Entwurf einer Malware-Klassifizierungs-Pipeline mit statischen und dynamischen Merkmalen

Der Aufbau einer Malware-Klassifizierungs-Pipeline, die in der Produktion Bestand hat, ist eher ein Designproblem als ein Codierungsproblem. Die von Ihnen gewählten Merkmale, die Art und Weise, wie Sie Samples sammeln und kennzeichnen, die sorgfältige Trennung von Test- und Trainingsdaten sowie die Auswertungsroutinen bestimmen, ob das System einen Mehrwert liefert oder leise versagt. Dieser Kurs führt Sie durch diese Entscheidungen in der Reihenfolge, in der sie typischerweise auftreten. Sie werden schriftliche Designübungen durcharbeiten, die widerspiegeln, wie ein kleines Sicherheits- oder Forschungsteam eine Klassifizierungs-Pipeline planen würde. Der Schwerpunkt liegt auf den praktischen Kompromissen, die darüber entscheiden, ob ein System im Betrieb nützlich ist. Was Sie lernen werden: - Planung von Sample-Sammelstrategien, die gutartige und bösartige Beispiele über Familien und Alter hinweg umfassen - Entwurf von Kennzeichnungsroutinen, die eine vertrauenswürdige Ground Truth ohne zirkuläre Argumentation erzeugen - Extraktion statischer Merkmale wie Importe, Strings und struktureller Metadaten auf robuste Weise - Erfassung dynamischen Verhaltens, einschließlich API-Aufrufsequenzen, Netzwerkaktivitäten und Dateioperationen in sicheren Sandboxes - Vergleich von Modellierungsansätzen, einschließlich klassischer Methoden, Gradient Boosting und moderner Deep Learning - Bewertung der Leistung mit betrieblich relevanten Metriken, einschließlich der Rate falsch positiver Ergebnisse und der Erkennungsverzögerung Der Kurs schreitet von der Sample-Sammlung und Kennzeichnung über die Merkmalsextraktion und Modellierung bis hin zur Auswertung voran. Eine abschließende schriftliche Übung fordert Sie auf, ein einseitiges Design für eine Klassifizierungs-Pipeline zu entwerfen, die auf ein bestimmtes Bedrohungsszenario abzielt. Dieser Kurs richtet sich an Anfänger mit Software- oder Sicherheitskenntnissen, einschließlich Junior-Sicherheitsanalysten, Bedrohungsforschern und Informatikstudenten. Es sind keine tiefgreifenden Malware-Kenntnisse erforderlich. Der Kurs behandelt die Pipeline als Designproblem und ist informativ, nicht als Leitfaden für den Umgang mit Live-Samples ohne entsprechende Kontrollen.