提出论点 好的研究想法,兼顾摘果子和啃骨头。...两年前,曾看过刘知远老师的一篇文章《好的研究想法从哪里来》,直到现在印象依然很深刻,文中分析了摘低垂果实容易,但也容易撞车,啃骨头难,但也可能是个不错的选择。...三维排列组合还不够,防守方视角还可以再交叉一个事前事中事后的时间维度,所以做的事情又可细分为:普通员工误用数据的事前检测、事中感知、事后溯源三个点,每一个点都是独一无二有自己定位的点,简称“不卷点”。...也就是说,很多事想要做、做成,必然需要威胁对抗的支持,绕不开的,除非是完全事前的横向项目,但这也需要和威胁对抗进行平级衔接。...引用 好的研究想法从哪里来 杜跃进:数据安全治理的基本思路 来都来了。
本文由我在互联网安全大会 ISC 2022 分论坛“以对手为目标的威胁防御——安全情报与高级威胁论坛”中的分享《基于海量样本数据的高级威胁发现》整理而成,内容有所改动。...这次分享主要从 4 个方面呈现,分别是:严峻的网络威胁形势、恶意行为自动化检测技术、海量样本数据运营、情报生产和高级威胁发现。...作为高级威胁攻击的核心,漏洞利用的手段已经覆盖到现代网络战争的方方面面。因此,对应的漏洞利用检测技术在自动化检测过程中就处于非常重要的位置。...多重样本来源 基于输入的海量样本数据,经过各个检测分析阶段的处理和过滤,最终的目的是发现高级威胁。...海量样本数据的运营,支撑的另一项主要的业务是高级威胁发现业务。那么什么是高级威胁呢?
使用 SYSMON 检测 CACTUSTORCH CACTUSTORCH 是一种 JavaScript 和 VBScript 的 shellcode 生成器。...WMI 或者 SBW/SW COM 对象的文档 在这篇文章中,我们将讨论如何检测攻击者使用的两个方法来绕过基于宏的 office 恶意文件的现有标准/已知检测。...(winword.exe 没有生成任何东西,从而绕过标准检测规则): ? ?...macro 执行后,它的 explorer.exe 会调用或生成 cmd.exe,这种方式很难用常规检测去定位(winword.exe 会生成 powershell.exe 或 cmd.exe 等等)。...我们能够用上面的追踪来建立 EDR 或者系统检测规则。
从自己十多年研究经历来看,如何判断一个研究想法好不好,以及这些研究想法从哪里来,对于初学者而言的确是个难题。所以,简单攒了这篇小短文,分享一些经验和想法,希望对刚进入NLP领域的新同学有用。...而计算机领域流行着一句话“IDEA is cheap, show me the code”,也说明对于重视实践的计算机学科而言,想法的好坏还取决于它的实际效能。这里就来谈下好的研究想法从哪里来。...那么什么才是好的想法呢?我理解这个”好“字,至少有两个层面的意义。 学科发展角度的”好“ 学术研究本质是对未知领域的探索,是对开放问题的答案的追寻。...好的研究想法从哪里来 想法好还是不好,并不是非黑即白的二分问题,而是像光谱一样呈连续分布,因时而异,因人而宜。...那么,好的研究想法从哪里来呢?我总结,首先要有区分研究想法好与不好的能力,这需要深入全面了解所在研究方向的历史与现状,具体就是对学科文献的全面掌握。
无独有偶,DARPA也在2012年出台了ADAMS项目,该项目专门用于美国国内敏感部门、企业的内部威胁检测。...目前PRODIGAL已经在美国的部分涉密企业实际部署,结果得到部署企业的一致好评。因此今天我们来了解下PRODIGAL,希望从中可以为我们研发自主可控的内部威胁检测系统带来借鉴。...,导致数据挖掘分析的工作任务十分繁重; -由于工作环境(流程、新的规章制度)的改变和攻击者隐藏自己行为的影响,导致建立的内部威胁检测模型需要动态变化; -实际中的ITs仅仅是用计算机使用的记录数据是远远不够的...PRODIGAL不再试图用一个固定的分类器使用架构来检测异常,而是根据不同的威胁类型建立灵活的检测架构。...PRODIGAL已经在美国的部分涉密企业中部署,在运行中不断改进优化和丰富攻击特征语言数据库,相信PRODIGAL会成为将来第一款部署的强大内部威胁检测系统。
Nicky这样的内部人(离职员工)对于任何一个组织而言都是潜在的巨大威胁,然而现实中的内部威胁检测系统至今蒙着神秘的面纱,不仅没有统一的设计标准,也没有得到普遍认可的商业版本。...企业中的内部威胁检测系统要求 企业中部署内部威胁检测系统的前提是实行内部安全审计,内部员工的计算机操作与网络使用行为应得到详细的记录,无论使用何种商业审计软件,进行内部人行为监控起码应包括以下类别: 登录事件...三层检测框架 当前的内部威胁检测思路主要是通过用户的计算机与网络行为构建起行为模型,然后利用异常检测算法检测用户异常。...小结 信息化的发展导致内部威胁的潜在危害越来越大,因此实际中的内部威胁检测系统便成为了亟待研究的问题。今天我们介绍了一种基于用户/角色行为的三层内部威胁检测系统框架。...传统的异常检测更多侧重于特征矩阵分析,而忽视了实时检测与多指标异常分析,多指标异常检测正是实现多类内部威胁检测的有效方法,因此三层检测系统一定程度上弥补了上述不足。
opportunities,一篇内部威胁检测的综述,来了解内部威胁检测的历史,挑战以及未来的研究方向。...与外部攻击相比,内部攻击的足迹难以隐藏,内部人员的攻击很难去检测因为恶意的内部威胁已经有被授权的权利通往内部信息系统。内部威胁检测在过去十年里吸引了大量关注,于是许多内部威胁检测方法被提出。...在第三部分,我们介绍了常用的用于内部威胁检测的数据集,解释了为什么内部威胁检测需要深度学习,并对近年来基于深度学习的内部威胁检测的研究工作进行了综述。...手工设计的特征很难并且很低效去捕获用户行为信息。同时,浅层结构的学习模型,如HMM和SVM,是相对简单的结构,只有一层将原始特征转化为可用于检测的高级抽象。...将深度强化学习应用于内部威胁检测的一个挑战是,由于恶意攻击的复杂性,有时很难设计一个好的奖励函数。在这种情况下,可以考虑反向强化学习框架,该框架的目标是根据内部人员的行为自动发现奖励函数。
我六月底参加深圳的一个线下技术活动,某在线编程的 CEO 谈到他们公司的发版,说:“我说话的这会儿,我们可能就有新版本在发布。”,这句话令我印象深刻。...传统的单体应用,所有的功能模块都写在一起,有的模块是 CPU 运算密集型的,有的模块则是对内存需求更大的,这些模块的代码写在一起,部署的时候,我们只能选择 CPU 运算更强,内存更大的机器,如果采用了了微服务架构...可以灵活的采用最新技术 传统的单体应用一个非常大的弊端就是技术栈升级非常麻烦,这也是为什么你经常会见到用 10 年前的技术栈做的项目,现在还需要继续开发维护。...服务的拆分 个人觉得,这是最大的挑战,我了解到一些公司做微服务,但是服务拆分的乱七八糟。这样到后期越搞越乱,越搞越麻烦,你可能会觉得微服务真坑爹,后悔当初信了说微服务好的鬼话。...这个段子形象的说明了分布式系统带来的挑战。
对于想要在网络上建设网站的用户而言,首先需要为网站购买一个合法的域名,不过很多人对于购买域名并没有实际的经验,因此往往不知道在哪里才能买到需要的域名。那么买域名哪里好?域名供应商的选择标准是什么?...买域名哪里好呢 域名是外部用户访问用户网站的地址,只有准确的地址才能够让别人进入自己的网站,并且域名和网址并不是相等的关系,域名需要经过解析才能够获得网址。...域名的选择标准 很多人在网络上查找后会发现,提供域名的域名供应商在网络上是非常多的,那么买域名哪里好?域名供应商如何来选择呢?...其实有心的用户会发现,网络上的域名供应商虽然多,但不少域名供应商的都只是代理的性质,所提供的域名种类相对比较少,因此在选择域名供应商时应当尽量挑选那些一级域名商,这样可以选择的域名种类会更加丰富。...买域名哪里好?如何挑选域名供应商?
我觉得这是一个很好的话题,技术人的职业规划不管如何发展,总归是一个从初级到高级的过程,不要妄想从初级一步跨越到架构师、CTO 之类的职位,所以高级工程师这个过渡阶段显得就很重要了,那么今天就来给大家说说你们还差在哪里...,只是时间长短问题而已,除了技术,你跟那些真正的高级工程师还有其他方面的差距! ...然而那些优秀的工程师是怎么样的? 他们项目做完了会想着哪里代码写的不够好,会想着重构下。 自己在赶某个功能的时候太匆忙了,刚好利用这段时间看看有没有更好的办法实现。...敢于承担 初级工程师在拿到一个稍微复杂点的需求的时候第一印象就是好复杂,我实现不了,哪怕这个技术别家证明可以实现。...所以好的工程师是可以对产品有很大的帮助作用的,而且跟产品经理多进行沟通交流,除了技术外,对产品、对业务、对商业你也能学到不少东西,以后的路会更广。
从自己十多年研究经历来看,如何判断一个研究想法好不好,以及这些研究想法从哪里来,对于初学者而言的确是个难题。所以,简单攒了这篇小短文,分享一些经验和想法,希望对刚进入NLP领域的新同学有用。...而计算机领域流行着一句话“IDEA is cheap, show me the code”,也说明对于重视实践的计算机学科而言,想法的好坏还取决于它的实际效能。这里就来谈下好的研究想法从哪里来。...那么什么才是好的想法呢?我理解这个”好“字,至少有两个层面的意义。 学科发展角度的”好“ 学术研究本质是对未知领域的探索,是对开放问题的答案的追寻。...好的研究想法从哪里来 想法好还是不好,并不是非黑即白的二分问题,而是像光谱一样呈连续分布,因时而异,因人而宜。...那么,好的研究想法从哪里来呢?我总结,首先要有区分研究想法好与不好的能力,这需要深入全面了解所在研究方向的历史与现状,具体就是对学科文献的全面掌握。
否则在各种同类软件不断刷新的当今,一个无法给用户提供较好体验的软件自然会被淘汰。哪里有服务好的应用性能监控呢?...哪里有服务好的应用性能监控 对于哪里有服务好的应用性能监控这个问题,现在应用市场已经出了很多的类似软件。...一些大的软件制造商或者云服务器商家出产的应用性能监控,一般可信度和质量是比较高的,它们拥有的研发平台是高科技的技术团队,对系统的研发和细节设置肯定是一般的小厂家所不能比的。...上面已经解决了哪里有好的应用性能监控的问题,性能监控在对应用进行实时分析和追踪的过程当中,如果发现了问题,它的报警渠道都有哪些呢?...以上就是哪里有服务好的应用性能监控的相关内容,随便在搜索引擎上搜索一下就会有很多品牌正规的监控软件出现,用户们按需选择就可以了。
关于RTA RTA是一款专为蓝队研究人员设计的威胁行为能力检测框架。RTA提供了一套脚本框架,旨在让蓝队针对恶意行为测试其检测能力,该框架是基于MITRE ATT&CK模型设计的。...RTA由多个Python脚本组成,可以生成50多种不同的ATT&CK战术策略,以及一个预先编译的二进制应用程序,并根据需要执行文件时间停止、进程注入和信标模拟等活动。...在可能的情况下,RTA 将尝试执行策略所描述的实际恶意活动。在其他情况下,RTA 将模拟所有或部分活动。例如,某些横向移动操作默认会针对本地主机(尽管参数通常允许进行多主机测试)。...工具要求 由于该工具基于Python 2.7开发,因此我们首先需要在本地设备上安装并配置好Python 2.7环境。...自定义配置 广大研究人员可以通过修改common.py来自定义RTA脚本在我们环境中的工作方式。我们甚至可以编写一个全新的函数,用于一个或多个新的RTA。
Gamaredon APT(先进持久威胁)是一种针对政府和军事组织的高级威胁行动,这个组织在网络安全领域引起了广泛的关注。...Gamaredon APT概述Gamaredon APT是一个活跃的威胁行动组织,其主要目标是政府和军事组织。该组织首次在2013年被发现,自那以后一直在不断发展和改进其攻击能力。...通过这种方式,恶意代码可以隐藏在看似正常的文件中,如图片、文档等,从而绕过防御系统的检测。2. 数据操纵和篡改Gamaredon APT还利用非PE部分对数据进行操纵和篡改来达到攻击的目的。...实施多层次的安全策略:采用多个安全层次,包括网络防火墙、入侵检测系统和终端安全软件等,以增加系统的安全性和防御能力。这有助于检测和阻止来自Gamaredon APT的攻击。...应对这种攻击,需要采取多层次的安全策略,包括更新安全软件、加强员工安全意识和实施备份和恢复措施。在不断演化的威胁环境中,我们必须时刻保持警惕,并采取适当的防御措施来减少潜在的攻击风险。
关于Threatest Threatest是一个基于Go开发的安全测试框架,该框架可以帮助广大研究人员测试端到端威胁检测规则的有效性与可用性。...检测工程 从广义上讲,检测工程是识别与组织相关的威胁、深入了解它们并提出可靠的策略来检测它们的学科。尽管没有标准化流程,但检测工程通常遵循几个阶段: 构思:哪些攻击技术与我们的组织相关?...研究:攻击技术是如何工作的?它生成什么日志或遥测数据? 收集要求:实现检测需要哪些日志?我们是否需要更多的可见性或更广泛的范围来实施检测? 开发:定义具体的检测策略以制定检测规则。...测试和部署:测试规则,最好是针对真实世界的数据,以确保它按预期工作,不会产生太多误报。 维护:持续收集检测规则生成的警报指标,并根据需要采取修改和维护。 ...开发,因此我们首先需要在本地设备上安装并配置好Golang环境。
大模型技术在安全威胁检测中的应用:从传统到未来的跃升大家好,我是Echo_Wish!今天我们来聊聊一个在网络安全领域越来越火的话题——大模型技术在安全威胁检测中的应用。...网络安全一直是每个企业的重中之重,随着网络攻击手段的不断进化,传统的安全检测方法逐渐显现出不足,而大模型技术的崛起,正为我们带来一种全新的解决方案。那么,大模型究竟如何推动安全威胁检测的发展呢?...随着网络攻击的不断演化,尤其是恶意软件、勒索病毒、APT攻击等复杂威胁的增多,传统的基于规则的检测方式已难以应对复杂和变化多样的安全威胁。...大模型技术(如深度学习、大规模预训练模型等)则能够通过以下几方面提升威胁检测的能力:自适应学习:大模型能够在不断的训练中自适应地发现新的威胁模式,无需手动定义规则。...异常检测:传统的异常检测方法通常依赖于设置阈值,超出阈值的数据就被认为是异常,但这种方法容易受到噪声的影响,且对未知威胁的适应性差。
,连LeCun看了都说好。...这篇文章提出的能量模型想法在之前分享的《OWOD:开放世界目标检测,更贴近现实的检测场景 | CVPR 2021 Oral》也有应用,有兴趣的可以去看看。 ...为此,论文提出energy-based方法来检测OOD输入,将输入映射为energy score,能直接应用到当前的网络中。...当模型fine-tuned好后,即可根据公式7进行OOD检测。Experiment*** ID数据集包含CIFA-10、CIFAR-100,并且分割训练集和测试集。...不同于softmax置信度,energy score能够对齐输入数据的密度,提升OOD检测的准确率,对算法的实际应用有很大的意义。
AI防火墙是NGFW的下一代产品,通过智能检测技术提升防火墙对高级威胁和未知威胁的检测能力。NGFW主要通过静态规则库检测威胁,难以应对变种的高级威胁。...面对快速变化的威胁种类,传统NGFW主要问题如下: 基于签名的威胁检测无法应对高级、未知威胁 基于签名的威胁检测依赖于特征库(静态规则库), 而特征库中的签名是针对已知威胁的特征描述而且容量有限,面对未知...、变种的高级威胁无能为力。...AI防火墙检测高级威胁 前文多次提到AI防火墙可以检测高级威胁,那么具体是如何检测的呢?“智能”体现在哪里?智能就体现在AI防火墙内置的智能检测引擎,引擎通过机器学习获取的威胁检测模型检测高级威胁。...AI防火墙智能检测引擎 高级威胁往往是一个有组织、有计划的攻击过程。
前言 近来,我们一直都在通过一些开源免费的工具,来帮助中小企业提升其网络威胁检测能力。在本文中,我们将手把手的教大家通过Kibana,Wazuh和Bro IDS来提高自身企业的威胁检测能力。 ?...Wazuh是一款以OSSEC作为引擎的基于主机的入侵检测系统。通过与ELK的结合,便于管理员通过日志平台查看系统日志信息,告警信息,规则配置信息等。...然后回到discover,你应该能够看到你的bro日志! ? 提取 - Bro和威胁情报 首先,我们在这里进行注册以获取免费威胁情报源。...遵循critical-stack-intel二进制文件的客户端安装说明进行安装: 然后使用api code(需要联网)将二进制文件连接到feed,此时它应该下载已订阅的威胁情报源。...,能够让你轻松的按照我们的说明来创建你自己的HIDS和NIDS监控系统,并进一步的提升你们企业的威胁检测能力。
如果要让你的组织具备处理被僵尸网络劫持的能力,那么一个对不同终端,网络访问,数据管理以及未知用户都有详细定义的好的计划是相当有必要的。 2. 诊断 俗话说,治病一半的功劳在于诊断。所以,感染点在哪里?...使用微软的Sysinternals工具是一个好的开端。需要特别小心的是注意在有嫌疑的机器上输入的任何密码,以及从这里访问的其它系统等。...清除 只是运行一个简单的防病毒扫描是无法将肉鸡移除的。你甚至无法检测到恶意软件的异常行为。即使可以检测,恶意代码也往往与操作系统/注册表相互交织,使主流的杀毒软件不知道如何进行处理。...你所能做的最好的措施之一就是运行多个反恶意软件工具,尤其是像Webroot和Malwarebytes这样的对更高级威胁相对了解的工具。你也可能除了重新安装操作系统之外毫无选择。...问题是,对企业的系统进行更新可以消除威胁,至少可以防止恶意软件的传播。所以现在需要开始考虑第三方软件的补丁管理问题,以至于在真正出现问题时你可以有所防备。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
腾讯会议
云直播
对象存储
