XiaoMi-AI文件搜索系统
World File Search System恶意软件
使用机器学习的基于异常的恶意软件检测
网络安全工程系Paavai工程学院,印度泰米尔纳德邦Namakkal,摘要:恶意软件检测是网络安全的关键方面,传统的基于签名的方法证明不足以防止不断发展威胁。本期刊使用机器学习探索异常基本检测,通过识别与正常行为的偏差来识别恶意活动。所提出的系统利用机器学习算法来检测未知和零日恶意软件,从而通过适应新的威胁模式来增强网络安全。该研究研究了在现实世界环境中实施该系统的运营,经济和技术可行性。通过将先进的机器学习技术与基于异常的检测相结合,提出的系统代表了网络安全领域的重大进步。它旨在为新兴威胁提供更强大的防御机制,从而增强了针对已知和未知恶意软件的保护。本期刊不仅有助于开发前沿安全技术的发展,而且还为在动态和复杂的现实世界环境中实施这些系统的实际考虑提供了宝贵的见解。简介恶意软件多年来一直在显着发展,越来越复杂且难以捉摸,这使传统的检测方法(例如基于签名的方法)越来越无效。与基于签名的方法(反应性且仅限于已知威胁)不同,基于异常的检测旨在主动识别可能指示新形式或未知形式恶意软件的可疑行为。基于签名的检测取决于已知的恶意软件签名和模式的数据库;但是,这种方法与不匹配任何已知签名或多态性恶意软件的新兴威胁斗争,这些威胁不断地改变其外观以逃避检测。基于动物的检测是一种有希望的替代方案,通过专注于确定与系统或网络中正常行为的既定模式的偏差。这种方法利用机器学习技术来构建和维护正常活动的全面模型,从而使其能够识别和标记偏离该基线的异常模式。
数字取证中优化的恶意软件检测
数字取证中的优化恶意软件检测 SaeedAlmarri 和 Paul Sant 博士 英国卢顿贝德福德郡大学应用计算研究所 英国米尔顿凯恩斯米尔顿凯恩斯大学副院长 摘要 在互联网上,恶意软件是对系统安全的最严重威胁之一。任何系统上的大多数复杂问题都是由恶意软件和垃圾邮件引起的。网络和系统可以被称为僵尸网络的恶意软件访问和破坏,这些恶意软件通过协同攻击破坏其他系统。此类恶意软件使用反取证技术来避免检测和调查。为了防止系统受到此恶意软件的恶意活动的侵害,需要一个新的框架来开发一种优化的恶意软件检测技术。因此,本文介绍了在取证调查中执行恶意软件分析的新方法,并讨论了如何开发这样的框架。关键词 拒绝服务(DOS)、Wireshark、Netstat、TCPView、Sleuth Kit(TSK)、Autopsy、数字取证、恶意软件分析、框架 1. 简介 在过去十年中,检测恶意软件活动的技术有了显著的改进[1]。通过互联网加载和分发可执行文件始终会对系统的整体安全构成风险[2]。恶意软件程序可以通过在无害文件或应用程序中附加隐藏的恶意代码来安装。然后,远程程序员可以激活该代码,以威胁现有系统。根据 Islam 等人关于下载风险的研究[3],在下载的 450,000 多个文件中,约 18% 包含恶意软件程序。他们还调查了不同的代码调查技术是否产生相同的结果。令人惊讶的是,他们发现在许多情况下,取证调查工具无法检测到被感染文件的恶意软件内容。人们投入了大量精力来开发执行稳健计算机取证调查的技术 [6]。这些努力主要集中在收集、分析和保存恶意软件活动的证据,例如,一项关于僵尸网络的研究 [4] 和一项关于可执行间谍软件和客户端蜜罐的研究 [5] 也说明了在客户端和服务器端访问时保护系统的防御机制。[3][6] 中提到的其他报告也侧重于获取大量不同的恶意软件样本,以便研究人员和取证专家了解其性质及其原理。一些现有的工具,如 ERA 清除器、conficker 等,可以执行隐藏和匿名文件并监视其行为。这些工具可保护系统免受与恶意软件相关的所有威胁。根据 Kasama 等人 (2012) 的报告,一个恶意软件就可以危害和感染整个网络系统。因此,保护系统免受恶意代码的侵害可被视为信息安全中最关键的问题之一[6]。
现代恶意软件分析 - 混淆技术 - Theseus
威胁行为者使用恶意软件来损害个人和公司。由于其适应性,恶意软件是最普遍的网络攻击形式。例如,网络攻击可以从简单的病毒到复杂的勒索软件操作。在这场永无止境的猫捉老鼠游戏中,恶意软件作者设计出越来越复杂的策略来绕过系统防御,而网络安全专业人员、防御系统设计人员和端点保护开发人员则设计出改进的方法来识别这些新策略。本论文的目的是帮助个人和企业了解恶意软件目前和将来的样子,如何逃避系统保护措施并隐藏自己不被分析。由于混淆技术是逃避和隐藏分析的重要方法之一,理论研究着眼于各种混淆技术、系统防御这些技术的能力以及未来创新的可能性。论文的研究结果强调,需要理解现有恶意软件技术的实施方法,以了解当前安全措施的局限性以及研究恶意软件代码和预测其未来发展的挑战。由于恶意软件作者总是领先于安全开发人员一步,因此实现全面保护并预测新威胁具有挑战性,甚至是不可能的。
数字取证中优化的恶意软件检测
数字取证中的优化恶意软件检测 SaeedAlmarri 和 Paul Sant 博士 英国贝德福德郡大学应用计算研究所,卢顿,英国 米尔顿凯恩斯大学校园副院长,米尔顿凯恩斯,英国 摘要 在互联网上,恶意软件是对系统安全的最严重威胁之一。任何系统上的大多数复杂问题都是由恶意软件和垃圾邮件引起的。网络和系统可以被称为僵尸网络的恶意软件访问和破坏,这些恶意软件通过协同攻击破坏其他系统。此类恶意软件使用反取证技术来避免检测和调查。为了防止系统受到此恶意软件的恶意活动的侵害,需要一个旨在开发优化恶意软件检测技术的新框架。因此,本文介绍了在取证调查中执行恶意软件分析的新方法,并讨论了如何开发这样的框架。关键词 拒绝服务 (DOS)、Wireshark、Netstat、TCPView、The Sleuth Kit (TSK)、Autopsy、数字取证、恶意软件分析、框架 1。简介 在过去十年中,检测恶意软件活动的技术取得了显著的进步 [1]。通过互联网加载和分发可执行文件始终会对系统的整体安全性构成风险 [2]。可以通过将隐藏的恶意代码附加到无害文件或应用程序中来安装恶意软件程序。然后,远程程序员可以激活该代码,以威胁现有系统。根据 Islam 等人对下载风险的研究 [3],在下载的 450,000 多个文件中,约 18% 包含恶意软件程序。他们还调查了不同的代码调查技术是否产生了相同的结果。令人惊讶的是,他们发现在许多情况下,取证调查工具无法检测到受感染文件的恶意软件内容。人们投入了大量精力来开发执行强大的计算机取证调查的技术 [6]。此类努力主要集中在收集、分析和保存恶意软件活动的证据,例如一项关于僵尸网络的研究 [4] 和一项关于可执行间谍软件和客户端蜜罐的研究 [5] 也说明了在客户端和服务器端访问上保护系统的防御机制。一些现有工具,如 ERA 清除器、conficker 等。可以执行隐藏和匿名文件并监视其行为。[3][6] 中提到的其他报告也专注于获取大量且多样化的恶意软件样本,以便研究人员和取证专家了解其性质及其原理。这些工具可针对与系统中运行的恶意软件相关的所有威胁提供保护。根据 Kasama 等人 (2012) 的报告,单个恶意软件可以危害和感染整个网络系统。因此,保护系统免受有害恶意代码的侵害可被视为信息安全中最关键的问题之一 [6]。
基于遗传算法的图形解释器用于恶意软件分析
摘要 - MALWARE分析师通常更喜欢使用呼叫图,控制流程图(CFGS)和数据流程图(DFGS)的反向工程(DFGS),涉及黑盒深度学习(DL)模型的利用。拟议的研究介绍了一条结构化管道,用于基于逆向工程的分析,与最新方法相比,提供了有希望的结果,并为子图中的恶意代码块提供了高级的可解释性。我们将规范可执行组(CEG)作为便携式可执行文件(PE)文件的新表示形式提出,将句法和语义信息独特地纳入其节点嵌入。同时,Edge具有捕获PE文件的结构方面。这是介绍涉及句法,语义和结构特征的PE文件表示形式的第一项工作,而以前的努力通常仅集中在句法或结构属性上。此外,识别出恶意软件肛门的可解释人工智能(XAI)中现有图形解释方法的局限性,这主要是由于恶意文件的特异性,我们介绍了基于遗传算法的图形解释器(gage)。gage在CEG上运行,努力确定与预测的恶意软件家族相关的精确子图。通过实验和比较,与先前的基准相比,我们提出的管道在模型鲁棒性得分和判别能力方面表现出很大的改善。此外,我们已经成功地使用了对现实世界数据的实用应用,从而产生了有意义的见解和解释性。这项研究提供了一种强大的解决方案,可以通过对恶意软件行为有透明而准确的了解来增强网络安全。此外,所提出的算法专门用于处理基于图的数据,有效解剖复杂的含量和隔离影响的节点。索引术语 - 模式分析,可解释的AI,解释性,图,遗传算法
H1 2024:恶意软件和脆弱性趋势报告
InfoStealer仍然是主要的恶意软件类别。这与大多数威胁行为者是出于财务动机的一致,因为威胁行为者可以通过直接从受害者那里窃取资金或将数据销售给黑暗网络和地下市场上的其他威胁参与者,从而使被盗数据(例如信用卡信息或加密货币钱包凭证)获利。尽管一些驾驶此类别的恶意软件家庭从H1 2023转移到H1 2024,例如Vidar,Redline和Lokibot(Windows变体),但一些家庭在今年的前十名中首次亮相,例如新著名的Risepro。最引人注目的开发是Lummac2在H1 2024中没有进入H1 2023的前十名之后的恶意软件系列排名。虽然至少自2022年8月以来,该InfoStealer一直活跃,但Insikt Group最近发现了Lummac2采用了新的TTP。具体来说,Lummac2已开始滥用Steam社区配置文件的用户名来分发C2服务器配置,这是Vidar活动中先前观察到的行为。同时,salital的复兴是在2003年在野外观察到的多态性僵尸网络,突出了传统恶意软件的持续流行率。
基于深度学习的恶意软件检测的自动化机器学习
深度学习(DL)已被证明在检测不断发展的复杂恶意软件方面具有有效性。,尽管深度学习减轻了功能工程问题,从而找到了最佳的DL模型的体系结构和一组超参数,但仍然是一个需要领域专业知识的挑战。此外,许多提出的最新模型非常复杂,可能不是不同数据集的最佳选择。一种有希望的方法,即自动化机器学习(AUTOML),可以通过自动化ML管道密钥组件(即超参数优化和神经架构搜索(NAS))来减少开发自定义DL模型所需的域专业知识。Automl减少了设计DL模型所涉及的人类反复试验的数量,在最近的实现中,可以找到具有相对较低计算开销的新模型体系结构。对使用汽车进行恶意软件检测的可行性的研究非常有限。这项工作提供了全面的分析和有关将AUTOML用于静态和在线恶意软件检测的见解。对于静态,我们的分析是在两个广泛使用的恶意软件数据集上进行的:Sorel-20m,以在大型数据集上演示效率;和Ember-2018,这是一个较小的数据集,该数据集特定于策划,以阻碍机器学习模型的性能。此外,我们还显示了调整NAS过程参数的效果,以在这些静态分析数据集中找到更佳的恶意软件检测模型。此外,我们还证明了Automl是在线恶意软件检测方案中使用卷积神经网络(CNN)的云IAAS的表现。我们使用新生成的在线恶意软件数据集将AutoML技术与六个现有的最先进的CNN进行了比较,而在恶意软件执行期间,有或没有其他应用程序在后台运行。我们表明,与最先进的CNN相比,汽车技术的性能更高,而在架构上很少有开销。一般而言,我们的实验结果表明,基于汽车的静态和在线恶意软件检测模型的性能比文献中介绍的最先进的模型或手工设计的模型在标准杆上甚至更好。
使用机器学习算法进行恶意软件分析和检测
摘要:恶意软件是当今互联网用户面临的最重要问题之一。多态恶意软件是一种新型恶意软件,比前几代病毒更具适应性。多态恶意软件不断修改其签名特征,以避免被传统的基于签名的恶意软件检测模型识别。为了识别恶意威胁或恶意软件,我们使用了许多机器学习技术。高检测率表明选择了准确率最高的算法用于系统。作为一种优势,混淆矩阵测量了误报和漏报的数量,这提供了有关系统运行情况的附加信息。特别是,事实证明,使用恶意软件分析和检测的结果以及机器学习算法来计算相关对称性(Naive Byes、SVM、J48、RF 和所提出的方法)积分的差异,可以检测计算机系统上的有害流量,从而提高计算机网络的安全性。结果表明,与其他分类器相比,DT(99%)、CNN(98.76%)和 SVM(96.41%)在检测准确率方面表现良好。比较了给定数据集中 DT、CNN 和 SVM 算法在小 FPR(DT = 2.01%、CNN = 3.97% 和 SVM = 4.63%)上检测恶意软件的性能。这些结果意义重大,因为恶意软件变得越来越普遍和复杂。
每月网络安全新闻简报:人工智能驱动的恶意软件崛起
在当今快速发展的数字环境中,技术已成为我们生活中不可或缺的一部分。从智能家居到自动驾驶汽车,人工智能 (AI) 的采用彻底改变了各个行业。不幸的是,与任何技术进步一样,总有人试图利用它进行恶意目的。近年来,黑客开始利用人工智能的力量来创建复杂且高效的恶意软件,给网络安全专业人员带来了新的挑战。在本文中,我们将探讨人工智能驱动的恶意软件的兴起及其带来的潜在风险。人工智能为黑客提供了前所未有的机会来开发更隐蔽、适应性更强、更具规避性的恶意软件。通过采用人工智能算法和机器学习技术,攻击者可以自动化恶意软件创建过程的许多方面,使传统防御机制更难以检测和缓解他们的行为。