超级会员免费看
自动化间谍软件收集与分析及漏洞信息统一用于攻击图构建
1. 自动化间谍软件收集与分析
在间谍软件的检测分析中,行为分析虽能较为准确地捕捉间谍软件威胁,但仍存在一定局限性。行为分析未能将一些恶意组件识别为间谍软件,主要原因有两个:一是部分组件试图连接的远程主机已不可用,导致收集的信息无法泄露;二是某些组件在等待特定触发条件(如特定URL),而该条件不在我们访问的URL集合中。
基于行为的分析将从Internet Explorer进程中泄露受污染(敏感)用户信息的浏览器扩展(BE)视为间谍软件,但这种操作可能存在合法情况,从而产生误报。例如,ChildWebGuardian会跟踪用户的浏览习惯,旨在为家长提供对孩子访问网站的控制,它将用户访问的URL列表记录到本地文件中,供家长后续检查。有趣的是,所有导致误报的组件仅将信息(如URL)写入本地文件系统。因此,可以修改行为分析方法,仅当敏感信息通过网络(可能通过文件系统或其他进程)传输时,才将组件标记为间谍软件,这样不会增加额外的漏报情况。
总体而言,行为分析最准确地捕捉到了间谍软件威胁。结合Spybot工具,该技术正确检测出了大部分恶意浏览器扩展,且产生的误报数量最少,并且这个数量还可以进一步降低。所以,在不进行任何手动分析的情况下重复实验时,行为分析技术的结果可用于对未知组件进行分类。添加Spybot等工具可以提高检测率,但也会因误报而错误地增加间谍软件组件的数量。
与以往研究相比,我们的测量结果有一定相似性。以往研究发现,所有爬取的可执行文件中有5.5% - 13.4%感染了间谍软件,我们的研究中检测到的受感染可执行文件比例为6.6%。然而,这个数字并不能反映互联网上实际存在的间谍软件威胁,它只是对可能包含烦人
订阅专栏 解锁全文
扫一扫
86
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
