首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

安全知识图谱助力内部威胁识别

对于内网数据来说,告警数据与流量数据缺少相关的语义,而安全知识图谱融入了已经的安全知识,能大大提高威胁识别与评估的准备性。...在威胁元语言模型中,威胁实体构建和实体关系是两个最为关键两个步骤。 2图嵌入 知识图谱最大的特点是具有语义信息,然而构建好的内网安全知识图谱如何应用到内网威胁识别中。...利用图模型做内网威胁识别,一个很直接的方法是利用社区发现[4,5,6]方法对威胁主体进行社区划分,把威胁度高的攻击主体划到一起,从而实现威胁识别。...图2.3 社区感知的图表示框架 三、基于安全知识图谱的内网威胁识别 基于知识图谱的内网威胁主要包括三部分:图模型构建、图嵌入和威胁评估。...主机的重要性越高,攻击者所产生的威胁就越大。 2.2 威胁评估 对于已有的这些威胁评估,是从不同维度来解决威胁评估问题,那么不同角度的评估如如何融合优化成为威胁评估的问题。

3.3K40
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    基于海量样本数据的高级威胁发现

    本文由我在互联网安全大会 ISC 2022 分论坛“以对手为目标的威胁防御——安全情报与高级威胁论坛”中的分享《基于海量样本数据的高级威胁发现》整理而成,内容有所改动。...攻击者精心伪造了面向俄语员工的调查问卷文档,在文档文件中内嵌了利用此 0day 漏洞的 Flash 对象,并捆绑了带有自毁功能的专属木马程序实施载荷阶段的攻击活动。...图片 我们使用像 DGA 域名识别模型、网络流量检测模型、动态行为检测模型、文件静态检测模型等机器学习模型作为检测技术的辅助,增强自动化威胁检测的能力。 机器学习模型需要持续完善。...情报生产和高级威胁发现 海量样本数据的运营,用于支持情报生产业务和高级威胁发现业务。接下来我将简单描述一下如何基于海量样本数据运营进行情报生产和高级威胁发现。 什么是威胁情报?...什么是高级威胁? 海量样本数据的运营,支撑的另一项主要的业务是高级威胁发现业务。那么什么是高级威胁呢?

    3.6K10

    人脸检测识别助力各种活动活动安全举办(附源代码)

    它在以人为中心的重识别,人工分析中有广泛的应用。尽管近十年取得了巨大的进展,但人脸检测仍然具有挑战性,尤其是在恶劣光照条件下的图像。...例如,增强有噪声图像的平滑操作可能会破坏对检测至关重要的特征可识别性。这表明增强和检测组件之间的紧密集成,并指出了端到端“增强检测”解决方案。...计算机视觉研究院主要涉及深度学习领域,主要致力于人脸检测、人脸识别,多目标检测、目标跟踪、图像分割等研究方向。研究院接下来会不断分享最新的论文算法新框架,我们这次改革不同点就是,我们要着重”研究“。...Sparse R-CNN:稀疏框架,端到端的目标检测(附源码) 利用TRansformer进行端到端的目标检测及跟踪(附源代码) 细粒度特征提取和定位用于目标检测(附论文下载) 特别小的目标检测识别

    3.2K10

    涉及13万个域名,揭露大规模安全威胁活动ApateWeb

    近期,Unit 42的研究人员发现并识别了一个大规模的恶意活动,我们将其取名为ApateWeb。该活动使用了大约13万个网络和域名来传播流氓安全软件、潜在的不必要程序(PUP)以及其他网络诈骗程序。...该活动中涉及到的所有恶意软件都不是传统的恶意软件,同时也展示了威胁行为者获取初始访问权所使用的新型技术。除此之外,这些恶意软件还会让目标用户面临其他更加严重的网络威胁。...在ApateWeb活动中,威胁行为者会使用精心制作欺骗性电子邮件,引诱目标用户点击恶意URL,并将JavaScript嵌入到目标网站页面,然后将流量重定向至其恶意内容。...Layer 1:活动入口点 威胁行为者首先制作了一个自定义URL作为其活动的入口点,并加载初始Payload。...在网站上嵌入重定向JavaScript ApateWeb背后的威胁行为者还会开发恶意JavaScript代码,并将其嵌入到其他网页中来为ApateWeb活动带来流量。

    25510

    基于LSTM-CNN的人体活动识别

    人体活动识别(HAR)是一种使用人工智能(AI)从智能手表等活动记录设备产生的原始数据中识别人类活动的方法。当人们执行某种动作时,人们佩戴的传感器(智能手表、手环、专用设备等)就会产生信号。...人类活动识别有各种各样的应用,从为病人和残疾人提供帮助到像游戏这样严重依赖于分析运动技能的领域。我们可以将这些人类活动识别技术大致分为两类:固定传感器和移动传感器。...在本文中,我们使用移动传感器产生的原始数据来识别人类活动。...在本文中,我将使用LSTM (Long - term Memory)和CNN (Convolutional Neural Network)来识别下面的人类活动: 下楼 上楼 跑步 坐着 站立 步行 概述...机器学习方法在很大程度上依赖于启发式手动特征提取人类活动识别任务,而我们这里需要做的是端到端的学习,简化了启发式手动提取特征的操作。

    1.8K20

    基于LSTM-CNN的人体活动识别

    来源:DeepHub IMBA本文约3400字,建议阅读10+分钟本文带你使用移动传感器产生的原始数据来识别人类活动。...人体活动识别(HAR)是一种使用人工智能(AI)从智能手表等活动记录设备产生的原始数据中识别人类活动的方法。当人们执行某种动作时,人们佩戴的传感器(智能手表、手环、专用设备等)就会产生信号。...人类活动识别有各种各样的应用,从为病人和残疾人提供帮助到像游戏这样严重依赖于分析运动技能的领域。我们可以将这些人类活动识别技术大致分为两类:固定传感器和移动传感器。...在本文中,我们使用移动传感器产生的原始数据来识别人类活动。...机器学习方法在很大程度上依赖于启发式手动特征提取人类活动识别任务,而我们这里需要做的是端到端的学习,简化了启发式手动提取特征的操作。

    1.4K20

    深度分析无文件攻击与高级持续威胁(APT)

    无文件攻击(Fileless Attack)与高级持续威胁(Advanced Persistent Threat, APT)便是此类攻击手法的典型代表。...二、高级持续威胁(APT):隐形的战争APT是一种由有组织、有目的的攻击者发起的、长期潜伏在目标网络中的复杂攻击。...:主动监测网络流量、日志、用户行为等,寻找可疑活动迹象,如异常的PowerShell命令、WMI调用等。...安全意识培训定期培训:提高员工对钓鱼邮件、社交工程攻击的识别能力。模拟攻击演练:通过红蓝对抗、桌面推演检验防御体系有效性。为了提升员工对钓鱼邮件的识别能力,可以设计并发送模拟钓鱼邮件。...四、结语无文件攻击与APT作为高级攻击手段,对企业的网络安全构成了严峻挑战。

    64610

    高级威胁组织APT-C-36正在活跃

    近日,据黑莓安全研究与威胁情报团队称,名为Blind Eagle 的APT组织正在活跃,针对哥伦比亚各个关键行业发起持续性网络攻击,包括卫生、金融、执法、移民以及负责哥伦比亚和平谈判在内的机构都是该组织的重点攻击目标...黑莓安全研究与威胁情报团队还发现,该组织正在向厄瓜多尔、智利和西班牙地区扩张。 资料显示,Blind Eagle又被称为APT-C-36,以高活跃度和高危害性出名。...基于近段时间APT-C-36高活跃性,知名安全团队Check Point Research发布了该组织的详细调查报告,介绍了其高级工具集和攻击方式,例如通过鱼叉式网络钓鱼电子邮件传送的 Meterpreter...黑莓安全人员称,“该组织使用的作案手法与之前几乎保持一致,非常简单但是也很有效,这也意味着该组织内部对于,通过网络钓鱼电子邮件发起攻击活动的方式感到满意,并且对使用它们充满信心。” 那么问题来了?

    78320

    基于数据安全的风险评估(二):数据资产威胁识别

    威胁识别 上篇是从脆弱性识别内容、识别方式、脆弱性定级,三个部分进行介绍。与脆弱密切相关的是威胁威胁是一种对组织及资产构成潜在破坏的可能性因素,威胁需要利用资产脆弱性才能产生危害。...造成威胁的因素可分为人为因素(恶意和非恶意)和环境因素(不可抗力和其它)。本篇威胁识别将从威胁来源、威胁识别与分类、威胁等级划分三个部分进行介绍。...数据脆弱性识别示例 二 威胁识别与分类 威胁识别在风险评估过程中至关重要,威胁识别的准确性直接影响识别风险评估及后续的安全建设方向,所以丰富的数据威胁识别内容或分类,影响整体风险评估质量。...威胁识别示例图 三 威胁等级划分 判断威胁出现的频率是威胁识别的重要内容,在威胁等级评估中,需要从三个方面考虑: 发生在自身安全事件中出现过的威胁及频率; 通过检测工具及各种日志主动发现的威胁及其频率...威胁等级划分示例图 下章介绍数据资产风险分析及综合风险评估分析(结合资产识别威胁识别、脆弱性识别、风险),主要包括风险计算、风险判定及综合风险分析表。

    2.5K20

    UML: 活动图的深入讲解及高级符号的使用

    本文将通过一张具体的活动图,详细讲解其中高级符号的使用,帮助读者更好地理解和应用活动图。 二、活动图概述 活动图是一种行为图,用于展示系统中的动态流程。它类似于流程图,但更强调系统的动态行为。...三、案例活动图解析 我们将分析上图中的活动图,该图展示了一个订单处理系统的业务流程。...Order Cancel Request) 取消订单(Cancel Order) 发送发票(Send Invoice) 接受付款(Accept Payment) 发送付款(Send Payment) 四、高级符号的使用...闪电符号(Interrupt Flow) 在活动图中,闪电符号(Interrupt Flow)用于表示一个活动的中断或异常流程。...通过使用高级符号,如分支与合并节点、决策节点、结束节点、合并节点、游泳道和闪电符号,我们可以更直观、更准确地描述复杂的业务逻辑。

    41110

    威胁情报 | APT-K-47 组织利用新木马工具发起窃密攻击活动

    1 概述 参考资料 APT-K-47,也被称为Mysterious Elephant,是知道创宇404高级威胁情报团队首先披露活动细节的APT组织。...据推测该组织发源于南亚地区,其攻击活动最早可追溯至2022年。...继2023年8月份披露了源自南亚的新兴APT组织APT-K-47的攻击工具ORPCBackdoor之后,知道创宇404高级威胁情报团队一直密切关注该组织的动向。...,我们识别出了攻击者的两条主要攻击路径: 攻击者在一台受控机器植入Nimbo-c2木马,然后通过PowerShell 下载DemoTrySpy工具,该工具负责窃取浏览器密码,并将其打包成本地文件,进而将这些文件回传至一个专用于文件回传的服务器...,这些活动与之前曝光的使用 ORPCBackdoor 的攻击存在明显的差异。

    40010

    安卓应用安全指南 4.1.3 创建使用活动 高级话题

    4.1.3 创建/使用活动 高级话题 原书:Android Application Secure Design/Secure Coding Guidebook 译者:飞龙 协议:CC BY-NC-SA...4.0 4.1.3.1 组合导出属性和意图过滤器(对于活动) 我们已经解释了如何实现本指南中的四类活动:私有活动,公共活动,伙伴活动和内部活动。...另一方面,由于只有应用开发人员拥有用于签署证书的开发人员密钥,因此这是识别的更好方法。 由于证书不容易被伪造,除非恶意第三方可以窃取开发人员密钥,否则恶意应用被信任的可能性很小。...新的任务在活动被调用时创建 被调用的活动是任务的根活动,它已经在前台或者后台存在 4.1.3.4 根活动活动是作为任务起点的活动。 换句话说,这是创建任务时启动的活动。...被调用的活动成为根活动,取决于以下内容。 被调用活动的启动模式 被调用活动的任务及其启动模式 首先,让我解释一下“被调用活动的启动模式”。

    1.4K20

    13.威胁情报实体识别 (3)利用keras构建CNN-BiLSTM-ATT-CRF实体识别模型

    《当人工智能遇上安全》系列博客将详细介绍人工智能与安全相关的论文、实践,并分享各种案例,涉及恶意代码检测、恶意请求识别、入侵检测、对抗样本等等。只想更好地帮助初学者,更加成体系的分享新知识。...享受过程,一起加油~ 前文讲解LSTM恶意请求识别。...一.ATT&CK数据采集 了解威胁情报的同学,应该都熟悉Mitre的ATT&CK网站,前文已介绍如何采集该网站APT组织的攻击技战术数据。...第四步,编写代码完成威胁情报数据采集。...[当人工智能遇上安全] 10.威胁情报实体识别之基于BiLSTM-CRF的实体识别万字详解 常见的数据标注工具: 图像标注:labelme,LabelImg,Labelbox,RectLabel,CVAT

    17210

    10.威胁情报实体识别 (1)基于BiLSTM-CRF的实体识别万字详解

    这篇文章将讲解如何实现威胁情报实体识别,利用BiLSTM-CRF算法实现对ATT&CK相关的技战术实体进行提取,是安全知识图谱构建的重要支撑。...基于机器学习的安全数据集总结 [当人工智能遇上安全] 8.基于API序列和机器学习的恶意家族分类实例详解 [当人工智能遇上安全] 9.基于API序列和深度学习的恶意家族分类实例详解 [当人工智能遇上安全] 10.威胁情报实体识别之基于...开展威胁情报实体识别实验。...第四步,编写代码完成威胁情报数据采集。...当我们拥有更准确的标注,将有利于所有的实体识别研究。 四.数据集划分 在进行实体识别标注之前,我们将数据集随机划分为训练集、测试集、验证集。

    26130

    数字堡垒:揭示 2023 年十款最佳入侵检测和防御工具

    异常检测:寻找未知威胁与签名和行为检测不同,异常检测旨在寻找未知的、不符合任何已知模式的攻击。它通过建立正常行为的统计模型,然后检测偏离这个模型的活动。这使得IDPS能够识别零日攻击和未知的恶意代码。...它们能够实时监控网络流量、日志和系统活动,以寻找异常行为和潜在的入侵。通过识别并采取行动来阻止这些威胁,IDPS有助于防止数据泄露、服务中断以及恶意软件的传播。...它集成了高级威胁情报,可以自动阻止恶意流量并提供实时分析。2....Trellix Intrusion Prevention SystemTrellix IPS专注于零日攻击和高级威胁,利用行为分析和机器学习来检测网络中的异常活动。...结论在不断进化的威胁环境中,入侵检测和防御系统(IDPS)变得愈发重要。它们作为网络安全的前线,可以帮助组织快速识别、阻止和响应恶意活动

    2.1K40
    领券