恶意软件和攻击技术(十一):基于机器学习的恶意软件检测安全分析

admin 2022年6月27日07:55:10评论78 views字数 808阅读2分41秒阅读模式

《网络安全知识体系》

恶意软件和攻击技术(十一):

恶意软件检测之基于机器学习的安全分析


4.2.2 基于机器学习的安全分析

自20世纪90年代末以来,机器学习(ML)已被应用于自动构建用于检测恶意软件和攻击的模型的过程。机器学习的好处是能够对一组样本进行泛化,并给出这些样本的各种特征(描述)。例如,在提供不同恶意软件家族的ML算法样本以进行“训练”后,生成的模型能够将新的、看不见的恶意软件分类为属于其中一个家庭。

基于ML的检测模型可以采用恶意软件和攻击的静态和动态功能。静态功能的示例包括:指令、控制流图、调用图等。动态特征的示例包括:系统调用序列和其他统计信息(例如,系统调用的频率和存在性)、系统调用参数、数据流图、网络有效载荷功能等。

恶意软件和攻击技术(十一):基于机器学习的恶意软件检测安全分析

应用机器学习来检测恶意软件和攻击的成功案例的一个例子是僵尸网络检测。ML技术的开发是为了有效地将域名分类为由域生成算法(DGA),C&C域或使用从中提取的特征的合法域生成的域名DNS流量。ML技术也被开发出来,根据从网络流量数据派生的特征来识别企业网络中的C&C服务器以及机器人。

将(经典)机器学习应用于安全性的一个主要障碍是,我们必须选择甚至设计可用于对良性和恶意活动进行分类的功能。特征工程是非常知识和劳动密集型的,是将ML应用于任何问题领域的瓶颈。深度学习在没有太多特征工程的情况下从大量数据中学习方面已经显示出一些希望,并且已经在图像分类等应用中取得了巨大的成功。

但是,与许多经典的ML模型(如决策树和归纳规则)不同,这些模型是人类可读的,因此在做出部署决策之前可由安全分析师进行审查,深度学习输出的黑盒模型不可读且不易解释。通常无法了解正在使用哪些特征(以及如何)来做出分类决策。也就是说,通过深度学习,安全分析师无法再从领域或专业知识的角度检查输出是否有意义。

原文始发于微信公众号(河南等级保护测评):恶意软件和攻击技术(十一):基于机器学习的恶意软件检测安全分析

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月27日07:55:10
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   恶意软件和攻击技术(十一):基于机器学习的恶意软件检测安全分析https://cn-sec.com/archives/1142660.html

发表评论

匿名网友 填写信息