曲线前瞻:通过机器学习对网络威胁进行更深入的了解 .full-browser-width-wrap .inner-container { 显示:table-cell!important; } .bigbannerHolder { 背景尺寸:封面; 背景重复:不重复; background-position-x:居中; background-position-y:30像素; } } ->
Joy Nathalie Avelino,Jessica Patricia Balaquit和Carmi Anne Loren Mora
关于网络威胁给企业带来的风险,网络威胁与行业无关。 如今,网络分子越来越多地使用逃避策略来绕过基于规则的检测方法,因此需要一种积极主动的技术来发现恶意软件感染,以免造成财务损失,声誉受损或业务运营中断。 解决此问题时要考虑的一种方法是通过机器学习的强大功能实现网络流聚类。
流是“ Internet协议(IP)数据包的单向流,它共享一组公共属性:通常是协议的IP五元组,源和目标IP地址,源和目标流。” 发现并分析不同类型的网络异常,需要查看流数据,因为它们包含的信息对于分析网络中不同应用程序和服务的流量组成很有用。
然后将机器学习应用于群集恶意网络流。 这将有助于分析师获得见解,从而向他们展示不同恶意软件家族之间的关系,以及它们之间的区别。 漏洞利用工具包上的网络威胁聚类结果
趋势科技在研究中使用半监督模型将原始字节流中的相似类型的恶意网络流聚类,并添加了手工制作的功能,从而能够对完全由漏洞利用工具包检测到的聚类进行过滤和分类。
群集的五个恶意软件家族分别是Rig,FlashPack,Angler,Neutrono和Blacole,它们都是通过某些文件类型来定位应用程序的。 这是有道理的,因为已知利用工具包可以通过Shockwave / Flash,PDF和Javascript(JS)等文件格式利用其目标应用程序。
为显示机器学习模型如何看待网络流,图1显示了与传递给模型的特征所确定的结构属性相对应的不同颜色。 在基于规则的检测环境中,为每个恶意软件家族创建一个规则以解决网络中存在的变化的流量特征,请务必注意,网络流量的变化会使该规则不可用(除非修改)。 因此,机器学习可以成为成功群集网络威胁并提供来自恶意流量的不同网络模式的见解的关键工具。 注意:每种颜色代表一个特征。 图1.每个恶意软件家族的原始网络数据
我们可以看到,机器学习模型能够发现恶意网络流中的相似之处。 通过在每个恶意软件家族中看到的多个特征,该模型可以确定哪些特征构成了与相似样本之间相关的特定配置文件。 图2显示了该模型如何看待恶意软件家族之间相似特征的类比。
图2.集群模型所见的恶意网络流
最初,Blacole看起来像是一个异常,因为它在数据集标签中被归类为特洛伊木马,而不是专门作为漏洞利用工具包。 但是,通过检查其网络流量,可以更清楚地发现,将Blacole与其他漏洞利用工具包链接的关键相似之处在于其恶意软件例程利用了JS漏洞。 这意味着在某些情况下,我们可以获得的描述(漏洞利用工具包)比最初提供的标签(特洛伊木马)更具体,并且可以识别漏洞利用工具包而无需为特定的攻击实例定制功能。 理解通过机器学习从集群中形成的见解
从我们对漏洞利用工具包检测的分析中可以看出,可以通过对恶意网络流进行群集来获得对来自恶意流量的不同网络模式的见解。 这些见解有助于增强规则创建,以检测网络恶意软件。
在这项研究中对机器学习的使用表明了该技术如何加快组织大量数据的过程,并提供了解释,以帮助分析师得出结论和零时间保护。
要了解有关此研究中群集的网络威胁的结果的更多信息,以及机器学习如何帮助分析师获得对未来趋势的有价值的见解,请查看我们的研究论文,“ 曲线的未来:更深入的理解”。 在韩国济州举行的TENCON 2018上发表。 论文的原始版本已上传到IEEE Xplore数字图书馆。
此作品的动画可视化已获得知识共享署名3.0未移植许可证的许可。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢
