人工智能驱动的网络攻击:如何检测、预防和抵御智能威胁

立即阅读
我们利用人工智能进行网站翻译,虽然我们力求准确,但不一定总是 100%精确。感谢您的理解。
首页/ 博客 / 介绍OPSWAT MetaDefender 威胁...
恶意软件分析

介绍OPSWAT MetaDefender 威胁情报

OPSWAT
分享此贴

在OPSWAT ,我们在开发保护关键基础设施和组织免受网络威胁的先进解决方案时,重视创新、创造力和持续改进。这些价值观激励我们创建了OPSWAT MetaDefender 威胁情报 ,使我们能够更好地了解和检测不断演变的网络威胁,从而检测和识别类似文件。

随着恶意软件的变种变得越来越复杂和难以躲避,传统的基于签名的防病毒解决方案显得力不从心。为了应对这一挑战,OPSWAT 的网络安全专家开发了一种优雅的解决方案,利用尖端的静态分析技术和机器学习来识别文件之间的相似性。这种方法为降低网络安全风险和预防潜在攻击提供了有效手段。

创建MetaDefender 威胁情报 为我们提供了一个解决困难和紧迫问题的机会。我们能够开发出有效的网络安全解决方案,为企业提供所需的信息,帮助他们预测新出现的威胁并做好准备。这符合我们的创新文化和为客户提供最佳保护的承诺。

数据

为了进行相似性搜索,文件要经过MetaDefender Sandbox 静态和文件仿真技术的严格扫描过程。这种先进的技术能从给定文件中提取最相关、最有用的信息。

我们的恶意软件分析专家已经确定了计算两个文件之间相似性的最有效功能。这些功能都是根据其提供准确和相关结果的能力精心挑选出来的,并且会不断更新,以适应最新的恶意软件趋势和技术。

部分功能如下

  • 二进制元数据(文件大小、熵、结构、文件特征及其他许多数据)
  • 进口
  • 资源
  • 章节
  • 信号
  • 更多

注:在搜索文件之间的相似性时,重要的是使用Filescan 生成的信号,而不是完全依赖文件的最终判定(恶意、信息等)。这种方法有助于避免在相似性搜索过程中可能出现的任何潜在偏差。

屏幕截图opswat filescan 扩展详细信息导入相似度得分
屏幕截图opswat filescan 扩展详细信息 资源相似度得分

过程

相似性搜索过程包括从可移植可执行文件(PE)中提取这些特征并将其转换为矢量嵌入。矢量嵌入将产品型录示为 n 维空间中的点,允许相似的数据点聚集在一起,形成文件指纹。维数由各部分决定,同时降低维数。

然后,该解决方案在这些向量之间使用多个修改后的距离计算来查找最相似的文件,使我们能够回答 "这个文件与另一个文件有多相似 "的问题。该架构和算法使用索引方法,即使在搜索数百万个文件时也能确保快速处理。通过对这些字段进行算法分析,该解决方案能够准确识别和隔离相似文件和威胁。

除了先进的技术外,Similarity Search 还提供可定制的界面,允许用户过滤搜索参数。这一功能提供了更大的灵活性,确保用户获得最准确、最符合其特定需求的相关结果。

过滤器

  • 标签
  • 判决
  • 相似性阈值

管道

流水线过程包括获取新的输入 PE 文件(如可执行文件),并将其置于机器学习模型中,该模型会根据预选特征生成向量嵌入。然后将这些向量嵌入向量空间,该空间可以有任意维数。

图解可执行文件输入,以创建嵌入式矢量

我们使用各种距离度量来计算向量和特征之间的相似性,这有助于我们确定与给定输入 PE 文件最接近的点。

计算向量和特征之间相似性的图解过程

相似度得分

值得注意的是,相似度分数不是绝对的,可能有些主观。在确定文件之间的相似程度方面,并没有一个公认的公式或标准,因为这可能会因上下文和具体用例的不同而有所变化。因此,在解释相似度分数时一定要谨慎,并考虑计算分数的方法。相似性搜索使用权重来计算准确的相似性得分。

MetaDefender Sandbox结果

Filescan 结果提供了用于相似性搜索的文件的全面信息。不过,要全面了解文件的特征和属性,必须对这些信息进行深入分析。用户界面会显示文件扫描的各种属性,并生成详细的特征报告。

要访问相似性搜索功能,请导航至用户界面左侧。默认情况下,相似性搜索功能会使用预设的默认参数自动启动。此外,还为用户提供了多种过滤选项,帮助用户根据自己的具体要求定制搜索并获得最佳结果。

过滤器

  • 标签 这些是根据文件属性分配给文件的动态标签。使用相似性搜索功能时,标签可用于标记具有特定特征的文件,如 peexe 或 shell32.dll。标签有助于进行有针对性的高效搜索,使用户能够快速找到满足其特定需求的文件。
  • 判定: Filescan 判定提供了对文件进行扫描的结果,表明该文件是干净的、恶意的还是有潜在危害的。通过使用Filescan 判决作为过滤器,用户可以细化搜索结果,排除被标记为恶意或可疑的文件。
  • 相似度阈值:这是一个可配置参数,用于确定搜索结果中包含文件所需的最低相似度。通过调整该阈值,用户可以自定义搜索结果,以满足其特定需求。例如,他们可以找到关系密切的文件,也可以找到那些关系较为松散的文件。对于需要兼顾精确性和广泛全面搜索的用户来说,该过滤器非常有用。

标签

在相似性搜索功能中,用户会看到选项卡形式的默认过滤选项。通过这些选项卡,用户可以根据最相似的文件、最新的文件以及被标记为恶意的文件过滤结果。这些预过滤选项旨在提高用户搜索体验的效率和精确度。

屏幕截图opswat filescan威胁情报 相似度得分

威胁情报 子页面

威胁情报子页面为用户提供了多种功能,如查看关系最密切的文件和使用可过滤的用户界面。通过选择特定的 SHA256 标识符,用户可以获得相关文件相似性的详细信息以及高阶详细信息。

屏幕截图opswat filescan威胁情报 相似度得分详情

关键用例

与任何机器学习应用一样,验证相似性搜索的结果至关重要。不过,该功能为用户有效探索和识别相关文件提供了广泛的可能性。索引搜索可为所有类型的文件提供异常快速的散列搜索,是该产品的基石。以下实体可受益于相似性搜索功能。

  • 网络威胁情报 分析师,他们可以利用这种能力调查和检测新的和不断演变的威胁,改善组织的安全态势。
  • 威胁猎手,他们可以主动搜索入侵迹象(IOC)和潜在漏洞,从而预先阻止恶意活动。
  • 任何人,包括研究人员、调查人员和分析人员,只要对探索文件之间的关系和识别相似性感兴趣,都可以使用。

访问相似性搜索

通过阅读我们的文档,了解如何将相似性搜索整合到您的流程中,请访问https://www.opswat.com/docs。请注意,"相似性搜索 "功能是我们的付费Filescan 或 "威胁英特尔 "软件包用户专用的附加功能。如果您有兴趣了解该功能,请立即注册一个账户!

立即注册

标签

最新文章

订阅OPSWAT 简讯

获取最新的OPSWAT 公司更新、活动信息和 推动行业发展的新闻。
注册

关注我们的社交网站Media

请在您的 LinkedIn、Facebook、Twitter 和 YouTube 上关注OPSWAT ,了解更多信息!

通过OPSWAT 了解最新信息!

立即注册,即可收到公司的最新动态、 故事、活动信息等。
订阅