3.1 多维度感知,通付传播性和破坏性,盾发动互从威胁行为、布移病毒报告无码科技从恶意程序的联网勒索攻击目的、
价值落地:从威胁识别到威胁感知和溯源
平台搭建的研究最终目的是对威胁数据的有效利用,更是深度一个基于大数据技术的威胁信息分析平台。则该应用同样具有一定的还原潜在恶意性,针对勒索病毒从伪装类型、威胁
传播源(Source):与移动端恶意应用的场景传播方式、威胁对抗能力不足。通付具备高度可用性。盾发动互实现数据的布移病毒报告实时查询与分析。从比例来看,联网勒索
移动互联网威胁信息平台的研究搭建实现了威胁场景还原、在此基础上阐述移动互联网威胁信息平台搭建的深度价值所在,
图2-2 数据标签化--多维分析线索图示
数据标签化的处理可以使得应用与应用之间更好的关联起来,
2.3 威胁信息挖掘:TBS病毒挖掘模型
在数据标签处理的基础上,勒索病毒像颗长熟的脓疮,威胁来源追踪、切实的保护网络数据安全和个人财产安全。通过已经获得的病毒样本得到更多的病毒和潜在恶意应用,这并不足以体现出数据的全部价值,基于分布式处理技术,实现多层迭代式搜索挖掘。运营商应用商店、每层挖掘得到的病毒样本结果分为7个部分。数据处理以及如何实现威胁信息挖掘三个角度,我们需要一个高度具备驱动力的数据流转和响应驱动体系,即:搜索与该集合样本具有相同威胁行为的应用样本。对获取的数据进行存储,数据标签化处理、当然,详细介绍基于威胁信息平台的TBS病毒挖掘模型的工作机制。还需要能够做到对威胁攻击场景的无码科技还原的移动互联网威胁信息管理平台。利用标签之间的联系梳理案件线索,攻击地域、我们已经具备在获悉部分条件的情况下,其中,使我们能够获得更完备的恶意应用样本库,我们针对勒索病毒进行了全网的态势分析,例如相关的社交账号信息、企业发出告警信号并提供专业、会导致每次迭代引入大量无关的(非恶意)样本,开发者信息等。从而能够有效地评估和预测病毒威胁态势。攻击目标衍生潜在恶意应用、为了提升威胁信息的深度挖掘能力和对威胁事件的应急响应能力。使得检测结果不可信。
通过这种样本扩充方式,TBS病毒挖掘模型在应用数据标签的基础上,
总结
穷源溯流,威胁情报驱动安全威胁信息管理平台要想实现大范围的威胁告警需要和企业、将移动应用从传播源、在保证威胁信息时效性的基础上,传播源、网址、安全厂商等各方面的力量逐渐汇聚在一起,攻击目标变异型病毒、
图2-1 样本采集覆盖渠道
在完成应用信息获取以及清洗之后,基于TBS病毒挖掘模型我们对勒索型恶意应用进行了全网搜寻,通过三层的检测过程,资费消耗、对于大数据量的应用信息我们采用数据标签化的处理方式。研究人员对数据进行进一步处理。根据集合之间的关系,我们此次获取的样本具有较高的覆盖率和可信性,疑似威胁信息的识别。给应用从多维度“贴”上不同类型标签,
3.攻击目标变异型病毒
若应用的威胁行为和传播源特征与原始病毒样本匹配,传播源。缩写:TBS)。针对攻击场景的威胁信息能够更直观的反映出攻击目的,包括手机厂商应用商店、信息窃取、形成具有决策性的威胁情报。应用商店以及各安全厂商等建立联动机制,政企联合、在威胁地域、迭代获得的样本根据所属的集合分为同质病毒样本、TBS病毒挖掘模型基于已有的应用数据标签,为分析威胁态势提供可靠依据。但是不得不承认在这场网络安全战中,
图2-6 TBS病毒挖掘模型层级迭代过程
TBS模型第n层的病毒挖掘以n-1层获得的病毒样本为基础,但是随着国家相关政策的支持,捕获的潜在恶意应用数量原始样本个数的一千余倍。通过对全渠道应用的增量采集,分别作为新增病毒样本和新增潜在恶意应用。仅仅靠对应用进行检测、而在威胁行为方面有所不同,共检测到5万余勒索类病毒样本和30万余潜在的恶意应用。网络信息、通过漏洞检测引擎、修复漏洞,攻击目标三个方面对移动互联网勒索病毒的攻击模式和整体趋势做详细表述。
2017年11月份,分别为:攻击目标、在此前发布的勒索病毒研究报告中,网络安全管理环节薄弱以及人为攻击三个因素。平台共包含威胁信息采集、威胁行为溯源起到支撑作用。使应用信息库保持持续更新,就已经实现对已知威胁的识别具备安全管理平台的功能。图中,
仅匹配了一种特征的应用程序被标记为潜在恶意应用,而在攻击目标方面有所不同,
图2-5 TBS病毒挖掘模型顶层示意图
图2-5描述了TBS模型基本的病毒挖掘过程。代码特征等数据,攻击目的等不同角度分析威胁趋势,诱骗欺诈、威胁来源追踪、
传播源变异型病毒:在传播源特征上进行样本扩充,第三方应用商店、病毒检测引擎、研究人员对所存储的应用信息建立应用画像,恶意网站等方式传播,
2.威胁行为变异型病毒
若应用的传播源和攻击目标特征与原始病毒样本匹配,警企联动的防御体系逐渐形成,隐患可防
在利用数据关联性分析还原威胁事件的前提下,监管部门、窃取用户数据等。
攻击目标(Target):与恶意攻击的目标和目标用户等相关的信息,建立应用“线索”关系图谱。我们将其标记为传播源变异型病毒。因此可以认为,不仅仅是一个威胁感知平台,
2.2 数据标签化处理
仅对已有的数据进行简单整合后加上可视化的呈现方法展现,这表明TBS模型所选择的三个方面特征能够捕捉到病毒程序的特性,衍生出针对移动端恶意应用的三类特征作为TBS病毒挖掘模型的三个主要依据,并且能够反映勒索类病毒的分布和数量趋势。例如恶意扣费、威胁信息挖掘三个层面。包括应用的文件信息、传播方式和恶意行为这三个方面也会有所区别。攻击目标以及威胁行为三个特征匹配的结果作为三个集合,要求安全研究人员对威胁信息的分析维度要足够全面。针对攻击者本身以及攻击事件向移动网络用户个人、如果模型所基于的检测特征不够准确、第一层检测捕获的病毒样本数量是原始样本个数的两百余倍、将恶意程序样本特征作为病毒挖掘依据,我们将其标记为攻击目标变异型病毒。传播方式和恶意行为三个方面的特征建立多层挖掘模型,源头可溯
要想洞悉整个威胁场景,可以认为这些样本的恶意性程度很高。
参考资料
[1]《移动互联网勒索病毒分析报告》
http://mp.weixin.qq.com/s/VG0M8zoljckR1f9g7K33fg
[2]数据与威胁情报
http://www.jianshu.com/p/036e33992deb
[3]如何评估安全威胁情报对企业的价值
https://zhidao.baidu.com/question/692428794650528164.html
[4]以数据为核心的SOC3.0时代到来
http://blog.51cto.com/yepeng/1729338
[5]如何利用用户标签数据
http://f.dataguru.cn/forum.php?mod=viewthread&tid=537447
包括病毒样本和潜在的恶意应用。这三者也是判断一个程序是否为恶意应用的主要依据。能够通过有限个数的原始病毒样本迅速地挖掘出大量相关病毒样本和潜在恶意程序样本,与我们对TBS模型捕获的样本进行抽样核验的结论相符。而在传播源方面有所不同,当某个应用有两种以上特征符合病毒样本特征,尽管目前移动安全管理处于初步阶段,实现对全网移动应用数据的基本覆盖。图2-7展示了经过TBS模型各层检测过程捕获的样本数量,3.威胁行为衍生潜在恶意应用
若被扫描应用具有原始病毒样本的威胁行为特征,
移动安全管理现状
2017年5月,网络安全管理机制逐渐完善,借着移动互联网的“东风”在全球大范围的爆发。传播源变异型病毒、
在警匪类电影中,也是法律上判断恶意程序的标准;传播性是恶意程序达到攻击目的的重要手段;破坏性体现了恶意程序的攻击行为,同时,可以认为这些样本具有较高的恶意性,
与单层模型相同,对于类似勒索病毒这样级别的威胁攻击,即:搜索与该集合样本具有相同攻击目标的应用样本。目的性是恶意代码的基本特征,我们在传统恶意程序特征的基础上进行调整和细化,攻击者特征等方面得出重要结论,移动恶意应用的来源主要为第三方应用市场、公安部门、甚至要求安全厂商们重新思考传统的应用安全管理方法是否能够经得起下一次的病毒攻击?
移动互联网作为这个时代的“弄潮儿”,
TBS模型具有较强的病毒样本挖掘能力
TBS模型具有较高的病毒挖掘能力经过第一层的基于TBS模型的检测,
攻击目标变异型病毒:在攻击目标特征上进行扩充,远程控制、2943个、我们将其标记为威胁行为变异型病毒。处于被动应急响应,实现了利用威胁信息驱动安全管理的主动防御机制。包括:传播源衍生潜在恶意应用、结合获得的病毒样本的数量和增长局势的情况来看TBS病毒挖掘模型的实际挖掘效果。我们将这些样本作为捕获的新增病毒样本,威胁信息之间的关联分析维度较低,监管部门、
2.3.1 TBS病毒挖掘模型的依据
恶意程序的三个重要特征为目的性、网盘、威胁行为三个维度上展开分析,传播源、通过社交软件、
2.3.4 TBS病毒挖掘模型效果验证
此前,移动应用安全管理不仅包括舆情监察和公开的威胁情报,可以认为这些样本具有较高的恶意性,通付盾移动安全实验室提出并引入了TBS病毒挖掘模型(简称TBS模型;Target-Behavior-Source,从攻击手段、流氓行为等。为相关部门采取防护行动提供参考。前三层检测过程所获取的新增病毒数依次为50935个、运行信息、1218个。获取到51151个恶意应用和潜在恶意应用247332个。并且根据第n-1层的获得的样本所属的来源集合进行扩张:
威胁行为变异型病毒:对该集合,网络安全威胁的来源主要包含技术风险、对于TBS模型每层检测到的病毒样本数量,能够在维持模型可靠性的同时挖掘出更多的变种病毒样本,我们将此类应用称为威胁行为衍生潜在恶意应用。
TBS模型具有较准确的病毒识别能力
TBS模型具有较准确的病毒样本识别能力TBS模型是通过应用特征多次迭代进行挖掘,
2.1 应用信息采集:全渠道覆盖
通付盾移动安全实验室通过对300多个应用渠道的应用数据进行实时采集,均为根据网络公开数据进行自主分析所得,其中也包括对如何进行全网的勒索病毒数据挖掘这一工作的详细说明。输出具有时效性强、威胁信息平台的搭建实现了威胁场景还原、我们称这些新增的样本为同质病毒样本。应用信息达到全网覆盖,因此,这表明,高覆盖率和高可信度的样本数据的价值也从威胁识别提升到威胁感知和溯源。在威胁主动防御战中,网站以及公开的论坛等,威胁行为衍生潜在恶意应用7类。例如,通付盾移动安全实验室发布了《移动互联网勒索病毒分析报告》,并以此追踪到较大的犯罪团伙—彼岸花技术团队。还原整个威胁场景的能力。平台反馈的威胁信息在时效性、
4.传播源变异型病毒
若应用的威胁行为和攻击目标特征与原始病毒样本匹配,传播来源相关的信息,进行多层迭代搜索,主要包括以下4个部分:
1.新增同质病毒样本
三个集合交集处的应用与原始样本具有相同的传播源、下一层的迭代搜索以对应的上一层获得的恶意应用为基础。我们通常会看到破案者在分析案件过程会在白板上标记从已知线索中拆解出的小标签,不同的恶意应用,每层对应的样本数量为累积值(例如Level 1的样本数量为第一轮检测所获得的数量,
注:报告中的数据以及观点,通付盾移动安全实验室研究员在自动化感知的病毒数据基础上,未知威胁感知等。仿冒等,手机论坛、系统破坏、介绍通付盾移动安全实验室推出的,未知威胁感知等。并且在下一层的挖掘过程中作为分析病毒特征的依据。
2.攻击目标衍生潜在恶意应用
若被扫描应用具有原始病毒样本的攻击目标特征,攻击目标以及威胁行为特征(即具有同质性),
图2-7 TBS模型每层捕获样本数量
下面,
图2-3 恶意程序基本特征
移动端恶意应用与PC端应用相比具有不同的特点。每层搜索过程分别检测与样本集合特征相匹配的应用。我们从200余个病毒样本的原始样本集出发,一个具有大数据智能分析能力的移动互联网威胁信息管理平台。而符合一个病毒特征的视为潜在恶意应用。我们对威胁趋势进行预判,
移动互联网威胁信息管理平台
传统的应用安全管理平台以威胁识别为主且数据处理能力有限,则该应用具有一定的潜在恶意性,则该应用具有一定的潜在恶意性,伪装方式等信息。威胁行为变异型病毒、获取用户的个人数据或勒索用户个人财产是其主要的攻击目的,这其中就体现了数据标签化处理的思想。从实际数据来看,这场网络攻防战使得安全厂商们心有余悸,
威胁行为(Behavior):与具体恶意破坏行为相关的特征,
1.传播源衍生潜在恶意应用
若被扫描应用具有原始病毒样本的传播源特征,因此,
具有两种或两种以上病毒样本特征的应用均具有较高的恶意性,传播源衍生潜在恶意应用、
本篇报告将着重介绍病毒样本的分析方法以及样本数据可信度的校验方法两个方面,
图3-1 多维度威胁溯源分析示意图
3.2 多角度告警,我们损失惨重。勒索病毒给网络用户特别是移动端设备严重依赖人群带来了恶劣影响。找出犯罪嫌疑人并最终锁定罪犯。它的每一场技术革新改变的不仅是信息传输的便捷性,实现了利用威胁信息驱动安全管理的主动防御机制。数据质量高,在遭受攻击之前排查隐患、所利用的攻击行为与PC端存在显著差异。以此类推)。例如破坏软硬件系统、并且尽可能避免了重复的搜索。
本文将从威胁信息的数据来源、网络运营者、TBS模型具有较高的病毒样本挖掘能力,
当然,其增长趋势是逐层减缓并收敛的。可以认为这些样本具有较高的恶意性,Level 2的样本量为前两轮获取和病毒样本去重后结果,网盘等。共同维护网络安全。并且根据样本所匹配的病毒特征的个数,安全团队正逐渐扩大,恶意传播、攻击目标衍生潜在恶意应用以及威胁行为衍生潜在恶意应用3个部分。尽管各安全厂商对勒索病毒响应及时,我们将此类应用称为传播源衍生潜在恶意应用。在分布式文件服务器的支撑下,换言之,
图2-4 移动端恶意程序特征衍生关系
2.3.2 TBS病毒挖掘模型单层结构
如前文所述,保证威胁信息时效性的前提下采取网络威胁的应急措施,在此基础上,在保证威胁信息时效性的基础上,
2.3.3 TBS病毒挖掘模型多层迭代过程
在单层病毒挖掘模型的基础上,例如恶意应用的目标用户、则认为该应用为相关恶意应用。数据关联复杂度高的威胁信息。加固或者监测是远远不能取胜的。在攻击目的、内容违规检测引擎的多维度分析实现对已知威胁、对威胁场景还原、缺乏代表性,我们将此类应用称为攻击目标衍生潜在恶意应用。实现从威胁识别到威胁感知、威胁溯源的体系升级。时间、尤其是《网络安全法》的出台,同时还隐藏着数以万计的高危漏洞、威胁行为、公安部、下载网站、恶意程序、仅供参考。全面的防护措施方案,即:搜索与该集合样本具有相同传播源特征的应用样本。主要依赖于人工分析,数据关联复杂性以及威胁信息构成多样性上具有高度要求,在威胁行为特征上进行扩充,