原创<br> 全球“黑客大赛”冠军霸气讲述：我是如何让50个文件一起骗过AI安防系统的？( 四 )_：全球“黑客大赛”冠军霸气讲述：我是

论文:

http://ci.louisville.edu/zurada/publications/chor-zur-tnnls.pdf

Ember

Ember其实是Endgame维护的一个数据集。和数据集一起发布的还有一个训练好的基准模型，也称为Ember。Ember是一个lightgbm模型（增强决策树的集合），它根据Windows PE文件解析的几个特征训练得到。

Ember特征解析的源代码在GitHub上可以找到。

代码链接：

https://github.com/endgameinc/ember/blob/master/ember/features.py

了解如何解析特征对制造攻击非常有用。提取的特征包括：

字节直方图字节熵Section信息（名称、大小、熵、属性）导入表库及入口信息导出函数一般文件信息（各种文件的大小和数量）文件头信息（机器码、结构、链接器、版本号）字符串信息（文件中字符串的各种统计信息）数据目录数值特征可以直接使用，其他特征（如section的名称）可用哈希转换为数值向量。乍一看，Ember似乎难以愚弄，它解析的许多特征都与文件结构，或者与我们无法更改的特征相关。我们必须在维持原功能的同时还要避免被检测到！