如何AI技术检测Cobalt Strike木马后门

           人工智能技术正慢慢运用于安全领域中,殊不知,怎样提高人工智能实体模型的运用实际效果,是一个全面性疑难问题。从样品搜集,样品预备处理,特点设计构思,数据预处理,优化算法挑选这种,组成人工智能实体模型的每步及其不一样的应用领域,都值得探讨。因而,本系列产品拟开一个系列专题讲座,详细介绍怎样能够更好地运用人工智能技术。在系列产品的首篇中,也便是在这篇文章中,咱们将整体详细介绍监测隐敝Cobalt Strike的1个实际步骤,让大伙儿有个清楚的掌握,后边的系列产品文章内容中,将实际探讨怎样开展每步的任务,已使实体模型做到更出色的实际效果。

隐敝Cobalt Strike监测是业内的1个疑难问题。缘故是,现如今的恶意代码选用了多种多样隐敝本身Cobalt Strike通讯的方式,包含但不限于:1)加密搞混本身的通讯荷载;2)运用常用的常用如TLS、https等;3)运用公共的服务,如CDN和云函数等。这促使恶意代码形成的Cobalt Strike通讯跟常规通讯的难以区别出来。人工智能实体模型的限制其一便是特点设计构思,即设计构思的特点能不能体现及其多多方面上体现出正负样品的分辨。逻辑回归模型这么至关重要,因而这篇文章关键紧紧围绕这一点展开。

正负样品分辨假定及认证

现阶段,根据数据文件和对话流的特点设计构思,早已被探寻得较为完全彻底,难以再发现新的特点。殊不知,以通讯信道为监测目标,观查一阵子内,当中形成的好几条对话流,并来探寻正负样品的分辨,这么的监测计划方案还较为少。这篇文章界定的通讯信道,指的是客户端与服务端创建的通讯通道。实际是将目的IP和服务器端口同样的对话流汇聚到一块儿,视作归属于相同通讯信道的数据流量。如下图所显示。以通讯信道的角度观查,正负样品的分辨,如下图所显示,咱们有这么几个方面假定:1)常规运用关键是以服务端中读取数据,包含文字、短视频、照片等,通讯荷载的方位主要是下行的方位,而恶意代码,一般对内网服务器开展信息收集和敏感资源获得,通讯荷载的方位更倾向于上行。2)通常情况下,常规运用对服务器的浏览次数更高一些,局域网的用户数量也更高一些。为认证这种的假定,我们可以运用数据分析的方式在正负样品集上开展比照,来观察在这种层面是不是存有显著的分辨。如下图所显示,咱们各自在上\下行数据流量大小、通讯次数和局域网连接网络总数上较为正负样品的分辨。

分享:

相关推荐