XiaoMi-AI文件搜索系统
World File Search System恶意
使用机器学习的恶意URL预测和检测
摘要由于对个人,公司和数字基础设施的危害日益增长,因此对恶意URL的有效识别变得至关重要。本研究评估了多个机器学习算法,以预测和识别危险URL。研究的重点是随机森林分类器,因为它在二进制和多类分类任务中优于竞争对手模型。在二元分类中具有98.9%的精度,随机森林分类器的表现良好。这表明分类器可以识别安全和危险的URL。该系统的精度为98.8%,F1得分为99.3%,真实正率为99.7%,而真为95.6的真实负率证明了其可靠性。多类分类精度为97.0%,精度,召回和F1得分对于随机森林分类器再次很好。本研究提供了提高网络安全性的实用技巧,并显示了透明的AI模型和跨学科的团队工作如何解决复杂的网络安全问题。这项研究为已知信息的主体做出了重大贡献,其意义在于它提供了这两种好处。关键字:恶意软件,机器学习,URL,恶意。1。引言在当今快节奏的数字景观中,导致恶意网站的统一资源定位器(URL)的存在代表了一种实质而不断发展的网络安全威胁。网络犯罪分子在制作这些欺骗性的URL时表现出显着的创造力,巧妙地伪装它们,类似于可靠且值得信赖的来源。必须强大而严格令人遗憾的是,这些看似值得信赖的URL充当诱饵,诱使毫无戒心的用户进入危险的陷阱,并具有偷窃敏感的个人信息的邪恶意图(Alomari等,2023)。与这种恶意URL互动的影响可能是可怕的和深远的。一旦一个人无意间冒险进入这些险恶的地点,许多危害就会降临。个人和财务数据被当今数字时代被认为是神圣不可侵犯的,面临着掠夺的严重风险。此外,这些流氓URL可以充当传播阴险恶意软件的向量,不仅能够渗透单个计算机,而且可以渗透整个网络,从而使损害呈指数增大。打击这种威胁的最困扰的挑战之一是流氓网站的扩散和网络攻击的复杂性不断提高(Naim等,2023)。网络犯罪分子所采用的欺骗性艺术使普通用户越来越艰巨地区分安全和危险的网址,从而进一步加剧了危险。鉴于这种严峻的现实,维护在线安全和保障已经具有至关重要的意义。
数字取证中优化的恶意软件检测
数字取证中的优化恶意软件检测 SaeedAlmarri 和 Paul Sant 博士 英国卢顿贝德福德郡大学应用计算研究所 英国米尔顿凯恩斯米尔顿凯恩斯大学副院长 摘要 在互联网上,恶意软件是对系统安全的最严重威胁之一。任何系统上的大多数复杂问题都是由恶意软件和垃圾邮件引起的。网络和系统可以被称为僵尸网络的恶意软件访问和破坏,这些恶意软件通过协同攻击破坏其他系统。此类恶意软件使用反取证技术来避免检测和调查。为了防止系统受到此恶意软件的恶意活动的侵害,需要一个新的框架来开发一种优化的恶意软件检测技术。因此,本文介绍了在取证调查中执行恶意软件分析的新方法,并讨论了如何开发这样的框架。关键词 拒绝服务(DOS)、Wireshark、Netstat、TCPView、Sleuth Kit(TSK)、Autopsy、数字取证、恶意软件分析、框架 1. 简介 在过去十年中,检测恶意软件活动的技术有了显著的改进[1]。通过互联网加载和分发可执行文件始终会对系统的整体安全构成风险[2]。恶意软件程序可以通过在无害文件或应用程序中附加隐藏的恶意代码来安装。然后,远程程序员可以激活该代码,以威胁现有系统。根据 Islam 等人关于下载风险的研究[3],在下载的 450,000 多个文件中,约 18% 包含恶意软件程序。他们还调查了不同的代码调查技术是否产生相同的结果。令人惊讶的是,他们发现在许多情况下,取证调查工具无法检测到被感染文件的恶意软件内容。人们投入了大量精力来开发执行稳健计算机取证调查的技术 [6]。这些努力主要集中在收集、分析和保存恶意软件活动的证据,例如,一项关于僵尸网络的研究 [4] 和一项关于可执行间谍软件和客户端蜜罐的研究 [5] 也说明了在客户端和服务器端访问时保护系统的防御机制。[3][6] 中提到的其他报告也侧重于获取大量不同的恶意软件样本,以便研究人员和取证专家了解其性质及其原理。一些现有的工具,如 ERA 清除器、conficker 等,可以执行隐藏和匿名文件并监视其行为。这些工具可保护系统免受与恶意软件相关的所有威胁。根据 Kasama 等人 (2012) 的报告,一个恶意软件就可以危害和感染整个网络系统。因此,保护系统免受恶意代码的侵害可被视为信息安全中最关键的问题之一[6]。
Health-ISAC 和 HC3 联合公告:潜在的恶意网络...
拜登政府已将加强网络安全防御作为优先事项,以使美国做好应对威胁的准备。拜登总统的行政命令正在对联邦政府防御系统进行现代化改造,并提高广泛使用的技术的安全性。总统已启动公私行动计划,以加强电力、管道和水务部门的网络安全,并指示各部门和机构利用所有现有政府权力来强制实施新的网络安全和网络防御措施。在国际上,政府召集了 30 多个盟友和合作伙伴,共同合作检测和阻止勒索软件威胁,号召七国集团国家追究窝藏勒索软件罪犯的国家的责任,并与合作伙伴和盟友一起采取措施公开归咎恶意活动。
现代恶意软件分析 - 混淆技术 - Theseus
威胁行为者使用恶意软件来损害个人和公司。由于其适应性,恶意软件是最普遍的网络攻击形式。例如,网络攻击可以从简单的病毒到复杂的勒索软件操作。在这场永无止境的猫捉老鼠游戏中,恶意软件作者设计出越来越复杂的策略来绕过系统防御,而网络安全专业人员、防御系统设计人员和端点保护开发人员则设计出改进的方法来识别这些新策略。本论文的目的是帮助个人和企业了解恶意软件目前和将来的样子,如何逃避系统保护措施并隐藏自己不被分析。由于混淆技术是逃避和隐藏分析的重要方法之一,理论研究着眼于各种混淆技术、系统防御这些技术的能力以及未来创新的可能性。论文的研究结果强调,需要理解现有恶意软件技术的实施方法,以了解当前安全措施的局限性以及研究恶意软件代码和预测其未来发展的挑战。由于恶意软件作者总是领先于安全开发人员一步,因此实现全面保护并预测新威胁具有挑战性,甚至是不可能的。
数字取证中优化的恶意软件检测
数字取证中的优化恶意软件检测 SaeedAlmarri 和 Paul Sant 博士 英国贝德福德郡大学应用计算研究所,卢顿,英国 米尔顿凯恩斯大学校园副院长,米尔顿凯恩斯,英国 摘要 在互联网上,恶意软件是对系统安全的最严重威胁之一。任何系统上的大多数复杂问题都是由恶意软件和垃圾邮件引起的。网络和系统可以被称为僵尸网络的恶意软件访问和破坏,这些恶意软件通过协同攻击破坏其他系统。此类恶意软件使用反取证技术来避免检测和调查。为了防止系统受到此恶意软件的恶意活动的侵害,需要一个旨在开发优化恶意软件检测技术的新框架。因此,本文介绍了在取证调查中执行恶意软件分析的新方法,并讨论了如何开发这样的框架。关键词 拒绝服务 (DOS)、Wireshark、Netstat、TCPView、The Sleuth Kit (TSK)、Autopsy、数字取证、恶意软件分析、框架 1。简介 在过去十年中,检测恶意软件活动的技术取得了显著的进步 [1]。通过互联网加载和分发可执行文件始终会对系统的整体安全性构成风险 [2]。可以通过将隐藏的恶意代码附加到无害文件或应用程序中来安装恶意软件程序。然后,远程程序员可以激活该代码,以威胁现有系统。根据 Islam 等人对下载风险的研究 [3],在下载的 450,000 多个文件中,约 18% 包含恶意软件程序。他们还调查了不同的代码调查技术是否产生了相同的结果。令人惊讶的是,他们发现在许多情况下,取证调查工具无法检测到受感染文件的恶意软件内容。人们投入了大量精力来开发执行强大的计算机取证调查的技术 [6]。此类努力主要集中在收集、分析和保存恶意软件活动的证据,例如一项关于僵尸网络的研究 [4] 和一项关于可执行间谍软件和客户端蜜罐的研究 [5] 也说明了在客户端和服务器端访问上保护系统的防御机制。一些现有工具,如 ERA 清除器、conficker 等。可以执行隐藏和匿名文件并监视其行为。[3][6] 中提到的其他报告也专注于获取大量且多样化的恶意软件样本,以便研究人员和取证专家了解其性质及其原理。这些工具可针对与系统中运行的恶意软件相关的所有威胁提供保护。根据 Kasama 等人 (2012) 的报告,单个恶意软件可以危害和感染整个网络系统。因此,保护系统免受有害恶意代码的侵害可被视为信息安全中最关键的问题之一 [6]。
基于遗传算法的图形解释器用于恶意软件分析
摘要 - MALWARE分析师通常更喜欢使用呼叫图,控制流程图(CFGS)和数据流程图(DFGS)的反向工程(DFGS),涉及黑盒深度学习(DL)模型的利用。拟议的研究介绍了一条结构化管道,用于基于逆向工程的分析,与最新方法相比,提供了有希望的结果,并为子图中的恶意代码块提供了高级的可解释性。我们将规范可执行组(CEG)作为便携式可执行文件(PE)文件的新表示形式提出,将句法和语义信息独特地纳入其节点嵌入。同时,Edge具有捕获PE文件的结构方面。这是介绍涉及句法,语义和结构特征的PE文件表示形式的第一项工作,而以前的努力通常仅集中在句法或结构属性上。此外,识别出恶意软件肛门的可解释人工智能(XAI)中现有图形解释方法的局限性,这主要是由于恶意文件的特异性,我们介绍了基于遗传算法的图形解释器(gage)。gage在CEG上运行,努力确定与预测的恶意软件家族相关的精确子图。通过实验和比较,与先前的基准相比,我们提出的管道在模型鲁棒性得分和判别能力方面表现出很大的改善。此外,我们已经成功地使用了对现实世界数据的实用应用,从而产生了有意义的见解和解释性。这项研究提供了一种强大的解决方案,可以通过对恶意软件行为有透明而准确的了解来增强网络安全。此外,所提出的算法专门用于处理基于图的数据,有效解剖复杂的含量和隔离影响的节点。索引术语 - 模式分析,可解释的AI,解释性,图,遗传算法
H1 2024:恶意软件和脆弱性趋势报告
InfoStealer仍然是主要的恶意软件类别。这与大多数威胁行为者是出于财务动机的一致,因为威胁行为者可以通过直接从受害者那里窃取资金或将数据销售给黑暗网络和地下市场上的其他威胁参与者,从而使被盗数据(例如信用卡信息或加密货币钱包凭证)获利。尽管一些驾驶此类别的恶意软件家庭从H1 2023转移到H1 2024,例如Vidar,Redline和Lokibot(Windows变体),但一些家庭在今年的前十名中首次亮相,例如新著名的Risepro。最引人注目的开发是Lummac2在H1 2024中没有进入H1 2023的前十名之后的恶意软件系列排名。虽然至少自2022年8月以来,该InfoStealer一直活跃,但Insikt Group最近发现了Lummac2采用了新的TTP。具体来说,Lummac2已开始滥用Steam社区配置文件的用户名来分发C2服务器配置,这是Vidar活动中先前观察到的行为。同时,salital的复兴是在2003年在野外观察到的多态性僵尸网络,突出了传统恶意软件的持续流行率。
与恶意演员联合学习的安全多方聚集
摘要 - 填充学习(FL)是机器学习越来越流行的方法(ML),在培训数据集高度分布的情况下。客户在其数据集中执行本地培训,然后将更新汇总到全球模型中。现有的聚合协议要么效率低下,要么不考虑系统中恶意参与者的情况。这是使FL成为隐私敏感ML应用的理想解决方案的主要障碍。我们提出E LSA,这是FL的安全聚合协议,它打破了此障碍 - 它是有效的,并解决了其设计核心的恶意参与者的存在。与PRIO和PRIO+的先前工作类似,E LSA提供了一种新颖的安全聚合协议,该协议是由两台服务器构建的,该协议是在两台服务器上构建的,只要一台服务器诚实,捍卫恶意客户端,并且是有效的端到端。与先前的工作相比,E LSA中的区别主题是,客户不是交互产生加密相关的服务器,而是在不损害协议安全性的情况下充当这些相关性的不受信任的经销商。与先前的工作相比,这导致了更快的协议,同时还可以实现更强的安全性。我们引入了新技术,即使服务器是恶意的,在运行时的较小成本为7-25%,而对于半honest服务器的情况,通信的增加而言可以忽略不计。我们的工作改善了先前工作的端到端运行时,具有相似的安全保证的大幅度保证 - 单格聚集器ROFL最多305 x(对于我们考虑的模型),并最多分配了8 x。
基于深度学习的恶意软件检测的自动化机器学习
深度学习(DL)已被证明在检测不断发展的复杂恶意软件方面具有有效性。,尽管深度学习减轻了功能工程问题,从而找到了最佳的DL模型的体系结构和一组超参数,但仍然是一个需要领域专业知识的挑战。此外,许多提出的最新模型非常复杂,可能不是不同数据集的最佳选择。一种有希望的方法,即自动化机器学习(AUTOML),可以通过自动化ML管道密钥组件(即超参数优化和神经架构搜索(NAS))来减少开发自定义DL模型所需的域专业知识。Automl减少了设计DL模型所涉及的人类反复试验的数量,在最近的实现中,可以找到具有相对较低计算开销的新模型体系结构。对使用汽车进行恶意软件检测的可行性的研究非常有限。这项工作提供了全面的分析和有关将AUTOML用于静态和在线恶意软件检测的见解。对于静态,我们的分析是在两个广泛使用的恶意软件数据集上进行的:Sorel-20m,以在大型数据集上演示效率;和Ember-2018,这是一个较小的数据集,该数据集特定于策划,以阻碍机器学习模型的性能。此外,我们还显示了调整NAS过程参数的效果,以在这些静态分析数据集中找到更佳的恶意软件检测模型。此外,我们还证明了Automl是在线恶意软件检测方案中使用卷积神经网络(CNN)的云IAAS的表现。我们使用新生成的在线恶意软件数据集将AutoML技术与六个现有的最先进的CNN进行了比较,而在恶意软件执行期间,有或没有其他应用程序在后台运行。我们表明,与最先进的CNN相比,汽车技术的性能更高,而在架构上很少有开销。一般而言,我们的实验结果表明,基于汽车的静态和在线恶意软件检测模型的性能比文献中介绍的最先进的模型或手工设计的模型在标准杆上甚至更好。
elsa:与恶意演员联合学习的安全汇总
摘要 - 填充学习(FL)是机器学习越来越流行的方法(ML),在培训数据集高度分布的情况下。客户在其数据集中执行本地培训,然后将更新汇总到全球模型中。现有的聚合协议要么效率低下,要么不考虑系统中恶意参与者的情况。这是使FL成为隐私敏感ML应用的理想解决方案的主要障碍。我们提出E LSA,这是FL的安全聚合协议,它打破了此障碍 - 它是有效的,并解决了其设计核心的恶意参与者的存在。与PRIO和PRIO+的先前工作类似,E LSA提供了一种新颖的安全聚合协议,该协议是由两台服务器构建的,只要一台服务器诚实,捍卫恶意客户端,并且是有效的端到端。与先前的工作相比,E LSA中的区别主题是,客户不是交互产生加密相关的服务器,而是在不损害协议安全性的情况下充当这些相关性的不受信任的经销商。与先前的工作相比,这导致了更快的协议,同时还可以实现更强的安全性。我们引入了新技术,即使服务器是恶意的,在运行时的较小成本为7-25%,而对于半honest服务器的情况,通信的增加而言可以忽略不计。我们的工作改善了先前工作的端到端运行时,具有相似的安全保证的大幅度保证 - 单格聚集器ROFL最多305 x(对于我们考虑的模型),并最多分配了8 x。