一种云虚拟机内存恶意行为追溯取证方法与流程

本发明属于数字取证领域，具体涉及一种云虚拟机内存恶意行为追溯取证方法。

背景技术：

1、随着网络攻击技术的内存化，很多重要的数字证据仅仅存在于系统内存，这使得传统基于文件系统的数字取证技术不能有效应对，且攻击者的目的也从单纯的破坏计算机系统转变为更隐蔽的信息窃取和资源控制，给企业安全防护和取证溯源都带来了巨大的挑战。

2、当前绝大多数用于进程分析的取证工具能直观展现的进程关系均为时间关系和创建关系，如windows自带的任务管理器，进程查看管理工具process explorer，内存取证工具volatility。取证人员在掌握一定证据后，将沿着这两类关系出发，逐步追溯并还原入侵场景。但仅通过这两类关系能追溯到的证据有限，也难以将恶意行为痕迹之间的因果关系描述清楚。

3、现有的内存取证技术是通过对地址转译和内核对象结构的解析，将内存信息翻译为进程、线程、驱动、令牌等高级语义信息，再通过取证人员工作经验从中分析入侵痕迹，最终从时间并发关系和进程创建关系两个维度出发还原入侵过程。

4、这种方式首先严重依赖取证人员的经验和知识积累；其次人工操作过多，耗时长；再次得到的证据离散且不完整；追溯恶意行为时仅通过时间和创建关系出发，维度太少难以完整还原入侵事件。

技术实现思路

1、本发明所要解决的技术问题是提供一种云虚拟机内存恶意行为追溯取证方法，通过自动化提取恶意行为痕迹减少取证过程中的人员干预，降低对取证人员的依赖；通过多元关系关联分析，从更多的维度进行恶意行为追溯，能发现更多的恶意行为痕迹，还原入侵场景更完整。

2、为了解决技术问题，本发明的技术方案是：

3、1.一种云虚拟机内存恶意行为追溯取证方法，其特征在于，包括以下操作：

4、1)通过云虚拟机自省库从宿主机中获取目标虚拟机内存数据信息，并通过内存分析技术对内存数据进行语义解析和语义重构，还原出目标虚拟机的运行状态；

5、2)从包括隐藏自身行为痕迹、权限维持行为痕迹、异常网络连接行为痕迹、注入行为痕迹、敏感api调用行为痕迹和系统关键进程异常行为痕迹方面分别来检查目标主机是否遭受攻击，进一步提取恶意行为痕迹，以此判定是否目标虚拟机中是否存在恶意活动；若不存在则结束取证；若存在，则备份镜像文件作为证据保留；

6、3)依据基于层次聚类的进程关联度，将进程之间的关系整合到父子创建关系、时间并发关系、同源路径关系、名称相似关系、同源账户关系、网络通信关系、管道通信关系、文件操作关系、dll载入关系九个维度中，对所述恶意行为痕迹中恶意进程的元素逐个与除该恶意进程外的全体进程进行多元关系关联分析；

7、4)将与恶意进程相关联的进程组成进程链，将多元关系关联分析的关联强弱可视化结果后，重构入侵场景。

8、与现有技术相比，本发明的优点在于：

9、在本发明中，通过归纳总结恶意行为在内存中的痕迹表现，设计了隐藏自身行为痕迹、权限维持行为痕迹、异常网络连接行为痕迹、注入行为痕迹、敏感api调用行为痕迹和系统关键进程异常行为痕迹六类恶意行为痕迹的检测规则，完成对内存转储文件的恶意行为痕迹自动化提取。

10、利用进程之间的父子关系和时间关系进行进程关联分析，这种关联可以发现进程之间复杂且紧密的关联关系，形成一条条证据链，通过对这些证据链进行分析可以有效推断和还原出恶意活动。

11、通过将进程之间的关系整合到父子创建关系、时间并发关系、同源路径关系、名称相似关系、同源账户关系、网络通信关系、管道通信关系、文件操作关系、dll载入关系九个维度中，相较于传统内存取证使用的父子创建关系和时间并发关系可发现更多进程间的关联。

12、利用python进行层次聚类和聚类结果可视化表示，可将关联强弱数值化表示，直观地表现出与恶意进程存在关系紧密的进程。取证人员可从得到的进程链着手分析，大大提高取证效率。

13、通过进程多元关系关联分析，能将具有关联的进程相互联系起来，而不仅仅是针对恶意进程，通过离散证据点的标注就可以发现那些包含正常行为的犯罪过程，理解入侵的全过程。

技术特征：

1.一种云虚拟机内存恶意行为追溯取证方法，其特征在于，包括以下操作：

2.如权利要求1所述的一种云虚拟机内存恶意行为追溯取证方法，其特征在于，对所述恶意行为痕迹中恶意进程的元素逐个与除该恶意进程外的全体进程进行多元关系关联分析具体包括：

3.如权利要求1所述的一种云虚拟机内存恶意行为追溯取证方法，其特征在于，所述得到可量化描述的进程之间的关联度后，通过层次聚类算法将与所述恶意进程关联性强的进程聚为一簇，得到进程链：

4.如权利要求1所述的一种云虚拟机内存恶意行为追溯取证方法，其特征在于，对于隐藏自身行为从进程关系列表、内存池标签、全局句柄表三个视角交叉验证进程是否存在，发现隐藏进程；

5.如权利要求1所述的一种云虚拟机内存恶意行为追溯取证方法，其特征在于，所述父子创建关系得到恶意代码入侵路线，进程_eprocess.uniqueprocessid成员为每个进程建立了唯一的标识，通过此标识进行父子创建关系的关联；

6.如权利要求1所述的一种云虚拟机内存恶意行为追溯取证方法，其特征在于，多元关系关联分析包括以下操作：

技术总结
本发明公开了一种云虚拟机内存恶意行为追溯取证方法，包括1）通过云虚拟机自省库从宿主机中获取目标虚拟机内存数据信息，并通过内存分析技术对内存数据进行语义解析和语义重构，还原出目标虚拟机的运行状态；2）从异常行为痕迹方面分别来检查目标主机是否遭受攻击，进一步提取恶意行为痕迹，以此判定是否目标虚拟机中是否存在恶意活动；3）依据九个维度对所述恶意行为痕迹中恶意进程的元素逐个与除该恶意进程外的全体进程进行多元关系关联分析；4）重构入侵场景。本发明通过自动化提取恶意行为痕迹减少取证过程中的人员干预，降低对取证人员的依赖；能发现更多的恶意行为痕迹，还原入侵场景更完整。

技术研发人员：崔艳鹏,胡建伟,黄隽弢
受保护的技术使用者：西安胡门网络技术有限公司
技术研发日：
技术公布日：2024/2/8