乙個有效的,強大的和可擴充套件的惡意軟體識別模組是每個網路安全產品的關鍵組成部分。基於預執行和執行後兩階段收集的資料,惡意軟體識別模組來決定乙個物件是否是乙個威脅。
預執行階段的資料:乙個檔案在執行前可獲得所有資料。這可以包括可執行檔案格式描述、**描述、二進位制資料統計、通過****提取文字字串和資訊機其他相似資料。(靜態資訊)
執行後階段的資料:在系統中程序活動引起的行為或事件。(動態資訊)
在網路時代的早期時代,惡意軟體威脅的數量相對較低,簡單的手工預執行規則通常是足夠的檢測威脅。但是自從十多年前,惡意軟體數量的迅速增長使得反惡意軟體解決方案不能完全依賴昂貴的手工所建立的檢測規則。
機器學習在影象識別、搜尋和決策方面取得了巨大的成功。安全公司也將機器學習方法應用於惡意軟體的檢測和分類。今天,機器學習使用多種資料報括主機資料,網路和基於雲的反惡意軟體元件來提高惡意軟體的檢測能力。
利用機器學習檢測惡意活動
研究人員開始使用無監督機器學習演算法來對大量網域名稱資訊資料集進行分析,以發現新的威脅並進行攔截。一旦惡意網域名稱開始活躍,機器學習演算法就可以快速識別出攻擊活動的惡意網域名稱。背景比如在一類 的惡意活動中使用了許多個網域名稱,並持續了一段時間。這些活動一般利用像世界盃這類近期的熱點事件,網域名稱一...
關於基於機器學習的入侵檢測學習記錄
1 主機日誌記錄 2 網路流量資料 1 資料處理 2 演算法分析 1 發出警告 2 應急響應優點 準確率高 缺點 耗時大,不適合用於高速網路時代優點 效率高 缺點 只能檢測到已知的攻擊型別,對當今網路中存在未知攻擊方式不能有效的進行檢測利用龐大的已有資料學習,發現其中的內在規律,從而可以智慧型地檢測...
Windows惡意軟體分析 基於感染主機的特徵
利用procmonitor檢測 opertion creatfile readfile 常用的函式包括 createfile開啟或者建立乙個檔案,根據dwcreationdisposition標記來確定建立檔案還是開啟檔案 readfile讀取檔案內容 writefile寫內容到檔案 通常有這些函式...