命令和控制通信关键来检测威胁
一个新的Wordpress插件漏洞利用危及数千个网站
AWS伦敦用户用T2微型实例遭受“容量不足”问题
使用APFS,Apple专注于ISS中的存储效率
四分之三的物联网项目有失败的风险
Backblaze希望消除基于磁带的存储
Open19:LinkedIn的竞标降低开源数据中心的障碍科技采用收集速度
生物识别性是新的酷 - Logmeonce免费密码
渗透测试在安全军备竞赛中成功必不可少
DHL的Parcelcopter是自动的无人机交付
伦敦市Wi-Fi项目合同获奖
Microsoft Scrimanders浏览器在纪录时占据主导地位
强大的网络安全姿势会降低违规的影响
U.S.互联网监督转让可能面临新障碍
爸爸不是问题:我们需要妈妈旁边让女孩变成茎干
苹果将​​额外50亿美元返回投资者
CIO采访:Conal Furie,创新导演,Jardine Motors集团
微软的大型Windows 10更新以推出8月2日
做好准备:移动世界大会正在推向美国
英特尔报告纪录第一季度收入
由我们互联网监督转让可能面临新障碍
新兴APAC市场更容易发发于恶意软件
StorageSOS与持久的Docker容器存储一起上市
下岗,不竞争?法案将保证薪水
一半的银行认为,更多的付款将通过Fintechs到2020年
纽约爱乐队将Toscanini在线归档为全球观众
科技团体说联邦调查局不应被允许做大众黑客
Android 7.0 Nougat - 你需要知道的东西
英国航空公司计算主要银行假日IT系统中断的费用
Fujitsu Drops Sparc,转向后K超级计算机的ARM
infor购买云Bi公司Birst
优步关闭丹麦后不到三年
影子经纪人准备零日订阅服务
Dynaoptics承诺为智能手机摄影提供更好的镜头
IT工人在Tenn。保险公司边缘在外包谣言中
预计15年来预计无人驾驶汽车将越床普通汽车
新海底电缆连接澳大利亚和东南亚
寻找客户数据是核心GDPR擦除的大障碍
商业PC销售帮助反向IDC的负面预测
欧盟正在为谷歌准备AdWords反托拉斯投诉
我试试MSI的背包PC便携式VR游戏钻机
7季度增长后服务器市场衰退
Windows 10 Beta Build 14361在最终周年纪念更新中关闭,但问题仍然存在
微软在2018年开放非洲云数据中心区域
执行面试:Parc,CEO托尔加Kurtoglu
全球赎金软件攻击可能已久期待着待叫醒
广泛利用Microsoft Emet强制执行的逃避保护
随着HSCN转换的开始,NHS信任准备迈出飞跃
微软似乎正在构建一个商业应用市场
移动套房拯救萨里和苏塞克斯警察的时间和金钱
您的位置:首页 >政策法规 >

命令和控制通信关键来检测威胁

2021-07-08 15:44:13 [来源]:

根据Tomoshe Zioni,Resint的Security Research Manager根据Tomoshe Zioni的情况下,基于传统的基于签名的技术无法检测到先进和先前未知的恶意软件威胁。

“甚至使用异常检测和行为分析的技术在未知的威胁时失败,”他每周告诉计算机。

他说,需要进行额外的方法,这是强大的,可以将更多的数据相关,以识别比人类分析师可以的恶意活动的相似性和指标。

Zioni表示,这种方法的关键是专注于指挥和控制(C&C)通信和使用机器学习技术来提高检测率和效率。

他说,C&C通信是一个有用的焦点领域,因为它是大多数形式的恶意软件的基石,这意味着它几乎总是存在。

虽然C&C对勒索软件的主要功能不是必不可少的,但通常加密数据和要求对解密密钥的支付,但在启动阶段通常存在一些C&C活动。

“所以在恶意软件方面,至少一些C&C通信是不可避免的,它是任何恶意软件的一个元素,最不可能从一个版本或变体变为另一个版本。”

虽然恶意软件的其他元素可以从一个版本到下一个版本来改变,但Zioni表示,C&C通信元素通常保持不变或变化很少。

“C&C通信是这样一个共同元素的事实,从版本到版本的变化很小,使其成为检测策略方面的好地方,”他说。

然而,Zioni表示,捍卫者应该与端点数据一起查看网络通信,因为只是看一个或其他风险缺少一些妥协指标。

根据Zioni的说法,最佳策略是监控整个IT环境,然后使用机器学习技术来识别数据中的C&C通信模式。

“与人类分析师不同,机器学习技术可以从数万,也许数百万的样品外推,以预测从一个版本到下一个版本的C&C通信的小变化,”他说。

机器学习技术还能够实时分析网络通信,当数据以1Gbps或更多的速度移动时,人类分析师是不可能的。

“强大的机器可以学会在其结果中更加灵活,更慷慨地推断为人类分析师提供更广泛的范围,”齐吉说。

他说,机器学习技术在这种情况下,他说,不是人类分析师的替代品,而是一种通过过滤大部分误报和其他无关数据来更有效的方式。

“因此,人类分析师有可接受的数据来处理,使他们能够最终确定什么是恶意行为的指标以及哪些不能送回机器学习技术他说,将其能力优化为受监督的学习方法的一部分。“


Moshe Zioni将在提交追捕的演示文稿中探讨这个主题更深入吗?在伦敦InfoSecurity Europe 2017年,从6月6日至8日发生。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。