浅析属性图在异常程序检测的应用

目前，大部分企业面对异常软件/程序检测时采用基于yara等规则检测技术以及基于机器学习的检测技术。其中，yara规则会从二进制数据层面检测恶意样本，可通过自定义的规则从文件的内容、哈希值、程序函数功能二进制特征、文件大小等维度对检测内容进行约束，来检测识别。虽然yara规则检测技术较为准确，但是当新出现一种样本，或者加壳、混淆时，需要靠追加规则来覆盖新的这些场景。

基于属性图来对异常程序进行检测[6]，首先，利用属性图对攻击者进行建模需要明确属性、顶点与边。由于属性图包含终端日志，因此，涉及到进程、文件、服务等信息的构图。然后，通过规则检测匹配进程中的内容，进程映射的磁盘文件，进程的外联IP以及cpu占有率高的进程是否超过阈值，将潜在受害的数据进行威胁度标注。利用预处理后的数据结合规则匹配的威胁度标注构建属性图。

基于属性图中的异常检测主要是找出在行为模式上与其他节点差异较大的节点。相关基于属性图的检测方法，可以参考文章攻击推理专题-属性图异常检测及在网络安全领域的应用[4]。通过PyGOD[5]可以快速调用多种最新的图异常检测算法。相关检测算法如下图所示。

针对上述方案进行简单的实验效果说明，首先，运行两个样本，其中，一个可以通过已知规则方法检测出来，另一个因为加壳缘故等相关规则检测不到。将日志导出后基于上述方案进行构图，通过训练好的异常检测算法进行检测。在高威胁度的top10节点中，存在由加壳缘故等导致相关规则检测不到软件引起的异常程序，如下图所示。

传统静态特征规则等驱动的异常程序检测方法，难以应对日益更新的相关攻击带来的潜在重大风险。基于属性图的异常程序检测技术依赖更加自动化的数据与知识挖掘基础设施，以弥补专家视野的局限性，为异常程序检测带来新的视角，拓宽其监控范围，自动化的识别更广泛的威胁。如何在后续工作中提高算法在不同真实场景下的检测性能，需要进一步的探索。

内容编辑：创新研究院 王星凯
    责任编辑：创新研究院 舒展