Guscyrus-cyber/Splunk_AI_ML_cybersecurity_malware_classification_lab

GitHub: Guscyrus-cyber/Splunk_AI_ML_cybersecurity_malware_classification_lab

一个基于 Splunk Enterprise 的 AI/ML 网络安全实验,通过分析端点行为数据集来实现恶意软件分类与威胁检测。

Stars: 0 | Forks: 0

# AI/ML 网络安全实验室 05 恶意软件分类与行为分析 # 概述 在本实验中,我将使用 Splunk Enterprise,利用人工智能和机器学习概念来分析与恶意软件相关的事件。目标是识别区分恶意活动与合法系统行为的行为特征。 不像主要依赖已知特征码的传统防病毒解决方案,机器学习模型会分析多种行为特征,例如进程执行、网络活动、文件修改、注册表更改、权限提升和持久化技术。通过综合评估这些特征,AI/ML 系统可以基于行为相似性(而非预定义的特征码)对以前未见的恶意软件进行分类。 在整个实验过程中,我将调查恶意软件事件,比较恶意与良性行为,识别高风险进程,并使用 Splunk Enterprise 执行行为分类。 # 目标 完成本实验后,我将能够: **.** 使用 Splunk 分析恶意软件行为。\ **.** 识别可疑的进程执行。\ **.** 检测持久化技术。\ **.** 检查异常网络通信。\ **.** 调查权限提升企图。\ **.** 比较恶意和良性行为。\ **.** 将 AI/ML 分类概念应用于恶意软件检测。 # 数据集 **文件名:** malware_classification_dataset.csv ## \ \ 将数据集上传至 Splunk\ \ \ \ 验证已索引至 Splunk 的数据集\ \ \ \ \ \ **malware_classification_dataset.csv** 文件已成功上传至 Splunk Enterprise,并且成功索引了 **60 个事件**。出于演示目的,截图中仅显示了**前 20 个事件**。完整数据集包含 **60 个端点事件**,由 **45 个正常事件**和 **15 个恶意软件事件**组成。这些事件源自模拟企业环境中的多个端点,在整个实验过程中用于调查恶意软件行为、比较恶意和合法活动,以及使用 Splunk Enterprise 应用 AI/ML 分类概念。\ \ 验证主机\ \ \ 验证恶意软件进程\ \ \ \ 理解 process_name 和 threat_score 本实验中最重要的概念之一是理解:仅凭进程名并**不能**决定一个程序是合法的还是恶意的。在真实的 安全运营中心 (SOC) 中,分析师不会仅凭可执行文件名来分类恶意软件,因为攻击者可以通过使用类似于合法 Windows 或应用程序进程的名称(例如 svchost.exe、chrome.exe 或 explorer.exe)来轻松伪装恶意软件。相反,安全分析师和 AI/ML 系统通过同时检查多种特征来评估进程的整体行为。这些特征包括启动它的父进程、执行它的文件路径、可执行文件是否有数字签名、它的网络连接、注册表修改、持久化机制、权限提升企图、文件哈希以及其他行为指标。通过综合分析这些特征,AI/ML 模型可以区分恶意活动和正常的系统行为,即使恶意软件使用了看似合法的进程名。 此数据集中的另一个重要字段是 **threat_score**,它表示与事件相关的风险等级。在本实验中,威胁分数是作为模拟数据集的一部分生成的,以提供用于调查的真实安全事件。然而,在真实的企业环境中,威胁分数不是由 SOC 分析师手动分配的。它们由安全平台(如 Microsoft Defender for Endpoint、CrowdStrike Falcon、SentinelOne、Palo Alto Cortex XDR、VMware Carbon Black 以及类似的 终端检测与响应 (EDR/XDR) 解决方案)自动计算。这些平台使用人工智能、机器学习、行为分析和威胁情报,在分配风险分数或置信度之前同时评估事件的许多属性。表现出诸如从异常目录运行、缺乏受信任的数字签名、创建持久化机制、修改 Windows 注册表、建立可疑的外部网络连接或尝试权限提升等行为的进程通常会获得较高的威胁分数,因为它们更接近已知的恶意行为。现代基于 AI/ML 的安全解决方案不是依赖单一指标,而是通过分析多种行为特征的组合来对事件进行分类,从而使 SOC 分析师能够根据整体风险而不是进程来确定调查的优先级。\ \ 1. 哪些进程被归类为恶意软件? 使用此查询: index=endpoint sourcetype=malware_ml label=Malware \| table hostname username process_name parent_process threat_score \ 在多个企业端点中总共识别出 15 个恶意软件事件。检测到的恶意软件进程包括: | **恶意软件进程** | **父进程** | |---------------------|--------------------| | invoice_update.exe | outlook.exe | | credential_dump.exe | cmd.exe | | temp_payload.exe | explorer.exe | | security_patch.exe | powershell.exe | | winupdate32.exe | cmd.exe | | backup_sync.exe | powershell.exe | | rundll32.exe | winword.exe | 这些进程在多个端点上执行,包括 **WS-01**、**WS-02**、**WS-03**、**HR-01** 和 **ENG-01**,并获得了从 **80 到 100** 的威胁分数,表明属于高风险活动。 恶意软件事件分布在多个主机上,而不是局限于单个端点,这表明模拟企业环境内存在更广泛的感染。 几个可疑的观察结果包括: **. invoice_update.exe** 由 **outlook.exe** 启动,这可能表明它是恶意电子邮件附件。\ **. security_patch.exe** 和 **backup_sync.exe** 由 **powershell.exe** 启动,这是一种常被攻击者滥用于执行恶意代码的脚本引擎。\ **. credential_dump.exe** 从 **cmd.exe** 执行,表明企图通过命令行活动收集凭据。\ **. rundll32.exe** 由 **winword.exe** 启动,这种模式通常与执行嵌入式代码的恶意 Microsoft Office 文档有关。\ **. temp_payload.exe** 从 **explorer.exe** 启动并出现在多个端点上,表明相同的恶意软件可能已经在整个环境中传播。 这些执行链为理解恶意软件是如何被传递和执行的提供了有价值的上下文。 **AI/ML 洞察** 这项调查表明,**单凭进程名并不能决定一个程序是否恶意**。相反,AI/ML 分类模型在分配恶意软件标签和威胁分数之前会评估多种行为特征。 对于每个事件,模型都会考虑以下信息: 进程名\ 父进程\ 执行用户\ 主机名\ 进程执行行为\ 数据集中包含的其他行为指标 通过结合这些特征,模型可以识别出行为与已知恶意活动非常相似的进程。这使得 SOC 分析师能够根据**行为模式**来确定调查的优先级,而不是仅依赖进程名或传统的基于特征码的检测。这种方法反映了现代 终端检测与响应 (EDR/XDR) 平台如何使用 AI 和机器学习来识别跨多个企业端点的恶意软件。\ \ **2. 哪些父进程启动了恶意程序?**\ \ 使用此查询:\ \ index=endpoint sourcetype=malware_ml label=Malware\ \| stats count by parent_process\ \| sort - count **. explorer.exe** 4 个恶意软件事件 **. powershell.exe** 4 个恶意软件事件 **. cmd.exe** 3 个恶意软件事件 **. outlook.exe** 3 个恶意软件事件 **. winword.exe** 1 个恶意软件事件\ \ 其中,**explorer.exe** 和 **powershell.exe** 是最常观察到的父进程,它们各自启动了**四个恶意进程**。\ 父子进程关系为恶意软件是如何执行提供了重要线索。 **. explorer.exe** 表明用户可能在下载或打开恶意文件后手动启动了它。\ **. powershell.exe** 是一个强大的脚本引擎,经常被攻击者滥用以执行恶意脚本、下载 payload 或建立持久化。\ **. cmd.exe** 表示命令行执行,通常与恶意软件部署、凭据窃取或管理滥用有关。\ **. outlook.exe** 启动恶意进程可能表明恶意软件源自网络钓鱼电子邮件附件或恶意电子邮件内容。\ **. winword.exe** 启动恶意进程是一种众所周知的攻击技术,即 Microsoft Word 文档执行嵌入式宏或漏洞利用来运行恶意软件。尽管其中一些父进程是合法的 Windows 应用程序,但它们与恶意子进程的关系使其成为恶意软件调查期间的重要指标。 **AI/ML 洞察** 现代由 AI/ML 驱动的 终端检测与响应 (EDR/XDR) 平台不会孤立地评估进程。相反,它们会分析**进程执行链**,也称为**进程谱系**。 AI 模型不仅会问**“正在运行什么进程?”**,还会问: **. 是哪个进程启动了它?**\ **. 这种父子关系是常见的还是异常的?**\ **. 这种执行模式是否类似于已知的恶意行为?** 例如: **outlook.exe → invoice_update.exe** 可能表明存在网络钓鱼电子邮件附件。\ **powershell.exe → security_patch.exe** 可能表明基于脚本的恶意软件执行。\ **cmd.exe → credential_dump.exe** 可能表明通过命令行窃取凭据。\ **winword.exe → rundll32.exe** 可能表明恶意 Office 文档利用了宏或嵌入式代码。\ \ **3. 哪些主机产生了最高的威胁分数?**\ \ 使用此查询:\ \ index=endpoint sourcetype=malware_ml\ \| stats sum(threat_score) as total_threat_score by hostname\ \| sort - total_threat_score\ \ 累计威胁分数最高的端点是: 这些系统代表了数据集中风险最高的端点,应优先进行调查。\ \ \ 显示:每页 20 条 [格式 ](http://localhost:8000/en-US/app/search/search?q=search%20index%3Dmain%20source%3D%22%2Fvar%2Flog%2Fauth.log%22%0A%7C%20table%20_time%20host%20source%20sourcetype%20_raw&display.page.search.mode=smart&dispatch.sample_ratio=1&workload_pool=&earliest=-24h%40h&latest=now&sid=1775527812.1602&display.page.search.tab=statistics&display.general.type=statistics) 预览:开启 | [hostname](http://localhost:8000/en-US/app/search/search?q=search%20index%3Dmain%20source%3D%22%2Fvar%2Flog%2Fauth.log%22%0A%7C%20table%20_time%20host%20source%20sourcetype%20_raw&display.page.search.mode=smart&dispatch.sample_ratio=1&workload_pool=&earliest=-24h%40h&latest=now&sid=1775527812.1602&display.page.search.tab=statistics&display.general.type=statistics) | [total_threat_score](http://localhost:8000/en-US/app/search/search?q=search%20index%3Dmain%20source%3D%22%2Fvar%2Flog%2Fauth.log%22%0A%7C%20table%20_time%20host%20source%20sourcetype%20_raw&display.page.search.mode=smart&dispatch.sample_ratio=1&workload_pool=&earliest=-24h%40h&latest=now&sid=1775527812.1602&display.page.search.tab=statistics&display.general.type=statistics) | |----|---:| | WS-03 | 626 | | ENG-01 | 568 | | HR-01 | 380 | | WS-02 | 289 | | WS-01 | 180 | | FIN-01 | 140 | 结果显示,**WS-03** 产生了最高的累计威胁分数,表明在多个事件中存在重复或高度可疑的活动。**ENG-01** 也表现出显著的风险水平,紧随其后的是 **HR-01**。 其余主机(**WS-02**、**WS-01** 和 **FIN-01**)产生了较低的累计威胁分数。尽管不应忽略这些系统,但基于可用的遥测数据,它们代表着较低的调查优先级。 使用累计威胁分数有助于 SOC 分析师识别具有持续恶意活动的端点,而不是仅仅关注孤立的高风险事件。这有助于更有效的事件分诊和资源优先级分配。 **AI/ML 洞察** 现代 终端检测与响应 (EDR/XDR) 平台不会基于单一警报来评估主机。相反,AI/ML 模型会持续聚合每个端点上的行为指标,以产生对风险的整体评估。在此数据集中,累计威胁分数反映了多种行为特征的综合影响,包括: **.** 可疑的进程执行\ **.** 父子进程关系\ **.** 注册表修改\ **.** 持久化机制\ **.** 权限提升企图\ **.** 网络活动\ **.** 数据集中表示的其他端点行为 **4. 哪些进程建立了外部网络连接?\ \** 使用此查询:**\ \** index=endpoint sourcetype=malware_ml\ \| search external_ip!="None"\ \| table hostname username process_name external_ip threat_score label\ \ \ \ 数据集显示,**正常应用程序和恶意软件进程都建立了外部网络连接**。 **恶意软件进程** **. invoice_update.exe**\ **. credential_dump.exe**\ **. temp_payload.exe** **. security_patch.exe**\ **. winupdate32.exe**\ **. backup_sync.exe** 这些恶意软件进程与以下外部 IP 地址进行了通信: ### . 203.0.113.10\ . 203.0.113.22\ . 198.51.100.44\ . 198.51.100.88\ . 192.0.2.50\ \ 正常进程 几个合法的应用程序也建立了出站连接,包括: **. outlook.exe**\ **. msedge.exe**\ **. excel.exe**\ **. teams.exe**\ **. svchost.exe**\ **. notepad.exe** 这些进程与众所周知的外部服务进行了通信,例如: **. 8.8.8.8**\ **. 13.107.42.16\ \** 结果表明,**仅凭外部网络通信不足以识别恶意软件**。\ 诸如 Outlook、Microsoft Edge、Teams、Excel 和 Windows 系统进程之类的合法应用程序在正常运行期间会例行与外部服务器进行通信。同时,几个恶意软件进程在获得显著更高的威胁分数的同时,也建立了指向不同外部 IP 地址的出站连接。\ 这说明了为什么 SOC 分析师必须评估多种行为指标,而不是依赖单一事件。在许多情况下,进程连接到外部 IP 是预料之中的,但是当该通信与可疑的进程执行、持久化机制、注册表修改或权限提升在一起时,整体行为就会变得严重得多。 **AI/ML 洞察** 这项调查突出了基于 AI/ML 的端点安全的核心原则之一: **外部网络通信是一个特征,而不是最终判决。** 现代 AI/ML 模型不会仅仅因为进程连接到了外部 IP 地址就将其归类为恶意。相反,它们会分析该行为以及许多其他特征,包括: 进程名\ 父进程\ 文件位置\ 数字签名\ 注册表修改\ 持久化机制\ 权限提升企图\ 威胁分数\ 主机随时间变化的行为 例如: **. Outlook 连接到 Microsoft 服务** 是预期行为。\ **. invoice_update.exe 连接到具有高威胁分数的未知外部 IP** 则可疑得多。 通过结合所有这些行为特征,AI/ML 模型可以区分正常的出站通信和与恶意软件相关的网络活动。这种行为方法使得 EDR/XDR 平台能够识别恶意进程,即使它们使用的是以前未知的恶意软件家族或与现有特征码不匹配。\ \ **5. 哪些恶意软件企图实现持久化?**\ \ 使用此查询:\ \ index=endpoint sourcetype=malware_ml label=Malware persistence=Yes\ \| table hostname username process_name parent_process persistence threat_score\ \ \ 总共有 7 个恶意软件事件企图在多个企业端点上建立持久化。 识别出的恶意软件进程为: **temp_payload.exe**\ **invoice_update.exe**\ **security_patch.exe**\ **backup_sync.exe**\ **rundll32.exe** 这些持久化企图发生在 **WS-01**、**WS-02**、**WS-03**、**HR-01** 和 **ENG-01** 上,威胁分数从 **81 到 99** 不等。 结果表明,几个恶意软件家族企图维持对受感染系统的长期访问。 值得注意的观察结果包括: **invoice_update.exe** 在 **WS-02** 上不止一次地企图实现持久化,这表明在同一端点上存在重复的恶意活动。\ **backup_sync.exe** 在 **HR-01** 和 **WS-01** 上都建立了持久化,表明相同的恶意行为出现在多个系统上。\ **security_patch.exe** 和 **backup_sync.exe** 由 **powershell.exe** 启动,这进一步证明了 PowerShell 在恶意软件执行和持久化中的普遍使用。 **rundll32.exe** 由 **winword.exe** 启动,这种进程关系经常与恶意的 Microsoft Office 文档相关联。\ **temp_payload.exe** 在由 **explorer.exe** 启动后企图实现持久化,表明可能是用户交互启动了该恶意软件。 **AI/ML 洞察** 持久化是由 AI/ML 驱动的端点安全平台所使用的最强烈的行为特征之一。 AI/ML 模型不是仅通过文件名来对恶意软件进行分类,而是将持久化与其他行为指标一起评估,包括: 父子进程关系\ 注册表修改\ 权限提升企图\ 外部网络通信\ 进程执行模式\ 威胁分数\ 主机随时间变化的活动 一个建立持久化的进程,比一个只执行一次并正常终止的进程要可疑得多。通过将持久化与其他行为特征相结合,AI/ML 模型可以区分合法的软件安装和企图维持未经授权访问的恶意软件。这种行为分析使现代 EDR/XDR 平台能够基于**其行为方式**检测已知和以前未知的恶意软件,而不是仅仅依赖特征码或文件名。 **6. 每个进程有多少涉及企图持久化的恶意软件事件?\ \** 使用此查询:\ \ index=endpoint sourcetype=malware_ml label=Malware persistence=Yes\ \| stats count by process_name\ \ \ 每个进程有 7 个涉及企图持久化的恶意软件事件。\ \ **7. 哪些恶意软件修改了 Windows 注册表?**\ \ 使用此查询:\ \ index=endpoint sourcetype=malware_ml label=Malware registry_changes=Yes\ \| table hostname username process_name parent_process registry_changes threat_score\ \ \ 修改 Windows 注册表的恶意软件进程包括: | **恶意软件进程** | **父进程** | |---------------------|--------------------| | credential_dump.exe | cmd.exe | | temp_payload.exe | explorer.exe | | invoice_update.exe | outlook.exe | | security_patch.exe | powershell.exe | | winupdate32.exe | cmd.exe | | backup_sync.exe | powershell.exe | | rundll32.exe | winword.exe | 这些进程应对数据集中识别出的所有 **12 起注册表修改事件**负责。 结果表明,注册表修改是由跨多个端点的几个不同恶意软件家族执行的。 值得注意的观察结果包括: **. temp_payload.exe** 在多个主机上修改了注册表,表明存在重复的恶意行为。\ **. invoice_update.exe** 在从 **outlook.exe** 执行后进行了注册表修改,表明恶意软件是通过网络钓鱼电子邮件传递的。\ **. backup_sync.exe** 和 **security_patch.exe** 由 **powershell.exe** 启动,强化了 PowerShell 在基于脚本的攻击中的作用。\ **. credential_dump.exe** 在从 **cmd.exe** 启动后修改了注册表,表明是命令行执行。\ **. rundll32.exe** 由 **winword.exe** 启动,这种进程关系经常与恶意的 Microsoft Office 文档相关联。 这些注册表修改可能被用于维持持久化、更改系统设置或为受感染系统准备额外的恶意活动。因此,受影响的端点应被优先考虑进行进一步的取证调查。 **AI/ML 洞察** Windows 注册表修改是由 AI/ML 驱动的 终端检测与响应 (EDR/XDR) 平台使用的一项重要行为特征。AI/ML 模型不会将每一次注册表更改都视为恶意,而是将注册表活动与其他行为指标一起评估,例如: 进程执行\ 父子进程关系 持久化机制\ 外部网络通信\ 权限提升企图\ 威胁分数\ 主机随时间变化的行为 由 **Microsoft Office** 或合法的软件安装程序执行的注册表修改可能是预期的。然而,当诸如 **credential_dump.exe**、**temp_payload.exe** 或 **invoice_update.exe** 之类的进程在修改注册表的同时还表现出其他可疑行为时,整体风险就会显著增加。通过关联这些行为特征,AI/ML 模型可以区分合法的管理活动和企图更改操作系统、维持持久化或逃避检测的恶意软件。这种多特征分析使现代安全平台能够在恶意软件本身以前未知的情况下识别恶意行为。\ \ **8. 哪些恶意软件企图进行权限提升?** 使用此查询:\ \ index=endpoint sourcetype=malware_ml label=Malware privilege_escalation=Yes\ \| table hostname username process_name parent_process privilege_escalation threat_score 总共有 8 个恶意软件事件企图进行权限提升。 识别出的 5 个独立恶意软件进程为: **. invoice_update.exe** **. temp_payload.exe**\ **. winupdate32.exe**\ **. backup_sync.exe**\ **. rundll32.exe** 这些事件发生在 **WS-01**、**WS-02**、**WS-03**、**HR-01 主机名**和 **ENG-01 主机名**上,威胁分数从 **80 到 95** 不等。 企图进行权限提升的恶意软件进程包括: | **恶意软件进程** | **父进程** | |---------------------|--------------------| | invoice_update.exe | outlook.exe | | temp_payload.exe | explorer.exe | | winupdate32.exe | cmd.exe | | backup_sync.exe | powershell.exe | | rundll32.exe | winword.exe | 这些进程应对数据集中识别出的所有 **8 起权限提升事件**负责。 调查显示,几个恶意软件家族在执行后企图获得提升的权限。 主要观察结果包括: **temp_payload.exe** 在多个端点上企图进行权限提升,表明存在重复的恶意行为。\ **invoice_update.exe** 由 **outlook.exe** 启动,表明在网络钓鱼电子邮件可能是最初的感染媒介之后,企图获得更高的权限。\ **backup_sync.exe** 由 **powershell.exe** 启动,这是一种经常被滥用于执行恶意软件和执行感染后操作的脚本引擎。\ **winupdate32.exe** 从 **cmd.exe** 启动,表明是命令行执行的可疑程序。\ **rundll32.exe** 由 **winword.exe** 启动,这种进程关系通常与恶意的 Microsoft Office 文档和基于宏的攻击相关联。 跨多个端点出现的权限提升企图表明,该恶意软件不仅限于简单的执行,而是企图获得对受感染系统的更大控制权。这些端点应被视为高优先级,进行遏制和进一步的取证调查。 ## AI/ML 洞察 权限提升是 AI/ML 驱动的 终端检测与响应 (EDR/XDR) 平台在评估事件严重性时使用的一项高价值行为特征。AI/ML 模型不会假设每一次权限提升企图都是恶意的,而是将其与其他行为指标一起评估,包括: 进程执行\ 父子进程关系\ 注册表修改\ 持久化机制\ 外部网络通信\ 威胁分数\ 主机随时间变化的行为 例如,合法的管理工具可能会在软件安装或系统维护期间请求提升的权限。相比之下,诸如 **temp_payload.exe**、**invoice_update.exe** 或 **backup_sync.exe** 之类的进程在企图进行权限提升的同时还表现出可疑的执行模式、注册表修改或持久化机制,则代表着更高的风险。通过关联这些行为,AI/ML 模型可以区分合法的管理操作和企图获得对系统未经授权控制的恶意软件,使 SOC 分析师能够优先调查和响应最关键的威胁。\ \ **9. 哪些用户执行了恶意进程?** 使用此查询: index=endpoint sourcetype=malware_ml label=Malware\ \| stats count as malware_events by username\ \| sort - malware_events\ \ \ 总共有四个用户账户执行了恶意进程。 | **用户名** | **恶意软件事件** | |---------------|--------------------| | backup_admin | 6 | | admin | 5 | | finance_admin | 2 | | svc_account | 2 | “backup_admin”账户与数量最多的恶意软件事件 (**6**) 相关联,紧随其后的是 **admin** 账户 (**5**)。**finance_admin** 和 **svc_account** 账户各自产生了 **2** 个恶意软件事件。 ## AI/ML 洞察 用户行为是 AI/ML 驱动的端点安全中的一个重要特征。AI/ML 模型不会仅仅因为用户账户执行了恶意进程就假设它已被盗用,而是将用户活动与其他行为指标相关联,例如进程执行、父子进程关系、持久化机制、权限提升企图、网络通信和历史登录模式。在此数据集中,**backup_admin** 和 **admin** 产生了数量最多的恶意软件事件,使其成为优先级较高的调查账户。这种以用户为中心的行为分析使 SOC 分析师能够识别可能被盗用的账户,并将事件响应工作集中在整体风险最大的地方。\ \ **10. 哪些恶意软件家族表现出相似的行为特征?**\ \ 使用此查询:\ \ index=endpoint sourcetype=malware_ml label=Malware\ \| table process_name parent_process persistence registry_changes privilege_escalation external_ip threat_score \ 调查发现了几个具有相似行为特征的恶意软件进程:
恶意软件进程 相似行为特征
invoice_update.exe outlook.exe 执行,建立了外部连接,在多个事件中企图实现持久化和权限提升。
__________________________________________________________
temp_payload.exe explorer.exe 执行,反复修改注册表,建立外部连接,并经常企图实现持久化或
权限提升。
__________________________________________________________
backup_sync.exe powershell.exe 执行,建立外部连接,企图实现持久化,并且在其中一个事件中还修改了注册表并企图进行权限提升。
__________________________________________________________
credential_dump.exe cmd.exe 执行,持续修改 Windows 注册表并建立了外部网络连接。
__________________________________________________________
security_patch.exe powershell.exe 执行,企图实现持久化,修改了注册表,并建立了外部网络连接。
_________________________________________________________
win32.exe cmd.exe 执行,修改了注册表,企图进行权限提升,并进行了外部通信。
________________________________________________________
rundll32.exe winword.exe 执行,企图实现持久化,修改了注册表,企图进行权限提升,并建立了外部网络连接。
__________________________________________________________
这些行为相似性表明,几个恶意软件进程尽管具有不同的可执行文件名,但使用了可比的攻击技术。 ## AI/ML 洞察 ## 这个问题展示了**基于行为的恶意软件分类**背后的核心思想。现代由 AI/ML 驱动的 EDR/XDR 平台不仅仅依赖恶意软件名称或文件哈希。相反,它们比较行为特征,如进程谱系、持久化、注册表修改、权限提升和外部网络通信。共享相似行为模式的恶意软件可以被分组到同一个行为集群中,即使可执行文件名不同。这使得 AI/ML 模型能够通过识别常见的攻击技术来识别新的或以前未知的恶意软件,而不是完全依赖基于特征码的检测。\ \ 11. 哪些事件应优先进行事件响应?\ \ 使用此查询:\ \ index=endpoint sourcetype=malware_ml\ \| sort - threat_score\ \| table hostname username process_name threat_score persistence registry_changes privilege_escalation external_ip label\ \ \ 事件响应的最高优先级事件是具有最高威胁分数的恶意软件事件: | **优先级** | **主机** | **进程** | **威胁分数** | |--------------|------------|-------------------------|------------------| | 1 | **WS-03** | **temp_payload.exe** | **100** | | 2 | **HR-01** | **backup_sync.exe** | **99** | | 3 | **WS-03** | **temp_payload.exe** | **95** | | 4 | **ENG-01** | **rundll32.exe** | **93** | | 5 | **WS-03** | **backup_sync.exe** | **92** | | 6 | **WS-03** | **credential_dump.exe** | **91** | | 7 | **ENG-01** | **security_patch.exe** | **91** | | 8 | **ENG-01** | **temp_payload.exe** | **91** | 应该首先调查这些事件,因为它们结合了**高威胁分数**以及一种或多种高风险行为,包括持久化、Windows 注册表修改、权限提升和外部网络通信。 ## AI/ML 洞察 AI/ML 驱动的安全平台最大的优势之一是它能够**根据整体风险而不是单个警报来确定事件的优先级**。AI/ML 模型不会生成数百个同等优先级的警报,而是评估多种行为指标——包括进程执行、持久化、注册表修改、权限提升、外部通信和威胁分数——以确定哪些事件构成最大的威胁。在这次调查中,涉及 **temp_payload.exe**、**backup_sync.exe**、**rundll32.exe**、**credential_dump.exe** 和 **security_patch.exe** 的事件获得了最高的威胁分数,因为它们表现出了多种恶意行为。这种基于风险的优先级划分使得 SOC 分析师能够首先响应最关键的事件,从而减少警报疲劳并提高事件响应的效率。\ \ **12. 哪些行为特征对恶意软件分类的贡献最大?**\ \ 使用查询:\ \ index=endpoint sourcetype=malware_ml\ \| stats count by persistence registry_changes privilege_escalation label\ \| sort – count \ 结果表明,**恶意软件分类是基于行为特征的组合,而不是单一指标**。 最常见的恶意软件行为模式包括: | **持久化** | **注册表更改** | **权限提升** | **恶意软件事件** | |----|----|----|----| | No | Yes | No | 4 | | Yes | Yes | Yes | 4 | | No | No | Yes | 2 | | No | Yes | Yes | 2 | | Yes | Yes | No | 2 | | Yes | No | No | 1 | 相比之下,**44 个正常事件**没有表现出任何这些行为 (No / No / No),表明正常的端点活动很少表现出这些可疑特征。 ## AI/ML 洞察 此查询展示了基于 AI/ML 的恶意软件检测中的一个基本概念:**驱动分类的是行为特征的组合,而不是任何单一特征**。例如,单独的注册表修改可能会在合法的软件安装期间发生,而权限提升在经过授权的管理任务中也是可以预期的。然而,当诸如**注册表修改**、**持久化**和**权限提升**等行为同时发生时,恶意活动的可能性就会显著增加。AI/ML 模型从大量的端点遥测数据中学习这些行为组合,并利用它们来区分正常活动和恶意软件。这使得现代 EDR/XDR 平台能够通过识别恶意行为模式来检测以前未知的威胁,而不是仅仅依赖特征码或文件名。 顶端 底端 顶端 底端 底端 底端 顶端 底端
标签:AI/ML, 安全实验, 安全运营, 扫描框架