在OPSWAT,我們在開發先進的解決方案以保護重要基礎設施和組織免受網路威脅時,非常重視創新、創意和持續改進。這些價值觀激發了我們創造OPSWAT MetaDefender Threat Intelligence 的靈感,讓我們能夠更了解和偵測不斷演進的網路威脅,以偵測和識別相似的檔案。
由於惡意軟體的變種越來越複雜、越來越狡猾,傳統的以特徵碼為基礎的防毒解決方案已不敷應用。為了因應這項挑戰,OPSWAT 的網路安全專家開發了一套優雅的解決方案,利用最先進的靜態分析技術和機器學習來識別檔案之間共通的相似性。此方法可提供有效的方式來降低網路安全風險及預防潛在的攻擊。
創造MetaDefender Threat Intelligence 讓我們有機會解決困難而迫切的問題。我們能夠開發有效的網路安全解決方案,為組織提供預測新興威脅並為其做好準備所需的資訊。這與我們的創新文化以及為客戶提供最佳保護的承諾不謀而合。
資料
為了執行相似性搜尋,檔案會使用MetaDefender Sandbox 靜態和檔案模擬技術進行嚴格的掃描程序。這項先進的技術可從指定檔案中擷取最相關、最有用的資訊。
我們的惡意軟體分析專家已確定計算兩個檔案之間相似性的最有效特徵。這些特徵都是根據其提供精確和相關結果的能力而精心挑選出來的,並且會持續更新,以符合最新的惡意軟體趨勢和技術。
部分功能如下:
- 二進位元資料(檔案大小、熵、架構、檔案特性,以及許多其他資料)
- 進口
- 資源
- 節數
- 訊號
- 更多
注意:在搜尋檔案間的相似性時,重要的是使用Filescan 產生的信號,而不是完全依賴檔案的最終判定(惡意、資訊等)。這種方法有助於避免相似性搜尋過程中可能產生的任何潛在偏差。
製程
相似性搜尋過程包括從可攜式可執行 (PE) 檔案中萃取這些特徵,並將其轉換為向量嵌入。向量嵌入將資料表示為 n 維空間中的點數,讓相似的資料點聚類在一起,建立檔案指紋。在降低維度的同時,由各部分決定維度數。
然後,該解決方案使用這些向量之間的多重修正距離計算,找出最相似的檔案,讓我們能夠回答 「這個檔案與另一個檔案有多相似?」 的問題。該架構和演算法使用索引方法,即使在搜尋數百萬個檔案時,也能確保快速處理。對這些欄位進行演算法分析,可讓解決方案精確識別和隔離相似的檔案和威脅。
除了先進的技術外,Similarity Search 還提供可自訂的介面,讓使用者可以篩選搜尋參數。此功能提供了更大的靈活性,並確保用戶收到最準確且最符合其特定需求的相關結果。
濾波器:
- 標籤
- 判決
- 相似性臨界值
管道
流水線流程包括將新輸入的 PE 檔案 (例如可執行檔) 置於機器學習模型中,該模型會根據預先選取的特徵產生向量嵌入。這些向量隨後會嵌入向量空間中,而向量空間可以有任意數量的維度。
我們使用各種距離指標來計算向量與特徵之間的相似度,這有助於我們確定最接近給定輸入 PE 檔案的點位。
相似度得分
值得注意的是,相似度分數並不是絕對的,而且可能有點主觀。在決定檔案之間的相似程度時,並沒有一個普遍接受的公式或標準,因為這會依據上下文和特定使用情況而有所不同。因此,必須謹慎詮釋相似性分數,並考慮計算方法。相似性搜尋使用權重來計算精確的相似性分數。
MetaDefender Sandbox的結果
Filescan 結果提供了用於相似性搜尋的檔案的全面資訊。但是,要全面瞭解檔案的特徵和屬性,徹底分析這些資訊是非常重要的。使用者介面會顯示檔案掃描的各種屬性,並產生詳細的特徵報告。
若要存取相似性搜尋功能,請導航至使用者介面的左側。預設情況下,相似性搜尋功能會以預設的預設參數自動啟動。此外,還提供使用者多種篩選選項,協助使用者自訂搜尋方式,並根據指定要求取得最佳結果。
濾波器:
- 標籤: 這些是根據檔案屬性指定給檔案的動態標籤。使用相似性搜尋功能時,標籤可用於標示具有特定特徵的檔案,例如 peexe 或 shell32.dll。標籤有助於有針對性和有效率的搜尋,讓使用者能夠快速找到符合其特定需求的檔案。
- 判定: Filescan 判定提供對檔案進行掃描的結果,顯示檔案是否乾淨、惡意或可能有害。使用Filescan 判斷作為過濾器,使用者可以精細搜尋結果,以排除標記為惡意或可疑的檔案。
- 相似度臨界值:這是一個可設定的參數,用來決定搜尋結果中包含檔案所需的最低相似度。透過調整此臨界值,使用者可以自訂搜尋結果,以符合其特定需求。例如,他們可以找到關係密切的檔案,或是關係較不密切的檔案。此過濾器對需要在精確度與廣泛而全面的搜尋之間取得平衡的使用者非常有用。
標籤
在相似性搜尋功能中,使用者會看到標籤形式的預設過濾選項。這些索引標籤可讓使用者根據最相似的檔案、最近的檔案,以及已被標記為惡意判定的檔案來過濾結果。這些預先篩選選項的設計是為了提高使用者搜尋體驗的效率和精確度。
Threat Intelligence 分頁
Threat Intelligence 子頁為使用者提供多種功能,例如檢視最密切相關的檔案,以及利用可過濾的使用者介面。透過選擇特定的 SHA256 識別碼,使用者可以取得相關檔案相似性的詳細資訊,以及其高層級細節。
主要使用案例
與任何機器學習應用程式一樣,驗證相似性搜尋的結果至關重要。不過,這項功能為使用者提供了廣泛的可能性,讓他們可以有效率地探索和辨識相關檔案。索引搜尋為所有類型的檔案提供異常快速的哈希搜尋,形成產品的基石。下列實體可受惠於相似性搜尋功能。
- 網路威脅情資分析師,可利用此能力調查和偵測新的和不斷演進的威脅,改善組織的安全勢態。
- 威脅獵人,可主動搜尋危害指標 (IOC) 和潛在弱點,從而預防惡意活動。
- 任何有興趣探索檔案之間的關係和識別相似性的人,包括研究員、調查員和分析員。
取得相似性搜尋的存取權限
閱讀我們的說明檔案opswat瞭解如何將相似性搜尋整合到您的流程中opswat請注意,類似性搜尋功能是專為付費的Filescan 或 Threat Intel 套件使用者所提供的附加元件。如果您有興趣探索此功能,請立即註冊帳號!
