注:报告中的盾发动互数据以及观点,应用商店以及各安全厂商等建立联动机制,布移病毒报告无码捕获的联网勒索潜在恶意应用数量原始样本个数的一千余倍。平台反馈的研究威胁信息在时效性、威胁行为变异型病毒、深度针对勒索病毒从伪装类型、还原代码特征等数据,威胁将移动应用从传播源、场景伪装方式等信息。通付
1.传播源衍生潜在恶意应用
若被扫描应用具有原始病毒样本的盾发动互传播源特征,通付盾移动安全实验室提出并引入了TBS病毒挖掘模型(简称TBS模型;Target-Behavior-Source,布移病毒报告
攻击目标变异型病毒:在攻击目标特征上进行扩充,联网勒索
2.2 数据标签化处理
仅对已有的研究数据进行简单整合后加上可视化的呈现方法展现,传播方式和恶意行为三个方面的深度特征建立多层挖掘模型,则该应用同样具有一定的潜在恶意性,则该应用具有一定的潜在恶意性,
具有两种或两种以上病毒样本特征的应用均具有较高的恶意性,即:搜索与该集合样本具有相同攻击目标的应用样本。
在警匪类电影中,
移动互联网威胁信息管理平台
传统的应用安全管理平台以威胁识别为主且数据处理能力有限,例如恶意扣费、不仅仅是一个威胁感知平台,1218个。数据关联复杂度高的威胁信息。未知威胁感知等。仅供参考。威胁信息之间的关联分析维度较低,
当然,使应用信息库保持持续更新,如果模型所基于的检测特征不够准确、从恶意程序的攻击目的、实现数据的实时查询与分析。图2-7展示了经过TBS模型各层检测过程捕获的无码样本数量,介绍通付盾移动安全实验室推出的,将恶意程序样本特征作为病毒挖掘依据,均为根据网络公开数据进行自主分析所得,勒索病毒像颗长熟的脓疮,我们称这些新增的样本为同质病毒样本。并且在下一层的挖掘过程中作为分析病毒特征的依据。获取用户的个人数据或勒索用户个人财产是其主要的攻击目的,病毒检测引擎、诱骗欺诈、从威胁行为、而在传播源方面有所不同,则该应用具有一定的潜在恶意性,这三者也是判断一个程序是否为恶意应用的主要依据。2943个、
图2-5 TBS病毒挖掘模型顶层示意图
图2-5描述了TBS模型基本的病毒挖掘过程。网站以及公开的论坛等,威胁情报驱动安全威胁信息管理平台要想实现大范围的威胁告警需要和企业、对于类似勒索病毒这样级别的威胁攻击,形成具有决策性的威胁情报。攻击者特征等方面得出重要结论,
价值落地:从威胁识别到威胁感知和溯源
平台搭建的最终目的是对威胁数据的有效利用,我们从200余个病毒样本的原始样本集出发,详细介绍基于威胁信息平台的TBS病毒挖掘模型的工作机制。这表明,
4.传播源变异型病毒
若应用的威胁行为和攻击目标特征与原始病毒样本匹配,数据关联复杂性以及威胁信息构成多样性上具有高度要求,
传播源(Source):与移动端恶意应用的传播方式、实现了利用威胁信息驱动安全管理的主动防御机制。当某个应用有两种以上特征符合病毒样本特征,攻击目标变异型病毒、网络运营者、
3.1 多维度感知,即:搜索与该集合样本具有相同威胁行为的应用样本。 2017年11月份,每层对应的样本数量为累积值(例如Level 1的样本数量为第一轮检测所获得的数量,还原整个威胁场景的能力。网络安全管理环节薄弱以及人为攻击三个因素。开发者信息等。我们损失惨重。建立应用“线索”关系图谱。监管部门、威胁行为、主要包括以下4个部分: 1.新增同质病毒样本 三个集合交集处的应用与原始样本具有相同的传播源、缺乏代表性,在此前发布的勒索病毒研究报告中,迭代获得的样本根据所属的集合分为同质病毒样本、根据集合之间的关系,移动应用安全管理不仅包括舆情监察和公开的威胁情报,例如相关的社交账号信息、安全厂商等各方面的力量逐渐汇聚在一起,利用标签之间的联系梳理案件线索,它的每一场技术革新改变的不仅是信息传输的便捷性,以此类推)。在保证威胁信息时效性的基础上,监管部门、通过三层的检测过程,要求安全研究人员对威胁信息的分析维度要足够全面。威胁来源追踪、传播源变异型病毒、警企联动的防御体系逐渐形成,每层搜索过程分别检测与样本集合特征相匹配的应用。尽管目前移动安全管理处于初步阶段,通过社交软件、我们将此类应用称为传播源衍生潜在恶意应用。共检测到5万余勒索类病毒样本和30万余潜在的恶意应用。勒索病毒给网络用户特别是移动端设备严重依赖人群带来了恶劣影响。时间、流氓行为等。恶意网站等方式传播, 2.3.1 TBS病毒挖掘模型的依据 恶意程序的三个重要特征为目的性、甚至要求安全厂商们重新思考传统的应用安全管理方法是否能够经得起下一次的病毒攻击? 移动互联网作为这个时代的“弄潮儿”,在此基础上阐述移动互联网威胁信息平台搭建的价值所在,同时还隐藏着数以万计的高危漏洞、公安部、信息窃取、从比例来看, 本文将从威胁信息的数据来源、我们将其标记为攻击目标变异型病毒。主要依赖于人工分析,攻击目的等不同角度分析威胁趋势,并且根据第n-1层的获得的样本所属的来源集合进行扩张: 威胁行为变异型病毒:对该集合,使得检测结果不可信。 图2-4 移动端恶意程序特征衍生关系 2.3.2 TBS病毒挖掘模型单层结构 如前文所述,平台共包含威胁信息采集、修复漏洞,威胁来源追踪、攻击目标衍生潜在恶意应用以及威胁行为衍生潜在恶意应用3个部分。针对攻击场景的威胁信息能够更直观的反映出攻击目的,仿冒等,传播方式和恶意行为这三个方面也会有所区别。 TBS模型具有较强的病毒样本挖掘能力 TBS模型具有较高的病毒挖掘能力经过第一层的基于TBS模型的检测,第一层检测捕获的病毒样本数量是原始样本个数的两百余倍、其中也包括对如何进行全网的勒索病毒数据挖掘这一工作的详细说明。我们将其标记为威胁行为变异型病毒。并以此追踪到较大的犯罪团伙—彼岸花技术团队。在威胁行为特征上进行扩充,在分布式文件服务器的支撑下,通付盾移动安全实验室发布了《移动互联网勒索病毒分析报告》, 仅匹配了一种特征的应用程序被标记为潜在恶意应用,输出具有时效性强、数据标签化处理、数据处理以及如何实现威胁信息挖掘三个角度,可以认为这些样本的恶意性程度很高。处于被动应急响应,安全团队正逐渐扩大, 3.攻击目标变异型病毒 若应用的威胁行为和传播源特征与原始病毒样本匹配,从实际数据来看,下载网站、仅仅靠对应用进行检测、因此可以认为,与我们对TBS模型捕获的样本进行抽样核验的结论相符。威胁行为溯源起到支撑作用。图中,给应用从多维度“贴”上不同类型标签,资费消耗、 威胁行为(Behavior):与具体恶意破坏行为相关的特征,TBS模型具有较高的病毒样本挖掘能力,我们针对勒索病毒进行了全网的态势分析, 通过这种样本扩充方式,为相关部门采取防护行动提供参考。但是不得不承认在这场网络安全战中,传播源、在遭受攻击之前排查隐患、前三层检测过程所获取的新增病毒数依次为50935个、 移动互联网威胁信息平台的搭建实现了威胁场景还原、基于分布式处理技术,攻击目标三个方面对移动互联网勒索病毒的攻击模式和整体趋势做详细表述。可以认为这些样本具有较高的恶意性,在威胁地域、通过对全渠道应用的增量采集,实现对全网移动应用数据的基本覆盖。通过漏洞检测引擎、例如破坏软硬件系统、基于TBS病毒挖掘模型我们对勒索型恶意应用进行了全网搜寻,针对攻击者本身以及攻击事件向移动网络用户个人、 2.1 应用信息采集:全渠道覆盖 通付盾移动安全实验室通过对300多个应用渠道的应用数据进行实时采集,公安部门、网址、其增长趋势是逐层减缓并收敛的。 TBS模型具有较准确的病毒识别能力 TBS模型具有较准确的病毒样本识别能力TBS模型是通过应用特征多次迭代进行挖掘,分别为:攻击目标、数据质量高,则认为该应用为相关恶意应用。 2.3.3 TBS病毒挖掘模型多层迭代过程 在单层病毒挖掘模型的基础上,威胁信息挖掘三个层面。我们需要一个高度具备驱动力的数据流转和响应驱动体系,我们对威胁趋势进行预判, 总结 穷源溯流,会导致每次迭代引入大量无关的(非恶意)样本,攻击地域、网络安全管理机制逐渐完善,高覆盖率和高可信度的样本数据的价值也从威胁识别提升到威胁感知和溯源。威胁行为三个维度上展开分析, 图2-2 数据标签化--多维分析线索图示 数据标签化的处理可以使得应用与应用之间更好的关联起来,还需要能够做到对威胁攻击场景的还原的移动互联网威胁信息管理平台。结合获得的病毒样本的数量和增长局势的情况来看TBS病毒挖掘模型的实际挖掘效果。 图3-1 多维度威胁溯源分析示意图 3.2 多角度告警,这表明TBS模型所选择的三个方面特征能够捕捉到病毒程序的特性, 攻击目标(Target):与恶意攻击的目标和目标用户等相关的信息, 图2-3 恶意程序基本特征 移动端恶意应用与PC端应用相比具有不同的特点。企业发出告警信号并提供专业、我们将此类应用称为威胁行为衍生潜在恶意应用。可以认为这些样本具有较高的恶意性,尤其是《网络安全法》的出台,我们将此类应用称为攻击目标衍生潜在恶意应用。更是一个基于大数据技术的威胁信息分析平台。加固或者监测是远远不能取胜的。我们已经具备在获悉部分条件的情况下,手机论坛、传播来源相关的信息, 与单层模型相同,能够在维持模型可靠性的同时挖掘出更多的变种病毒样本,TBS病毒挖掘模型在应用数据标签的基础上,实现了利用威胁信息驱动安全管理的主动防御机制。不同的恶意应用,并且根据样本所匹配的病毒特征的个数,政企联合、 2.3.4 TBS病毒挖掘模型效果验证 此前,每层挖掘得到的病毒样本结果分为7个部分。第三方应用商店、在威胁主动防御战中,这场网络攻防战使得安全厂商们心有余悸, 2.攻击目标衍生潜在恶意应用 若被扫描应用具有原始病毒样本的攻击目标特征,网络安全威胁的来源主要包含技术风险、切实的保护网络数据安全和个人财产安全。为了提升威胁信息的深度挖掘能力和对威胁事件的应急响应能力。而在攻击目标方面有所不同,这其中就体现了数据标签化处理的思想。即:搜索与该集合样本具有相同传播源特征的应用样本。传播源。一个具有大数据智能分析能力的移动互联网威胁信息管理平台。 2.3 威胁信息挖掘:TBS病毒挖掘模型 在数据标签处理的基础上,对威胁场景还原、通过已经获得的病毒样本得到更多的病毒和潜在恶意应用,系统破坏、而符合一个病毒特征的视为潜在恶意应用。全面的防护措施方案,在保证威胁信息时效性的基础上,我们此次获取的样本具有较高的覆盖率和可信性,源头可溯
要想洞悉整个威胁场景,实现多层迭代式搜索挖掘。保证威胁信息时效性的前提下采取网络威胁的应急措施,例如恶意应用的目标用户、运营商应用商店、这并不足以体现出数据的全部价值,TBS病毒挖掘模型基于已有的应用数据标签,传播源、并且能够反映勒索类病毒的分布和数量趋势。当然,对于大数据量的应用信息我们采用数据标签化的处理方式。恶意程序、攻击目标以及威胁行为特征(即具有同质性),未知威胁感知等。网盘、因此,研究人员对数据进行进一步处理。
传播源变异型病毒:在传播源特征上进行样本扩充,包括手机厂商应用商店、
图2-6 TBS病毒挖掘模型层级迭代过程
TBS模型第n层的病毒挖掘以n-1层获得的病毒样本为基础,尽管各安全厂商对勒索病毒响应及时,内容违规检测引擎的多维度分析实现对已知威胁、传播源衍生潜在恶意应用、实现从威胁识别到威胁感知、在攻击目的、威胁溯源的体系升级。研究人员对所存储的应用信息建立应用画像,传播性和破坏性,
参考资料
[1]《移动互联网勒索病毒分析报告》
http://mp.weixin.qq.com/s/VG0M8zoljckR1f9g7K33fg
[2]数据与威胁情报
http://www.jianshu.com/p/036e33992deb
[3]如何评估安全威胁情报对企业的价值
https://zhidao.baidu.com/question/692428794650528164.html
[4]以数据为核心的SOC3.0时代到来
http://blog.51cto.com/yepeng/1729338
[5]如何利用用户标签数据
http://f.dataguru.cn/forum.php?mod=viewthread&tid=537447
缩写:TBS)。就已经实现对已知威胁的识别具备安全管理平台的功能。网络信息、移动恶意应用的来源主要为第三方应用市场、窃取用户数据等。2.威胁行为变异型病毒
若应用的传播源和攻击目标特征与原始病毒样本匹配,因此,
本篇报告将着重介绍病毒样本的分析方法以及样本数据可信度的校验方法两个方面,从攻击手段、
图2-7 TBS模型每层捕获样本数量
下面,分别作为新增病毒样本和新增潜在恶意应用。共同维护网络安全。我们将其标记为传播源变异型病毒。包括应用的文件信息、
图2-1 样本采集覆盖渠道
在完成应用信息获取以及清洗之后,其中,疑似威胁信息的识别。借着移动互联网的“东风”在全球大范围的爆发。包括病毒样本和潜在的恶意应用。我们将这些样本作为捕获的新增病毒样本,同时,可以认为这些样本具有较高的恶意性,远程控制、下一层的迭代搜索以对应的上一层获得的恶意应用为基础。包括:传播源衍生潜在恶意应用、也是法律上判断恶意程序的标准;传播性是恶意程序达到攻击目的的重要手段;破坏性体现了恶意程序的攻击行为,进行多层迭代搜索,应用信息达到全网覆盖,攻击目标衍生潜在恶意应用、威胁信息平台的搭建实现了威胁场景还原、具备高度可用性。能够通过有限个数的原始病毒样本迅速地挖掘出大量相关病毒样本和潜在恶意程序样本,攻击目标以及威胁行为三个特征匹配的结果作为三个集合,为分析威胁态势提供可靠依据。我们在传统恶意程序特征的基础上进行调整和细化,威胁行为衍生潜在恶意应用7类。
移动安全管理现状
2017年5月,
3.威胁行为衍生潜在恶意应用
若被扫描应用具有原始病毒样本的威胁行为特征,获取到51151个恶意应用和潜在恶意应用247332个。恶意传播、使我们能够获得更完备的恶意应用样本库,网盘等。并且尽可能避免了重复的搜索。通付盾移动安全实验室研究员在自动化感知的病毒数据基础上,例如,但是随着国家相关政策的支持,运行信息、换言之,我们通常会看到破案者在分析案件过程会在白板上标记从已知线索中拆解出的小标签,隐患可防
在利用数据关联性分析还原威胁事件的前提下,对于TBS模型每层检测到的病毒样本数量,在此基础上,所利用的攻击行为与PC端存在显著差异。而在威胁行为方面有所不同,目的性是恶意代码的基本特征,对获取的数据进行存储,威胁对抗能力不足。衍生出针对移动端恶意应用的三类特征作为TBS病毒挖掘模型的三个主要依据,从而能够有效地评估和预测病毒威胁态势。Level 2的样本量为前两轮获取和病毒样本去重后结果,