企鹅被假辣椒酱骗了!安博通如何识别网络安全领域的“伪装者”?
2020-07-03 16:24:22   来源:互联网
内容摘要
腾讯和老干妈这几天来了一场battle事件始末如下“老干妈”与腾讯旗下手游展开了一场千万级别的跨界营销腾讯心里美滋滋但是到收钱的时候腾讯笑不出来了“老干妈”一直拖欠没给钱企鹅怒而起诉要求冻结辣椒酱的资金辣椒酱一脸无辜“我没搞过这事呀,你是不是被骗了?”反手就是一个报警“帮你告诉警察叔叔了,不用谢~”…

腾讯和老干妈

这几天来了一场battle

事件始末如下

“老干妈”与腾讯旗下手游

展开了一场千万级别的跨界营销

腾讯心里美滋滋

IMG_256

但是到收钱的时候

腾讯笑不出来了

“老干妈”一直拖欠没给钱

企鹅怒而起诉

要求冻结辣椒酱的资金

IMG_257

辣椒酱一脸无辜

“我没搞过这事呀,你是不是被骗了?”

反手就是一个报警

“帮你告诉警察叔叔了,不用谢~”

IMG_258

据贵阳警方通报

此“老干妈”非彼辣椒酱

是有人冒充的

总而言之一句话

企鹅被 辣椒酱骗了!

IMG_259

从这场battle中,我们可以看出:

1、 庞大完善的体系也会在某个关键环节翻车,所谓千里之堤溃于蚁穴;

2、 很多时候,并不高明的伪装手段也可以骗过监管环节;

3、 人工判断并不总是最有效的。

在网络安全攻防领域,也有类似的“关键环节”和“伪装者”,其中Webshell就是一个典型例子。

在APT攻击事件中,Webshell是经常出场的“红人”。攻击者利用Webshell使用恶意脚本执行指令,进而完成提权,用数据库和浏览器或反弹方式长期远程访问,对企业机构造成很大的业务影响和经济危害。

Webshell也善于伪装,以PHP Webshell为例,其本身也是一段PHP代码,由于脚本语言的灵活性,导致Webshell的变形非常容易操作同时不易检测。在基于关键字判断时,PHP中的花操作和注释,也给企业机构带来更大的检测难度。

IMG_260

为了更好保障网络安全和业务连续性,防守方针对PHP Webshell开发了多种技术检测方式,比如特征检测(MD5)、统计分析(文件关键特征提取)、流量特征检测(元数据+特征)、动态语义检测(代码模拟执行和语义污点分析),以及最新的机器学习等。

安博通应用先进的机器学习技术,实现PHP Webshell检测,下面就一起来看看如何识别网络安全领域的“伪装者”。

这是一段使用weevely工具编写的、看似毫无意义的Webshell代码,它具有一定的伪装性。

IMG_261

为了降低噪声,我们将PHP转换为字节码Opcode,Opcode是一种PHP脚本编译后的中间语言,噪声有一定降低。

IMG_262

搜集合适的黑白样本,利用转换工具将Webshell转换为Opcode,将转换后的字符串写入list中,再转换为词频矩阵,并进行打标记操作。将黑白样本提取到的词频矩阵整合在一起,把数值矩阵泛化为TF-IDF值。

IMG_263

构建随机森林模型,通过样本的随机抽取,输入模型进行长时间训练,最终可以得到基于关键字信息判断的检测模型。

安博通实现PHP Webshell检测的主要流程如下:

IMG_264

通过人工、工具构建及搜集大量变形Webshell进行测试验证,这一流程的检出率可提升至75%以上,大幅增强了针对性检测能力,让网络安全攻防领域的“伪装者”显露原形,有效减少其对关键业务与核心数据的威胁。

安博通始终坚持自主创新,我们一直坚持用自有研发、不断迭代的安全可视化技术,为企业机构抵御包括“伪装者”在内的各种网络安全威胁,不断创造安全业务价值新体验。

关于安博通

北京安博通科技股份有限公司(简称“安博通”),是国内领先的可视化网络安全专用核心系统产品与安全服务提供商,2019年成为中国第一家登陆科创板的网络安全企业。

其自主研发的ABT SPOS可视化网络安全系统平台,已成为众多一线厂商与大型解决方案集成商最广泛搭载的网络安全系统套件,是国内众多部委与央企安全态势感知平台的核心组件与数据引擎。









免责声明:以上内容为本网站转自其它媒体,相关信息仅为传递更多信息之目的,不代表本网观点,亦不代表本网站赞同其观点或证实其内容的真实性。

关键字相关信息: