اثر انگشت تهدید رفتاری | Avast

با این رویکرد، ما یک لایه اضافی از توضیح پذیری تجزیه و تحلیل تهدید را معرفی کرده ایم که به افزایش حفاظتی که برای کاربران خود ارائه می کنیم کمک می کند

به عنوان مدافعان، یکی از چالش های امروز در تشخیص امنیت سایبری توانایی ما برای تعیین اینکه آیا بسیاری از مشاهدات در ارتباطات شبکه، تغییرات تنظیمات، دانلود وب‌سایت و غیره نشان دهنده مصنوعات مخربی است که منجر به کلاهبرداری، باج‌افزار و سایر حملاتی می‌شود که مشتریان ما را تحت تأثیر قرار می‌دهند.

بازیگران بد به طور مداوم روی روش‌هایی کار می‌کنند تا آن مصنوعات را پنهان کنند، که به عنوان تاکتیک‌ها، تکنیک‌ها و رویه‌ها (TTP) نیز شناخته می‌شوند  که هنگام حمله به مشتریان ما استفاده می‌شوند. اگر آنها در پنهان کردن TTP های خود موفق باشند، احتمال اینکه در هدف خود موفق شوند بیشتر است. این چالش منجر به یک مسابقه تسلیحاتی می شود که در آن بازیگران بد به توسعه تکنیک های پیچیده تری برای پنهان شدن ادامه می دهند و مدافعان به دنبال راه های جدیدی برای شناسایی آنها می گردند.

در Avast، ما به طور مداوم روی روش‌های جدیدی برای شناسایی فعالیت‌های مخرب سرمایه‌گذاری می‌کنیم، حتی اگر از تکنیک‌های پنهان استفاده کنند. یکی از این تکنیک های تحلیل به طور کلی به عنوان تحلیل تهدید رفتاری شناخته می شود. این پست برخی از جنبه‌های کلیدی نحوه انجام چنین تحلیلی را توضیح می‌دهد.

تجزیه و تحلیل تهدیدهای رفتاری، شناسایی تهدیدهایی را که در غیر این صورت تحت رادار تکنیک‌های تحلیل تهدید قرار می‌گیرند، امکان‌پذیر می‌سازد که بر تجزیه و تحلیل استاتیک عناصر منفرد مانند فرآیندها، اتصالات شبکه یا فایل‌های اجرایی متمرکز هستند. یک عنصر کلیدی تحلیل تهدید که زیربنای رویکرد رفتاری است، یک نمایش مبتنی بر نمودار از پویایی آشکار روی مشتری (مانند رایانه شخصی یا تلفن همراه) است.

هر رویداد، مانند اجرای یک فایل یا ارتباطات شبکه، در یک گراف به عنوان یک گره که با یال هایی به هم متصل شده اند نشان داده می شود که روابط بین رویدادها را نشان می دهد. به عنوان مثال، یک فایل اجرا شده فرآیندی را ایجاد می کند که سپس می تواند برخی از داده ها را از یک IP یا نام میزبان خاص دانلود کند، که متعاقباً اجرا می شود و بنابراین فرآیند دیگری ایجاد می شود و به همین ترتیب همانطور که در شکل زیر نشان داده شده است. بنابراین نمودار تصویری از رفتار قابل مشاهده در طول یک دوره زمانی خاص را نشان می‌دهد. cmd.exe، مفسر خط فرمان پیش‌فرض ویندوز)، تجزیه و تحلیل خود ابزارها بدون درک چگونگی استفاده از ابزارها در مرحله حمله که در آن رویدادهای رفتاری ثبت‌شده نشان می‌دهند، هیچ تهدیدی را شناسایی نمی‌کند. یک سکانس تهدیدآمیز به این دلیل است که هر یک از رویدادهای فردی ممکن است در انزوا علیرغم این واقعیت که با هم، تهدیدی هستند، بی ضرر به نظر برسد.

دقیقاً به همین دلیل است که تحقیقات هوش مصنوعی Avast. آزمایشگاه در توسعه و به کارگیری تکنیک های جدید برای نمایش، تجزیه و تحلیل و شناسایی رفتارهای مخرب سرمایه گذاری می کند. به لطف شبکه حسگر گیگا مقیاس Avast، ما داده های مناسبی برای کالیبره کردن مدل های یادگیری ماشینی داریم که می توانند اثر انگشت رفتاری بدافزار را شناسایی کنند. اثر انگشت یک الگوی نموداری با اندازه نسبتا کوچک (معمولاً حداکثر تا 10 گره) است که فعالیت مخرب را بدون نویز رفتار خوش‌خیم که معمولاً بر داده‌ها غالب است، ثبت می‌کند. از آنجایی که داده ها از میلیون ها نمودار در روز تشکیل شده است، که در آن هر نمودار از هزاران گره (رویداد) و یال (روابط) تشکیل شده است، این کار می تواند از نظر پیچیدگی شبیه جستجوی سوزن در انبار کاه باشد.

خوشبختانه، ما. می‌تواند از سیستم‌های اطلاعاتی تهدید ما برای فیلتر کردن، غنی‌سازی و برچسب‌گذاری داده‌ها به شکل مناسب برای آموزش شبکه‌های عصبی گراف (GNNs) استفاده کند، که به ما کمک می‌کند این اثر انگشت را به روشی کارآمد و مقیاس‌پذیر استخراج کنیم. هنگامی که اثر انگشتی از رفتار مخرب ایجاد شد، می‌توانیم برنامه‌ها را در ماشین‌های کاربران محافظت‌شده از نظر رفتاری که دقیقاً یا تقریباً با اثر انگشت مطابقت دارد نظارت کنیم. اگر رفتار مخرب دقیقاً با اثر انگشت مطابقت داشته باشد، می‌توانیم قبل از اینکه آسیبی ایجاد کند، آن را متوقف کنیم، در حالی که اگر تقریباً مطابقت داشت، می‌توانیم با توجه به میزان تطابق تقریبی تصمیم بگیریم که آن را متوقف کنیم یا نه. در هر دو مورد، رفتارهای تازه شناسایی شده را می توان برای بهبود بینش ما در مورد رفتارهای مخرب و بهبود اثر انگشت، به ابر ما ارسال کرد. ثابت شده است که در بسیاری از زمینه ها از تجزیه و تحلیل شبکه های اجتماعی گرفته تا شیمی انفورماتیک مفید است. مزیت کلیدی شبکه‌های عصبی گراف این است که می‌توانند به صورت بازگشتی گره‌ها را با استفاده از روابط بین آنها پردازش کنند، بنابراین به طور طبیعی هم ویژگی‌های گره و هم ساختار گراف را می‌گیرند. در مورد ما، هر گره با صدها ویژگی مشخص می شود، مانند تغییرات در مقدار رجیستری، نمایش رشته ای از نام فرآیند، تغییر حافظه تخصیص یافته توسط سایر فرآیندها، یا برقراری اتصال به سرویس های خاص در اینترنت.

به طور مشابه، لبه ها. بر اساس نوع رابطه ای که نشان می دهند برچسب گذاری می شوند. به عنوان مثال، ایجاد یک فرآیند یا اتصال شبکه. در طول آموزش، مدل یک نمایش رتبه پایین (یعنی جاسازی) گره ها را می آموزد که برای پیش بینی ویژگی های مختلف رفتار نشان داده شده توسط نمودار مفید است. به عبارت دیگر، ما مشکل را به عنوان یک طبقه‌بندی چند وظیفه‌ای مطرح می‌کنیم و مدل را از نمودارها به خروجی‌های چند سر که نشان‌دهنده هوش تهدیدی هستند، آموزش می‌دهیم. برای به حداکثر رساندن مقدار به‌دست‌آمده توسط سیستم و نمایش مناسب اطلاعاتی که GNN ما از صدها میلیون رفتاری که مشاهده می‌کند استخراج می‌کند، ضروری است. برخی از هدها عبارتند از:

  • Severity head: تعیین می کند که آیا رفتار باید به عنوان پاک، مخرب، PUP و غیره طبقه بندی شود یا خیر.
  • Strain head: تعیین می‌کند کدام سویه‌های بدافزار در رفتار دخیل هستند
  • سر ATT&CK: تعیین می‌کند کدام تکنیک‌های MITRE ATT&CK در رفتار دخیل هستند

علاوه بر این، ما در مورد تکنیک‌های نوین [094] تحقیق می‌کنیم. ]توضیح این مدل‌های پیچیده به منظور درک بهتر استراتژی‌های به کار گرفته‌شده توسط گونه‌های مختلف بدافزار، و به نوبه خود، تقطیر قوانین تصمیم‌گیری قوی که می‌توان به راحتی برای محافظت از مشتریان خود و در عین حال احترام به حریم خصوصی آنها استفاده کرد. در ادامه مثال، فرآیند توضیح به ما اجازه می‌دهد تا رفتار نامربوط را فیلتر کنیم و تنها اثر انگشت فعالیت مخرب را که در متن پررنگ و رنگ قرمز در شکل زیر تاکید شده است، شناسایی کنیم. که ماهیت فعالیت مخرب این است که process 2 یک اجرایی 1 از URL 1 را دانلود می کند و 5959 را در نتیجه 1949007 انجام می دهد و 5907 را انجام می دهد. . به نظر می‌رسد بقیه فعالیت‌ها نامربوط هستند و بنابراین نیازی به گنجاندن در اثر انگشت ندارند، که به ما کمک می‌کند تا منابع مورد نیاز برای شناسایی و بازیابی را به‌طور چشمگیری کاهش دهیم. نشان داده شده است که چنین تجزیه و تحلیل و بهینه سازی بینش های بسیار ارزشمندی را در Avast ارائه می دهد، از جمله محافظت بهبود یافته در برابر بوت لودرهای ناشناخته قبلی توسط MyKings بدافزار.

تجزیه و تحلیل تهدید مبتنی بر نمودار بخشی جدایی ناپذیر از محافظت از تهدید Avast است که از پیشرفت‌های اخیر در GNN ها استفاده می‌کند. با این رویکرد جدید، ما یک لایه اضافی از تحلیل تهدید را با استفاده از شبکه‌های عصبی عمیق معرفی کرده‌ایم که به افزایش حفاظتی که برای بیش از 435 میلیون کاربر خود ارائه می‌کنیم کمک می‌کند.