浅析属性图在异常程序检测的应用

大量的恶意软件/程序攻击给用户带来了极大的困扰。国内外的研究人员检测恶意程序的技术主要分为：基于程序结构、文件数据特征等恶意程序静态识别技术，基于程序运行时函数行为调用序列、函数参数信息等恶意程序动态识别技术[1]。目前，基于规则等检测技术以及基于机器学习等检测技术均存在相关问题。当未知恶意异常程序进行检测时，基于规则（YARA等）检测技术需要靠追加规则来实现，无法应对未知恶意异常程序的检测。此外，由于设备产生的数据量巨大，存在线索难以调查的问题，导致有效攻击线索淹没在背景数据中，基于机器学习检测技术通常具有较高的误报率和漏报率，难以快速识别。构建溯源图，能够作为威胁狩猎的关键资源，为威胁的识别、评估、关联提供丰富的上下文。《Provenance Mining：终端溯源数据挖掘与威胁狩猎》[2]一文，介绍了终端溯源数据（Provenance）以及溯源图（Provenance Graph）的概念，并介绍了如何在溯源数据完整有效采集的情况下，通过溯源图的后向追溯（backward-trace）和前向追溯（forward-trace），实现攻击事件的溯源与取证。为了检测未知恶意程序，相关研究人员[3]提出MatchGNet，通过数据驱动的方法进行检测，利用图神经网络来学习表示以及相似性度量，捕获不同实体之间的关系，利用相似性学习模型在未知程序与现有良性程序之间进行相似性评分，发现行为表示与良性程序有区分的未知恶意程序，最终，通过实验证明了有效性。随着异常程序检测技术的发展，攻击者躲避检测的方式也越来越多。本文将分析属性图在检测异常程序的应用。

二.基于属性图的异常程序检测方法

目前，大部分企业面对异常软件/程序检测时采用基于yara等规则检测技术以及基于机器学习的检测技术。其中，yara规则会从二进制数据层面检测恶意样本，可通过自定义的规则从文件的内容、哈希值、程序函数功能二进制特征、文件大小等维度对检测内容进行约束，来检测识别。虽然yara规则检测技术较为准确，但是当新出现一种样本，或者加壳、混淆时，需要靠追加规则来覆盖新的这些场景。

基于属性图来对异常程序进行检测[6]，首先，利用属性图对攻击者进行建模需要明确属性、顶点与边。由于属性图包含终端日志，因此，涉及到进程、文件、服务等信息的构图。然后，通过规则检测匹配进程中的内容，进程映射的磁盘文件，进程的外联IP以及cpu占有率高的进程是否超过阈值，将潜在受害的数据进行威胁度标注。利用预处理后的数据结合规则匹配的威胁度标注构建属性图。

基于属性图中的异常检测主要是找出在行为模式上与其他节点差异较大的节点。相关基于属性图的检测方法，可以参考文章攻击推理专题-属性图异常检测及在网络安全领域的应用[4]。通过PyGOD[5]可以快速调用多种最新的图异常检测算法。相关检测算法如下图所示。

图 1 PyGOD实现的算法

针对上述方案进行简单的实验效果说明，首先，运行两个样本，其中，一个可以通过已知规则方法检测出来，另一个因为加壳缘故等相关规则检测不到。将日志导出后基于上述方案进行构图，通过训练好的异常检测算法进行检测。在高威胁度的top10节点中，存在由加壳缘故等导致相关规则检测不到软件引起的异常程序，如下图所示。

图2 异常检测结果

三.结束语

传统静态特征规则等驱动的异常程序检测方法，难以应对日益更新的相关攻击带来的潜在重大风险。基于属性图的异常程序检测技术依赖更加自动化的数据与知识挖掘基础设施，以弥补专家视野的局限性，为异常程序检测带来新的视角，拓宽其监控范围，自动化的识别更广泛的威胁。如何在后续工作中提高算法在不同真实场景下的检测性能，需要进一步的探索。

参考文献

[1] 龚琪.基于分布式沙箱的恶意程序检测系统设计与研究

[2] 绿盟科技.Provenance Mining：终端溯源数据挖掘与威胁狩猎

[3] Wang S , Chen Z , Yu X ,et al.Heterogeneous Graph Matching Networks.

[4] 绿盟科技.攻击推理专题-属性图异常检测及在网络安全领域的应用

[5] https://docs.pygod.org/en/latest/

[6] 绿盟科技.一种基于属性图的异常程序检测方法及装置

内容编辑：创新研究院 王星凯 责任编辑：创新研究院 舒展