3月28-31日，一年一度的Blackhat Asia(亞洲黑帽大會)如期在新加坡海灣金沙酒店舉行。山石網(wǎng)科美國研發(fā)團(tuán)隊的論文“超越黑名單，運(yùn)用機(jī)器學(xué)習(xí)檢測惡意URL”(“Beyond The Blacklists: Detecting Malicious URLS Through Machine Learning”)受到了會議專家組的青睞，山石網(wǎng)科受邀在會上發(fā)表相關(guān)主題演講。

[[188428]]

創(chuàng)立于1997年的Black Hat是安全領(lǐng)域的頂級峰會，逾19年來向與會者提供信息安全研究、發(fā)展和趨勢方面的最新信息。

[[188429]]

對于從全世界蜂擁到新加坡的近萬名黑客技術(shù)的信徒來說，講臺上的大牛，不僅框定了本年度世界黑客的研究潮流，也噴薄著挑戰(zhàn)未知、突破一切的黑客精神。登上這個舞臺，向世界分享自己的研究成果，對于大多數(shù)黑客大牛來說，也有如站在奧運(yùn)會的領(lǐng)獎臺上，散發(fā)著非同尋常的意義。

[[188430]][[188431]]

此次峰會共有33篇論文入選，其中有3篇來自中國的網(wǎng)絡(luò)安全廠商，山石網(wǎng)科以高超的研發(fā)技術(shù)水準(zhǔn)在眾廠商中脫穎而出，在這個人人探討如何攻擊的黑帽大會，以如何“防守”的主題成為了整場會議的獨(dú)特亮點(diǎn)，將來自中國的安全研發(fā)思路輸出給全世界的頂級黑客們。

[[188432]]

下面為大家分享這篇論文的主旨內(nèi)容：

許多類型的現(xiàn)代malwares使用基于http的通信。與傳統(tǒng)的AV簽名, 或系統(tǒng)級的行為模型相比，網(wǎng)絡(luò)級行為簽名/建模在惡意軟件檢測方面有一定的優(yōu)勢。在這里，我們提出一個新穎的基于URL的惡意軟件檢測方法行為建模。該方法利用實(shí)踐中常見的惡意軟件代碼重用的現(xiàn)象?；诖髷?shù)據(jù)內(nèi)已知的惡意軟件樣本，我們可以提煉出簡潔的功能模型，代表許多不同的惡意軟件中常用的相似性連接行為。這個模型可以用于檢測有著共同的網(wǎng)絡(luò)特征的未知惡意軟件變種。

我們專注于http連接，因?yàn)檫@個協(xié)議是最主要的惡意軟件連接類型，用僵尸控制網(wǎng)絡(luò)連接，得到更新和接收命令后開始攻擊。檢查在http連接層次的特征已被證明是一種來檢測惡意連接的有效方式。

在我們的下一代防火墻設(shè)備中，我們有算法使用靜態(tài)黑名單和特征簽名來檢查連接域名，URL路徑和用戶代理以確定是否惡意。結(jié)合域生成算法(DGA)檢測的機(jī)器學(xué)習(xí)算法，我們?nèi)〉煤芎玫膼阂釻RL檢出率。然而，最復(fù)雜和富有挑戰(zhàn)性的部分是查詢URL字符串連接的動態(tài)內(nèi)容。因?yàn)檫@些字符串非常多樣化，幾乎可以是任何東西，導(dǎo)致靜態(tài)簽名規(guī)則變得不那么有效。參數(shù)的變種和進(jìn)化使簽名生成費(fèi)時。它還需要簽名庫為新連接特性執(zhí)行頻繁的更新。

我們這個演講談到的新穎的聚類算法是非常高效的，這個算法不僅可以檢測已知的惡意URL，并且也能檢測到從未暴露(0-day)的新變種。這個模型可以對于來自全球的每周1萬條惡意軟件樣本庫和8萬URL地址庫進(jìn)行機(jī)器學(xué)習(xí)。