资料列表
Preview Name 作者 Date File info
  • 基于历史行为的异常检测 O365怎样反击内部恶意攻击
  • 概览

    • 问题
      • • 信息泄露/心怀不满的恶意内部人员是重大的安全威胁
      • • 经过监督的ML检测训练以检测“已知”模式; 需要覆盖未知模式
    • 解决方案
      • • 基于历史行为的检测标记异常活动
      • • 对于O365数据中心安全,用户== DevOps
      • • 可以推广到其他实体配置文件

    恶意内幕人士仍然是微软和Office365的首要威胁之一。数千名员工和供应商日以继夜地运行Office365服务;不满的员工或受损的凭证可能导致未经授权的数据访问和盗窃,渗透测试人员定期模拟这些针对O365的威胁。虽然基于渗透测试的监督学习覆盖了已知的模式,但苏州M365安全团队开发了一个近乎实时的异常检测来覆盖未知的威胁。该模型基于操作员历史活动中的数据中心概况,团队使用各种实用技术对模型进行了改进,以达到90%的精度。技术栈是kafka、事件中心、spark、kusto(Azure数据浏览器)和cosmosdb。

    中文演讲视频

    英文演讲视频

Lei He@Microsoft 2019-07-16 14:40:53
  • 附件: 2 个
  • 大小: 1.31 M
  • 大海捞针 使用沙箱捕获多个零日漏洞
  • 大纲

    • • 高级威胁自动化和沙箱
    • • 使用沙箱发现在野0day 漏洞

    在过去的几年中,我们一直在开发沙盒检测技术,探索如何使用沙盒检测和过滤样本,以及如何使用沙盒发现高级威胁。在此过程中,我们继续改进我们的自动化分析平台,并在过去两年中找到了多个零工作日。在本文中,我们将介绍我们的沙盒平台,并描述如何从头构建一个办公室零日检测系统,最后捕获多个与办公室相关的零日。我们还将分享我们在Windows内核和其他漏洞检测方面的实践,以及如何使用沙盒自动过滤特殊样本。

    中文演讲视频

    英文演讲视频

Qi Li & Quan Jin@Qihoo 360 2019-07-16 13:55:04
  • 附件: 2 个
  • 大小: 4.51 M
  • 数据挖掘赋能安全感知-阿里云大数据入侵检测实践
    • 云+ 安全性
      • 数据流
    • 威胁建模案例表
      • 基于规则的决策所存在的问题
      • 多元高斯模型
      • 恶意行为链
      • 模式挖掘
      • 生成强关联规则
      • 恶意Web 脚本
      • 特征
      • 机器学习性能
      • 自动化攻击回溯
      • 编码后载荷回溯
      • 编码后载荷回溯案例
      • 借助数据挖掘增强安全感知能力

    今天,随着机器学习取得的突破,越来越多的公司开始将机器学习应用到各种安全解决方案中。然而,这些工作要么集中于提出新的算法,要么只是发现新的应用场景。关于小数据量的学术成果与各种云应用之间的差距,人们很少提及。在本文中,我们将首先展示云安全意识的挑战,特别是应用层威胁。然后,将介绍几种采用数据挖掘技术的最先进的入侵检测解决方案,如蛮力、异常进程启动、恶意脚本、网络攻击等。所有这些解决方案现在都在为阿里云服务,每一个都会向我们的客户发出数千次入侵警报。天。最后,我们将讨论何时以及如何使用数据挖掘技术来增强安全意识,并给出我们的建议。

Yue Xu & Han Zheng@Alibaba Cloud 2019-07-16 08:22:21
  • 附件: 2 个
  • 大小: 5.23 M
  • 微软威胁防护的机器学习进展
    • 安全研究超级英雄
    • 智能安全图
    • AI 多样性
    • MDATP中的深度学习
    • 监督学习
    • 异常检测
    • 工具和平台
    • 社区
    • 答疑

    没有机器学习的安全解决方案在今天是不可想象的。需要在数毫秒内做出决定,利用嵌入在数兆字节数据中的信号,接触超过10亿用户。在本文中,我们将分享如何在Microsoft威胁保护中应用机器学习。我们将讨论数据、平台和能力,这些模型构成了我们的模型的基础,然后深入到选择的ML模型中。这篇演讲将超越描述传统的分类系统,而是深入探讨高级主题,如构建语言模型、异常模型和对抗性防御。

Christian Seifert, Principal Researcher 2019-07-16 07:20:46
  • 附件: 2 个
  • 大小: 3.2 M
李子奇@京东集团 2019-07-09 16:05:12
  • 附件: 1 个
  • 大小: 3.61 M
王朝飞@腾讯企业IT MAC安全专家 2019-07-09 14:46:44
  • 附件: 1 个
  • 大小: 2.37 M
  • 大型互联网企业的入侵检测 工程化下的攻防对抗
    • 入侵案例
    • 入侵的定义与特征
    • ATT&CK整理的攻击手法大盘
    • NSA/CSS技术网空威胁框架
    • 入侵检测方法论的演进
    • 入侵检测的本质:采集数据标记异常
    • 入侵检测的代价很昂贵
    • 工程能力决定入侵发现效果
    • 应对之道
    • 最低成本防御/检测
    • 效果展示:大事件里的小失误
    • 从0开始建设怎么做
    • 总结
赵弼政@美团基础安全负责人 2019-07-09 14:38:28
  • 附件: 1 个
  • 大小: 0.87 M
  • AI助力Web应用安全效率
    • 解决Web安全问题的两个核心思想
    • 黑白名单的优缺点
    • 白名单实现发展过程
    • AI第一层本地异常检测
    • 威胁检测(AI第二层威胁检测)
    • FortiGuard TIS Architecture
    • Fortinet WAF 双模型智能机器学习
王涛@Fortinet中国区技术顾问 2019-04-05 11:31:21
  • 附件: 1 个
  • 大小: 2.93 M
  • 情报驱动的关联分析及开放平台实践
    • 安全响应的最后一公里
    • 安全开放平台实践

    从“安全开发者”的视角,介绍自主研发的态势感知和响应平台“泰坦”,聚焦实战、高效运营能力实现,从自动化汇聚、降噪与丰富化,到关联分析和基于优先级的响应,最终解决海量告警到实质威胁响应的最后一公里。分享“泰坦”架构设计和技术实现旅程,在如何实现实时的威胁发现、面对复杂数据更好的感知,提供一些非常实用和落地的解决思路。

    PPT介绍来源

张嵩@华泰证券信息安全总监,邢骁@华泰证券安全平台架构师 2019-04-05 10:45:32
  • 附件: 1 个
  • 大小: 6.77 M
  • 以威胁情报和人工智能为趋动的QRADAR现代安全运营中心
    • IBM Security:简介
    • IBM安全全球布局概览
    • 信息安全的时代演进
    • 面对海量的安全数据,安全人员需要从多个角度印证安全事件的严重程度和可信度
    • 场景举例–如何将日志、流和威胁情报信息结合,关联化发现问题
    • 检测并制止威胁
    • 发现潜在的攻击行为
    • 关联分析–18大类,600多种开箱即用的规则
    • 将网络分析更进一步
    • 由数百个开放集成提供支持
    • IBM QRadar广泛第三方产品,包括国产设备和系统
    • 可扩展性–AppExchenge目前包含超过170应用插件
    • 14IBM Security“人工智能”和“统筹”加速安全运维的智能和自动化水平交付智能的安全运营中心
    • 借助AI 加速SOC 运营
    • User Behaviour Analytic (UBA) :内部威胁
    • 认知安全开始的篇章
    • IBM X-Force Exchange利用了来自IBM安全的大量情报信息
    • 响应方式非常重要
    • 安全运营的未来是AI与统筹(SOAR)
    • SOC平台极大提升了威胁检测和分析的效率
    • IBM SOC模型
黄俊华IBM 大中华区QRadar& Resilient 业务经理 2019-04-05 10:38:48
  • 附件: 1 个
  • 大小: 3.66 M