CS 259D 介绍

作者 Leo

  • 信息安全的目标
  • 攻击
    • 攻击者及动机
    • 漏洞
    • 攻击类别
    • 基本攻击步骤
    • 攻击工具
    • Advance Persistent Threats: APT
  • 防御
    • 安全探测
    • 风险管理:控制
    • 预防措施
    • 纵深防御
    • 反应式防御
  • 信息安全中的数据挖掘
    • 为什么要大数据
    • 恶意软件大爆炸
    • 检测分类
      • 信息来源
      • 分析策略
      • 时间
      • 活动方式
      • 持续性
  • 参考资料

继续阅读“CS 259D 介绍”

[论文学习] 脆弱的推荐系统: 通过伪造共同访问对推荐系统进行攻击

导语:感谢非鱼子翻译并评注讲解这篇关于攻击推荐系统的文章。攻击推荐系统这个方向不像别的安全方向那么热门,但是其中的技术很有意义,特别是针对一个数据系统的不同信息层面设计的攻击技术。现在很多黑产正通过对推荐系统和排名系统的攻击谋取不当利益(比如app store刷榜比如恶意推榜等),安全研究员和系统设计师必须了解这些攻击方法并在实际工作里侦测和防护。–phunter

作者:非鱼子

原文引自: Yang, Guolei, N. Z. Gong, and Y. Cai. “Fake Co-visitation Injection Attacks to Recommender Systems.” Network and Distributed System Security Symposium 2017. 论文发表在信息安全四大会议之一NDSS 2017上,原文(包括论文、PPT和演讲视频)可以在NDSS官网上下载,本文的所有内容均从该论文中整理所得,遵循论文和会议规定的分发原则。

1. 概述

推荐系统在当前的互联网中扮演非常重要的角色,被大量的网站(包括视频、电子商务、广告等网站)用来推荐与用户特征匹配的物品(包括视频、商品等)。同样地,在学术界推荐系统的研究非常广泛,实现的算法种类与方法也多种多样。在众多的实现算法中,基于共同访问(co-visitation)的推荐系统由于其简洁性和高效性已经被众多网站使用。比如YouTube视频网站右侧的推荐列表,Amazon购物网站上“购买过该商品的用户也购买了…”等功能都是基于共同访问推荐系统的表现。事实上,基于共同访问的推荐系统利用了两个物品之间的共同访问信息,其最重要的想法是:过去两个经常被连续访问的物品,在将来也很容易被共同访问。

继续阅读“[论文学习] 脆弱的推荐系统: 通过伪造共同访问对推荐系统进行攻击”

ExecScent:在真实网络下使用自适应控制协议模板挖掘新的C&C域名

感谢大白翻译这篇在真实网络流量下发现新主控域名(C&C)的论文。这篇论文于2013年发表在usenix上,文中方法利用了C&C在恶意网络请求中HTTP请求的相似性进行聚类,并从聚类中提炼出某些模版特征,这种自举的方法在保持精度的同时有效的侦测新C&C域名,并在真实网络数据中保持了良好的表现。把从一个实验室数据里产生的想法逐步工程化应用到真实网络数据并保持不错的效果是一件不容易的事,读者们可以从这篇文章中学习这一工作。原论文和幻灯片可以在USENIX官网下载。

ExecScent: Mining for New C&C Domains in Live Networks with Adaptive Control Protocol Templates

Terry Nelms 1,2, Roberto Perdisci3,2, Mustaque Ahamad 2,4
1Damballa公司 2佐治亚理工学院 3佐治亚大学 4纽约大学阿布扎比分校
大白翻译

摘要 在本文中,我们展示了ExecScent,一个旨在从真实的企业网络流量中挖掘新的、从未出现过的C&C域名的新系统。ExecScent从已知的C&C通信样本中自动地学习控制协议模板(CPT)。这些CPT会匹配它们所部署的网络流量。我们的目标是生成混合型的模板,它可以根据具体的部署方案自动地进行调节,从而在一个给定的网络环境下产生更好的检出(TP)和误报(FP)之间的取舍。据我们所知,ExecScent是第一个使用这种自适应C&C流量模型的系统。

我们实现了ExecScent的一个原型版本,并且将它部署到三个不同的大型网络中运行两周。在部署期间,相比于使用一个大的实时更新的商业黑名单,我们发现了许多新的、从未出现过的C&C域名以及数以百计的感染主机。此外,我们将ExecScent发掘出的新的C&C域名部署在6个大型ISP网络中,发现了至少25000个新感染主机。 继续阅读“ExecScent:在真实网络下使用自适应控制协议模板挖掘新的C&C域名”

小密圈精华第一期《云端的威胁检测》和《开源威胁情报的自动整理》

我们整理“安全数据与机器学习”小密圈最近的两篇精华,试运行一期精华总结。第一篇谈了RSA的议题,比如检测Azure上被黑的虚拟主机,第二篇介绍了一篇从开源情报中自动发现和分析IOC的文章,非常有趣。

RSA乱谈:云端的威胁检测

作者:Bindog

首席技术官Mark Russinovich在RSA2017会议上的演讲《Advances in Cloud-Scale Machine Learning for Cyber-Defense》(链接:https://www.youtube.com/watch?v=skSIIvvZFIk),把他的演讲内容要点整理了一下和大家分享: 继续阅读“小密圈精华第一期《云端的威胁检测》和《开源威胁情报的自动整理》”

从无效的DNS流量中检测基于DGA的恶意程序

导语:感谢大白翻译了这篇用DNS流量数据检测C&C域名生成算法(DGA)的经典文章。这篇文章由DNS专家Antonakakis教授等作者发表于USENIX,它利用了恶意软件DGA在DNS数据中的特性和本身的随机性等特征,把恶意软件的DNS查询和合法查询区分,从而判断恶意软件的存在。这篇文章开拓了用DNS数据分析和建模检测恶意软件的研究方向,其思路和方法对后续诸多研究工作都有重要影响。–phunter

From Throw-Away Traffic to Bots: Detecting the Rise of DGA-Based Malware

Manos Antonakakis1,3, Roberto Perdisci2,3, Yacin Nadji3, Nikolaos Vasiloglou1, Saeed Abu-Nimeh1, Wenke Lee3, David Dagon3

1Damballa公司 2佐治亚大学 3佐治亚理工学院

大白翻译

摘要  许多僵尸网络检测系统采用了已知的命令与控制(C&C)域名的黑名单去检测僵尸程序并封堵它们的流量。类似于基于签名的病毒检测,这样的僵尸网络检测的方法是静态的。因为黑名单只有在外部系统发现域名(通常是人工发现)后才会被更新。为了反击(黑名单),僵尸网络的控制者已经开始使用域名生成算法(DGA)来动态产生大量随机域名,并且选择其中的一小部分作为实际的C&C通讯。也就是说,一个C&C域名是随机生成的并且它仅存活了短暂的时间,这样使得依赖于静态域名列表的方法变得不起作用。当然,如果我们能知道一个域名生成算法是如何工作的,我们就能提前生成这些域名并且仍然可以识别和封堵僵尸网络C&C的流量。现有的解决方案主要是基于对恶意程序的逆向,但是这并不是每次都能做到的。

继续阅读“从无效的DNS流量中检测基于DGA的恶意程序”

如何计算神经网络梯度

作者:DY

导语:感谢作者 DY 的这篇教学,它适合有大学低年级以上有高等数学和线性代数基础的读者。理解神经网络的工作原理对设计使用神经网络解决工作中实际问题十分重要,而理解其梯度的计算和传播是关键一步。作者从回顾梯度计算需要的数学基础“链式法则”开始,围绕神经网络的若干关键步骤讲解其中梯度的计算方法,并给出合适的范例帮助学习,既保留了必需的细节,也把握梯度计算的主题,避免让读者陷入无谓繁复的计算中。遵循作者的思路来理解神经网络的梯度计算方法较为清晰直接,同时作者也在文中引入了张量链式法则的计算方法,这也是现在流行的深度学习软件包的通用实现方法。在阅读理解作者文章的同时,也推荐读者按照作者文中留下的深入阅读的链接探索学习相关知识。 –PHunter
继续阅读“如何计算神经网络梯度”

数据和机器智能时代的安全挑战

传统的安全专业方向需要的技能在短短几年内飞速变化,比如说web漏洞挖掘技术在十年前、五年前和今天的技术几乎千差万别,如今的每一个安全专业方向需要多种技术的结合,其中包括数据挖掘和机器学习技术。随着数据的重要性在各个方向的渗透,安全领域相关数据本身也会产生新的专业方向,比如最近比较火热的威胁情报和态势感知等等。不管你喜不喜欢,安全领域的数据和机器智能时代已经来了。我们作为安全研究员该怎么办?

继续阅读“数据和机器智能时代的安全挑战”