恰当的攻击是一个复杂的网络攻击的目的非常明显。它一步一步攻击目标网络通过多个阶段并维护长期访问目标( 15]。借助恰当的恶意软件,远程攻击者可以控制受感染的机器和窃取敏感信息。恰当的恶意软件,比如特洛伊木马和后门,防火墙杀毒软件和目标网络。不仅仅是用于远程控制受感染的机器在恰当的攻击,也用于窃取敏感信息从长期受感染的主机 16]。

目前,常用的检测方法与恰当的主要研究方面的恶意代码检测、攻击检测和网络流量检测。Abomhara和前 17)提出了物联网基础设施面临的威胁和攻击。除了分析和描述入侵者和攻击所面临的物联网设备和服务,他们还试图威胁类型进行分类。唱et al。 18)提出了一种新的实用的安全体系结构模型,保护每一层和界面。保护包括数据保护、访问控制、预防的威胁和防范网络攻击。通过映射这些分析保护控制每个部门的风险及其资源,公司可以运用强大的多层防御任何攻击,包括先进的持续威胁。李和刘易斯( 19]证明可以使用无向图副攻击不同攻击之间基于共同的目标。基于这些信息,恰当的活动可以建立和集群的地图,可能代表一个团队的活动的恶意软件作者可以被识别。此外,还有一些其他的检测方法( 20., 21]。

检测的恶意软件,恶意软件可以识别的智能分析恶意样本的特征( 22]。恶意软件已经成为一种必要的战略工具APT攻击,恶意软件的特征也可以使用APT攻击的特点组织( 23]。提取恶意软件特征的方法主要包括静态特征提取和动态特征提取( 24]。静态特征提取方法使用文件结构的分析,反编译,拆卸,控制流、数据流分析技术提取静态特性,比如组件指令、控制流、函数调用序列的程序没有运行程序。例如,乔et al。 25)提出了一个基于API调用自动恶意软件同调识别方法。这个方法获得其API通过静态分析的恶意样本,然后使用Jaccard相似系数计算的同源程度不同的恶意软件类型基于六调用行为定义的编程习惯,建立一个与同源程度通过经验阈值比较,并做了一个结论是否样品相似。该方法可用于确定恰当的样本之间的同源程度并确定的组织样本。动态特征提取是用于监视程序运行时的行为,然后提取代码的动态行为特征如API操作、文件系统操作,函数访问和系统调用。例如,陈等人。 5)提出了一种新的遗传模型结合知识地图的恶意软件的行为。他们的方法是建立一个基于节点的内容的遗传模型,提取所有恶意软件的基因序列属于每个恰当的组织,然后计算相似性的恶意软件和基因文库和用预设阈值比较恰当的恶意软件组织所属。

,恰当的组织识别是更倾向于分析恶意代码结构及其之间的关系攻击链。例如,FireEye实验室( 26]分析了11于2013年袭击,发现恶意代码攻击中使用的基于相同的代码段,时间戳、数字证书,等。基于这些收集到的特征,进行相关分析,相信这些攻击都被同一个组织。北京Venustech Inc . ( 27]分析了shellcode函数和代码相似的一些样品的漏洞相关分析的特点,然后跟踪海德薇格组织的来源。洛克希德·马丁公司提出了一个先进的持续威胁杀死链模型( 28],它恰当的攻击活动划分为侦察、武器化,交付、开发、安装、指挥控制、目标和行动,他们执行这些7步骤,指出只要捍卫党检测和街区之一这些步骤,可以阻止攻击发生。主教法冠公司采取了类似的想法,提出了一个更详细的ATT&CK框架( 29日]。ATT&CK集成了已知的历史和实际的先进的威胁攻击战术和技术形成一种共同的语言黑客描述和抽象为黑客攻击知识库框架。其官方网站公布了87个恰当的进攻组织的描述,包括软件、战术、技术和程序(TTP)使用的进攻组织。

在本文中,我们使用行为特性数据集NSFOCUS提供的恰当的数据集。他们收集和获得大量的动态信息的恶意软件在沙箱,标志着它所属的组织。这个实验选定的样本数据7恰当的组织形式的原始数据集,和信息如表所示 1。

行为数据的样本数据集包含很多冗余数据,包括路径数据时生成恶意软件执行操作,各种文件的恶意软件,api,操作对象数据和其他信息(见图 2)。

行为数据的文本形式的恶意软件样本,图中所示的示例行为数据的恶意软件样本。因此,在模型训练之前,文本数据必须量化。根据我们的统计,大多数样本的文本字符长度低于10000,所以前10000个字符是截获每个示例的文本数据(见图 3)。然后,我们选择使用TF-IDF(术语frequency-inverse文档频率),也就是说,这个词频率和逆文档频率法对体重每个单词的文本进行向量化。TF-IDF方法包括两个部分:术语频率(TF)和逆文档频率(IDF)。前者代表的频率在文档中一个术语,用于描述一个术语到文档的重要性。后者表示文档,包含一定的比例,是用来测量项是否常见或罕见的所有文档。

如果 n 我 , j 代表这个词的频率 v 我 在文档中 d j 这个词的频率 v 我 代表作为 (1) 特遣部队 我 , j = n 我 , j ∑ k n 我 , k 。

逆文本词的频率 以色列国防军 我 , j 表示为 (2) 以色列国防军 我 , j = 日志 D d j : v 我 ∈ d j + 1 , 在哪里 D 代表了语料库和所有文件的总数 d j : v 我 ∈ d j 代表总数中的文档包含这个词的语料库 v 我 。因此,频率和逆文本频率 特遣部队 − 以色列国防军 我 , j 这个词的 v 我 在文档中 d j 表示为 (3) 特遣部队 − 以色列国防军 我 , j = 特遣部队 我 , j × 以色列国防军 我 , j 。

如果一个单词的TF价值从行为中提取数据很高但IDF值很低,这表明,这个词可能是重要的攻击。

当使用TF-IDF算法来识别关键字在行为数据,对所有数据提取相同的示例作为一个独立的文档 d j ,所有 d j 构成一个语料库。计算每个单词TF-IDF值 v 我 在 d j 。节约成本,提高效率,减少假警报,构造一组“停止“白名单。默认情况下,这些词使用非常广泛,不影响分类。这组包括操作系统中常见的英语单词,如“文件,微软桌面。”这句话在这个设置会自动消除,和TF-IDF值将不再计算。此外,过滤掉一些数据出现的太频繁,太多。

最后,在上述计算,数据集的行为数据被表示为一个特征矩阵 年代,其中包括超过一千的特性。此外,我们分析了前20名特性TF-IDF价值大小的大小分布在每个组织和一些功能在每个组织不同,表明我们的特征表示是有效的,该方法可以获得一些功能(参见图与一定程度的差异 4- - - - - - 10)。

自功能表示生成许多特征维度和稀疏的特征矢量值在前面的步骤中,降维的特征向量是一个更可行的方法来提高检测的速度和效率,提高模型的拟合效果。在这里,卡方检验用于特征降维。卡方检验(CHI)也被称为 x 2 统计,用于测试两个变量的独立性。卡方检验特征选择算法主要用于确定特征项之间的相关性 t 我 和类别 c j 。遵守时间 x 2 分布和价值 x 2 反映了程度的相关性 t 我 和 c j 。如果一个词有更高 x 2 相对于一个特定的类别,它表明这个词有一个伟大的相关类别。所示的计算方法 (4) x 2 t 我 , c j = N × 一个 D − B C 2 一个 + C × B + D × 一个 + B × C + D 。

其中, 一个意味着文本属于类别的数量 c j 并包含功能项 t 我 ; B意味着文本包含的数量 t 我 但不属于 c j ; C意味着不包含文本的数量 t 我 但属于 c j ; D代表文本的数量不属于 c j 和不含 t 我 功能项目, N= 一个+ B+ C+ D。选择的特征项卡方检验文本的类别,有很强的关联和特征项代表类别的信息。根据计算公式,第一个 k词选为每个类别的特征按照一定的要求。计算 x 2 统计每个特性和分类标准,最后选择 k得分最高的特性 x 2 。

我们计算卡方值超过一千的特性后生成特性表示。卡方值越大,越好区分样本的能力特征。卡方值的排名前20位的特征尺寸如图 11。

处理问题的不平衡的分类和multiclassification恰当的数据集,本文设计了SMOTE-RF模型。模型集成了击杀和随机森林算法。击杀算法是一种简单而有效的过采样方法提出的拉et al。 30.]。这种方法随机选择 k最近的邻居在少数样本和少数样本通过插值的数量增加 k最近的邻居来改善不平衡数据集分布。随机森林是一个集成的基于决策树学习算法。它使用引导重采样技术的自助方法随机选择 k样品从原始训练样本集 N与替代生成一个新的训练样本集。一些样品可能多次被选中,和一些可能不被选择一次,然后生成 k分类树形成一个随机森林基于自助样本集。最后的分类结果是投票分类树在森林里,并且该算法具有良好的泛化能力。

SMOTE-RF模型是第一个基于样本的数量 N最大的类别中的样本数量数据集S′和使用击打算法生成 N新样本的样本类别。然后,multiclassification培训执行基于随机森林算法得到分类模型,最后,输出类别预计。

SMOTE-RF模型施工过程分为七个步骤。

原始训练集 年代 火车 ′ 类,最多的是样品 N、其他类被归类为少数类少数类样本集 米, 我是少数类的一个示例,其特征向量是什么 x 我 , 我 ∈ 1 , … , 米 :

第一步:计算每个样本之间的欧氏距离 x 我 在少数民族 米样品和少数样本 米。得到了 k最近的邻居的样本。

摘要实验multiclassification。为了全面调查各种分类、性能指标选择精度,回忆,和 F1-score。另外,混淆矩阵用于表示这种分类的结果,如表所示 2。

为 我th类别( 1 ≤ 我 ≤ n )、精度( P 我 ),召回率( R 我 )和f值( F _ 分数 我 ),分别是 (6) P 我 = c 我 我 ∑ j c j 我 , R 我 = c 我 我 ∑ j c 我 j , (7) F _ 分数 我 = 2 × P 我 ∗ R 我 P 我 + R 我 。

最后,算术平均每个类别的指标计算得到宏观平均,这是用来测量每个算法的总体效果分类: (8) P 宏 = 1 n ∑ 我 = 1 n P 我 , R 宏 = 1 n ∑ 我 = 1 n R 我 , F _ 分数 宏 = 2 × P 宏 ∗ R 宏 P 宏 + R 宏 。

比较预测结果,经常执行的算法在分类任务,如资讯算法,DT算法,和XGBoost算法,选择这里的SMOTE-RF模型相比,本文通过实验和验证。每个类别中的每个模型的预测结果如表所示 3。可以看出APT29,大象,资讯和沙虫有更好的分类效果,DT, XGB,分别和SMOTE-RF模型。操作沙虫SMOTE-RF模型的分类效果最好,f值达到0.939。的分类效果下降大象组织DT模型是最好的,与一个f值达到0.903。分类操作c大调组织对这四种模式的影响是相同的。拉撒路,APT28 APT29, Naikon组织都达到了最高在SMOTE-RF f分数模型。拉撒路的f值组和APT 28相对较低。经过数据分析,主要原因是一些样品文本数据较少,导致很少有效的特征提取。此外,结合每个模型的性能在训练集(见图 12)和测试集(见图 13),可以看出,DT模型是最不稳定,SMOTE-RF模型有最好的整体分类效果和稳定性。我们的实验结果证明了我们的特征提取方法的有效性和模型的优越性。