Основная цель этого проекта — обнаружить вредоносные PE-файлы, а также определить, является ли URL-адрес вредоносным или нет, с использованием машинного обучения. Для этого мы использовали алгоритм случайного леса и алгоритм линейной регрессии для обучения и тестирования детектора вредоносных программ PE и детектора URL соответственно. Используя эти методы, мы намерены научить наши модели обнаруживать вредоносные файлы и URL-адреса. Основная идея любой задачи машинного обучения состоит в том, чтобы обучить модель на основе некоторого алгоритма выполнению определенной задачи: классификации, прижигания, регрессии и т. д. Обучение проводится на основе входного набора данных, а построенная модель впоследствии используется для предсказаний. Выход такой модели зависит от исходной задачи и реализации.
Чтобы развить более глубокое понимание, стоит пройтись по общему рабочему процессу процесса машинного обучения.
Формат переносимого исполняемого файла
Формат переносимого исполняемого файла — это тип формата, который используется в Windows (как x86, так и x64). Согласно Википедии, формат переносимого исполняемого файла (PE) — это формат файла для исполняемого файла, объектного кода, DLL, файлов шрифтов FON и дампов ядра. Формат файла PE представляет собой структуру данных, содержащую информацию, необходимую загрузчику ОС Windows для управления обернутым исполняемым кодом. До появления PE-файла в системах Windows NT использовался формат COFF.
Исполняемый файл PE в основном содержит два раздела, которые можно разделить на несколько разделов. Один из них — заголовок, а другой — раздел. Схема ниже все объясняет
Как и другие исполняемые файлы, PE-файл имеет набор полей, определяющих внешний вид остальной части файла. Заголовок содержит такую информацию, как расположение и размер кода, как мы обсуждали ранее. Первые несколько сотен байт типичного PE-файла занимает заглушка MS-DOS. PE-файл находится путем индексации e_ifanew заголовка MS-DOS. e_ifanew просто дает смещение файла, поэтому добавьте адрес файла в памяти, чтобы определить фактический адрес в памяти.
Есть несколько основных подразделов, определенных в самом разделе заголовка; они перечислены ниже:
- Подпись
- Машины
- КоличествоСекций
- Сайзоффационалхеадер
Используя эти функции, мы собираемся решить, является ли файл PE вредоносным или нет.
Вредоносный URL-адрес
URL-адрес — это эксклюзивный идентификатор, используемый для поиска ресурса в Интернете. Он также обозначается как веб-адрес. URL-адреса состоят из нескольких частей, включая протокол и доменное имя, которые сообщают веб-браузеру, как и где восстановить ресурс. Конечные операторы используют URL-адреса, вводя их непосредственно в адресную строку браузера или отмечая гиперссылки, найденные на веб-странице, в списке закладок, в электронном письме или в дополнительном приложении. URL-адрес — это наиболее собирательный тип универсального идентификатора ресурса (URI). URI — это строки машинописных текстов, используемые для идентификации источника в сети. URL-адреса жизненно важны для навигации в Интернете.
URL-адрес включает в себя имя протокола, необходимого для доступа к ресурсу, а также имя ресурса. Первая часть URL-адреса определяет, какой протокол использовать в качестве основного средства доступа. Вторая часть идентифицирует IP-адрес или доменное имя — и, возможно, поддомен — где находится ресурс. После домена URL также может указывать:
- Путь к конкретной странице или файлу в домене;
- Сетевой порт, используемый для установления связи.
- Используемые параметры запроса или поиска — обычно встречаются в URL-адресах результатов поиска.
В скоплении киберугроз вредоносные веб-сайты играют решающую роль в современных атаках и мошенничестве. Вредоносные URL-адреса могут передаваться пользователям по электронной почте, текстовым сообщениям, всплывающим окнам или скрытой рекламе. Конечным эффектом часто может быть загрузка вредоносных программ, шпионских программ, программ-вымогателей и скомпрометированных учетных записей. Должно быть очевидно, что знание того, что такое вредоносный URL-адрес и как он может причинить вред. Запускать фишинговые движения, предназначенные для торга с вашей личной информацией. Когда мы отмечаем URL-адрес, он направляет нас на фишинговые сайты и заставляет нас устанавливать вредоносные программы, вирусы или трояны, будь то путем передачи файла или загрузки, спровоцированной чем-то вроде просто, как наведение мыши или другой трюк.
Пример вредоносного URL
- timothycopus.aimoo.com
- Cracks.vg/d1.php
- svisionline.de/ngfi/administrator/components/com
