在大规模网络环境下,主机面临的安全威胁也愈发多样.随着基于机器学习检测恶意文件的技术快速崛起,极大的提升了对恶意软件的检测能力,也迫使对手改变了攻击策略.其中"Living off the land"策略通过调用操作系统工具或者执行...在大规模网络环境下,主机面临的安全威胁也愈发多样.随着基于机器学习检测恶意文件的技术快速崛起,极大的提升了对恶意软件的检测能力,也迫使对手改变了攻击策略.其中"Living off the land"策略通过调用操作系统工具或者执行任务的自动化管理程序来实现恶意行为.威胁检测可以从父子进程的上下文中发现可疑行为,将父子进程链及其派生的相关事件看作无向图,应用监督学习XGBoost算法进行权重分配,生成无向加权图.最后使用社区发现算法从图中识别出更大的攻击序列,在MIRTE ATT&CK仿真攻击数据集上进行验证.展开更多
文摘在大规模网络环境下,主机面临的安全威胁也愈发多样.随着基于机器学习检测恶意文件的技术快速崛起,极大的提升了对恶意软件的检测能力,也迫使对手改变了攻击策略.其中"Living off the land"策略通过调用操作系统工具或者执行任务的自动化管理程序来实现恶意行为.威胁检测可以从父子进程的上下文中发现可疑行为,将父子进程链及其派生的相关事件看作无向图,应用监督学习XGBoost算法进行权重分配,生成无向加权图.最后使用社区发现算法从图中识别出更大的攻击序列,在MIRTE ATT&CK仿真攻击数据集上进行验证.
