StealthyFlow:一种对抗条件下恶意代码动态流量伪装
近日,丁牛网安实验室在匿名通信方面又获得新成果,论文《StealthyFlow:一种对抗条件下恶意代码动态流量伪装框架》被计算机学报录用。
恶意代码问题使国家安全面临严重威胁。随着TLS协议快速普及,恶意代码呈现出流量加密化的趋势,通信内容加密导致检测难度的进一步提高。本文提出一种恶意代码流量伪装框架StealthyFlow,以采用加密流量进行远控通信的公共资源型恶意代码与GAN结合,对恶意流量进行不影响攻击功能的伪装,旨在实现伪装后的对抗流量与良性流量的不可区分性,进而绕过基于机器学习算法的分类器。实验结果表明,StealthyFlow产生的攻击流量与良性流量相似度极高,在对抗环境中可以绕过机器学习分类器。
基于StealthyFlow框架的新型恶意代码(称为SFMalware)的远程命令与控制模型如图1所示。由图可见,SFMalware将恶意代码程序与GAN结合,在受害主机侧进行流量伪装,将具有明显通信模式的恶意流量伪装成对抗流量,不再被通信链路上的检测手段阻塞,可以实现与C2服务器的隐蔽通信。
StealthyFlow的框架结构如图2所示,由GAN模型和恶意代码程序两部分构成,在受害主机上以GAN模型文件和恶意代码程序文件的组合形式存在。该框架的运行流程分为三个阶段,即数据收集、接口调用和流量生成。 
针对SFMalware和原始的公共资源型恶意代码(称为OrigMalware)进行流量检测,roc曲线图如图3所示。实验用的检测器基于DT、RF、AdaBoost、GTB四种机器学习算法进行构建。其中橙色实线是对上下两个部分分别代表两种恶意代码的实验结果。其中橙色实线代表OrigMalware检测的roc曲线,蓝色虚线代表对SFMalware检测的roc曲线。由图可见SFMalware产生的流量被检测到的概率明显降低。 
公共资源涉及的用户和网络资产众多,据悉,仅Github一项公共服务就在全球拥有超过3600万用户。由于用户群十分庞大,因此安全问题显得尤为重要。针对公共资源被攻击者滥用问题,防御者不断优化流量检测方案。然而出于利益驱使,恶意代码需要逃避流量检测,流量伪装技术势必也会有新的发展,恶意代码与人工智能结合是必然的趋势。可以预见,基于StealthyFlow框架的SFMalware一旦被真实应用,将带来巨大的安全隐患。因此,预先研究此类高级恶意代码的防御方案是有必要的。
文章来源:https://www.freebuf.com/articles/network/268404.html
