检测引擎上报的检测结果,基于该检测引擎运行的检测方法对应的检测方法节点被分配的贡献度权重、该检测方法节点连接的维度节点被分配的贡献度权重、以及该目标检测域节点被分配的贡献度权重,确定该检测结果的贡献度权重;依据各检测结果的贡献度权重对各检测结果进行汇聚以基于汇聚结果分析所述当前样本是否为恶意样本。
6、本实施例提供一种多维特征协同的恶意样本分析系统,所述系统包括中心服务器、以及独立于中心服务器的至少一个边缘设备;
7、所述中心服务器执行如上所述的方法中的步骤;
8、任一边缘设备加载至少一个已注册至中心服务器的检测引擎;任一检测引擎运行了一检测方法节点所指示的检测方法,所述检测引擎被分配了用于参与对属于目标样本类型的样本进行恶意样本分析的参与权重;所述目标样本类型是指目标样本类型节点所指示的样本类型;目标样本类型节点是由中心服务器按照如上所述的方法中的步骤,从已构建的检测域层级结构中,确定出的当前样本所属的样本类型节点。
9、本实施例提供一种多维特征协同的恶意样本分析装置,所述装置应用于中心服务器,所述装置包括:
10、确定单元,用于从已构建的检测域层级结构中,确定当前样本所属的目标样本类型节点;该检测域层级结构包括至少一个样本类型节点、连接在每一样本类型节点之下的至少一个维度节点、以及连接在每一维度节点之下的至少一个检测方法节点;检测域层级结构中任一节点被分配了用于恶意样本分析的贡献度权重;以及,
11、针对所述目标样本类型节点连接的每一个维度节点,基于该维度节点下每一检测方法节点指示的检测方法所要求的维度特征,从当前样本中提取该维度特征对应的维度特征数据并下发至运行了该检测方法的检测引擎进行检测处理,以得到当前样本对应的检测结果;所述检测引擎被分配了用于参与对属于目标样本类型的样本进行恶意样本分析的参与权重;所述目标样本类型是指所述目标样本类型节点所指示的样本类型;
12、分析单元,用于接收检测引擎上报的当前样本对应的检测结果;若已上报了检测结果的各检测引擎被分配的参与权重满足已设定的秘密分享方式要求,则针对每一检测引擎上报的检测结果,基于该检测引擎运行的检测方法对应的检测方法节点被分配的贡献度权重、该检测方法节点连接的维度节点被分配的贡献度权重、以及该目标检测域节点被分配的贡献度权重,确定该检测结果的贡献度权重;依据各检测结果的贡献度权重对各检测结果进行汇聚以基于汇聚结果分析所述当前样本是否为恶意样本。
13、由以上技术方案可以看出,本实施例借助于检测域层级结构有效利用检测域层级结构中不同检测方法节点对应的检测引擎对当前样本中不同维度下的特征数据进行检测以分析当前样本是否为恶意样本,这实现了多维度下的特征数据协同进行恶意样本分析。
14、进一步地,本实施例中,在分析当前样本是否为恶意样本时,会先针对每一检测引擎上报的检测结果,基于该检测引擎运行的检测方法对应的检测方法节点被分配的贡献度权重、该检测方法节点连接的维度节点被分配的贡献度权重、以及该目标检测域节点被分配的贡献度权重,确定该检测结果的贡献度权重;之后在基于各检测结果的贡献度权重对各检测结果进行汇聚以基于汇聚结果分析当前样本是否为恶意样本,并非直接将某一检测引擎或某一检测方法的固定权重作为该检测引擎上报的检测结果的贡献度权重,其实质是随着检测域层级结构和具体检测样本(比如所属的目标样本类型节点)动态更新检测引擎上报的检测结果的贡献度权重,这种基于检测样本进行自适应调整上述各检测引擎上报的检测结果的贡献度权重,能够解决恶意样本形态多样、特征多维离散导致的检测准确率低,检测维度不可扩展等难题,有效提高了恶意样本检测的可扩展性和检测准确率。
15、进一步地,本实施例借助于秘密分享机制,能够有效控制各检测引擎伪造、检测引擎内部攻击,且适配不同检测引擎的检测时长不一致、检测能力不一致、引擎故障或无消息下线等问题,不需要持续等待引擎检测结果,检测方式更灵活。
1.一种多维特征协同的恶意样本分析方法,其特征在于,所述方法应用于中心服务器,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述针对每一检测引擎上报的检测结果,基于该检测引擎运行的检测方法所对应的检测方法节点被分配的贡献度权重、该检测方法节点连接的维度节点被分配的贡献度权重、以及该目标检测域节点被分配的贡献度权重,确定该检测结果的贡献度权重包括:
3.根据权利要求1所述的方法,其特征在于,所述中心服务器上运行的用于参与对属于所述目标样本类型的样本进行恶意样本分析的各检测引擎的参与权重的总和小于设定最低参与权重;
4.根据权利要求1所述的方法,其特征在于,该方法进一步包括:
5.根据权利要求4所述的方法,其特征在于,所述基于该检测引擎与所述中心服务器之间的通信行为,确定该检测引擎的忠诚度包括:
6.根据权利要求4所述的方法,其特征在于,所述基于该检测引擎上报的检测结果确定该检测引擎的忠诚度包括:
7.根据权利要求4所述的方法,其特征在于,所述基于该检测引擎被测试的测试结果确定该检测引擎的忠诚度包括:
8.根据权利要求4至7任一所述的方法,其特征在于,该方法进一步包括:
9.根据权利要求1所述的方法,其特征在于,该方法进一步包括:
10.一种多维特征协同的恶意样本分析系统,其特征在于,所述系统包括中心服务器、以及独立于中心服务器的至少一个边缘设备;
11.一种多维特征协同的恶意样本分析装置,其特征在于,所述装置应用于中心服务器,所述装置包括:
