CS 259D 僵尸网络 EXPOSURE: Finding Malicious Domains Using Passive DNS Analysis

作者:Leo

文中图表均引用于 CS259D 课程,版权由 CS259D 所有。

  • 背景知识与启发
  • 论文目标与贡献
  • EXPOSURE 概述
  • 收集训练数据
  • 特征
    • 基于时间的特征
      • 变化点检测(Change Point Detection, CPD)
      • 检测每日近似行为
    • 基于 DNS 应答的特征
    • 基于 TTL 的特征
    • 基于域名的特征
  • 训练
    • 分类器
      • C4.5 决策树算法
  • 评价
  • 局限 (逃避检测)
  • 参考资料

继续阅读“CS 259D 僵尸网络 EXPOSURE: Finding Malicious Domains Using Passive DNS Analysis”

CS 259D 僵尸网络 BotMiner: Clustering Analysis of Network Traffic for Protocol- and Structure-Independent Botnet Detection

作者:Leo

文中图表均引用于 CS259D 课程,版权由 CS259D 所有。

  • 背景知识和启发
  • 论文目标与贡献
  • BotMiner
    • C平面监视器
    • A平面监视器
    • C平面聚类
    • A平面聚类
    • 跨平面关联
  • 局限和可能的解决方案
  • 参考资料

继续阅读“CS 259D 僵尸网络 BotMiner: Clustering Analysis of Network Traffic for Protocol- and Structure-Independent Botnet Detection”

小密圈精华第一期《云端的威胁检测》和《开源威胁情报的自动整理》

我们整理“安全数据与机器学习”小密圈最近的两篇精华,试运行一期精华总结。第一篇谈了RSA的议题,比如检测Azure上被黑的虚拟主机,第二篇介绍了一篇从开源情报中自动发现和分析IOC的文章,非常有趣。

RSA乱谈:云端的威胁检测

作者:Bindog

首席技术官Mark Russinovich在RSA2017会议上的演讲《Advances in Cloud-Scale Machine Learning for Cyber-Defense》(链接:https://www.youtube.com/watch?v=skSIIvvZFIk),把他的演讲内容要点整理了一下和大家分享: 继续阅读“小密圈精华第一期《云端的威胁检测》和《开源威胁情报的自动整理》”

数据和机器智能时代的安全挑战

传统的安全专业方向需要的技能在短短几年内飞速变化,比如说web漏洞挖掘技术在十年前、五年前和今天的技术几乎千差万别,如今的每一个安全专业方向需要多种技术的结合,其中包括数据挖掘和机器学习技术。随着数据的重要性在各个方向的渗透,安全领域相关数据本身也会产生新的专业方向,比如最近比较火热的威胁情报和态势感知等等。不管你喜不喜欢,安全领域的数据和机器智能时代已经来了。我们作为安全研究员该怎么办?

继续阅读“数据和机器智能时代的安全挑战”