分布式APT攻击检测系统架构及案例分析 介绍人:consen
主要观点节录:
1、apt检测的未来:机器学习、专家团队智能分析
2、fireeye卖给客户,实质服务占了一大部分,可能占到25%的比例。 比如整个系统300万,服务金额在75万左右。(编者:secaas,安全最终还是专业人士依托平台提供的服务,尤其安全分析人才的稀缺,只有通过技术平台才能把安全能力低成本的传递给用户。)
3、APT攻击分析技术:
APT检测系统的总体架构:主要采集的有网络出口流量、内网交换数据、网络终端数据采集。
分析包括:终端行为分析、网络流量分析、木马特征库分析、漏洞攻击分析、恶意程序/沙箱检测分析
网络流量行为分析:2013年以来流量劫持攻击是高端对抗的一种常见方式,针对流量劫持攻击的检测很重要。
同时暗流量的检测(编者首次听到):大致是针对木马的专有协议,非常见解不开的协议,会对包头包尾数据进行重点检测。(编者:APT攻击的两个目的 1、偷东西 2、搞破坏。 攻击者进入系统最后偷东西,考虑的隐蔽性会可能会采用专有的协议进行信息窃取外传)
邮件跨站行为检测。这个是APT很长用的一种方式。有专门的检测系统。
4、黑客攻击的实质还是利益链。0day\nday发挥不同作用
5、火眼不进入中国,猜测的可能的一个考量点中国人太能研究了,可以研究出对沙箱、分布式流量检测的逃逸的过程。
6、APT检测的两个重要点:
a、关联分析与研判系统最关键。专家团队,人是第一生产力。
b、积累数据是很重要的。信誉库:恶意程序样本库、行为库……
—————————————————————————————————-
内容识别在行业业务系统和大数据安全分析中的应用 介绍人: DJ
1、现在安全的一个趋势:没有任何特征库的情况下,发现新的攻击或异常行为,(数据挖掘,分类回归偏差)
2、内容识别技术的发展:1)特征/关键字 2)正则表达式组合 3)人工智能:数据挖掘,聚类分类、机器学习(分为有监督、无监督)
3、DJ对文本的聚类和分类做了演示(无监督的机器学习聚类、分类做了演示)
实际场景:分布式聚类很耗资源,给我几万个样本,聚成后,然后分类,然后再考虑进一步聚类处理。
4、有监督的机器学习:实际过程中样本非常大。提前给一些样本库,聚类,然后分类,生成出来分类规则。把分类规则来实现对未知样本的正确分类。
5、从当前的实际看,序列、关联做好的话效果其实很好,很多需求都到不了聚类、分类的数据挖掘等。
6、splunk已经做的很好了,但是国内还是不太满意,技术框架mapreduce受限。 mapreduce在国外已经明显意识到瓶颈。
7、interset公司:行为分析侦测威胁做的非常好的一个创业公司(降低误报和去噪;风险分析提供上下文和关联事件、风险分析同时提供原始文件做参照。)
8、cylance的市场卖点也是数据挖掘和机器学习,不用传统的方式,不基于特征的。通过采集样本,抽取特征(矢量化、机器学习人工干预、聚类、分类),预测。
9、提高数据质量推安全分析直观重要。
10、降低模型复杂度,分析的数据维度多不一定帮助。数据分析里最重要的就是降维。
顶zhuyue 同学,基本上写出来了核心思想点。看来你比我们更强大。