更新時間: 2023-03-08 12:00:55
05A-1100218
2021-04-19
專利申請中
MAMBA是一個類神經網路系統,透過動態分析Windows惡意程式的行為,對應MITRE ATT&CK框架中的自然語言說明、以及指出惡意程式可疑的行為(Windows API calls)。此系統可以自動化分析惡意程式所執行的Windows API calls行為,判斷那些可疑的Windows API calls是惡意行為。這個系統可以解決資安專家在做數位鑑識時,需要人工的判斷Windows程式的執行碼,那些部分是可疑的或是惡意的行為;也可以解決Windows軟體廠商在軟體開發生命週期中,測試程式的安全性。
MAMBA主要的核心技術包含1) 自動化的整合MITRE ATT&CK框架資訊、2) 雙層式類神經網路動態行為分析與3) 自動化定位可疑惡意行為(Windows API calls)。
- 自動化整合MITRE ATT&CK 框架資訊以分析惡意程式操弄的資源態樣
- 人工智慧基礎的惡意行為分析
- 自動化對應惡意行為的Windows API calls定位
- 惡意程式鑑識:可作為惡意程式分析工具,提供惡意行為的高階語意與低階執行碼。
- 軟體安全查核:可作為軟體開發測試工具,亦可在軟體下載時,檢驗是否有可疑的惡意行為,並顯示其行為的高階語意與低階執行碼。
圖1. 是MAMBA設計流程圖,包含資料抽取階段、資源與惡意行為(又稱戰術)融合階段、與惡意行為判斷階段。在資料抽取階段,包含從MITRE ATT&CK框架知識抽取與從沙盒環境側錄惡意程式執行序列;在資源與惡意行為融合階段,進行ATT&CK知識與系統資源資料預處理,包含資源嵌入(embedding)機制與建構資源與惡意行為(戰術)的綑綁類神經網路的設計;在惡意行為判斷階段即發展類神經網路模型來判斷惡意程式的惡意行為(戰略、戰術與執行流程)。
圖2. 是MAMBA 惡意行為判斷階段的類神經網路架構,當輸入一個惡意程式的執行紀錄檔(execution trace),以產生自然語言的惡意行為。首先,以每個執行程序(process)為單位,計算每個process中每個Windows API call的加權數值化向量;再將整合MITRE ATT&CK 框架中資訊,計算惡意程式操弄系統資源的行為符合哪些惡意行為。其過程包含,針對每個程序內的Windows API call,進入類神經網路的embedding層與GRU層,以獲得單一Windows API call具有時序資訊的數值化向量;再者計算resource attention distribution為了解系統資源被操弄的程度,作為每個Windows API call的權重。針對每個process中的加權Windows API call的向量,將結合事先訓練好的MITRE ATT&CK框架的資訊,計算group attention distribution以了解整體系統資源被操弄的程度以及與MITRE ATT&CK框架的關聯程度,作為最後產出惡意行為的依據。
圖3.是MAMBA自動化對應惡意行為的Windows API calls定位的範例,當偵測出程式具有哪些惡意行為時,MAMBA可以依據類神經網路架構中的group attention和resource attention以及MITRE ATT&CK框架中的binding 資訊,自動化的計算那些系統資源被操弄,是透過惡意程式那些Windows API call的指令。被惡意操弄的系統資源的判斷準則包含1) group attention的分數與2) 系統資源嵌入(embedding)特徵向量和ATT&CK資源與惡意行為綑綁特徵向量的相似度計算;惡意程式的惡意行為Windows API call定位的判斷依據為resource attention的最大值和整體標準差的範圍內。
陳孟彰、黃意婷
對本技術有興趣,請於本處網頁廠商選項下(廠商需求與諮詢)網頁填寫資料,承辦人將跟您聯絡。
MAMBA (以MITRE ATT&CK 框架為基礎的惡意行為分析系統)