binarypig scalable binary data extraction in hadoop
play

BinaryPig: Scalable Binary Data Extraction in Hadoop Created By: - PowerPoint PPT Presentation

Jun 03, 2023 •343 likes •804 views

BinaryPig: Scalable Binary Data Extraction in Hadoop Created By: Jason Trost, Telvis Calhoun, Zach Hanif Bringing data science to cyber security, allowing you to sense, analyze and act in

  1. BinaryPig: Scalable Binary Data Extraction in Hadoop Created By: 
 Jason Trost, Telvis Calhoun, Zach Hanif

  2. Bringing ¡data ¡science ¡to ¡cyber ¡security, ¡ allowing ¡you ¡to ¡sense, ¡analyze ¡and ¡act ¡in ¡ real ¡5me. ¡ ¡

  3. Agenda ¡ • • The Problem • • BinaryPig Architecture • • Code and Implementation Details • • Analysis and Results • • Demo • • Wrap-Up • A

  4. Background ¡ 2.5 years 20M samples 9.5TB of malware •

  6. Malware data mining is useful • • Threat intel feeds 
 • Contextual enrichment on events 
 • Machine learning models

  7. Pre-­‑BinaryPig: ¡Architecture ¡

  8. Pre-­‑BinaryPig: ¡Storage ¡Issues ¡ • • We kept running out of disk! • • We lost samples when NFS nodes failed.

  9. Pre-­‑BinaryPig ¡-­‑ ¡Processing ¡Issues ¡ • • No Data Locality. • • Node failures were catastrophic. • • Hard to add new analysis scripts.

  10. Pre-­‑Binary ¡Pig ¡-­‑ ¡Data ¡Explora=on ¡Issues ¡ • • How can I share my findings for greater fame and glory? • • Create a table schema for every analysis script? • • RDBMS failure is worse than zombie apocalypse.

  11. We ¡needed ¡a ¡system ¡that... ¡ • • Scales to our historical data • • Recovers from failures • • Grows through scripting • • Supports dynamic schemas • • Searchable via the web

  12. BinaryPig F RAMEWORK FOR PROCESSING SMALL BINARY FILES USING A PACHE H ADOOP AND A PACHE P IG Bi

  13. BinaryPig ¡ • • Simple DSL • • Pluggable analytics • • Plays nice with existing tools • • Enables rapid iteration

  14. BinaryPig ¡ ¡

  15. BinaryPig ¡-­‑ ¡Storage ¡ • • HDFS, scalable, replicated • • Aggregate malware samples into sequence files

  16. BinaryPig ¡-­‑ ¡Processing ¡ • • Hadoop - robust, distributed, with data locality • • Apache Pig - Extensible, simple

  17. BinaryPig ¡-­‑ ¡Results ¡Explora=on ¡ • • UI - turns your grandma into a data scientist • • Elasticsearch - schemaless, replicated, awesome

  18. Yet ¡Another ¡Framework? ¡ • Malware ¡tools ¡didn't ¡scale ¡ • Hadoop ¡does ¡not ¡play ¡well ¡with ¡small ¡binary ¡ files ¡ • Hadoop ¡did ¡not ¡integrate ¡exis5ng ¡malware ¡ analysis ¡tools ¡ ¡

  19. Code ¡and ¡Implementa5on ¡Details ¡

  20. BinaryPig ¡is ¡easy ¡to ¡use! ¡

  21. BinaryPig ¡Ingest ¡Tools ¡ • Generate ¡sequence ¡file ¡from ¡directory ¡ containing ¡malware ¡samples ¡ ¡ ./bin/dir_to_sequencefile <malwareDir> <hdfsOutputFile> • Generate ¡sequence ¡file ¡from ¡archive ¡ ¡ ./bin/archive_to_sequencefile <archive> <hdfsOutputFile>

  22. BinaryPig ¡Loaders ¡ • Converts ¡raw ¡data ¡to ¡a ¡tuple ¡ • Execu5ng ¡Loader ¡ o Executes ¡a ¡specific ¡script/program ¡on ¡a ¡file ¡ wriIen ¡to ¡a ¡logical ¡path ¡ o Example: ¡Hashing ¡ • Daemon ¡Loader ¡ o Writes ¡binaries ¡to ¡a ¡path, ¡and ¡provides ¡those ¡ paths ¡to ¡an ¡already ¡running ¡analysis ¡process ¡ o Example: ¡Clamd ¡ ¡ ¡

  23. Op=miza=ons ¡in ¡BinaryPig ¡ • To ¡leverage ¡pre-­‑exis5ng ¡tools, ¡we ¡had ¡to ¡write ¡ malware ¡binaries ¡to ¡the ¡local ¡filesystem ¡on ¡the ¡ worker ¡nodes ¡ o Note: ¡local ¡copy, ¡not ¡network ¡copy ¡ o We ¡op5mized ¡this ¡to ¡use ¡/dev/shm/ ¡instead ¡ • Quick ¡scripts ¡are ¡great ¡for ¡rapid ¡itera5on, ¡but... ¡ o Interpreter ¡startup ¡5me ¡can ¡dominate ¡execu5on ¡5me ¡ o Crea5ng ¡small, ¡long ¡running, ¡analy5c ¡daemons ¡provides ¡a ¡ huge ¡speedup ¡for ¡frequently ¡used ¡tasks ¡ o i.e. ¡the ¡clamscand ¡model ¡of ¡exec u5on ¡ ¡

  24. BinaryPig: ¡Loader ¡Implementa=ons ¡ • Generic Script Loader • Generic Daemon Loader • ClamAV Loader • Yara Loader • Hashing Loader

  25. BinaryPig: ¡Scrip=ng ¡ strings.sh: ¡ ¡ #!/bin/bash strings "$@" strings.pig: ¡ ¡ define Loader com.endgame.binarypig.loaders.ExecutingTextLoader; data = LOAD '$INPUT' USING Loader('strings.sh'); DUMP data;

  26. BinaryPig ¡supports ¡non-­‑PE32 ¡files ¡ • Handles more than just malware... o Image analysis o PDF data extraction o APK extraction o Any small binary files

  27. Web ¡Interface ¡

  28. Analysis ¡and ¡Results ¡

  29. Malware ¡Census ¡ • • ¡20 ¡Million ¡unique ¡binaries ¡ o • ¡~94% ¡PE ¡format ¡ o • ¡~6% ¡are ¡mostly ¡Android ¡APK's ¡ • • ¡5 ¡hours ¡to ¡run ¡historical ¡set ¡

  30. General ¡Findings ¡

  31. Feature ¡Extrac=on ¡ • Our ¡core ¡mo5va5on ¡was ¡to ¡dras5cally ¡improve ¡the ¡ experience ¡of ¡valida5ng ¡research. ¡ • Packer ¡iden5fica5on ¡ o Overall ¡and ¡Sec5onal ¡Entropy ¡ o Kolmogorov ¡Complexity ¡ o Sec5on ¡and ¡resource ¡names ¡ o Sec5on ¡flags ¡ • Import ¡tables ¡ • Func5on ¡Calls ¡ • Resource ¡hashes ¡and ¡subfeatures ¡

  32. Feature ¡Depth ¡ • PEHeaders ¡are ¡shallow ¡ o Easy ¡to ¡manipulate ¡ o Less ¡resolu5on ¡than ¡reverse ¡engineering ¡features ¡ o File ¡metadata ¡is ¡also ¡low ¡resolu5on ¡ • Headers ¡provide ¡excellent ¡fast ¡features ¡ • Headers ¡are ¡oben ¡ignored ¡ • Work ¡the ¡analysis ¡around ¡the ¡feature ¡resolu5on ¡ o Ignore ¡5ght ¡clusters, ¡go ¡for ¡wide ¡ones ¡ o Triage, ¡not ¡true ¡classifica5on ¡

  33. Clustering ¡Results ¡ • Triage ¡for ¡dynamic ¡analysis ¡winnowing ¡ • Largest ¡cluster: ¡377,882 ¡samples ¡ o Three ¡malware ¡families ¡contained ¡within ¡ ¡ o Second ¡largest: ¡124,894 ¡samples ¡ • Valida5on ¡is ¡tricky ¡ o Manual ¡valida5on ¡cannot ¡be ¡en5rely ¡avoided ¡ o Cluster ¡meanings ¡change ¡with ¡feature ¡sets ¡ o Cannot ¡just ¡go ¡off ¡of ¡AV ¡results ¡

  34. ICO ¡Extrac=on ¡

  35. Icon ¡Features ¡ • Pixel ¡based ¡features ¡ o Brightness ¡ ¡ o Color ¡values ¡ o Pixel ¡density ¡ • Cryptographic ¡and ¡fuzzy ¡hashing ¡ o Perceptual ¡hashes ¡ • Edge ¡detec5on ¡

  36. Icon ¡Results ¡ • Icon ¡clustering ¡ ¡ o Groups ¡do ¡not ¡just ¡include ¡family ¡lines ¡ o Copycat ¡malware ¡is ¡shown ¡as ¡well ¡ o Clear ¡indica5ons ¡of ¡malicious ¡intent ¡ • Method ¡of ¡infec5on ¡can ¡be ¡extrapolated ¡ o Phishing ¡ o Obfuscated ¡executables ¡ o Adware ¡(more ¡than ¡we ¡expected) ¡ o False ¡posi5ves ¡-­‑ ¡popular ¡sobware ¡detec5on ¡

  37. Lessons ¡Learned ¡ • Feature ¡Selec5on ¡ o Over ¡500 ¡features ¡in ¡PEheader ¡alone ¡ o Abundance ¡of ¡features ¡requires ¡pruning ¡ • Interpreta5on ¡and ¡Valida5on ¡of ¡Results ¡ o Manual ¡valida5on ¡is ¡an ¡unfortunate ¡reality ¡ o Care ¡has ¡to ¡be ¡taken ¡to ¡ensure ¡that ¡unsupervised ¡ learning ¡provides ¡meaningful ¡results ¡

  38. D EMO ¡

  39. W RAP ¡U P ¡

  40. So ¡What? ¡ • Rapid Iteration • Feature extraction • Clustering analysis for rapid malware triage • Enables weekly AV scans with latest signatures over previous malware. • Created binary classifier to improve sample collection and categorize new samples

  41. Future ¡work ¡ • • Compatibility with Pig 0.10.* and 0.11.* • • EC2 tutorial • • More examples/starter scripts • Inclusion of some of our Mahout tasks o • Open source process for that is moving forward o • • Better error logging and handling Messages should be stored in a separate DB o • • Easier deployments • Analytic daemons o • Dependency libs o • Fabric/Salt/Puppet/Chef o

  42. BinaryPig ¡is ¡Open ¡Source! ¡ https://github.com/endgameinc/binarypig 
 Apache 2 License

  43. We ¡are ¡hiring! ¡ http://endgame.com/careers

  44. Q UESTIONS ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

SAS Data Loader for Hadoop Agenda Intro What is Hadoop? What do I get from Hadoop?

SAS Data Loader for Hadoop Agenda Intro What is Hadoop? What do I get from Hadoop?

SAS Data Loader for Hadoop Agenda Intro What is Hadoop? What do I get from Hadoop? Hadoop components Why SAS Data Loader for Hadoop? SAS Data Loader for Hadoop overview Demo Introduction Doug Cutting, creator of Hadoop

285 views • 11 slides
Scalable Data Science with Hadoop, Spark and R Mario Inchiosa, PhD Principal Software Engineer

Scalable Data Science with Hadoop, Spark and R Mario Inchiosa, PhD Principal Software Engineer

Scalable Data Science with Hadoop, Spark and R Mario Inchiosa, PhD Principal Software Engineer Microsoft Data Group DSC 2016 July 2, 2016 Microsoft R Server Cloud Hadoop &amp; Spark R Server portfolio R Server Technology EDW RDBMS

475 views • 23 slides
COMP9313: Big Data Management Hadoop and HDFS Hadoop Apache Hadoop is an open-source

COMP9313: Big Data Management Hadoop and HDFS Hadoop Apache Hadoop is an open-source

COMP9313: Big Data Management Hadoop and HDFS Hadoop Apache Hadoop is an open-source software framework that Stores big data in a distributed manner Processes big data parallelly Builds on large clusters of commodity hardware.

2.93k views • 60 slides
Hadoop: Scalable Infrastructure for Big Data QCon London 2012 Parand Tony Darugar Founder and

Hadoop: Scalable Infrastructure for Big Data QCon London 2012 Parand Tony Darugar Founder and

Hadoop: Scalable Infrastructure for Big Data QCon London 2012 Parand Tony Darugar Founder and CEO, Xpenser parand@xpenser.com QCon London 2012 What is Hadoop? QCon London 2012 Hadoop is the Linux of Big Data Processing QCon London 2012

598 views • 35 slides
Rule Based Classification on a Multi Node Scalable Hadoop Cluster Shashank Gugnani Devavrat

Rule Based Classification on a Multi Node Scalable Hadoop Cluster Shashank Gugnani Devavrat

Rule Based Classification on a Multi Node Scalable Hadoop Cluster Shashank Gugnani Devavrat Khanolkar BITS Pilani Tushar Bihany K K Birla Goa Campus Nikhil Khadilkar Data Hypergrowth Reuters-21578: about 10K docs (ModApte) Bekkerman

752 views • 15 slides
Big Data with R and Hadoop Jamie F Olson June 11, 2015 ; R and Hadoop Review various tools

Big Data with R and Hadoop Jamie F Olson June 11, 2015 ; R and Hadoop Review various tools

Big Data with R and Hadoop Jamie F Olson June 11, 2015 ; R and Hadoop Review various tools for leveraging Hadoop from R. MapReduce Spark Hive/Impala Revolution R . . . . . . . . . . . . . . . . . . . . . . . . . .

565 views • 52 slides
Apache Flume Getting data into Hadoop Problem Getting data into HDFS is not difficult: %

Apache Flume Getting data into Hadoop Problem Getting data into HDFS is not difficult: %

Apache Flume Getting data into Hadoop Problem Getting data into HDFS is not difficult: % hadoop fs --put data.csv . works great when data is neatly packaged and ready to upload Unfortunately, e.g. a webserver is creating data

495 views • 24 slides
BRNIR at the NTCIR-14 finnum task: Scalable feature extraction technique for numeral

BRNIR at the NTCIR-14 finnum task: Scalable feature extraction technique for numeral

BRNIR at the NTCIR-14 finnum task: Scalable feature extraction technique for numeral classification Alan Spark, Team Lead at AUTO1 GROUP 1 Agenda Motivation Features types Extraction pipeline Experiment design Results 2

422 views • 14 slides
Data Mining l The Extraction of useful information from data l The automated extraction of hidden

Data Mining l The Extraction of useful information from data l The automated extraction of hidden

Data Mining l The Extraction of useful information from data l The automated extraction of hidden predictive information from (large) databases l Business, Huge data bases, customer data, mine the data Also Medical, Genetic, Astronomy, etc. l

535 views • 32 slides
Large-Scale Data Engineering Hadoop MapReduce in more detail event.cwi.nl/lsde2015 How will I

Large-Scale Data Engineering Hadoop MapReduce in more detail event.cwi.nl/lsde2015 How will I

Large-Scale Data Engineering Hadoop MapReduce in more detail event.cwi.nl/lsde2015 How will I actually learn Hadoop? This class session Hadoop: The Definitive Guide RTFM There is a lot of material out there There is also a lot

265 views • 26 slides
Stratosphere for Hadoop Users Potsdam, January 03, 2012 Arvid Heise Outline 2 1 Overview over

Stratosphere for Hadoop Users Potsdam, January 03, 2012 Arvid Heise Outline 2 1 Overview over

Stratosphere for Hadoop Users Potsdam, January 03, 2012 Arvid Heise Outline 2 1 Overview over Stratosphere 2 Dataflow Orientation 3 Tuple-based Data Model 4 Other Differences 5 Seminar Organization Arvid Heise | Scalable Data Analysis

482 views • 45 slides
Binary Numbers Binary numbers look like this Binary Numbers or Binary Code Binary numbers or

Binary Numbers Binary numbers look like this Binary Numbers or Binary Code Binary numbers or

Binary Numbers Binary numbers look like this Binary Numbers or Binary Code Binary numbers or binary code are used by computers and digital devices to talk to each other. It is used to give commands to the computer or a way to enter data

165 views • 12 slides
Building Scalable Big Data Pipelines NOSQL SEARCH ROADSHOW ZURICH Christian Ggi, Solution

Building Scalable Big Data Pipelines NOSQL SEARCH ROADSHOW ZURICH Christian Ggi, Solution

Building Scalable Big Data Pipelines NOSQL SEARCH ROADSHOW ZURICH Christian Ggi, Solution Architect 19.09.2013 AGENDA Opportunities &amp; Challenges Integrating Hadoop Lambda Architecture Lambda in Practice Recommendations

420 views • 28 slides
A Physically Based, Scalable MOS Varactor Model and Extraction Methodology for RF Applications

A Physically Based, Scalable MOS Varactor Model and Extraction Methodology for RF Applications

TM A Physically Based, Scalable MOS Varactor Model and Extraction Methodology for RF Applications James Victory 1 , Zhixin Yan 1 , Gennady Gildenblat 2 , Colin McAndrew 3 , Jie Zheng 1 1 Jazz Semiconductor, Newport Beach, CA 2 Pennsylvania

327 views • 18 slides
Apache HIVE Data Warehousing &amp; Analytics on Hadoop Hefu Chai What is HIVE? A system for

Apache HIVE Data Warehousing &amp; Analytics on Hadoop Hefu Chai What is HIVE? A system for

Apache HIVE Data Warehousing &amp; Analytics on Hadoop Hefu Chai What is HIVE? A system for managing and querying structured data built on top of Hadoop Uses Map-Reduce for execution HDFS for storage Extensible to other Data

313 views • 15 slides
Building a Big Data DWH Data Warehousing on Hadoop Friso van Vollenhoven @fzk CTO

Building a Big Data DWH Data Warehousing on Hadoop Friso van Vollenhoven @fzk CTO

Building a Big Data DWH Data Warehousing on Hadoop Friso van Vollenhoven @fzk CTO frisovanvollenhoven@godatadriven.com Go DataDriven PROUDLY PART OF THE XEBIA GROUP In computing, a data warehouse or enterprise data warehouse (DW, DWH, or

1.01k views • 56 slides
Apache NiFi Better Analytics Demand Better Dataflow Presented by: Joe Witt Apache NiFi PPMC

Apache NiFi Better Analytics Demand Better Dataflow Presented by: Joe Witt Apache NiFi PPMC

Apache NiFi Better Analytics Demand Better Dataflow Presented by: Joe Witt Apache NiFi PPMC Member Apache NiFis job: Enterprise Dataflow Management Automate the flow of data from any source to systems which extract meaning and insight

1.45k views • 18 slides
MPI, Dataflow, Streaming: Messaging for Diverse Requirements 25 years of MPI Symposium Argonne

MPI, Dataflow, Streaming: Messaging for Diverse Requirements 25 years of MPI Symposium Argonne

MPI, Dataflow, Streaming: Messaging for Diverse Requirements 25 years of MPI Symposium Argonne Na&lt;onal Lab, Chicago, Illinois, Geoffrey Fox, September 25, 2017 ` Indiana University, Department of Intelligent Systems Engineering

533 views • 19 slides
The Apache Way Ross Gardler @rgardler rgardler@apache.org A collaborative slidedeck with

The Apache Way Ross Gardler @rgardler rgardler@apache.org A collaborative slidedeck with

The Apache Way Ross Gardler @rgardler rgardler@apache.org A collaborative slidedeck with contributions from ${ASF_Members} (in particular Justin Erenkrantz, Isabel Drost and Lars Eilebrecht ) Who is this Ross Gardler? Ross Gardler Vice

578 views • 33 slides
Sudipto Das, Divy Agrawal, Amr El Abbadi Department of Computer Science University of California

Sudipto Das, Divy Agrawal, Amr El Abbadi Department of Computer Science University of California

Sudipto Das, Divy Agrawal, Amr El Abbadi Department of Computer Science University of California at Santa Barbara ElasTraS: An Elastic Transactional Data Store in the Cloud Paradigm Shift in Computing 6/30/09 ElasTraS: An Elastic Transactional

545 views • 18 slides
Distributed Computation of with Apache Hadoop Tsz-Wo Sze Yahoo! Cloud Computing Apache

Distributed Computation of with Apache Hadoop Tsz-Wo Sze Yahoo! Cloud Computing Apache

Distributed Computation of with Apache Hadoop Tsz-Wo Sze Yahoo! Cloud Computing Apache Hadoop PMC Member Mapred2010 Dec 1 1 Agenda Introduction A New World Record How to Compute The n th Bits of ? Computing with

759 views • 52 slides
IT452 Advanced Web and Internet Systems Set 10: Web Servers (operation, configuration, and

IT452 Advanced Web and Internet Systems Set 10: Web Servers (operation, configuration, and

IT452 Advanced Web and Internet Systems Set 10: Web Servers (operation, configuration, and security) (Chapters 21) Key Questions Popular web servers? What does a web server do? How can I control it? URL re-writing /

374 views • 8 slides
Kernel HTTPS/TCP/IP stack for HTTP DDoS mitigation Alexander Krizhanovsky Tempesta Technologies,

Kernel HTTPS/TCP/IP stack for HTTP DDoS mitigation Alexander Krizhanovsky Tempesta Technologies,

Kernel HTTPS/TCP/IP stack for HTTP DDoS mitigation Alexander Krizhanovsky Tempesta Technologies, Inc. ak@tempesta-tech.com Who am I? CEO &amp; CTO at Tempesta Technologies (Seattle, WA) Developing Tempesta FW open source Linux Application

740 views • 48 slides
Apache Solr Injection Michael Stepankin @artsploit DEF CON 27 @whoami Michael Stepankin

Apache Solr Injection Michael Stepankin @artsploit DEF CON 27 @whoami Michael Stepankin

Apache Solr Injection Michael Stepankin @artsploit DEF CON 27 @whoami Michael Stepankin Security Researcher @ Veracode Web app breaker Works on making Dynamic and Static Code Analysis smarter Penetration tester in the

518 views • 41 slides

More recommend