微步安全AI实践.pdf

该【微步安全AI实践 】是由【翩仙妙玉】上传分享，文档一共【35】页，该文档可以免费在线阅读，需要了解更多关于【微步安全AI实践 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。:..防线无声沙龙微步安全AI实践嘉宾:陈杰:..个人介绍/Introduction陈杰微步在线AILab负责人微步在线技术运营合伙人华盛顿大学人工智能博士微软Exchange邮箱服务器主机安全微软Azure公有云基础安全:..AI简介AI+络安全AI落地挑战微步AI实践:..AI简介01:..什么是机器学****检测模型从开发到应用?人工线性增加?开发时效性差?不能覆盖所有分析50条规则,比如:1000恶意10000shell_exec($_GET[‘cmd’])==>样本500条规则开发恶意样本冰蝎***分析师分析师x10应用未知样本***引擎告警:..什么是机器学****检测模型从开发到应用?自动化学****恶意样本特征?快速学****新变种样本?处理海量数据10万机器学****模型自动方案?恶意样本开发应用未知样本检测引擎告警:..机器学****简单分类:..成熟曲线01知识图谱自然语言处理自动驾驶汽车图像识别人脸识别:..AI+网络安全02:..Gartner报告(1):AI在安全行业的使用?,:..Gartner报告(1):AI在安全行业的使用?,:..Gartner报告(2):AI在威胁检测中的使用?:..Gartner报告(3):AI在安全行业的落地情况13:..其他应用场景:..CrowdStrike对AI的定位:..案例(1):微软失陷主机检测、失窃用户权限检测?机器学****UEBA恶意特征?2017年微软开始使用机器学****识别失陷主机,应用在Exchange服务器安全检测?2018年开始使用机器学****识别失窃用户检测?在公司内部红蓝对抗中效果显著16:..案例(2):AzureSentinelFusionDetection?2018开始,微软使用机器学****识别公有云上多步骤攻击过程?2021推出基于多步骤聚合的***检测爆破加密软件***团伙加密软件加密软件:..黑客工具失陷主机通信异常网络连接可疑PowerShell命令窃密软件不阻止连接暗网:..其他成功案例?恶意样本检测微软WindowsDefenderATP使用端+云的恶意软件检测,云上建模,端上检测?攻击链路检测CrowdStrike使用威胁图技术,聚合攻击动作?情报生产微步在线使用机器学****威胁图进行病毒家族识别、攻击手法分类等?***微步在线使用深度学****检测***?行为分析腾讯使用UEBA对用户安全、失陷主机、横向移动?其他成功方向异常登录/DGA识别/弱密码检测/垃圾邮件识别/钓鱼页面识别/加密流量检测:..AI落地挑战03:..AI的问题1-迷信盲从,场景不匹配机器?对机器学****期望过高,期望机器学****一劳永逸解决问题检测能力学****构成模型?机器学****应该是安全建设的顶层工具,对底层基础有较大依赖行为规则?数据依赖?规则依赖?场景分析依赖文本规则?成功案例:微软云做异常登录检测时,先用了规则,产生数据并人工筛选后,构建简单模型。运行一年后,使用深度学****进行模型的通用性升级情报+哈希?失败案例:使用机器学****直接识别恶意二进制文件:..AI的问题2–黑白样本数据收集困难恶意数百万样本样本攻击多种攻击行为日志恶意多种协议多流量种恶意模式:..AI的问题3-开发难度大,:..AI的问题4-对大数据基础设施有一定依赖?大数据分析工具数据分析特征工程机器学****使机器学****开发事半功倍数据计算数据存储Spark、Flink、Hive、ES、MongoDB、HDFSPython数据采集日志(系统、网络、应用),文件样本:..威胁检测中使用机器学****的步骤完成基础安全检测能力,甄别大数据+复杂问题大数据基础设施建设+人才储备收集海量恶意样本和恶意攻击事件数据机器学****ML应用展望准确定位:..网安大模型MSSecurityCopilotGoogleSec-PaML:..微步AI实践04:..PE恶意文件检测!"#$%&'()*+,*+,-静态检测动态检测./不执行程序在虚拟机监控运行?文件结构分析?文件行为0123?初级静态分析?进程行为?字节码分析?网络行为?字符串分析?注册表行为?图像分析?API调用分析?反汇编分析#$4567?源码分析!"#$%&'()%&:..PE恶意文件检测模型侧数据侧?纯化数据?基于文件结构特征模型0102?深度学****模型?PE特征优化?测试数据优化?多模态融合多场景定制方案加壳专项0304?多环境检测引擎?多样化加壳数据?沙箱动态检测引擎?人工加壳数据?终端检测引擎?壳专项分析?同源性分析引擎:..PE恶意文件检测–数据高质量数据微步千万级样本数据源?使用微步云沙箱和virustotat60+引擎交叉验证。?近几年至6个月前的数据,确保数据的流行性和成熟性。?对PE文件中的字符串计算杰卡德相似性系数,筛选数据。筛选流行、成熟数据优化特征?结合sophos、elastic、Mandiant的PE特征提取方法。?在上述基础之上增加微步分析师定制的2000余维特征提取60+引擎交叉验证测试集校验?多种生产环境独立数据校验?包括微步云查数据、云沙箱数据、终端采集数据?去签名证书多引擎对比测试字符串相似性快速校验?人工加壳样本批量测试:..PE恶意文件检测–模型线下实验室数据模型验证结果:ModelPrecisionRecallFPR字符串::::::*以高检出(Recall)、低误报(FPR)优先原则,结构特征模型LightGBM具有优秀性能:..威胁事件检测n国内?家主机事件聚合告警技术事件聚合:威胁图引擎+机器学****事件聚合机器2连接事件打分登陆ü单点告警ü组合告警98连接ü事件统计漏洞利?下载+执?执?IPü机器学****机器1事件打分:对?侵事件的威胁程度进?打分事件聚合:利?主机威胁图引擎关联?侵事件利?告警组合、机器学****标签传递等技术对?侵事件进纵向关联:即在?个主机内按照执?先后顺序关联恶意动作,?如关联??进程关系、?件读写、?络链接等??整体打分,做到精准告警为。?于跟踪恶意?为链条。横向关联:即跨主机关联?次?侵事件,?如通过恶意远控地址、内?横移等。?于跟踪?次攻击的内?扩散路利?机器学****法给主机、?件、?户进??为分析,即径与攻击?梳理UEBA:..关联行为检测攻击链路