测量恶意软件检测能力
2024-11-18 12:0:0 Author: mp.weixin.qq.com(查看原文) 阅读量:1 收藏

工作来源

WTMC 2024

工作设计

利用在 2023 年 月到 11 月间,上传到 MalwareBazaar 的 63.5 万个恶意软件样本,与 VirusTotal 给出的相关信息进行分析。

工作准备

数据集情况如下所示,从中抽取了 1500 个最近提交的恶意软件样本子集并连续 90 天检索 VirusTotal 的分析结果。

可以看出,大多数恶意软件能够被 80% 的引擎识别。检测样本文件为恶意文件的引擎占比以 60% 为界,大约 67% 的恶意软件能够被 60% 的引擎检出。

工作评估

最常见的样本与最低检出率 TOP10 家族情况如下所示,像 qbot 与 sload 这样样本数量庞大但检出率较低的家族就应该被重视。

EmotetAgentTeslaDridex 等家族的大多数样本都具有较高的检出率,只有不到 20% 的样本检出率低于 60%。而 sloadencdocsneaky 等家族的大多数样本都具有较低的检出率,隐蔽性较好。

60% 的分析结果距离首次上传到 VirusTotal 都小于 71 天,但这些仍然多数都有 60% 以上的检出率。

从回归线可以看出,miraiqbot 和 sload 家族的检测率会随着时间而提高,尽管 sload 在改善后也并没有达到比较高的检出率。而 Valyria 在较长时间内,引擎的检出率都没有明显变化。

第一天 1500 个恶意样本的检出率约为 64%30 天内检出率提升至 69%30 天后检出率就没有显著变化了。

根据 VirusTotal 的数据条款,不能透露具体引擎的名称。TOP 20 家族的检测情况如下所示,竖向为一个检测引擎,横向为一个恶意软件加载。各个检测引擎的检测能力差异巨大,大体可以分为三种类型:① 最左侧均等深色的引擎,表现很差 ② 最右侧均等浅色的引擎,表现很好 ③ 绝大多数引擎都不可避免地会存在弱点和盲区。有一些检测引擎能够表现出近乎完美的检测能力,说明在这样的场景下对比其实也是存在最优解的。

通过蒙特卡洛模拟来评估检测能力和检测成本的平衡点,模拟 100 次每次随机选择 20 个检测引擎。由图可知,最佳的检测引擎数量在 到 间,更多的检测引擎难以对检测效果带来明显的改善。检测能力随着时间推移也会跟着提升,但并不明显。

模拟评估安全投资对业务运营的影响,过程不赘述,感兴趣请看原文。14 名安全和 IT 主管针对三种同场景进行了 77 次模拟,分别面临常规网络威胁、恶意软件威胁以及支付赎金条件下的恶意软件威胁。

超过 50% 的参与者无法制定有效的风险管理策略来对抗恶意软件,平均需要参与三次才能设计出有效的网络安全风险管理策略。

难以检测的恶意软件可以绕过合理的网络风险管理策略,并显著影响风险与性能。

工作思考

针对文件的分析与检测,需要系统性和科学的设计,测量可以反映内在的规律和特性,有助于理解和进一步的设计。


文章来源: https://mp.weixin.qq.com/s?__biz=MzkyMzE5ODExNQ==&mid=2247487491&idx=1&sn=1b3640beb1e90d916200af6d592abdfc&chksm=c1e9e7cff69e6ed9eabbcb2202ef68201fbf47f3b0dc251f9b4d8b83b5ce7ac0dd1eeee35a53&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh