科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道超越黑名单,运用机器学习检测恶意URL

超越黑名单,运用机器学习检测恶意URL

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

山石网科技术团队受邀在Blackhat Asia 2017上发表演讲,以下为论文简介

来源:业界供稿  2017-03-31 14:14:30

关键字: 山石网科 Blackhat Asia 2017 机器学习

  • 评论
  • 分享微博
  • 分享邮件

ZD至顶网安全频道 03月31日 综合消息: 山石网科技术团队受邀在Blackhat Asia 2017上发表演讲,以下为论文简介:

许多类型的现代malwares使用基于http的通信。与传统的AV签名,或系统级的行为模型相比,网络级行为签名/建模在恶意软件检测方面有一定的优势。在这里,我们提出一个新颖的基于URL的恶意软件检测方法行为建模。该方法利用实践中常见的恶意软件代码重用的现象。基于大数据内已知的恶意软件样本,我们可以提炼出简洁的功能模型,代表许多不同的恶意软件中常用的相似性连接行为。这个模型可以用于检测有着共同的网络特征的未知恶意软件变种。

我们专注于HTTP连接,因为这个协议是最主要的恶意软件连接类型,用僵尸控制网络连接,得到更新和接收命令后开始攻击。检查在http连接层次的特征已被证明是一种来检测恶意连接的有效方式。

在山石网科的下一代防火墙设备中,我们有算法使用静态黑名单和特征签名来检查连接域名,URL路径和用户代理以确定是否恶意。结合DGA域检测的机器学习算法,我们取得很好的恶意URL检出率。然而,最复杂和富有挑战性的部分是查询URL字符串连接的动态内容。因为这些字符串非常多样化,几乎可以是任何东西,导致静态签名规则变得不那么有效。参数的变种和进化使签名生成费时。它还需要签名库为新连接特性执行频繁的更新。

我们这个演讲谈到的新颖的聚类算法是非常高效的,这个算法不仅可以检测已知的恶意URL,并且也能检测到从未暴露(0-day)的新变种。这个模型对来自于大约每周10 k更新的恶意软件样本的800000 url运用机器学习。


 

2019至顶网凌云奖

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    相关文章
    最新文章