ALDOCX:使用基于新的結(jié)構(gòu)特征提取方法的特定主動學(xué)習(xí)方法對未知惡意微軟文檔文件的檢測
引用:
Nissim N, Cohen A, Elovici Y. ALDOCX: Detection of Unknown Malicious Microsoft Office Documents using Designated Active Learning Methods Based on New Structural Feature Extraction Methodology[J]. 2016, PP(99):1-1.
研究內(nèi)容:
基于機(jī)器學(xué)習(xí)及結(jié)構(gòu)特征的未知惡意docx文檔靜態(tài)檢測
背景:
1.PDF文檔結(jié)構(gòu)與docx文檔結(jié)構(gòu)不同且攻擊手段也不盡相同,檢測docx需要新的結(jié)構(gòu)特征
2.安全公司已經(jīng)在使用機(jī)器學(xué)習(xí)和規(guī)則算法創(chuàng)建惡意docx文檔的簽名庫法挨,但限于人工甄別巩步,更新緩慢
攻擊手段:
1.宏攻擊
2.可信位置
3.對象嵌入鏈(OLE)
方法:
概述:利用docx文檔及其XML文件的分層結(jié)構(gòu)將其變換為路徑列表件蚕,將可用來做識別的路徑提取出來作為特征結(jié)合機(jī)器學(xué)習(xí)算法進(jìn)行未知惡意docx文檔檢測,同時創(chuàng)建新的主動學(xué)習(xí)方法,將具有有益信息的文檔加標(biāo)簽返回進(jìn)行存儲訓(xùn)練&提交到安全公司的簽名庫,提高和維護(hù)檢測系統(tǒng)使其保持可更新性
Structural Feature Extraction Methodology(SFEM):基于結(jié)構(gòu)路徑的新結(jié)構(gòu)特征提取方法晨炕,將所有元素的結(jié)構(gòu)路徑描述出來并從中提取具有檢測能力的作為特征路徑
-
可增強(qiáng)檢測能力的檢測框架:
框架示意圖
1.將系統(tǒng)部署在網(wǎng)絡(luò)節(jié)點(diǎn)已獲得大量文檔樣本
2.使用白名單和簽名庫機(jī)制判別已知文檔類型進(jìn)行過濾
3.未知文檔使用SFEM進(jìn)行轉(zhuǎn)換為元素路徑,成為新的文件
4.使用基于SVM和AL(主動學(xué)習(xí))的檢測模型檢測拱绑,并返回兩個值:SVM的分類碼和分離超平面距離值,據(jù)此可分為非惡意文件忘蟹、惡意文件以及攜帶信息可用來更新訓(xùn)練器的文件
5.攜帶信息可用來更新訓(xùn)練器的文件包括兩類:一種為好壞邊界靠近不易分辨的,一種為距離分離超平面很遠(yuǎn)的搁凸;將這些文件返回給安全公司的人工貼簽專家進(jìn)行甄別
6.貼簽后的文件被放到訓(xùn)練器
7.增強(qiáng)檢測器的檢測能力
8.貼簽后的文件被添加到簽名庫中媚值,增強(qiáng)白名單 -
選擇性抽樣和主動學(xué)習(xí)方法
舉例來和本文的方法對比:Random Selection (Random)、The SVM-Simple-Margin AL Method (SVM-Margin)
本文評估使用的主動學(xué)習(xí)方法:- Exploitation:基于SVM分類規(guī)則并且對選擇那些距離分離超平面遠(yuǎn)又很大概率是惡意文檔的樣本進(jìn)行了線性微調(diào)坪仇,從而實現(xiàn)了支持通過獲取大量樣本增強(qiáng)安全公司簽名庫的目標(biāo)
- Combination (A Combined Active Learning Method):將SVM-Margin方法和Exploitation方法進(jìn)行結(jié)合杂腰,實現(xiàn)了不同階段的主動學(xué)習(xí)有不同的表現(xiàn)方式,可以更好地更新訓(xùn)練集和簽名庫椅文,前期階段使用SVM-Margin喂很,后期轉(zhuǎn)為Exploitation
- Comb-Ploit (A Combined Active Learning Method):與Combination相反,前期使用Exploitation皆刺,后期使用SVM-Margin
創(chuàng)新點(diǎn):
1.提出基于docx文檔結(jié)構(gòu)路徑的新型特征提取方法
2.使用基于SVM分類器和分離超平面距離公式的雙值檢測進(jìn)行樣本選取與主動學(xué)習(xí)
3.為訓(xùn)練器提供更新機(jī)制
4.提出Exploitation少辣、Combination和Comb-Ploit三種主動學(xué)習(xí)方法
