主页 / 2018威胁情报&APT攻击技术与趋势高峰论坛 / APT实践分享:基于机器学习的隐蔽信道检测从0->1
-
作者斗象科技 技术总监 徐钟豪
-
简介
企业内网环境中,DNS协议是必不可少的网络通信协议之一,网络设备和边界防护设备在一般的情况下很少对DNS进行过滤分析或屏蔽,因此将数据或指令藏匿于DNS协议中进行传输是一种隐蔽且有效的手段。这类手段常用于APT中维持访问和数据窃取阶段。在实际场景中,当攻击者拿下某台服务器权限,或服务器被恶意软件、蠕虫、木马等感染之后,通过建立DNS隧道从而达到敏感信息盗窃、文件传输、回传控制指令、回弹Shell等目的。
相比于基于规则的静态阈值检测误报高,易被绕过等问题,可以使用机器学习技术从历史数据中学习出一个DNS隧道模式用于检测。使用机器学习构建DNS隧道检测模型,重要步骤是对DNS隧道流量进行特征挖掘分析,需要以DNS协议标准中各字段的统计分析、DNS隧道实现原理为基础,同时结合安全专家知识提取模型特征。在机器学习算法模型选择方面,鉴于在安全检测类产品中要求模型具有高效性、结果便于解释性等特点,在模型选取上更侧重选用一些基于特征的浅层学习模型。
Agenda
- APT - 隐蔽信道
- APT - Deep Info DNS Convert Channel
- 实践 - DNS TUNNEL Detection & Machine Learning
- 实践 - 工程(框架&流程),0 -> 1
-
援引http://www.freebuf.com/fevents/173601.html
-
提示本站仅做资料的整理和索引,转载引用请注明出处
相关推荐
-
2019-12-07 09:41:22 -
2020-08-29 12:16:50.274036 -
2017-01-19 06:35:43 -
2021-09-26 16:28:46.144074
附件下载
-
6.APT实践分享.pdf