欢迎访问Sunbet,Sunbet是欧博Allbet的官方网站!

首页Sunbet_新闻事件正文

一种可扩展的深度学习恶意软件分类方法

e6e9fdb1a932f3282020-07-0374资讯

近日,Intel和微软研究人员联合发布了题为《STAMINA: Scalable deep learning approach for malware classification》的白皮书,介绍了深度学习技术再恶意软件分类和威胁检测中的应用。

静态分析在基于深度学习的恶意软件分类中的角色

虽然静态分析方法一般是与传统检测方法相关联的,但仍然是基于人工智能的恶意软件检测的重要组成部分。尤其在预执行的检测引擎中大有用处:在无需运行应用或监控运行时行为的情况下静态分析反汇编代码。

静态分析可以生成文件的元数据(metadata)。客户端和云端的机器学习分类器可以分析元数据以确定文件是否是恶意的。通过静态分析,大多数的威胁可以在运行之前发现。

对更加复杂的威胁,基于静态分析的动态分析和行为分析可以提供更多的特征以帮助检测。

本研究借助于计算机视觉领域的知识构建了一个增强型的静态恶意软件检测框架——STAMINA,该框架使用深度迁移学习来在用图像表示的PE二进制文件上直接训练。

STAMINA方法

STAMINA是一种将恶意软件作为图像来处理的方法。STAMINA包含4个步骤:预处理(图像转化)、迁移学习、评估和解释。

一种可扩展的深度学习恶意软件分类方法  资讯 第1张

图1 STAMINA方法的3个步骤

预处理(图像转化)

首先研究人员将二进制文件转化为二维图像,图像转化步骤中含有3个子步骤:像素转换、重塑和大小重设。通过分配给每个字节0-255的值,二进制文件会被转化为一维的像素流。然后,每个像素流会转化为二维图像,其中图像的宽度和长度是由文件大小的来确定的。

迁移学习

第二个步骤是使用迁移学习方法,迁移学习可以克服隔离的学习方法的不足,使用一个任务中学到的知识来解决相关问题。迁移学习在多个计算机视觉应用中取得了巨大的成功。迁移学习方法可以绕过搜索优化的超参数和不同架构的过程来加速训练时间,虽然绕过了选择参数和架构的过程,但是整个分类性能仍然很高。在本研究中,研究人员选择了Inception-v1 作为基础模型。

一种可扩展的深度学习恶意软件分类方法  资讯 第2张

研究人员在微软提供的220万个PE文件的数据集上进行了测试。数据集按照6:2:2的比例分割为训练集、验证集和测试集。

评估

最后,在测试集上对系统的性能进行了评估。评估性能的指标包括假阳性的范围、准确率、F1分值、ROC等。一种可扩展的深度学习恶意软件分类方法  资讯 第3张结果

实际测试结果表明假阳性率0.1% 水平下的召回率为87.05%;假阳性率2.58% 水平下的召回率为99.66%、准确率为99.07%。研究结果表明深度迁移学习在恶意软件分类上有很大的应用潜力。可以帮助减少选择最优超参数和架构选择的时间和资源。

一种可扩展的深度学习恶意软件分类方法  资讯 第4张

一种可扩展的深度学习恶意软件分类方法  资讯 第5张

但STAMINA对大文件的检测成功率不高,因为大文件需要将上亿的像素转化为JPEG图像,然后对大小重新设置。在这种情况下,基于元数据的方法具有优势。

白皮书下载地址:https://www.intel.com/content/dam/www/public/us/en/ai/documents/stamina-scalable-deep-learning-whitepaper.pdf

本文翻译自:https://www.microsoft.com/security/blog/2020/05/08/microsoft-researchers-work-with-intel-labs-to-explore-new-deep-learning-approaches-for-malware-classification/:
“8220”挖矿木马入侵服务器挖矿,组建“海啸”僵尸网络,可发起DDoS攻击

一、背景 腾讯安全威胁情报中心检测到“8220”挖矿木马变种攻击。“8220”挖矿团伙擅长利用WebLogic、JBoss反序列化漏洞,Redis、Hadoop未授权访问漏洞等Web漏洞攻击服务器挖矿。近期我们发现该团伙在攻击活动中通过Apache Struts远程代码执行漏洞(CVE-2017-5638)、Tomcat弱口令爆破进行传播的木马大幅增加。 木马在横向移动阶段会利用Python实现的Redis未授权漏洞访问漏洞对随机生成的约16万个IP进行扫描攻击,并且利用植入的shell脚本hehe.sh继续利用已有公钥认证记录的机器建立SSH连接进行内网扩散,最终在失陷机器植入多款门罗币挖矿木马以及Tsunami(海啸)僵尸网络木马,后者被该团伙用来进行DDoS攻击。 “8220”挖矿木马团伙的攻击目标包括Windows和Linux服务器,在其使用的FTP服务器上,可以发现针对不同操作系统的攻击模块。该团伙释放挖矿木马时,会检查服务器是否有其他挖矿木马运行,将所有竞争挖矿木马进程结束,以独