计算机科学 > 密码学与安全
[提交于 2024年7月1日
]
标题: 关于多语言文件的滥用与检测
标题: On the Abuse and Detection of Polyglot Files
摘要: 多语言文件是一种同时符合两种或多种格式要求的文件。 对于依赖特定格式检测器/签名来路由文件的恶意软件检测系统以及文件上传和清理工具来说,多语言文件构成了问题。 在这项工作中,我们发现现有的文件格式和嵌入文件检测工具,即使那些专门为多语言文件开发的工具,在实际环境中也未能可靠地检测到多语言文件,使组织面临攻击风险。 为了解决这个问题,我们研究了恶意行为者在实际环境中使用多语言文件的情况,发现了$30$个多语言样本和$15$个利用多语言文件的攻击链。 在本报告中,我们强调了两个知名的高级持续威胁(APT)组织,它们的网络攻击链依赖于多语言文件来绕过检测机制。 利用我们在野外对多语言文件使用情况的调查知识——这是第一次此类调查——我们基于对手技术创建了一个新的数据集。 然后,我们使用这个数据集训练了一种机器学习检测解决方案 PolyConv。 PolyConv 的多语言文件检测的精确率-召回率曲线下的面积得分达到$0.999$,F1 得分为$99.20$%,文件格式识别得分为$99.47$%,显著优于所有其他测试工具。 我们还开发了一种内容清除与重建工具 ImSan,该工具成功清除了测试中$100$%的图像型多语言文件,这是通过调查发现的最常见的类型。 我们的工作为防御者提供了具体的工具和建议,以更好地防御多语言文件攻击,同时也为未来的研究指明了方向,以制定更健壮的文件规范和清除方法。
收藏
文献和引用工具
与本文相关的代码,数据和媒体
alphaXiv (什么是 alphaXiv?)
CatalyzeX 代码查找器 (什么是 CatalyzeX?)
DagsHub (什么是 DagsHub?)
Gotit.pub (什么是 GotitPub?)
Hugging Face (什么是 Huggingface?)
带有代码的论文 (什么是带有代码的论文?)
ScienceCast (什么是 ScienceCast?)
演示
推荐器和搜索工具
arXivLabs:与社区合作伙伴的实验项目
arXivLabs 是一个框架,允许合作伙伴直接在我们的网站上开发和分享新的 arXiv 特性。
与 arXivLabs 合作的个人和组织都接受了我们的价值观,即开放、社区、卓越和用户数据隐私。arXiv 承诺这些价值观,并且只与遵守这些价值观的合作伙伴合作。
有一个为 arXiv 社区增加价值的项目想法吗? 了解更多关于 arXivLabs 的信息.