黑客入侵与呆板进修沙箱逃逸
简介 对付进攻者来说,在网络方针数据的进程傍边(基本办法扫描、踩点、转达恶意软件),很轻易被安详说明师发明。呆板进修在防止规模的应用不只增进了进攻者的本钱,并且极大地限定了技能的行使寿命。着实进攻者已经发明白这种趋势:
进攻者老是处于倒霉职位,由于我们作为人类试图打败自动进修体系,这些体系操作每一次绕过实行来更多的相识我们,并猜测将来的绕过实行。然而,正如我们在这里所说的,呆板进修不只仅是在防守方行使。这篇文章将切磋进攻者怎样操作网络的很少的数据,行使呆板进修技能击溃入侵检测体系。 传统沙箱逃逸先容 在接头呆板进修之前,我们必要更细心的看看我们作为进攻者是如那里理赏罚信息的。进攻者在任何给定的主机或收集上网络不到1%的可用信息,并行使少于3%的所网络信息来做出明智的抉择(不要太在意百分比),进攻者必要进步他们的数据操作率。 文本数据也使得很难描写两个历程列表之间的差别,您将怎样描写差异主机上的历程列表之间的差别?这个题目的办理要领已经存在——我们可以用数字描写一个进程列表。看上面的进程列表,我们可以获得一些简朴的数值数据:
通过数字描写项目,我们可以开始说明差别、排序和分类项目。让我们添加一个第二个历程列表。 在每一个进程中,都有一个新的描写。我们此刻可以确定一个措施清单,以确定任何一个题目,而不必确切的知道这些措施是什么。我们怎么办理这个题目呢?我们的办理方案是求出每列的值,然后计较主机总数的均匀值。对付每个主机总数,对付沙箱,低于均匀值的值被标志为1,对付正常主机,高于均匀值的值被标志为0。 怎样行使呆板进修逃逸 1. ML&AI先容 呆板进修中行使的数学技能试图复制人类的进修。就像人类的大脑有神经元、突触和电脉冲都是相连的;人工神经收集有节点、权重,以及全部相连的激活函数。通过一再并在每次迭代之间举办小的调解,人和人工神经收集都可以或许举办调解,以便更靠近预期的输出。有用地,呆板进修试图用数学来复制你的大脑。 在呆板进修中,输入被引入到人工神经收集中。输入沿着链路权重转达到节点,并在节点中转达到激活函数。激活函数的输出确定节点是否被激活。通过迭代的搜查相对付方针值的输出,可以调解链路权重以镌汰偏差。 人工神经收集(ANNs)可以具有恣意的巨细。本文接头的收集有3个输入、3个潜匿层和一个输出。关于更大的ANN,必要留意的一点是每个节点之间的毗连数目。每个毗连暗示我们可以执行的附加计较,这既进步了收集的服从,也进步了收集的精度。另外,跟着ANN巨细的增进,数学不会改变,只有计较的数目。 2. 数据网络&数据处理赏罚 网络进程列表的数据集相对轻易。要从沙箱或长途体系获取历程列表,宏必要网络并宣布历程列表以举办网络和处理赏罚。对付处理赏罚,必要对数据集举办理会。必要计较并生涯历程计数、历程对用户比率和独一历程计数。最后,数据齐集的每个项必要正确地用0或1标志。可能,宏可以从历程列表中网络数值数据并将功效发回。选择你本身的冒险方法。为了操纵目标,我们更喜好有原始清单。 我们必要对流程列表数据集举办一次转换。前面我们较量了每个进程列表的总和与每个进程列表总和的均匀值。以这种方法行使均匀值是有题目的,由于很是大或很是小的进程列表功效可以明显地调解均匀值。重大的转变将从头分类隐藏的大量主机,引入颠簸性的猜测。为了辅佐这一点,我们缩放(归一化)数据集。有一些能力可以做到这一点。我们测试了skikit-learning中的全部缩放函数,并选择了尺度标量转换。这里重要的是,过大或过小的值不再对分类有云云不不变的影响。 3. 建设和实习神经收集 上面的例子中行使的数据是从我们的数据齐集提取出来的。有了它,我们可以开始试探呆板进修怎样辅佐进攻者检测沙箱。在高条理上,,为了乐成地实习人工神经收集,我们将迭代地:
4. 兵器化神经收集 是时辰让人工神经收集为黑客入侵事变了。为了测试我们的观念验证, 我们编写了一个简朴的宏, 它:
接下来, 我们将恶意文档上传到多个在线恶意软件扫描仪 (病毒扫描措施、恶意软件说明等) 并守候。我们在非沙箱上执行了宏 (在后头后突出表现了第一个宏), 然后几分钟后, 2个差异的沙箱执行了该宏并将计较值宣布返来。通过神经收集运行后返回值提供了精确的猜测! 最终形成一个分类猜测模子,做沙箱逃逸。 【编辑保举】
点赞 0 (编辑:河北网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |