binarypig scalable binary data extraction in hadoop
play

BinaryPig: Scalable Binary Data Extraction in Hadoop Created By: - PowerPoint PPT Presentation

Jun 03, 2023 •343 likes •804 views

BinaryPig: Scalable Binary Data Extraction in Hadoop Created By: Jason Trost, Telvis Calhoun, Zach Hanif Bringing data science to cyber security, allowing you to sense, analyze and act in

  1. BinaryPig: Scalable Binary Data Extraction in Hadoop Created By: 
 Jason Trost, Telvis Calhoun, Zach Hanif

  2. Bringing ¡data ¡science ¡to ¡cyber ¡security, ¡ allowing ¡you ¡to ¡sense, ¡analyze ¡and ¡act ¡in ¡ real ¡5me. ¡ ¡

  3. Agenda ¡ • • The Problem • • BinaryPig Architecture • • Code and Implementation Details • • Analysis and Results • • Demo • • Wrap-Up • A

  4. Background ¡ 2.5 years 20M samples 9.5TB of malware •

  6. Malware data mining is useful • • Threat intel feeds 
 • Contextual enrichment on events 
 • Machine learning models

  7. Pre-­‑BinaryPig: ¡Architecture ¡

  8. Pre-­‑BinaryPig: ¡Storage ¡Issues ¡ • • We kept running out of disk! • • We lost samples when NFS nodes failed.

  9. Pre-­‑BinaryPig ¡-­‑ ¡Processing ¡Issues ¡ • • No Data Locality. • • Node failures were catastrophic. • • Hard to add new analysis scripts.

  10. Pre-­‑Binary ¡Pig ¡-­‑ ¡Data ¡Explora=on ¡Issues ¡ • • How can I share my findings for greater fame and glory? • • Create a table schema for every analysis script? • • RDBMS failure is worse than zombie apocalypse.

  11. We ¡needed ¡a ¡system ¡that... ¡ • • Scales to our historical data • • Recovers from failures • • Grows through scripting • • Supports dynamic schemas • • Searchable via the web

  12. BinaryPig F RAMEWORK FOR PROCESSING SMALL BINARY FILES USING A PACHE H ADOOP AND A PACHE P IG Bi

  13. BinaryPig ¡ • • Simple DSL • • Pluggable analytics • • Plays nice with existing tools • • Enables rapid iteration

  14. BinaryPig ¡ ¡

  15. BinaryPig ¡-­‑ ¡Storage ¡ • • HDFS, scalable, replicated • • Aggregate malware samples into sequence files

  16. BinaryPig ¡-­‑ ¡Processing ¡ • • Hadoop - robust, distributed, with data locality • • Apache Pig - Extensible, simple

  17. BinaryPig ¡-­‑ ¡Results ¡Explora=on ¡ • • UI - turns your grandma into a data scientist • • Elasticsearch - schemaless, replicated, awesome

  18. Yet ¡Another ¡Framework? ¡ • Malware ¡tools ¡didn't ¡scale ¡ • Hadoop ¡does ¡not ¡play ¡well ¡with ¡small ¡binary ¡ files ¡ • Hadoop ¡did ¡not ¡integrate ¡exis5ng ¡malware ¡ analysis ¡tools ¡ ¡

  19. Code ¡and ¡Implementa5on ¡Details ¡

  20. BinaryPig ¡is ¡easy ¡to ¡use! ¡

  21. BinaryPig ¡Ingest ¡Tools ¡ • Generate ¡sequence ¡file ¡from ¡directory ¡ containing ¡malware ¡samples ¡ ¡ ./bin/dir_to_sequencefile <malwareDir> <hdfsOutputFile> • Generate ¡sequence ¡file ¡from ¡archive ¡ ¡ ./bin/archive_to_sequencefile <archive> <hdfsOutputFile>

  22. BinaryPig ¡Loaders ¡ • Converts ¡raw ¡data ¡to ¡a ¡tuple ¡ • Execu5ng ¡Loader ¡ o Executes ¡a ¡specific ¡script/program ¡on ¡a ¡file ¡ wriIen ¡to ¡a ¡logical ¡path ¡ o Example: ¡Hashing ¡ • Daemon ¡Loader ¡ o Writes ¡binaries ¡to ¡a ¡path, ¡and ¡provides ¡those ¡ paths ¡to ¡an ¡already ¡running ¡analysis ¡process ¡ o Example: ¡Clamd ¡ ¡ ¡

  23. Op=miza=ons ¡in ¡BinaryPig ¡ • To ¡leverage ¡pre-­‑exis5ng ¡tools, ¡we ¡had ¡to ¡write ¡ malware ¡binaries ¡to ¡the ¡local ¡filesystem ¡on ¡the ¡ worker ¡nodes ¡ o Note: ¡local ¡copy, ¡not ¡network ¡copy ¡ o We ¡op5mized ¡this ¡to ¡use ¡/dev/shm/ ¡instead ¡ • Quick ¡scripts ¡are ¡great ¡for ¡rapid ¡itera5on, ¡but... ¡ o Interpreter ¡startup ¡5me ¡can ¡dominate ¡execu5on ¡5me ¡ o Crea5ng ¡small, ¡long ¡running, ¡analy5c ¡daemons ¡provides ¡a ¡ huge ¡speedup ¡for ¡frequently ¡used ¡tasks ¡ o i.e. ¡the ¡clamscand ¡model ¡of ¡exec u5on ¡ ¡

  24. BinaryPig: ¡Loader ¡Implementa=ons ¡ • Generic Script Loader • Generic Daemon Loader • ClamAV Loader • Yara Loader • Hashing Loader

  25. BinaryPig: ¡Scrip=ng ¡ strings.sh: ¡ ¡ #!/bin/bash strings "$@" strings.pig: ¡ ¡ define Loader com.endgame.binarypig.loaders.ExecutingTextLoader; data = LOAD '$INPUT' USING Loader('strings.sh'); DUMP data;

  26. BinaryPig ¡supports ¡non-­‑PE32 ¡files ¡ • Handles more than just malware... o Image analysis o PDF data extraction o APK extraction o Any small binary files

  27. Web ¡Interface ¡

  28. Analysis ¡and ¡Results ¡

  29. Malware ¡Census ¡ • • ¡20 ¡Million ¡unique ¡binaries ¡ o • ¡~94% ¡PE ¡format ¡ o • ¡~6% ¡are ¡mostly ¡Android ¡APK's ¡ • • ¡5 ¡hours ¡to ¡run ¡historical ¡set ¡

  30. General ¡Findings ¡

  31. Feature ¡Extrac=on ¡ • Our ¡core ¡mo5va5on ¡was ¡to ¡dras5cally ¡improve ¡the ¡ experience ¡of ¡valida5ng ¡research. ¡ • Packer ¡iden5fica5on ¡ o Overall ¡and ¡Sec5onal ¡Entropy ¡ o Kolmogorov ¡Complexity ¡ o Sec5on ¡and ¡resource ¡names ¡ o Sec5on ¡flags ¡ • Import ¡tables ¡ • Func5on ¡Calls ¡ • Resource ¡hashes ¡and ¡subfeatures ¡

  32. Feature ¡Depth ¡ • PEHeaders ¡are ¡shallow ¡ o Easy ¡to ¡manipulate ¡ o Less ¡resolu5on ¡than ¡reverse ¡engineering ¡features ¡ o File ¡metadata ¡is ¡also ¡low ¡resolu5on ¡ • Headers ¡provide ¡excellent ¡fast ¡features ¡ • Headers ¡are ¡oben ¡ignored ¡ • Work ¡the ¡analysis ¡around ¡the ¡feature ¡resolu5on ¡ o Ignore ¡5ght ¡clusters, ¡go ¡for ¡wide ¡ones ¡ o Triage, ¡not ¡true ¡classifica5on ¡

  33. Clustering ¡Results ¡ • Triage ¡for ¡dynamic ¡analysis ¡winnowing ¡ • Largest ¡cluster: ¡377,882 ¡samples ¡ o Three ¡malware ¡families ¡contained ¡within ¡ ¡ o Second ¡largest: ¡124,894 ¡samples ¡ • Valida5on ¡is ¡tricky ¡ o Manual ¡valida5on ¡cannot ¡be ¡en5rely ¡avoided ¡ o Cluster ¡meanings ¡change ¡with ¡feature ¡sets ¡ o Cannot ¡just ¡go ¡off ¡of ¡AV ¡results ¡

  34. ICO ¡Extrac=on ¡

  35. Icon ¡Features ¡ • Pixel ¡based ¡features ¡ o Brightness ¡ ¡ o Color ¡values ¡ o Pixel ¡density ¡ • Cryptographic ¡and ¡fuzzy ¡hashing ¡ o Perceptual ¡hashes ¡ • Edge ¡detec5on ¡

  36. Icon ¡Results ¡ • Icon ¡clustering ¡ ¡ o Groups ¡do ¡not ¡just ¡include ¡family ¡lines ¡ o Copycat ¡malware ¡is ¡shown ¡as ¡well ¡ o Clear ¡indica5ons ¡of ¡malicious ¡intent ¡ • Method ¡of ¡infec5on ¡can ¡be ¡extrapolated ¡ o Phishing ¡ o Obfuscated ¡executables ¡ o Adware ¡(more ¡than ¡we ¡expected) ¡ o False ¡posi5ves ¡-­‑ ¡popular ¡sobware ¡detec5on ¡

  37. Lessons ¡Learned ¡ • Feature ¡Selec5on ¡ o Over ¡500 ¡features ¡in ¡PEheader ¡alone ¡ o Abundance ¡of ¡features ¡requires ¡pruning ¡ • Interpreta5on ¡and ¡Valida5on ¡of ¡Results ¡ o Manual ¡valida5on ¡is ¡an ¡unfortunate ¡reality ¡ o Care ¡has ¡to ¡be ¡taken ¡to ¡ensure ¡that ¡unsupervised ¡ learning ¡provides ¡meaningful ¡results ¡

  38. D EMO ¡

  39. W RAP ¡U P ¡

  40. So ¡What? ¡ • Rapid Iteration • Feature extraction • Clustering analysis for rapid malware triage • Enables weekly AV scans with latest signatures over previous malware. • Created binary classifier to improve sample collection and categorize new samples

  41. Future ¡work ¡ • • Compatibility with Pig 0.10.* and 0.11.* • • EC2 tutorial • • More examples/starter scripts • Inclusion of some of our Mahout tasks o • Open source process for that is moving forward o • • Better error logging and handling Messages should be stored in a separate DB o • • Easier deployments • Analytic daemons o • Dependency libs o • Fabric/Salt/Puppet/Chef o

  42. BinaryPig ¡is ¡Open ¡Source! ¡ https://github.com/endgameinc/binarypig 
 Apache 2 License

  43. We ¡are ¡hiring! ¡ http://endgame.com/careers

  44. Q UESTIONS ¡

Recommend

SAS Data Loader for Hadoop Agenda Intro What is Hadoop? What do I get from Hadoop?

SAS Data Loader for Hadoop Agenda Intro What is Hadoop? What do I get from Hadoop?

SAS Data Loader for Hadoop Agenda Intro What is Hadoop? What do I get from Hadoop? Hadoop components Why SAS Data Loader for Hadoop? SAS Data Loader for Hadoop overview Demo Introduction Doug Cutting, creator of Hadoop

285 views • 11 slides
Scalable Data Science with Hadoop, Spark and R Mario Inchiosa, PhD Principal Software Engineer

Scalable Data Science with Hadoop, Spark and R Mario Inchiosa, PhD Principal Software Engineer

Scalable Data Science with Hadoop, Spark and R Mario Inchiosa, PhD Principal Software Engineer Microsoft Data Group DSC 2016 July 2, 2016 Microsoft R Server Cloud Hadoop &amp; Spark R Server portfolio R Server Technology EDW RDBMS

475 views • 23 slides
COMP9313: Big Data Management Hadoop and HDFS Hadoop Apache Hadoop is an open-source

COMP9313: Big Data Management Hadoop and HDFS Hadoop Apache Hadoop is an open-source

COMP9313: Big Data Management Hadoop and HDFS Hadoop Apache Hadoop is an open-source software framework that Stores big data in a distributed manner Processes big data parallelly Builds on large clusters of commodity hardware.

2.93k views • 60 slides
Hadoop: Scalable Infrastructure for Big Data QCon London 2012 Parand Tony Darugar Founder and

Hadoop: Scalable Infrastructure for Big Data QCon London 2012 Parand Tony Darugar Founder and

Hadoop: Scalable Infrastructure for Big Data QCon London 2012 Parand Tony Darugar Founder and CEO, Xpenser parand@xpenser.com QCon London 2012 What is Hadoop? QCon London 2012 Hadoop is the Linux of Big Data Processing QCon London 2012

598 views • 35 slides
Rule Based Classification on a Multi Node Scalable Hadoop Cluster Shashank Gugnani Devavrat

Rule Based Classification on a Multi Node Scalable Hadoop Cluster Shashank Gugnani Devavrat

Rule Based Classification on a Multi Node Scalable Hadoop Cluster Shashank Gugnani Devavrat Khanolkar BITS Pilani Tushar Bihany K K Birla Goa Campus Nikhil Khadilkar Data Hypergrowth Reuters-21578: about 10K docs (ModApte) Bekkerman

752 views • 15 slides
Big Data with R and Hadoop Jamie F Olson June 11, 2015 ; R and Hadoop Review various tools

Big Data with R and Hadoop Jamie F Olson June 11, 2015 ; R and Hadoop Review various tools

Big Data with R and Hadoop Jamie F Olson June 11, 2015 ; R and Hadoop Review various tools for leveraging Hadoop from R. MapReduce Spark Hive/Impala Revolution R . . . . . . . . . . . . . . . . . . . . . . . . . .

565 views • 52 slides
Apache Flume Getting data into Hadoop Problem Getting data into HDFS is not difficult: %

Apache Flume Getting data into Hadoop Problem Getting data into HDFS is not difficult: %

Apache Flume Getting data into Hadoop Problem Getting data into HDFS is not difficult: % hadoop fs --put data.csv . works great when data is neatly packaged and ready to upload Unfortunately, e.g. a webserver is creating data

495 views • 24 slides
BRNIR at the NTCIR-14 finnum task: Scalable feature extraction technique for numeral

BRNIR at the NTCIR-14 finnum task: Scalable feature extraction technique for numeral

BRNIR at the NTCIR-14 finnum task: Scalable feature extraction technique for numeral classification Alan Spark, Team Lead at AUTO1 GROUP 1 Agenda Motivation Features types Extraction pipeline Experiment design Results 2

422 views • 14 slides
Data Mining l The Extraction of useful information from data l The automated extraction of hidden

Data Mining l The Extraction of useful information from data l The automated extraction of hidden

Data Mining l The Extraction of useful information from data l The automated extraction of hidden predictive information from (large) databases l Business, Huge data bases, customer data, mine the data Also Medical, Genetic, Astronomy, etc. l

535 views • 32 slides
Large-Scale Data Engineering Hadoop MapReduce in more detail event.cwi.nl/lsde2015 How will I

Large-Scale Data Engineering Hadoop MapReduce in more detail event.cwi.nl/lsde2015 How will I

Large-Scale Data Engineering Hadoop MapReduce in more detail event.cwi.nl/lsde2015 How will I actually learn Hadoop? This class session Hadoop: The Definitive Guide RTFM There is a lot of material out there There is also a lot

265 views • 26 slides
Stratosphere for Hadoop Users Potsdam, January 03, 2012 Arvid Heise Outline 2 1 Overview over

Stratosphere for Hadoop Users Potsdam, January 03, 2012 Arvid Heise Outline 2 1 Overview over

Stratosphere for Hadoop Users Potsdam, January 03, 2012 Arvid Heise Outline 2 1 Overview over Stratosphere 2 Dataflow Orientation 3 Tuple-based Data Model 4 Other Differences 5 Seminar Organization Arvid Heise | Scalable Data Analysis

482 views • 45 slides
Binary Numbers Binary numbers look like this Binary Numbers or Binary Code Binary numbers or

Binary Numbers Binary numbers look like this Binary Numbers or Binary Code Binary numbers or

Binary Numbers Binary numbers look like this Binary Numbers or Binary Code Binary numbers or binary code are used by computers and digital devices to talk to each other. It is used to give commands to the computer or a way to enter data

165 views • 12 slides
Building Scalable Big Data Pipelines NOSQL SEARCH ROADSHOW ZURICH Christian Ggi, Solution

Building Scalable Big Data Pipelines NOSQL SEARCH ROADSHOW ZURICH Christian Ggi, Solution

Building Scalable Big Data Pipelines NOSQL SEARCH ROADSHOW ZURICH Christian Ggi, Solution Architect 19.09.2013 AGENDA Opportunities &amp; Challenges Integrating Hadoop Lambda Architecture Lambda in Practice Recommendations

420 views • 28 slides
A Physically Based, Scalable MOS Varactor Model and Extraction Methodology for RF Applications

A Physically Based, Scalable MOS Varactor Model and Extraction Methodology for RF Applications

TM A Physically Based, Scalable MOS Varactor Model and Extraction Methodology for RF Applications James Victory 1 , Zhixin Yan 1 , Gennady Gildenblat 2 , Colin McAndrew 3 , Jie Zheng 1 1 Jazz Semiconductor, Newport Beach, CA 2 Pennsylvania

327 views • 18 slides
Apache HIVE Data Warehousing &amp; Analytics on Hadoop Hefu Chai What is HIVE? A system for

Apache HIVE Data Warehousing &amp; Analytics on Hadoop Hefu Chai What is HIVE? A system for

Apache HIVE Data Warehousing &amp; Analytics on Hadoop Hefu Chai What is HIVE? A system for managing and querying structured data built on top of Hadoop Uses Map-Reduce for execution HDFS for storage Extensible to other Data

313 views • 15 slides
Building a Big Data DWH Data Warehousing on Hadoop Friso van Vollenhoven @fzk CTO

Building a Big Data DWH Data Warehousing on Hadoop Friso van Vollenhoven @fzk CTO

Building a Big Data DWH Data Warehousing on Hadoop Friso van Vollenhoven @fzk CTO frisovanvollenhoven@godatadriven.com Go DataDriven PROUDLY PART OF THE XEBIA GROUP In computing, a data warehouse or enterprise data warehouse (DW, DWH, or

1.01k views • 56 slides
Scalable Certificate Extraction for QBF Aina Niemetz, Mathias Preiner, Florian Lonsing, Martina

Scalable Certificate Extraction for QBF Aina Niemetz, Mathias Preiner, Florian Lonsing, Martina

Scalable Certificate Extraction for QBF Aina Niemetz, Mathias Preiner, Florian Lonsing, Martina Seidl, and Armin Biere Institute for Formal Models and Verification (FMV) Johannes Kepler University, Linz, Austria http://fmv.jku.at/ Alpine

478 views • 17 slides
Hadoop Dr. Mihail Content derived from: Ankam, Venkat. Big Data Analytics. Packt Publishing,

Hadoop Dr. Mihail Content derived from: Ankam, Venkat. Big Data Analytics. Packt Publishing,

Hadoop Dr. Mihail Content derived from: Ankam, Venkat. Big Data Analytics. Packt Publishing, 2016. July 9, 2019 (Dr. Mihail ) Intro Big Data July 9, 2019 1 / 22 Apache Hadoop What is it? Apache Hadoop is a software framework that enables

869 views • 22 slides
Working With Hadoop Mostly based on Tom Whites book Hadoop: Now that we covered the

Working With Hadoop Mostly based on Tom Whites book Hadoop: Now that we covered the

Working With Hadoop Mostly based on Tom Whites book Hadoop: Now that we covered the basics of The Definitive Guide, 3 rd edition MapReduce , lets look at some Hadoop specifics. Note: We will use the new

181 views • 6 slides
VI.3 Rule-Based Information Extraction Goal: Identify and extract unary, binary, or n -ary

VI.3 Rule-Based Information Extraction Goal: Identify and extract unary, binary, or n -ary

VI.3 Rule-Based Information Extraction Goal: Identify and extract unary, binary, or n -ary relations as facts embedded in regularly structured text , to generate entries in a schematized database Rule-driven regular expression matching

830 views • 25 slides
The Evolution of Hadoop at Spotify Rafal Wojdyla (rav@spotify.com) Josh Baer (jbx@spotify.com)

The Evolution of Hadoop at Spotify Rafal Wojdyla (rav@spotify.com) Josh Baer (jbx@spotify.com)

The Evolution of Hadoop at Spotify Rafal Wojdyla (rav@spotify.com) Josh Baer (jbx@spotify.com) @l_phant @ravwojdyla Technical Product Owner Data Engineer Data Infrastructure Hadoop Team Overview Growing Pains Gaining Focus The

945 views • 62 slides
The Evolution of Hadoop at Spotify Rafal Wojdyla (rav@spotify.com) Josh Baer (jbx@spotify.com)

The Evolution of Hadoop at Spotify Rafal Wojdyla (rav@spotify.com) Josh Baer (jbx@spotify.com)

The Evolution of Hadoop at Spotify Rafal Wojdyla (rav@spotify.com) Josh Baer (jbx@spotify.com) @l_phant @ravwojdyla Technical Product Owner Data Engineer Hadoop Squad Hadoop Squad Overview Growing Pains Gaining Focus The

774 views • 51 slides
Local Feature Extraction and Learning for Computer Vision Part 3: Binary Feature Learning for

Local Feature Extraction and Learning for Computer Vision Part 3: Binary Feature Learning for

IEEE CVPR 2017 Tutorial on Local Feature Extraction and Learning for Computer Vision Part 3: Binary Feature Learning for Visual Recognition and Search Jiwen Lu Department of Automation, Tsinghua University, China

690 views • 50 slides
Systems Infrastructure for Data Science Web Science Group Uni Freiburg WS 2014/15 Hadoop

Systems Infrastructure for Data Science Web Science Group Uni Freiburg WS 2014/15 Hadoop

Systems Infrastructure for Data Science Web Science Group Uni Freiburg WS 2014/15 Hadoop Evolution and Ecosystem Hadoop Map/Reduce has been an incredible success, but not everybody is happy with it 3 DB Community: Criticisms of

685 views • 57 slides

More recommend