本發明公開了一種基于在線惡意軟件掃描平臺的動態標簽生成方法，包括輸入ioc，通過檢測引擎判斷文件是否為hash；文件為hash，生成hash標簽；文件不為hash，繼續順位檢測文件是否為ip、domain、url；分別聚合生成對應的ip標簽、domain標簽、url標簽；本發明不僅能夠對惡意文件hash進行標記，還能基于惡意軟件掃描平臺的標記范圍，為威脅情報指示器生成標簽。

技術領域

本發明涉及計算機安全技術領域，具體為一種基于在線惡意軟件掃描平臺的動態標簽生成方法。

背景技術

在線惡意軟件掃描平臺已經被廣泛使用，尤其是威脅情報從業者和研究人員偏愛使用惡意軟件掃描平臺給獲取到的惡意樣本生成標簽。類似VirusTotal、HybridAnalysis、OTX等在線惡意軟件掃描平臺與多個安全廠商合作，調用其接口對用戶傳入的文件進行掃描，對惡意文件生成標簽。而在線掃描平臺集成多個安全廠商，其返回的掃描結果也大相徑庭，因此如何聚合標簽成為研究方向。目前主要的標簽生成方法主要有以下三種：第一種：基于閾值的方法，Armin?Sarabi和Mingyan?Liu等人使用閾值來判斷一個文件是否惡意或者屬于哪種惡意行為，即檢測出惡意的引擎個數大于閾值k則標記為“惡意”。一般情況下該閾值k會設置成1，即有一個檢測引擎檢測出惡意，則標記該文件為“惡意”。Yue?Duan和Mu?Zhang等人將這個閾值設置為檢測比例，即檢測出惡意的引擎個數/總的檢測引擎個數*100%。第二種：基于檢測引擎信譽度的方法，Mahinthan?Chandramohan等人通過選擇一些信譽度高的安全廠商的檢測引擎綜合判斷，如大家熟知的卡巴斯基、賽門鐵克、火眼等，只考慮這幾個知名引擎的檢測結果作為最終的標簽。第三種：基于專家檢測的方法，Graziano等人是找專家對惡意樣本打標簽，然后將惡意樣本在惡意軟件掃描平臺上的檢測報告作為特征，然后通過機器學習進行建模，通過模型判斷惡意樣本標簽。

對于第一種標簽生成方法，閾值的設置大多沒有經過檢驗，而且在線惡意軟件掃描平臺中的安全廠商引擎的檢測結果會隨著時間不斷變化，Shuofei?Zhu等人的調研也發現不同的引擎之間的檢測結果也具有相關性，換而言之，有些檢測引擎之間會互相參照，從而得到同一結果。而對于第二種方法，信譽度高并不能說明檢測結果的準確度高，惡意軟件掃描平臺中的部分安全廠商引擎的版本并不是最新版本，因而實際掃描結果可能存在誤差。針對第三種方法，首先無法保證人工判斷的標簽的正確性是一點，其次檢測結果是隨著時間變化而變化的，因而只獲取一天或者一次的檢測結果作為特征得到的模型顯然不具備時效性。最重要的一點是威脅情報指示器除了惡意軟件文件外，還有ip、域名、url等，然而針對惡意的ip、domain、url，目前的掃描平臺并沒有給出相應的標簽。

基于此，本發明設計了一種基于在線惡意軟件掃描平臺的動態標簽生成方法，以解決上述問題。

發明內容

本發明的目的在于提供一種基于在線惡意軟件掃描平臺的動態標簽生成方法，以解決上述背景技術中提出的問題。

為實現上述目的，本發明提供如下技術方案：一種基于在線惡意軟件掃描平臺的動態標簽生成方法，包括以下步驟：

S1：輸入ioc，通過檢測引擎判斷文件是否為hash；

S2：文件為hash，生成hash標簽，生成方法包括：

S21：掃描平臺內各個檢測引擎的版本和更新時間；

S22：獲取掃描平臺的各個檢測引擎的掃描結果；

S23：合并關聯檢測引擎結果；

S24：對多個文件hash的掃描結果進行聚合；

S25：設置標簽權重計算器，計算權重；

S26：構建惡意hash標簽映射關系；

S27：生成hash標簽；