cdn高防_免备案高防VPS_无缝切换-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防护 > cdn高防_免备案高防VPS_无缝切换

cdn高防_免备案高防VPS_无缝切换

小墨安全管家 2021-05-02 21:10 CC防护 89 ℃
DDoS防御
简介:使用数据科学想法分析现有的企业流量日志是检测漏洞迹象的有效想法。VPN和Active Directory日志可用于检测受损的帐户活动。数据库或文件级访咨询日志也可用于检测内部威胁活动。挖掘这些庞大的日志需要不同的机器学习,数据挖掘想法也会因用例而异。作为用户和实体行为分析(UEBA)的一具例子,在这篇文章中,我将概述一些数据科学想法,经过学习web代理日志来检测恶意域。域名词法分析恶意软件可以与短生命周期的域通信,以基于签名的想法躲避域黑名单。它们使用算法生成的域名。例如iwxyrxthxswyxrcx.com网站或b0lz1md5qvf4w7w9w3iy9x2s17c5z4h0y1s.info。你能够即将看到这些带有随机字母数字字符串的域与具有合理可读性的正常域有着很不同的外观和感受。三年多前,当我第一次为客户提供数据科学服务时,解决方案是使用称为N-gram建模的语言建模技术来检测这些邪恶的域。此技术遵循以下步骤:从大量的合法域开始。针对每个域(我的域名),解析以从其二级域名(m-y,y-d,d-o,o-m,m-a,a-i,i-n)中猎取所有延续字符对。计算任何一对在总体中浮上的次数。从计数中,我得到观看总体中每个延续字符对的大概性。一般对(例如m-a)的概率较高,DDoS防御,而稀有对(q-x)的概率较低。这些是双元模型。给定未知域(gdhcix.com网站),解析得到所有的字母对,接着简单地寻找并乘以字母对(g-d,d-h,h-c,c-i,i-x)的概率,以发如今正常人群中看到那个特定集合的概率。很多低概率对的集合,比如随机生成的域名,总体概率特别低,应用一具简单的阈值。在其他地点重复过,这种想法实现起来特别简单,能够捕捉到往常用规则无法捕捉到的低垂果实。恶意软件使用算法生成的域名基本有一段时刻了。从那时起,老练的黑客基本开始使用依照字典单词随机生成的域名,而不是30多个字母数字字符。设计克服那个咨询题的想法是另一具讨论主题。可是,那个地点描述的简单技术仍然有效,生成具有随机字符的恶意域的恶意软件仍然存在。领域行为建模我们能够超越上述统计词法分析,恶意域和合法域的行为线索或特征之间的差异将它们区分开来。机器学习是用来训练分类器的,其成功的关键在于定义领域的特征作为分类器的输入。安全域知识决定了域的特性。在马上出版的ISI-ICDM'15会议研讨会论文中,DDoS防御,我与我的前同事共同撰写了这篇论文,该论文将列举所使用的所有功能第一类中的特性是与域之间的连接。例如,包含图像的流量百分比,或发送的平均字节数。下一类是对于URL的词法信息,比如URL的长度、特殊字符的百分比。最终一具类别基于WhoIs数据库,例如自域首次注册/更新以来的天数,或此域的不同注册组织的数量。构建分类器需要域的标签。这算是我利用外部威胁情报举行监督学习的地点。那个方法是用一具模型对未知域举行分类,该模型以标签为指导,学习坏域和合法域的行为特征的分布。给定大量特征集合,随机森林模型是一具特别好的挑选,因为它可以探究高维空间和对已知恶意域数量远远小于合法域的倾歪数据集的鲁棒性,我在那个领域有特别好的经验,在一具企业数据中,交叉验证测试的召回率为46%,准确率为100%,很好。图形分析在反恐工作中,链接分析能够有效地经过已知坏人的连接网络来发觉其他嫌疑人。同样,利用内部用户和外部网络域之间的连接信息能够产生有洞察力的信号。形式上,给定一具二分图,内部节点(用户)连接到外部节点(域)的网络,我执行信息传播,以迭代的方式将风险或不良程度从已知的坏节点"传播"到其余节点。这是如何回事?最初,防DDoS,所有节点的风险都为零,除了从外部情报中懂的少数坏域。这些坏域的非零风险被转移到图中连接到它们的内部用户。这些用户从所有坏域累积了风险,接着将风险传递给所有连接到用户的其他域。所以,往常未知的域如今大概得到非零风险。随着该过程不断迭代直至收敛,网络上的所有节点、用户和/或域都将被分配风险评分。阈值用于识别可疑实体。我发觉仅用这种图形分析技术就能够特别好地检测。当域的风险得分来自于网络连通性信息时,我进一步将这些得分与另一种分析想法的得分相结合,正如随机森林模型中所讨论的那么,该模型从行为信息中得出风险得分。这种混合想法已被证明是有效的;详细信息将在马上到来的论文1中给出。图形技术的另一具好处是它本质上是可视化的,人们能够随时在屏幕上呈现节点到节点的连接网络。洞察是以视觉方式构建的,便于分析。在下图中,红色节点为用户;黑色节点为已知坏域;绿色节点为计算确定的可疑域;线表示通信连接。能够看到有一些有味的观看值得进一步研究;例如,具有高度共享用户的绿色节点。结论:总而言之,我概述了一些经过学习标准web代理日志来检测恶意域的机器学习想法。固然,同样的工具也适用于其他日志的行为分析,包括基础设施身份验证和访咨询日志。依照用例的不同,有点只需要简单的工具,而不需要进一步分析一维信号来标记超出标准偏差的事件。其他用例需要更高级的工具,如本博客所述。值得注意的是,数据科学特别好地应用于UEBA。它基本被证明是有效的安全分析。在那个方向上会有更多的发展。找我的下一具博客。只要输入你的电子邮件,你就会自动收到它。[1] 企业网络恶意域检测的多行为混合学习,石,林,方,翟,ISI-ICDM'15

cdn高防_免备案高防VPS_无缝切换

DDoS高防


DDoS防御

当前位置:主页 > CC防护 > cdn高防_免备案高防VPS_无缝切换

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119