记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

【RSA2018】利用人工智能和机器学习优化威胁检测和应急响应

阅读: 30从这几天RSA关于 人工智能AI 的报告分享来看,AI技术已经从之前的理论普及阶段转变成实际场景应用阶段。不少厂商的产品开始享受AI技术所带来的红利,利用AI来提高其产品的威胁检测和决策运维能力,不管是创新沙盒(Innovation SandBox) Top10公司,还是逐渐正式亮相的各大厂商展台,AI已是标配。这篇文章介绍了如何利用人工智能和机器学习优化威胁检测和应急响应,并分享了RSA大会上的AI实际安全场景应用产品,也介绍了绿盟科技利用AI技术的实际案例-全流量威胁分析平台TAM。推荐阅读:【RSA2018】人工智能AI——网络安全的拨云见日,还是新的幻梦银弹【RSA2018】创新沙盒 | BluVector Cortex 基于人工智能的高级威胁检测【视频】TechWorld2017热点回顾
发布时间:2018-04-20 15:05 | 阅读:173939 | 评论:0 | 标签:技术前沿 rsa2018 人工智能 威胁检测 应急响应 机器学习

WannaCry不相信眼泪  它需要你的安全防御与响应能力

在过去的几天里,WannaCry恶意软件及其变体影响了全球数百家组织与机构。 尽管每个组织都会因各种各样的原因没能及时对存在漏洞的系统做更新保护,或者担心更新实时系统的风险,两个月对于任何组织来用于采取措施保证系统安全也并不算太短的时间。 让我们再回放一下最近的恶意软件WannaCry攻击事件,这也不失成为CISO和网络安全团队来检查IT安全战略和运营的良好契机。以下五项是Fortinet基于多年的威胁研究与响应所做出的综合性建议 : 问问自己一个最根本的问题:“如果你知道自己将会被攻击,你会做出什么不同的选择?”也就是设定“没有绝对的安全”。 首先,你应该做以下两件事: 建立安全事件响应小组 很多时候内部对例如如何去应对主动威胁的混乱,会延迟或阻碍及时采取适当的反应。这就是为什么指定一个有着明确的角色和
发布时间:2017-05-24 19:25 | 阅读:112336 | 评论:0 | 标签:牛闻牛评 Fortinet wannacry 事件响应 威胁检测 安全防御

别把精力都集中在恶意软件上 60%的入侵与之无关

尽管难以准确测定,一些研究估计,约60%的入侵毫不涉及恶意软件。信息安全业内很多人对这60%的关注度都还太低了。 攻击者是怎么在不用任何恶意软件的情况下如此成功地侵入的呢?这个问题问得好!想要深入细致恰当地回答,还真得拿出点儿干货来。但从较高层次看,答案与这几年我们在信息安全界看到的一个趋势有关。 虽然攻击者依然经常使用恶意代码,他们已经越来越不依赖这些难以编写的东西了。入侵之路千万条,但攻击者似乎钟爱偷凭证、用合法工具、伪装合法用户这一条。结果表明,通过各种各样的技术,他们这条路走得真是万分轻松惬意。 信息安全社区无论从技术层面还是从运营层面都有许多可以切入的论述点。比如,采用层次化检测方法如何帮助公司跟上攻击者行为进化脚步,诸如此类。 从技术层面看,大量公司仅仅专注于打造更好的恶意软件陷阱这一现象就十分令
发布时间:2017-04-08 18:45 | 阅读:96241 | 评论:0 | 标签:术有专攻 威胁检测 无文件恶意软件 沙箱 特征码

杀毒软件到底怎么了?

反病毒软件在已知威胁和新威胁检测上都表现得越来越糟糕了吗? 我们来看一看反病毒检测率网站 Virus Bulletin 上公布的数据。Virus Bulletin 是行业首要试验场,其测试全面而持续,可供进行历史纵向对比。从2015到2016年,已知恶意软件平均检测率下降了几个百分点;而零日漏洞检测率则是大幅下降——从平均80%直降到70%及以下。 如果说杀毒软件尚未真正死亡,但至少已散发出垂暮的气息。说的直接一些就是,攻击者能够瞬时生成新的恶意软件,但反病毒厂商跟不上攻击者的速度。黑客已经完全自动化了该过程,现在根本就是工业级的恶意软件生产水平,每天都有百万计的新变种出现。现有杀毒引擎根本无法应付,这个战场上,杀毒厂商输得彻底。 业内很多同仁都看到了杀毒软件最近的问题,但这又是一个极难解决的问题。如果把杀软
发布时间:2017-01-31 19:00 | 阅读:139105 | 评论:0 | 标签:术有专攻 反病毒 威胁检测 杀毒软件

十招做好网络安全分析

找出配置安全分析的最佳方式,为你的公司产出有意义且具可行性的洞见。作为IT最新流行词,“分析”正逐渐渗入IT系统各组件。从用例中收集到关于数据、网络和用户行为的分析,我们对此信息有着无穷的利用可能。但是,说到钻研这些数据以得出安全决策,这种可能包含陷阱的巨量信息,真的那么有用吗?为避免掉进分析陷阱,安全专业人士提供了找出最佳安全分析配置方式,以产出有意义且具可行性洞见的建议。1. 塑造环境,增加“真警报”检测率Armor首席安全官杰夫·希林说:“我是‘少数据分析’的支持者。我这么说的意思是,你应该塑造你的环境,只去查看那些最有可能是真警报的事件。在已知威胁触及你的安全栈之前就将之挡在门外。要做到这一点,你可以利用IP信誉管理,或者DNS监测/封锁。这将挡住对你公司80%的非针对性攻击。”2. 调整安全事件管理(
发布时间:2016-06-24 21:50 | 阅读:93733 | 评论:0 | 标签:术有专攻 威胁检测 安全分析 安全预算

UEBA的预期,特性和最佳实践

作为一种高级网络威胁检测手段,用户与实体行为分析(UEBA)最近风头正劲。UEBA解决方案利用机器学习来使威胁浮出水面,很多案例中远快于传统的安全信息和事件管理(SIEM)系统或其他解决方案。它们以极高的准确率命中异常事件。如果以上描述让你联想起别的分析工具,那不是巧合。用户行为分析作为一种安全特定的应用,与所有智能业务分析采用的基本原则是一致的。UEBA的工作原理是?功效是?首先,UEBA解决方案收集网络多个节点产生的信息。最好的解决方案会从网络设备、系统、应用、数据库和用户处收集数据。利用这些数据,UEBA可以创建一条基线以确定各种不同情况下的正常状态是什么。一旦基准线建立,UEBA解决方案会跟进聚合数据,寻找被认为是非正常的模式。这一确定过程仅评估新事件在上下文环境中是否不正常,以及不正常的程度有多深,并
发布时间:2016-05-30 22:55 | 阅读:454355 | 评论:0 | 标签:术有专攻 UEBA 威胁检测

基于用户命令行为的内部威胁检测实验

原创作者:木千之0×00 前言之前在FreeBuf上看到过针对机器学习在安全领域应用的介绍,或许在信息爆炸的大数据时代,从数据中寻找安全解决方案不失为一种好的选择。概念容易理解,但是如果项目落地到底是什么样呢?作为抛砖引玉,今天我就为大家带来一个基于用户命令行为数据的内部威胁检测实验,希望在FreeBuf上可以涌现更多机器学习在安全领域应用研究的好文章。0×01 实验数据集机器学习的核心思想是从大量数据集中训练,进而学习出我们目前还无法知晓或描述的知识,然后基于获得的知识对新的情况进行预测或判断。因此,作为机器学习研究或应用的第一步关键工作就是获取数据。目前数据本身就是一种稀缺资源,往往一个分析项目最大的难点就是如何获取到需要的数据。比如想进行交通路况状态的大数据分析,
发布时间:2016-01-17 04:05 | 阅读:86617 | 评论:0 | 标签:安全管理 数据安全 观点 内部威胁 命令行为 威胁检测 机器学习

这家公司使用机器学习对付恶意软件

很多人认为,和恶意软件的战争已经失败。但安全公司 Cylance 正在使用机器学习尝试改变这一局面。行业的主流思维已经转变为接受恶意软件感染不可避免这一事实,并将安全的重点移向检测和响应。然而这家美国初创企业还不准备投降。Cylance 公司的销售工程总监格兰特·莫尔肖(Grant Moerschel)说:“预防比检测更好,但想要实现预防,只能使用机器”。该公司正在使用以统计为基础的威胁检测方法,声称能够提供99%的检出率,与此同时,传统反病毒软件的检出率只有40%。我们的技术能够在运行环境判断检测之前,就基于相关统计数据,提取出恶意软件的标志。此技术遵循的一部分规则来源于 Cylance 公司员工在事件响应领域的经验。虽然 VirusBulletin 反病毒实验室的几次测试并没有证实 Cylance 机器学习
发布时间:2016-01-04 19:50 | 阅读:125818 | 评论:0 | 标签:牛观点 牛闻牛评 威胁检测 恶意软件 机器学习

浅析PRODIGAL:真实企业中的内部威胁检测系统

‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍本文原创作者:windhawk0×00 写在前面2013年2月份美国白宫发布了一份总统备忘录,专门就当前面临的内部威胁(Insider Threats)进行了分析,并且督促行政部门紧急出台一份应对内部威胁的解决方案。无独有偶,DARPA也在2012年出台了ADAMS项目,该项目专门用于美国国内敏感部门、企业的内部威胁检测。2013年,美国国际科学应用国际公司SAIC联合CMU、OSU、GTRI以及UMASS四家高校联合开发了PRODIGAL系统(PROactive Detection of Insider Threats with Graph Analysis and Learning),专门用于美国敏感部门的内部威胁检测。目前PRODIG
发布时间:2015-12-21 04:05 | 阅读:97195 | 评论:0 | 标签:安全管理 Insider Threats PRODIGAL 内部威胁 威胁情报 威胁检测

这款新工具可在不解密流量的情况下检测攻击载荷

Vectra Networks公司开发的新工具是数据科学和机器学习算法的一次革命性进展。这也是行业第一次能够在不解密流量的情况下检测威胁。网络攻击实时检测领域的领导者Vectra公司昨日宣布了一项前所未有的技术突破,该技术可以在不解密流量的情况下检测攻击载荷。与此同时,该公司还宣布,也已经能够检测到隐藏在企业日常网络应用中的攻击行为。研究公司Securosis的分析师、总裁迈克·罗斯曼对媒体表示:“很明显,要想跟上当今快速进步的黑客威胁,威胁检测技术需要发展。然而检测网络流量中的攻击载荷比较有挑战性。攻击者孜孜不倦地尝试各种方法,将流量混入数百亿合法数据包中,在安全人员的眼皮底下隐藏攻击载荷。”当今的黑客行为往往非常成功,攻击者使用的攻击通信隐蔽技术就像隐藏在普通网络流量中的隐身斗篷,让他们可以不慌不忙地精心窃
发布时间:2015-11-02 14:20 | 阅读:74060 | 评论:0 | 标签:动态 Vectra 威胁检测

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云