买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：四川警察学院

摘要：本发明提供了基于内存取证的无文件攻击调查方法及系统，属于网络安全攻击调查技术领域。首先分别运行良性样本和实施无文件攻击，获得内存镜像；其次将每个内存镜像的虚拟地址描述符节点作为样本，提取样本对应的内存区域的特征；然后将样本进行数据处理，构建数据集；再将数据集划分为训练集和测试集，使用自动化机器学习库在训练集进行模型训练，选择最优模型，将最优模型应用于数据集进行测试，得到测试结果；最后根据测试结果，对测试的恶意样本进行验证分析。本发明发现无文件攻击中针对特定内存区域的攻击，辅助攻击人员调查，有效地加强系统的安全防御能力，保护关键数据免受各种无文件攻击的威胁，确保系统运行的稳定性和安全性。

主权项：1.基于内存取证的无文件攻击调查方法，其特征在于，所述方法包括：步骤S1：分别运行良性样本和实施无文件攻击，获得内存镜像，具体包括：所述无文件攻击类型包括代码注入、脚本攻击和离地攻击；所述代码注入特征包括函数、二进制、代码、加密信息、对策、内存、木马和攻击框架；所述脚本攻击特征包括恶意字符串、中性字符串和脚本，分别用于检测恶意命令提示符脚本、中性命令提示符脚本和其他恶意脚本；所述离地攻击特征包括离地而生攻击、远程桌面协议和暗网通信协议；所述内存镜像包括恶性样本内存镜像和良性样本内存镜像；所述无文件攻击类型包括代码注入、脚本攻击和离地攻击；所述内存镜像包括恶性样本内存镜像和良性样本内存镜像；步骤S2：将每个所述内存镜像的虚拟地址描述符节点作为样本，提取所述样本对应的内存区域的特征，具体包括：获取所述样本对应的内存区域的特征集；所述特征集包括内存特征集、函数特征集、二进制特征集、代码特征集、对策特征集、加密信息特征集、木马特征集、无文件特征集；所述内存特征集包括零字节比率、保护属性、基于主机的代码注入函数、标记、内存映射文件、线程数、私有内存标记、网络字符串、持久性字符串、基于主机的代码注入受害进程、内存区域是否为堆；零字节比率、保护属性、标记、内存映射文件、线程数、私有内存标记、内存区域是否为堆，通过统计信息或读取内存状态获得；基于主机的代码注入函数、网络字符串、基于主机的代码注入受害进程、持久性字符串，通过构建yara规则，对内存区域进行扫描匹配获得；所述函数特征集包括API调用前缀、动态加载API、API哈希，以上特征通过构建正则表达式或利用构建yara规则匹配实现；所述二进制特征集包括可执行文件、库文件、已注册模块、导出API调用、标头开头信息、已动态加载模块、导入API调用、去掉头部的可执行文件，以上特征通过读取字段或标志进行判断设置；所述代码特征集包括间接调用与所有调用的比率、间接跳转与所有跳转的比率、汇编函数序言、代码挂钩、漏洞代码模式；间接调用与所有调用的比率、间接跳转与所有跳转的比率通过构建正则表达式匹配，汇编函数序言、代码挂钩、漏洞代码模式通过构建yara规则匹配实现；所述对策特征集包括调试器的字符串和代码模式、沙箱的字符串和代码模式、虚拟机的字符串和代码模式，以上特征通过构建yara规则匹配实现；所述加密信息特征集包括密码常量、编码方案常量、哈希算法常量，以上特征通过构建yara规则匹配实现；所述木马特征集包括Cookie窃取字符串、证书窃取字符串，以上特征通过构建yara规则匹配实现；所述无文件特征集包括攻击平台的攻击特征、恶意字符串计数、中立字符串计数、脚本字符串计数、离地攻击字符串、恶意文档、远程连接协议字符串、暗网协议字符串，以上特征通过构建yara规则匹配实现；基于内存取证框架设置插件，提取所述特征集的特征；步骤S3：将所述样本进行去重操作，同时对所述样本的数值进行归一化操作，构建数据集；步骤S4：将所述数据集划分为训练集和测试集，使用自动化机器学习库在所述训练集进行模型训练，选择最优模型，将所述最优模型应用于所述数据集进行测试，得到测试结果，具体包括：将所述数据集划分为训练集和测试集，随机分配所述样本；使用自动化机器学习库在所述训练集上进行模型训练，根据输出结果，比较不同模型的评估指标，选择在所述训练集上精度最高的模型作为最优模型；将最优模型应用于所述测试集进行测试，得到所述最优模型的预测输出，计算所述最优模型在所述测试集的评估指标；根据所述测试集上的评估指标，判断所述最优模型是否达到预期的目标，如果不满意，则调整参数并重新进行训练和测试；如果满意，将模型部署到实际应用中；步骤S5：根据所述测试结果，对测试的恶意样本进行验证分析。

全文数据：

权利要求：

百度查询： 四川警察学院 基于内存取证的无文件攻击调查方法及系统