Malware Data Science
Attack Detection and Attribution
Saxe et Sanders appliquent des techniques de machine learning (classification, clustering, deep learning) à la détection et l'attribution malware, avec du code Python fonctionnel et de vrais corpus.
En tant qu'Associé Amazon, nous percevons une commission sur les achats éligibles. Le lien ci-dessus est sponsorisé.
- Auteurs
- Joshua Saxe,Hillary Sanders
- Publié
- 2018
- Éditeur
- No Starch Press
- Pages
- 272
- Langue
- English
À lire si
Analystes malware et détection engineers qui veulent passer à l'échelle au-delà du triage manuel. Saxe et Sanders appliquent classification, clustering, analyse de similarité et deep learning au corpus malware, avec du code Python fonctionnel partout.
À éviter si
Analystes dont le travail est un-échantillon-à-la-fois, ou lecteurs sans confort Python et statistiques basiques. Le livre est pour les environnements riches en télémétrie où le ML à l'échelle compte.
Points clés
- Les classifieurs à features statiques peuvent router efficacement une queue de triage même à l'échelle ; les chapitres du livre sur le feature engineering remboursent le coût.
- L'analyse de similarité (locality-sensitive hashing, ssdeep, imphash, fuzzy hashing au niveau fonction) est le levier de l'analyste pour clusteriser des campagnes et tracer l'évolution d'acteurs.
- Le deep learning est sur-hypé pour le malware dans beaucoup de contextes et exactement le bon outil dans d'autres ; le livre est honnête sur les compromis d'une façon que la plupart des livres ML/sécurité ne sont pas.
Notes
À coupler avec Practical Malware Analysis (Sikorski/Honig) pour la fondation analyse manuelle et avec le travail ultérieur de Joshua Saxe chez Sophos pour la vue déploiement production. Les samples de code sur GitHub font de ce livre une rareté parmi les livres sécurité en restant exécutables des années plus tard. Utile pour quiconque conçoit la détection à l'échelle, moins utile pour les analystes malware boutique.
Que lire avant
Que lire avant Malware Data Science →Débutant · 2014
Countdown to Zero Day
La reconstruction journalistique de Stuxnet par Kim Zetter : opération conjointe US/Israël qui a physiquement endommagé les centrifugeuses d'enrichissement iraniennes via un ver, et ce que sa découverte a révélé sur la capacité cyber étatique.
Intermédiaire · 2012
Practical Malware Analysis
Toujours le manuel de référence pour l'analyse statique et dynamique de malwares sur Windows.
Intermédiaire · 2013
The Practice of Network Security Monitoring
Le playbook NSM de Richard Bejtlich : comment déployer les sensors de collecte, valider que vous voyez réellement ce que vous pensez voir, et construire des workflows de détection autour d'outils open-source.
Que lire ensuite
Que lire après Malware Data Science →Avancé · 2009
Les virus informatiques : théorie, pratique et applications
Le livre de référence francophone d'Éric Filiol sur la virologie informatique. Théorie formelle, mécanismes d'infection, applications offensives et défensives, avec un soin académique rare sur le sujet.
Avancé · 2014
The Art of Memory Forensics
La référence canonique de Ligh, Case, Levy et Walters sur l'analyse mémoire avec Volatility — la technique, le tooling et les internals OS dont elle dépend, sur Windows, Linux et macOS.
Avancé · 2024
Evasive Malware
Kyle Cucci sur la course aux armements anti-analyse : détection sandbox, anti-debug, anti-VM, packing, et le tooling et tradecraft côté analyste qui passent ces couches.
Explorer des livres similaires
Alternatives à Malware Data Science →Intermédiaire · 2013
The Practice of Network Security Monitoring
Le playbook NSM de Richard Bejtlich : comment déployer les sensors de collecte, valider que vous voyez réellement ce que vous pensez voir, et construire des workflows de détection autour d'outils open-source.
Intermédiaire · 2012
Practical Malware Analysis
Toujours le manuel de référence pour l'analyse statique et dynamique de malwares sur Windows.
Intermédiaire · 2017
Network Security Through Data Analysis
Michael Collins sur la construction d'une awareness situationnelle à partir de la télémétrie réseau : architecture de collecte, calibrage statistique, et patterns analytiques qui transforment les flows en détection.