XiaoMi-AI文件搜索系统
World File Search Systemmalware
数字取证中优化的恶意软件检测
数字取证中的优化恶意软件检测 SaeedAlmarri 和 Paul Sant 博士 英国卢顿贝德福德郡大学应用计算研究所 英国米尔顿凯恩斯米尔顿凯恩斯大学副院长 摘要 在互联网上,恶意软件是对系统安全的最严重威胁之一。任何系统上的大多数复杂问题都是由恶意软件和垃圾邮件引起的。网络和系统可以被称为僵尸网络的恶意软件访问和破坏,这些恶意软件通过协同攻击破坏其他系统。此类恶意软件使用反取证技术来避免检测和调查。为了防止系统受到此恶意软件的恶意活动的侵害,需要一个新的框架来开发一种优化的恶意软件检测技术。因此,本文介绍了在取证调查中执行恶意软件分析的新方法,并讨论了如何开发这样的框架。关键词 拒绝服务(DOS)、Wireshark、Netstat、TCPView、Sleuth Kit(TSK)、Autopsy、数字取证、恶意软件分析、框架 1. 简介 在过去十年中,检测恶意软件活动的技术有了显著的改进[1]。通过互联网加载和分发可执行文件始终会对系统的整体安全构成风险[2]。恶意软件程序可以通过在无害文件或应用程序中附加隐藏的恶意代码来安装。然后,远程程序员可以激活该代码,以威胁现有系统。根据 Islam 等人关于下载风险的研究[3],在下载的 450,000 多个文件中,约 18% 包含恶意软件程序。他们还调查了不同的代码调查技术是否产生相同的结果。令人惊讶的是,他们发现在许多情况下,取证调查工具无法检测到被感染文件的恶意软件内容。人们投入了大量精力来开发执行稳健计算机取证调查的技术 [6]。这些努力主要集中在收集、分析和保存恶意软件活动的证据,例如,一项关于僵尸网络的研究 [4] 和一项关于可执行间谍软件和客户端蜜罐的研究 [5] 也说明了在客户端和服务器端访问时保护系统的防御机制。[3][6] 中提到的其他报告也侧重于获取大量不同的恶意软件样本,以便研究人员和取证专家了解其性质及其原理。一些现有的工具,如 ERA 清除器、conficker 等,可以执行隐藏和匿名文件并监视其行为。这些工具可保护系统免受与恶意软件相关的所有威胁。根据 Kasama 等人 (2012) 的报告,一个恶意软件就可以危害和感染整个网络系统。因此,保护系统免受恶意代码的侵害可被视为信息安全中最关键的问题之一[6]。
数字取证中优化的恶意软件检测
数字取证中的优化恶意软件检测 SaeedAlmarri 和 Paul Sant 博士 英国贝德福德郡大学应用计算研究所,卢顿,英国 米尔顿凯恩斯大学校园副院长,米尔顿凯恩斯,英国 摘要 在互联网上,恶意软件是对系统安全的最严重威胁之一。任何系统上的大多数复杂问题都是由恶意软件和垃圾邮件引起的。网络和系统可以被称为僵尸网络的恶意软件访问和破坏,这些恶意软件通过协同攻击破坏其他系统。此类恶意软件使用反取证技术来避免检测和调查。为了防止系统受到此恶意软件的恶意活动的侵害,需要一个旨在开发优化恶意软件检测技术的新框架。因此,本文介绍了在取证调查中执行恶意软件分析的新方法,并讨论了如何开发这样的框架。关键词 拒绝服务 (DOS)、Wireshark、Netstat、TCPView、The Sleuth Kit (TSK)、Autopsy、数字取证、恶意软件分析、框架 1。简介 在过去十年中,检测恶意软件活动的技术取得了显著的进步 [1]。通过互联网加载和分发可执行文件始终会对系统的整体安全性构成风险 [2]。可以通过将隐藏的恶意代码附加到无害文件或应用程序中来安装恶意软件程序。然后,远程程序员可以激活该代码,以威胁现有系统。根据 Islam 等人对下载风险的研究 [3],在下载的 450,000 多个文件中,约 18% 包含恶意软件程序。他们还调查了不同的代码调查技术是否产生了相同的结果。令人惊讶的是,他们发现在许多情况下,取证调查工具无法检测到受感染文件的恶意软件内容。人们投入了大量精力来开发执行强大的计算机取证调查的技术 [6]。此类努力主要集中在收集、分析和保存恶意软件活动的证据,例如一项关于僵尸网络的研究 [4] 和一项关于可执行间谍软件和客户端蜜罐的研究 [5] 也说明了在客户端和服务器端访问上保护系统的防御机制。一些现有工具,如 ERA 清除器、conficker 等。可以执行隐藏和匿名文件并监视其行为。[3][6] 中提到的其他报告也专注于获取大量且多样化的恶意软件样本,以便研究人员和取证专家了解其性质及其原理。这些工具可针对与系统中运行的恶意软件相关的所有威胁提供保护。根据 Kasama 等人 (2012) 的报告,单个恶意软件可以危害和感染整个网络系统。因此,保护系统免受有害恶意代码的侵害可被视为信息安全中最关键的问题之一 [6]。
太阳风妥协恶意软件分析
太阳能妥协是21世纪最重要的网络攻击之一,不是因为它违反了一个组织,而是因为它引发了更大的供应链事件,影响了全球成千上万的组织。归因于先进的持续威胁(APT29)威胁组,此攻击利用了复杂的恶意软件工具来渗透高调实体。本文提供了攻击中使用的四个主要恶意软件变体的详细分析:Sibot,Raindrop,Goldmax和Goldfinder。建立了一个受控的环境,以研究每种恶意软件的行为,重点是实现持久性,横向运动和逃避检测的技术。这些发现有助于增强威胁情报,并提供有关改善防御类似攻击的见解,强调采取早期措施检测和防止先进的持久威胁的重要性。
网络物理系统 (CPS) 的恶意软件分类...
摘要 :如今,全球最常受到恶意软件攻击的行业是制造业、石油和天然气以及教育。诸如 BlackEnergy2 和 Triton 之类的恶意软件能够对组织和关键基础设施系统(例如石油和天然气)造成严重的、危及生命的损害。安全研究人员和从业人员正在寻找有效的解决方案来减轻此类恶意软件攻击。因此,本文提出了一种恶意软件网络物理系统 (CPS) 分类来检测攻击。这种分类的灵感来自系统发育学,借鉴了生物学领域中生物体之间的进化关系。至于网络安全视角,它发现了恶意软件基因的进化祖先。这种恶意软件分类方法包括恶意软件行为、攻击方式和网络中的连接资产。它可以根据相关性检测多种形式的恶意软件攻击。这项研究对 CPS 开发商、供应商和承包商、监管和管理公用事业运营的政府机构以及负责保护 CPS 的国家网络安全中心 (NCSC) 都大有裨益。
恶意软件和社交媒体
2.1 恶意软件的分类 ................................................................................................................ 3 2.1.1 病毒 .......................................................................................................................... 3 2.1.2 Gusano .......................................................................................................................... 7 2.1.3 Troyano ...................................................................................................................... 9 2.1.4 勒索软件 ...................................................................................................................... 10 2.1.5 恐吓软件 ...................................................................................................................... 12 2.1.6 间谍软件 ...................................................................................................................... 12 2.1.7 广告软件 ...................................................................................................................... 13 2.1.8 过度膨胀软件 ................................................................................................................ 13 2.1.9 Rootkit .......................................................................................................................... 14 2.1.10 风险软件 .......................................................................................................................... 14 2.2 僵尸网络 ................................................................................................................................ 15
使用机器检测和分类的框架
恶意软件是任何可能对计算机系统造成损害的软件。恶意软件构成了对信息系统的重大威胁,这些威胁多年来遭受了几次毁灭性攻击的影响。传统的Antimalware软件由于多种恶意软件(例如多态性)的逃避技术提供了有限的效率,以防止恶意软件删除。Antimalware只能删除其签名的恶意软件,并且对零日间攻击无效和无助。几项研究工作利用受监督和无监督的学习算法成功地检测和对恶意软件进行了分类,但是在相关研究工作中占据了误报和虚假否定,以及利用不足的数据集,这些数据集未能捕获尽可能多的恶意软件家庭来概括地发现发现。这项研究利用机器学习来检测和对恶意软件进行使用机器学习技术,包括特征选择技术以及超参数优化。主成分分析用于治疗由于用于容纳大量恶意软件系列的大型数据集而导致的维度诅咒。支持向量机,K最近的邻居和决策树用于使用两个数据集进行性能比较的模型。通过使用网格搜索和K-折叠验证并调用最佳参数以实现最佳性能,以获得最佳性能,以获得最佳的检测准确性和低的检测和低底片,从而提高了模型的性能,从而增强了所选分类器的超参数以呼吁最佳性能。使用混乱矩阵,精度,召回和F1评分评估了研究模型。准确度为99%,98.64和100%,与K最近的邻居,决策树和支持向量机与CICMALMEM数据集分别具有相等数量的恶意软件和良性文件,与K最近的邻居达到了零误报,而准确性的准确性为97.7%,70%和96%的数据,而Datation却在k中相得益彰,而DATAIT则相应地数据。与K最近的邻居一起,还可以实现38的最低误报数量。该模型接受了默认超标仪的培训,以及通过调整超参数来获得的表演来获得的超级参数,并且发现优化超标仪和功能选择技术的优化能力并不一定能够与DataIns的表现更好,并且可以通过良好的数量进行良好的数量,并提供了良好的数量。未来的作品包括使用深度学习和集合学习作为分类器以及其他超参数优化技术,例如贝叶斯优化和随机搜索,其他具有较高恶意软件系列的数据集也可以用于培训。
每月网络安全新闻简报:人工智能驱动的恶意软件崛起
在当今快速发展的数字环境中,技术已成为我们生活中不可或缺的一部分。从智能家居到自动驾驶汽车,人工智能 (AI) 的采用彻底改变了各个行业。不幸的是,与任何技术进步一样,总有人试图利用它进行恶意目的。近年来,黑客开始利用人工智能的力量来创建复杂且高效的恶意软件,给网络安全专业人员带来了新的挑战。在本文中,我们将探讨人工智能驱动的恶意软件的兴起及其带来的潜在风险。人工智能为黑客提供了前所未有的机会来开发更隐蔽、适应性更强、更具规避性的恶意软件。通过采用人工智能算法和机器学习技术,攻击者可以自动化恶意软件创建过程的许多方面,使传统防御机制更难以检测和缓解他们的行为。
网络物理系统 (CPS) 的恶意软件分类...
全球范围内的恶意软件主要涉及制造业、石油和天然气以及教育领域。BlackEnergy2 和 Triton 等恶意软件能够对组织和石油和天然气等关键基础设施系统造成严重的、危及生命的损害。安全研究人员和从业人员正在寻找有效的解决方案来缓解此类恶意软件攻击。因此,本文提出了一种恶意软件网络物理系统 (CPS) 分类来检测攻击。这种分类的灵感来自系统发育学,借鉴了生物学领域中生物体之间的进化关系。至于网络安全视角,它发现了恶意软件基因的进化祖先。这种恶意软件分类方法包括恶意软件行为、攻击模式和网络中的连接资产。它可以根据相关性检测多种形式的恶意软件攻击。这项研究对 CPS 开发商、供应商和承包商、监管和管理公用事业运营的政府机构以及负责保护 CPS 的国家网络安全中心 (NCSC) 都有好处。
2022 年恶意软件形势 - Interisle 咨询集团
这些经济回报既流向了国家支持或认可的犯罪企业,也流向了普通罪犯,这使得恶意软件既是一个执法问题,又是一个地缘政治问题。11 例如,朝鲜政府从事公然的犯罪活动,从银行抢劫到部署勒索软件,再到从网上交易所窃取加密货币。2019 年,联合国制裁朝鲜专家小组发布了一份报告,估计该国通过网络犯罪筹集了 20 亿美元。12 国家参与和犯罪企业之间的联系令人深感担忧。美国联邦调查局局长克里斯托弗·A·雷在2021年6月4日发表的《华尔街日报》采访中表示,勒索软件威胁堪比2001年9月11日世贸中心袭击事件后全球恐怖主义的挑战。13
针对乌克兰组织的破坏性恶意软件 - CISA
要报告与本联合网络安全警告中发现的信息相关的可疑或犯罪活动,请联系您当地的 FBI 外地办事处 www.fbi.gov/contact-us/field-offices ,或联系 FBI 的 24/7 网络监视(CyWatch),电话 (855) 292-3937,或发送电子邮件至 CyWatch@fbi.gov 。请尽可能提供有关事件的以下信息:事件的日期、时间和地点;活动类型;受影响的人数;用于活动的设备类型;提交公司或组织的名称;以及指定的联系人。要请求与这些威胁相关的事件响应资源或技术援助,请联系 CISA,邮箱地址为 CISAServiceDesk@cisa.dhs.gov 。本文件标记为 TLP:WHITE。披露不受限制。当信息的滥用风险极小或没有可预见的风险时,信息来源可以使用 TLP:WHITE,并遵守适用的公开发布规则和程序。根据标准版权规则,TLP:WHITE 信息可以不受限制地分发。有关交通灯协议的更多信息,请参阅 https://www.cisa.gov/tlp 。TLP