Проектирование конвейера классификации вредоносного ПО с использованием статических и динамических признаков

Создание конвейера классификации вредоносного ПО, который выдерживает эксплуатацию, является скорее проблемой проектирования, чем проблемой кодирования. Выбираемые вами признаки, способ сбора и маркировки образцов, тщательное разделение тестовых и обучающих данных, а также процедуры оценки — все это определяет, принесет ли система пользу или тихо выйдет из строя. Этот курс рассматривает эти решения в том порядке, в котором они обычно возникают. Вы выполните письменные упражнения по проектированию, которые отражают то, как небольшая команда по безопасности или исследователей будет планировать конвейер классификации. Акцент делается на практических компромиссах, которые определяют, будет ли система полезна в эксплуатации. Что вы узнаете: - Планирование стратегий сбора образцов, включающих как безвредные, так и вредоносные примеры из разных семейств и возрастов - Проектирование процедур маркировки, которые производят надежную истинную метку без круговой аргументации - Надежное извлечение статических признаков, таких как импорты, строки и структурные метаданные - Захват динамического поведения, включая последовательности вызовов API, сетевую активность и файловые операции в безопасных песочницах - Сравнение подходов к моделированию, включая классические методы, градиентный бустинг и современное глубокое обучение - Оценка производительности с использованием операционно значимых метрик, включая частоту ложных срабатываний и задержку обнаружения Курс проходит от сбора и маркировки образцов через извлечение признаков, моделирование и оценку. Итоговое письменное упражнение предлагает вам составить одностраничный проект конвейера классификации, нацеленного на конкретный сценарий угрозы. Этот курс предназначен для начинающих с некоторым опытом в области программного обеспечения или безопасности, включая младших аналитиков безопасности, исследователей угроз и студентов компьютерных наук. Глубокий опыт работы с вредоносным ПО не требуется. Курс рассматривает конвейер как проблему проектирования и носит информационный характер, а не является руководством по работе с живыми образцами без надлежащих средств контроля.