黑客入侵与机器学习沙箱逃逸

对付进击者来说,在网络目标数据的历程傍边(根基举措措施扫描、踩点、通报恶意软件),很轻易被安然阐发师发明。机械进修在防御领域的利用不仅增添了进击者的资源,而且极大年夜地限定了技巧的应用寿命。着实进击者已经发清楚明了这种趋势,

· 防御软件以及安然阐发职员可以造访大年夜量数据网络和阐发

· 机械进修无处不在,以加速戍守成熟度。

进击者老是处于晦气职位地方,由于我们作为人类试图打败自动进修系统,这些系统使用每一次绕过考试测验来更多的懂得我们,并猜测未来的绕过考试测验。然而,正如我们在这里所说的,机械进修不仅仅是在戍守方应用。这篇文章将探究进击者若何使用网络的很少的数据,应用机械进修技巧击溃入侵检测系统。

0x01、传统沙箱逃逸先容

在评论争论机械进修之前,我们必要更仔细的看看我们作为进击者是若何处置惩罚信息的。进击者在任何给定的主机或收集上网络不到1%的可用信息,并应用少于3%的所网络信息来做出明智的抉择(不要太在意百分比),进击者必要前进他们的数据使用率

文本数据也使得很难描述两个进程列表之间的差异,您将若何描述不合主机上的进程列表之间的差异?这个问题的办理措施已经存在——我们可以用数字描述一个历程列表。看上面的历程列表,我们可以获得一些简单的数值数据:

· 有11个历程

· 进程与用户的比率为2.75。

· 有4个可察看的用户

经由过程数字描述项目,我们可以开始阐发差异、排序和分类项目。让我们添加一个第二个进程列表。

在每一个历程中,都有一个新的描述。我们现在可以确定一个法度榜样清单,以确定任何一个问题,而不必确切的知道这些法度榜样是什么。我们怎么办理这个问题呢?我们的办理规划是求出每列的值,然后谋略主机总数的匀称值。对付每个主机总数,对付沙箱,低于匀称值的值被标记为1,对付正常主机,高于匀称值的值被标记为0。

0x02、若何应用机械进修逃逸

· ML&AI先容

机械进修中应用的数学技巧试图复制人类的进修。就像人类的大年夜脑有神经元、突触和电脉冲都是相连的;人工神经收集有节点、权重,以及所有相连的激活函数。经由过程重复并在每次迭代之间进行小的调剂,人和人工神经收集都能够进行调剂,以便更靠近预期的输出。有效地,机械进修试图用数学来复制你的大年夜脑。

在机械进修中,输入被引入到人工神经收集中。输入沿着链路权重通报到节点,并在节点中通报到激活函数。激活函数的输出确定节点是否被激活。经由过程迭代的反省相对付目标值的输出,可以调剂链路权重以削减偏差。

人工神经收集(ANNs)可以具有随意率性的大年夜小。本文评论争论的收集有3个输入、3个暗藏层和一个输出。关于更大年夜的ANN,必要留意的一点是每个节点之间的连接数量。每个连接表示我们可以履行的附加谋略,这既前进了收集的效率,也前进了收集的精度。此外,跟着ANN大年夜小的增添,数学不会改变,只有谋略的数量。

· 数据网络&数据处置惩罚

网络历程列表的数据集相对轻易。要从沙箱或远程系统获取进程列表,宏必要网络并宣布进程列表以进行网络和处置惩罚。对付处置惩罚,必要对数据集进行解析。必要谋略并保存进程计数、进程对用户比率和独一进程计数。着末,数据集中的每个项必要精确地用0或1标记。或者,宏可以从进程列表中网络数值数据并将结果发还。选择你自己的冒险要领。为了操作目的,我们更爱好有原始清单。

我们必要对流程列表数据集进行一次转换。前面我们对照了每个历程列表的总和与每个历程列表总和的匀称值。以这种要领应用匀称值是有问题的,由于异常大年夜或异常小的历程列表结果可以显明地调剂匀称值。重大年夜的转变将从新分类潜在的大年夜量主机,引入颠簸性的猜测。为了赞助这一点,我们缩放(归一化)数据集。有一些技术可以做到这一点。我们测试了skikit-learning中的所有缩放函数,并选择了标准标量转换。这里紧张的是,过大年夜或过小的值不再对分类有如斯不稳定的影响。

· 创建和练习神经收集

上面的例子中应用的数据是从我们的数据集中提掏出来的。有了它,我们可以开始探索机械进修若何赞助进击者检测沙箱。在高层次上,为了成功地练习人工神经收集,我们将迭代地:

1、将比例数据引入人工神经收集。

2、谋略激活函数的输出。

3、以0或1(其标签)的形式向收集供给反馈。

4、谋略输出和反馈之间的差值。

5、更新链路权重,以考试测验削减步骤4中谋略的差异。

· 武器化神经收集

是时刻让人工神经收集为黑客入侵事情了。为了测试我们的观点验证, 我们编写了一个简单的宏, 它:

1、网络进程列表

2、谋略输入 (进程计数、进程/用户计数和用户计数)

3、将这些值宣布回我们的办事器, 并经由过程神经收集运行它们进行猜测

4、假如神经收集猜测一个正常的主机, 存储代码, 否则什么都不做。

接下来, 我们将恶意文档上传到多个在线恶意软件扫描仪 (病毒扫描法度榜样、恶意软件阐发等) 并等待。我们在非沙箱上履行了宏 (在后面后凸起显示了第一个宏), 然后几分钟后, 2个不合的沙箱履行了该宏并将谋略值宣布回来。经由过程神经收集运行后返回值供给了准确的猜测!

终极形成一个分类猜测模型,做沙箱逃逸。

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包