命令和控制通信关键来检测威胁
根据Tomoshe Zioni,Resint的Security Research Manager根据Tomoshe Zioni的情况下,基于传统的基于签名的技术无法检测到先进和先前未知的恶意软件威胁。
“甚至使用异常检测和行为分析的技术在未知的威胁时失败,”他每周告诉计算机。
他说,需要进行额外的方法,这是强大的,可以将更多的数据相关,以识别比人类分析师可以的恶意活动的相似性和指标。
Zioni表示,这种方法的关键是专注于指挥和控制(C&C)通信和使用机器学习技术来提高检测率和效率。
他说,C&C通信是一个有用的焦点领域,因为它是大多数形式的恶意软件的基石,这意味着它几乎总是存在。
虽然C&C对勒索软件的主要功能不是必不可少的,但通常加密数据和要求对解密密钥的支付,但在启动阶段通常存在一些C&C活动。
“所以在恶意软件方面,至少一些C&C通信是不可避免的,它是任何恶意软件的一个元素,最不可能从一个版本或变体变为另一个版本。”
虽然恶意软件的其他元素可以从一个版本到下一个版本来改变,但Zioni表示,C&C通信元素通常保持不变或变化很少。
“C&C通信是这样一个共同元素的事实,从版本到版本的变化很小,使其成为检测策略方面的好地方,”他说。
然而,Zioni表示,捍卫者应该与端点数据一起查看网络通信,因为只是看一个或其他风险缺少一些妥协指标。
根据Zioni的说法,最佳策略是监控整个IT环境,然后使用机器学习技术来识别数据中的C&C通信模式。
“与人类分析师不同,机器学习技术可以从数万,也许数百万的样品外推,以预测从一个版本到下一个版本的C&C通信的小变化,”他说。
机器学习技术还能够实时分析网络通信,当数据以1Gbps或更多的速度移动时,人类分析师是不可能的。
“强大的机器可以学会在其结果中更加灵活,更慷慨地推断为人类分析师提供更广泛的范围,”齐吉说。
他说,机器学习技术在这种情况下,他说,不是人类分析师的替代品,而是一种通过过滤大部分误报和其他无关数据来更有效的方式。
“因此,人类分析师有可接受的数据来处理,使他们能够最终确定什么是恶意行为的指标以及哪些不能送回机器学习技术他说,将其能力优化为受监督的学习方法的一部分。“
Moshe Zioni将在提交追捕的演示文稿中探讨这个主题更深入吗?在伦敦InfoSecurity Europe 2017年,从6月6日至8日发生。