[当人工智能遇上安全] 8.基于API序列和机器学习的恶意家族分类实例详解

最新推荐文章于 2024-08-14 22:29:49 发布
最新推荐文章于 2024-08-14 22:29:49 发布
阅读量870 收藏 21
点赞数 20
文章标签: 人工智能 机器学习 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xnxqwzy/article/details/135775173
版权

您或许知道,作者后续分享网络安全的文章会越来越少。但如果您想学习人工智能和安全结合的应用,您就有福利了,作者将重新打造一个《当人工智能遇上安全》系列博客,详细介绍人工智能与安全相关的论文、实践,并分享各种案例,涉及恶意代码检测、恶意请求识别、入侵检测、对抗样本等等。只想更好地帮助初学者,更加成体系的分享新知识。该系列文章会更加聚焦,更加学术,更加深入,也是作者的慢慢成长史。换专业确实挺难的,系统安全也是块硬骨头,但我也试试,看看自己未来四年究竟能将它学到什么程度,漫漫长征路,偏向虎山行。享受过程,一起加油~

前一篇文章介绍安全相关的数据集供大家下载和实验,包括恶意URL、流量分析、域名检测、恶意软件、图像分类、垃圾邮件等。这篇文章将讲解如何学习提取的API序列特征,并构建机器学习算法实现恶意家族分类,这也是安全领域典型的任务或工作。基础性文章,希望对您有所帮助~

文章目录
  • 一.恶意软件分析
  • * 1.静态特征
    • 2.动态特征
  • 二.基于逻辑回归的恶意家族检测
  • * 1.数据集
    • 2.模型构建
  • 三.基于SVM的恶意家族检测
  • * 1.SVM模型
    • 2.代码实现
  • 四.基于随机森林的恶意家族检测
  • 五.总结

作者作为网络安全的小白,分享一些自学基础教程给大家,主要是在线笔记,希望您们喜欢。同时,更希望您能与我一起操作和进步,后续将深入学习AI安全和系统安全知识并分享相关实验。总之,希望该系列文章对博友有所帮助,写文不易,大神们不喜勿喷,谢谢!如果文章对您有帮助,将是我创作的最大动力,点赞、评论、私聊均可,一起加油喔!

前文推荐:

作者的github资源:

一.恶意软件分析

恶意软件或恶意代码分析通常包括静态分析和动态分析。特征种类如果按照恶意代码是否在用户环境或仿真环境中运行,可以划分为静态特征和动态特征。

那么,如何提取恶意软件的静态特征或动态特征呢? 因此,第一部分将简要介绍静态特征和动态特征。

1.静态特征

没有真实运行的特征,通常包括:

  • 字节码:二进制代码转换成了字节码,比较原始的一种特征,没有进行任何处理
  • IAT表:PE结构中比较重要的部分,声明了一些函数及所在位置,便于程序执行时导入,表和功能比较相关
  • Android权限表:如果你的APP声明了一些功能用不到的权限,可能存在恶意目的,如手机信息
  • 可打印字符:将二进制代码转换为ASCII码,进行相关统计
  • IDA反汇编跳转块:IDA工具调试时的跳转块,对其进行处理作为序列数据或图数据
  • 常用API函数
  • 恶意软件图像化

静态特征提取方式:

2.动态特征

相当于静态特征更耗时,它要真正去执行代码。通常包括:
– API调用关系:比较明显的特征,调用了哪些API,表述对应的功能
– 控制流图:软件工程中比较常用,机器学习将其表示成向量,从而进行分类
– 数据流图:软件工程中比较常用,机器学习将其表示成向量,从而进行分类

动态特征提取方式:

二.基于逻辑回归的恶意家族检测

前面的系列文章详细介绍如何提取恶意软件的静态和动态特征,包括API序列。接下来将构建机器学习模型学习API序列实现分类。基本流程如下:

![在这里插入图片描述](https://img-
blog.csdnimg.cn/763374c83d2c48c1bc35fb3b6505af92.png#pic_center)

1.数据集

整个数据集包括5类恶意家族的样本,每个样本经过先前的CAPE工具成功提取的动态API序列。数据集分布情况如下所示:(建议读者提取自己数据集的样本,包括BIG2015、BODMAS等)

恶意家族 类别 数量 训练集 测试集
AAAA class1 352 242 110
BBBB class2 335 235 100
CCCC class3 363 243 120
DDDD class4 293 163 130
EEEE class5 548 358 190

数据集分为训练集和测试集,如下图所示:

![在这里插入图片描述](https://img-
blog.csdnimg.cn/8604cb66b9fd43a8b0009bccd89c82da.png#pic_center)

数据集中主要包括四个字段,即序号、恶意家族类别、Md5值、API序列或特征。

![在这里插入图片描述](https://img-
blog.csdnimg.cn/95054b7897ca40a7be9ebbfbe27f7266.png#pic_center

最低0.47元/天 解锁文章
程序员菠萝
关注
  • 20
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[网络安全提高篇] 一一九.恶意软件动态分析经典沙箱Cape的安装和基础用法详解
杨秀璋的专栏
03-22 5079
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文详细介绍恶意代码静态分析经典工具Capa的基础用法,以及批量提取静态特征和ATT&CK技战术,主要是从提取的静态特征Json文件中提取关键特征。这篇文章将详细讲解动态分析沙箱Cape,其是一个开源的自动恶意软件分析系统,通过自动运行和分析恶意软件,全面分析和提取恶意软件的关键特征。本文先介绍Cape沙箱的安装和基础用法,后续随着深入再分享。基础性文章,希望对您有帮助!
[网络安全提高篇] 一一八.恶意软件静态分析经典工具Capa批量提取静态特征和ATT&CK技战术
杨秀璋的专栏
03-20 2599
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文详细介绍恶意代码静态分析经典工具Capa的基础用法,这篇文章将详细讲解Capa批量提取静态特征和ATT&CK技战术,主要是从提取的静态特征Json文件中提取关键特征。此外,Capa支持IDA插件操作,方便安全人员快速定位恶意代码,且能与ATT&CK框架和MBC映射。基础性文章,希望对您有帮助。
机器学习】词袋模型TF-IDF算法
ACM_hades的博客
06-20 3665
一、词袋模型 Bag-of-words model (BoW model) 最早出现在自然语言处理和信息检索领域.。该模型忽略掉文本的语法和语序等要素,将其仅仅看作是若干个词汇的集合,将文档中每个单词的出现都视为是独立的。 词袋模型能够把一段文字或一个文档转化为向量表示,它不考虑句子中单词的顺序,只考虑词表(vocabulary)中单词在这个句子中的出现次数。具体的说,词袋模型将每段文字或文档都...
[系统安全] 四十七.恶意软件分析 (3)动态分析经典沙箱Cape的安装和基础用法详解
杨秀璋的专栏
03-22 3636
系统安全将更好地帮助初学者了解病毒逆向分析和系统安全。前文详细介绍恶意代码静态分析经典工具Capa的基础用法,以及批量提取静态特征和ATT&CK技战术,主要是从提取的静态特征Json文件中提取关键特征。这篇文章将详细讲解动态分析沙箱Cape,其是一个开源的自动恶意软件分析系统,通过自动运行和分析恶意软件,全面分析和提取恶意软件的关键特征。本文先介绍Cape沙箱的安装和基础用法,后续随着深入再分享。基础性文章,希望对您有帮助!
[当人工智能遇上安全] 9.基于API序列和深度学习的恶意家族分类实例详解
杨秀璋的专栏
09-15 1922
《当人工智能遇上安全》系列博客将详细介绍人工智能安全相关的论文、实践,并分享各种案例,涉及恶意代码检测、恶意请求识别、入侵检测、对抗样本等等。前文详细介绍如何学习提取的API序列特征,并构建机器学习算法实现恶意家族分类,这也是安全领域典型的任务或工作。这篇文章将讲解如何构建深度学习模型实现恶意软件家族分类,常见模型包括CNN、BiLSTM、BiGRU,结合注意力机制的CNN+BiLSTM。基础性文章,希望对您有帮助,如果存在错误或不足之处,还请海涵。且看且珍惜!
[系统安全] 五十.恶意家族分类 (1)基于API序列机器学习恶意家族分类实例详解
杨秀璋的专栏
06-01 2682
系统安全将更好地帮助初学者了解病毒逆向分析和系统安全。前文详细介绍如何将Cape沙箱分析结果Report报告的API序列批量提取,主要是提取Json文件的内容并存储至指定位置。这篇文章将讲解如何学习提取的API序列特征,并构建机器学习算法实现恶意家族分类,这也是安全领域典型的任务或工作。基础性文章,希望对您有帮助,如果存在错误或不足之处,还请海涵。且看且珍惜!
[当人工智能遇上安全] 5.基于机器学习算法的主机恶意代码识别研究
杨秀璋的专栏
09-27 9272
《当人工智能遇上安全》系列博客将详细介绍人工智能安全相关的论文、实践,并分享各种案例,涉及恶意代码检测、恶意请求识别、入侵检测、对抗样本等等。前一篇文章普及了基于机器学习恶意代码检测技术,主要参考郑师兄的视频总结,包括机器学习概述与算法举例、基于机器学习方法的恶意代码检测、机器学习算法在工业界的应用。这篇文章将分享两篇论文,介绍机器学习是如何运用到恶意代码攻击中的,并谈谈自己的理解,后续深入研究尝试分享相关实验,目前还是小白一只。基础性文章,希望对您有所帮助,详见参考文献。
Python机器学习项目开发实战_解剖时间序列和时序数据_编程案例解析实例详解课程教程.pdf
05-06
在Python机器学习项目开发中,时间序列和时序数据分析是一个重要的领域,特别是在预测、监控和模式识别等任务中。时间序列数据是按照时间顺序排列的一系列测量值,这些数据通常包含固定时间间隔内的观测,例如金融...
Python机器学习项目开发实战_打造聊天机器人_编程案例解析实例详解课程教程.pdf
04-01
聊天机器人是利用自然语言处理(NLP)、机器学习(ML)和人工智能AI)技术,来模拟人类对话的软件系统。它们能够理解和回应用户的话语,提供信息、执行任务或进行娱乐互动。 9.1 图灵测试 图灵测试,由计算机科学...
Python人工智能课程 AI算法课程 Python机器学习与深度学习 13.RNN 共47页.pptx
07-18
### Python人工智能课程知识点详解 #### 一、循环神经网络(RNN)概览 1. **RNN的基本概念** - 循环神经网络(Recurrent Neural Network, RNN)是一种特殊的神经网络结构,用于处理序列数据。相较于传统前馈神经...
Python机器学习项目开发实战_预测股票市场_编程案例解析实例详解课程教程.pdf
04-01
在Python机器学习项目开发实战中,预测股票市场是一项极具挑战性的任务。这涉及到对金融市场动态的理解,以及如何利用机器学习算法来捕捉市场的规律。红色皇后竞赛的概念被引用,用来描绘股票市场的持续演变特性,即...
神经网络PPT教程 BP神经网络详解实例 机器学习 马尔科夫链.rar
04-16
"神经网络PPT教程 BP神经网络详解实例 机器学习 马尔科夫链" 该资源主要涉及到神经网络、机器学习和马尔科夫链三个方面。下面将详细解释这些知识点: 一、神经网络: 神经网络是一种机器学习算法,模仿人脑神经...
C/C++开发,opencv内置背景减除算法与运动检测
最新发布
技术需要分享
08-14 509
C/C++开发,opencv内置背景减除算法的完整代码及编译过程示例
Spark MLlib 特征工程(上)
08-14 1182
特征选择的动机,在于提取与预测标的关联度更高的特征,从而精简模型尺寸、提升模型泛化能力。特征选择可以从两方面入手,业务出发的专家经验和基于数据的统计分析。归一化的目的,在于去掉不同特征之间量纲的影响,避免量纲不一致而导致的梯度下降震荡、模型收敛效率低下等问题。归一化的具体做法,是把不同特征都缩放到同一个值域。在这方面,Spark MLlib 提供了多种归一化方法供开发者选择。
根据哈希值或者特征值判断图片是否相同
Y_warmth
08-09 783
detectAndCompute 方法结合了特征检测和描述符计算两个步骤,可以在图像中检测出特征点并计算这些特征点的描述符。ORB(Oriented FAST and Rotated BRIEF)是一种结合了 FAST 特征检测器和 BRIEF 描述符的特征提取算法,具有旋转不变性和尺度不变性,适用于图像特征匹配、目标检测等任务。接着使用 ORB 对象的 detectAndCompute() 方法检测图像中的特征点并计算描述符,最后将特征点绘制在图像上并显示出来。
ubuntu22.04 安装 ros1
qq_35547879的博客
08-14 160
原先只知道ros1 noetic 只支持到ubuntu20.04。现在系统必须升级到ubuntu22.04。
阿里推出视频 AI 生成式框架 Tora,通过轨迹生成视频
qq_57728300的博客
08-13 482
阿里集团推出面向轨迹的视频生成框架 Tora,可以生成精美的视频。
叉车指纹锁系统 指纹识别启动车辆 让管理更轻松!
jiuxindianzi的博客
08-12 346
叉车指纹系统通过指纹认证管理叉车,降低安全事故,强化安全管理。支持指纹、刷卡识别,云端数据管理。适用于油电叉车,安装需连接特定线路,提高叉车管理效率。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值