في العالم أفظع شبكة "التجسس" أخشى أن تنتمي إلى "هجوم APT"، الكامنة لسنوات، منذ عقود حتى، بهدوء سرقة البيانات الهامة، فإنه قد لا يكون من أجل المال، وليس من أجل الربح، ولكن فقط إلى الخراب لك.

ويبدو رخيصة حقا، والصعب هجوم القراصنة.

تشاو YUTING، كان أول محاضر الإناث صعد المنصة مؤتمر SyScan 360 الأمن. هي 360 يطارد الفريق الياباني، مواجهة الهجمات APT، وتريد فريق أن يكون مثل Kuafuzhuiri كما هو الحال دائما المثابرة في السعي.

معلومات عن هجوم APT، كشف تشاو YUTING بعض الأسرار حول هذا الموضوع.

هجمات APT الأخيرة مع التعرض المهم تأتي في نوفمبر تشرين الثاني من روح كرمة زهرة عمل الرابطة.

نشرت الولايات المتحدة شركة أمن الشبكات Forcepoint التقرير الذي كشف مسؤول حكومي باكستاني كبير في الآونة الأخيرة وكان من مجهول التجسس أصل الانترنت. ويصف التقرير المهاجم استخدام الحربة الإلكتروني واستخدام نقاط الضعف في نظام وغيرها، زرع مخصصة AndroRAT في الكمبيوتر الضحية والقصد من سرقة المعلومات والبيانات الحساسة. ويعتقد الباحثون Forcepoint المنظمة المرتبطة BITTER، ولكن لا يمكن وقف الهجوم أطلقت هذه الحادثة. بدأ هجوما لاذعا في نوفمبر تشرين الثاني عام 2013، وعلى مر السنين لم يتم الكشف عن والسياق الحالي للمهاجم ليست واضحة. APP ذات الصلة المعلومات، بما في ذلك كشمير أخبار توفر الأخبار حول المنطقة المتنازع عليها بين الهند وباكستان وهلم جرا.

وجد تشاو YUTING وأعضاء الفريق ويبدو من الكرمة وليس لدينا روح لقضاء عشرة سنتات للعمل حقيقة APT، الكامنة بهدوء في منطقة الصين، الوحدات المتضررة تتعلق أساسا إلى الحكومة والسلطة والوحدات ذات الصلة بالصناعة، والشيء المخيف هو أن المنظمة ولا تزال نشطة.

في العام الماضي، وزهرة الروح كرمة عمل الرابطة بأنها "المعروف في العالم"، وكذلك تلك التي تقل:

القبض على "جاسوس" الخطوة الأولى

لحسن الحظ، من خلال خصائص عمل تحليل هجوم APT، فمن المعروف أن بعض سلوكهم، وهو الخطوة الأولى لكشف هذا "الجاسوس". وقال تشاو YUTING،

هجمات APT تفعل عادة لا توقف، والبعض منها قد يتم الكشف عنها بسبب الباعة الأمن، مما أدى إلى فشل الهجمات السابقة، واختيار اختفى مؤقتا، ولكن الهدف طالما لا يزال هناك قيمة للهجوم، وهذا الهجوم لا تزال مستمرة. بالإضافة إلى ذلك هناك بعض الحالات، المهاجم عندما شنت هجوما، وصلت إلى الهدف المقصود، قد تختار تنظيم الهجوم نائمة مؤقتا، ولكن الغرض منه هو لإعادة شحن البطاريات الخاصة بك عن الهجوم المقبل.

ثانيا، APT ما إذا كانت المنظمة سيكون هدفا للهجوم، والأمن لا يعتمد على قوة ودرجة حماية النظام الهدف في حد ذاته، ولكن يعتمد أساسا على هدف ثمين. حتى إذا كان الهدف في حد ذاته هو نظام دفاع قوي جدا، طالما أن هناك قيمة هذا، هجوم APT موضوعي بغض النظر عن التكلفة انها ستنظم هجوم.

رفض حقا للتخلي حتى عن الأمل هو ذهب!

وعلاوة على ذلك، فإن المهاجمين APT لديها عدد كبير من 0day (صفر يوم استغلال) الموارد، يمكنك شن هجمات المستهدفة. لديه درجة عالية من الإخفاء، ويمكن أن تستمر لسنوات، وحتى عقود دون أن يتم اكتشافها. منظمي الهجوم APT بعدم مهاجمة مباشرة الحصول على منافع لهذا الغرض، أكثر ميلا لسرقة بيانات حساسة وتدمير البنية التحتية.

تشاو YUTING التحليل، في السنوات الأخيرة، كما وجدت أن الهجمات عرضة للتحول تدريجيا الهجوم عبر منصة. على سبيل المثال، اتخذ APT عمل على روح الكرمة في حين تعرضوا لهجوم ويندوز ومنصات الروبوت.

ونحن نعتقد أن في الهجوم APT المستقبل، سيتم تخفيض المهاجم لأجهزة الكمبيوتر التقليدية والأجهزة المحمولة، معدات الشبكات وحتى مهاجمة ومعدات التحكم الصناعية تستمر في الزيادة.

احتياجات الاستخبارات التهديد - كشفت تعلق "خط"

هذا هو حلقة وصل رئيسية في سلسلة من الهجمات APT. هدف المهاجمين من التحقيق، أدوات هجوم قدم، ويمر أدوات الهجوم استغلال نقاط الضعف أو الضعف أهداف للاختراق، في جميع المجالات للفوز أداة تشغيل وصيانة أداة النائية الأخيرة، لتحقيق أخيرا الغرض من أهداف الرقابة على المدى الطويل . ونظرا لهذا المستوى العالي الآن هجوم واسع النطاق على نحو متزايد، وجود الاستخبارات التهديد في جميع جوانب الهجوم.

ما يسمى الاستخبارات التهديد، وهذا هو، إرادة APT المرجح منبهة في هذه المناطق، وأفراد الأمن ما إذا كان يمكن العثور عليها، يمكنك التقاط واحدة من "موضوع" الأكثر أهمية، متابعته قاب قوسين أو أدنى.

في تاريخ النضال في الهجوم والدفاع، وكان أفراد الأمن يعتقد أن الضعف هو السبيل الوحيد لتهديد أمن المؤسسة، في الواقع، والضعف هو مجرد واحد منهم. التصيد البريد الإلكتروني، والموظفين شبكة اجتماعية استخدام تسرب المعلومات الشخصية، كلمة المرور بحيث المتسللين ضربت مكتبة الناتجة قد تكون كامنة الهجمات APT تأتي في المفتاح.

على الرغم من الهجوم APT "الهدوء وضررا كبيرا"، في جريمة المسابقة والدفاع، وأفراد الأمن تتدخل أيضا خطوة لجمع تعرض المهاجم المعلومات.

ويمكن أن يكون السلوك الملاحظ، ذكاء التهديد بين معظم المعلومات الأساسية. على سبيل المثال، الشذوذ شبكة بيانات المستخدم، تم تدمير أنظمة الشبكات وهلم جرا، تليها تهديد مؤشر مميزة، هذه الميزات يمكن أن تستخدم لتحديد ما إذا كان المستخدم يعاني فعلا التهديدات، بما في ذلك التهديد من الظروف معالجة، وتهديد للتأثير المحتمل، تهديد أساليب الوقت واختبار فعالية.

وصف الحدث، بما في ذلك توقيت الأحداث والمواقع والسجلات وغيرها من الأحداث. ثم النهج التقني، من الوسائل والتقنيات والعمليات ثلاثة أبعاد من الحوادث الأمنية للحصول على وصف أكثر اكتمالا، بما في ذلك السلوك العام للهجمات الخبيثة، والأدوات، وأداة كامل المستخدمة من قبل المهاجمين الخبيثة تهاجم السلسلة، وتأثير ذلك على ضعف تسبب وهلم جرا. هناك أهداف وضحايا المعلومات عادة ما يتضمن معلومات أساسية حول النظام تعرضه لهجوم، هجوم APT، هجوم كثير من الأحيان سياسات مختلفة تخصيص لأنظمة مختلفة، ويمكن استغلالها في هذه المعلومات ضعف الهجوم.

وأخيرا، مهاجم المعلومات، إلا أن هذا المستوى، وأفراد الأمن سينظر دوافع القلق المهاجمين - لماذا أطلق الهجوم؟ الذي في نهاية المطاف هو المبادر للهجوم؟

وقال تشاو YUTING،

ونحن الجمع بين الخبرة البحثية ذكائهم التهديد قد حسنت من التفسير - التهديد يستند معلومات استخباراتية على مجموعة من وصف يرتبط بها من تهديد الأدلة، بما في ذلك عادة التهديدات المتعلقة المعلومات البيئية، والطريقة الآلية المستخدمة، وغيرها من المؤشرات من التأثير. أكثر دقة، فإنه الرجوع إلى الخاص تنظيم الهجمات، ونطاق الخبيثة. هنا هو عادة يرتبط اسم نطاق الخبيثة مع جهاز التحكم عن بعد بين اللجنة الأولمبية الدولية، HASH وURL الملفات الخبيثة ومؤشرات الخطر التغيرات في أساليب الهجوم على الوقت من خط العرض. وجمعها معا هذه ستشكل تهديدا الاستخبارات المتقدمة. وبالإضافة إلى ذلك، فإننا نشعر بالقلق مع المخابرات، كما أنها تتضمن تهديدات أنواع التقليدية للتوسع، بما في ذلك حصان طروادة للتحكم عن بعد، وإقناعا، والبرمجيات التجسسية، الباب الخلفي الويب.

تزوير سلاح اعتقال - آلة التعلم

ووفقا لتشاو YUTING آلة معينة الاستخبارات التهديد التعلم في النموذج، تعلم الآلة ثلاثة عناصر أساسية هي المهام والخبرة والأداء. المهام باستخدام آلة التعلم للتعامل مع المخابرات التهديد، فإن اختيار تجربة E تؤثر بشكل مباشر على الناتج النهائي من تأثير هذه العملية، وذلك عندما اختياري تجربة E الحاجة إلى النظر في النقاط التالية:

أولا، تحديد ما إذا كانت تجربة تقديم مباشرة أو غير مباشرة ردود الفعل على نظام صنع القرار؛

ثانيا، آلة قرار تعلم الحكم الذاتي، يشير أساسا إلى التعلم الآلي من خلال تقييم خاصة بهم، وتقدير، خطة لاتخاذ قرار نهائي، وليس محاولة تخضع لتحكم يدوي.

ثالثا، إذا كانت العينة التدريب أقرب إلى الأمثلة في العالم الحقيقي للتوزيع، إلا أن بيانات العينة المختارة أقرب إلى الحقيقة، والعملية برمتها من الأداء سيكون عاليا جدا، وهذا هو القول، وأداء P يقاس هذا التشابه .

والسبب لديها مثل مجموعة تبدو عملية معقدة جدا، هو استخدام آلة التعلم للتعامل مع المخابرات تهديدا للكشف وتحديد الهجمات الخبيثة تحميل APT وتحسين تهديد محتمل من هجوم كفاءة النظام APT ودقة، بحيث أبحاث الأمن ويستطيع أفراد تحقيق بسرعة الهجمات APT اكتشف والتتبع.

علمتك "Haidilaozhen"

وهكذا، في النهاية هو كيفية مساعدة آلة فحص التهديد التعلم الاستخبارات، والحصول على إبرة مفيدة من البحر الهائل من البيانات؟

يجب أن نقدم الخلفية.

ينقسم آلة التعلم إلى فئتين: التعلم تحت إشراف والتعلم غير خاضعة للرقابة. العديد من المشاكل تعلم آلة يمكن أن تعزى إلى حل مشكلة فئة، وهذا هو، بالنظر إلى بعض البيانات، كل البيانات لتحديد ما ينتمي إلى فئة، أو يمكن تصنيف هذه البيانات وغيرها من البيانات ما كطبقة، إذا كان أحد ما يصل إدخال البيانات مباشرة النمذجة والبيانات التي الخصائص الجوهرية للآلة والاتصال التصنيف التلقائي، الذي ينتمي إلى التعلم غير خاضعة للرقابة.

إذا كنت تبدأ في معرفة فئة البيانات نفسها، والتي لخصت جزء من البيانات ملحوظ مع التسمية، من خلال فئة جيدة من هذه البيانات بالفعل ملحوظ، وتأتي بعد ذلك في فئة وظيفة البيانات ورسم الخرائط، ثم وظيفة رسم الخرائط لالمتبقية تصنيف البيانات، والذي ينتمي إلى التعلم تحت إشراف.

وأشار تشاو YUTING خارج - التعلم غير خاضعة للرقابة هو الاتجاه في تطوير مستقبل تعلم الآلة، ولكن على أساس المستوى الحالي للتكنولوجيا، وقالت انها وفريقها كان أكثر ميلا إلى توظيف تشرف عليها التعلم للتعامل مع المخابرات التهديد، بعد كل شيء، والتكنولوجيا أكثر نضجا المنظور.

أشرف التعلم باستخدام الإجراء العام: الأول هو إعداد بيانات التدريب، واستخراج ناقلات ميزة من بيانات التدريب المطلوب، جنبا إلى جنب مع خوارزمية التعلم في ناقلات ميزة وما يقابلها من علامة، تدرب على يد نموذج تنبؤي، ثم هو نفسه ميزة أسلوب الاختيار، ودور بيانات الاختبار جديدة، وناقلات ميزة الحصول عليها للاختبار. وأخيرا، واستخدام نماذج تنبؤية للتنبؤ هذه مع ناقلات ميزة، والنتيجة النهائية.

بعبارات بسيطة، والعملية هي ميزة استخراج، واختيار وتدريب والتحقق من الصحة. في استخراج ميزة وقسم فحص، أولا إعداد بيانات التدريب التي يمكن جمعها من جميع البيانات صحيحة ودقيقة، يمكنك محاولة لجلب وإدخال البيانات لمعالجة عملية الاستخبارات التهديد. في هذه البيانات الكبيرة استخراج الخصائص المطلوبة، أي استخراج ميزة، والبيانات الخام في ناقلات ميزة من جانب واحد، يمكنك الحصول على مجموعة ناقلات الأولي. يمكنك بعد ذلك يتم تعيين لخصائص الأولية حيث بمجرد فحص مع الخصائص المطلوبة من كفاءة وتشكيل متجه الميزة. ميزة استخراج وفحص البيانات، في المقام الأول لغرض تعزيز النموذج. إذا قمت بتحديد العديد من الميزات، وسوف تضيع موارد الخادم. إذا قمت بتحديد بعض الخصائص السيئة، وسوف تؤثر بشكل كبير على دقة النموذج.

في عملية تدريب نموذج ولدت، تشاو YUTING وفريق بطريقتين: يرتبط واحد لخصائص ثابتة من العينة، من ناحية أخرى هو ويمكن ملاحظة كل سلوك ديناميكية.

إلى ملف PE، على سبيل المثال، فإننا سوف نبذل استخراج الميزة، ميزة استخراج بعض الملفات PE ثابت. على سبيل المثال، وصف الملف، قانون قابل للتنفيذ، بيانات ثابتة والاكسسوارات التوقيع، بعد مجموعة أولية من الميزات، فإنه بعد التخفيض، أي خصائص التحويل، تكرار الماضي العملية المذكورة أعلاه، والتحقق من صحة النموذج. وهناك نقطة أكثر أهمية هو أن في عملية التدريب - لحماية عينات التدريب الخاصة بهم، وهذه العينات يشار إليها على أنها مجموعة التدريب التدريب، وعادة ما انضمت مجموعة التدريب لدينا من قبل الحكم البشري وخوارزمية لتحديد، جيدة أو سيئة لها تأثير مباشر على المباراة النهائية تدريب مجموعة نموذج الكفاءة.

الحاجة نموذج التنبؤ للكشف والتحقق، من أجل ضمان أداء فعال ودقيق. في عملية فحص النموذج، سوف تشاو YUTING والفريق إجازة لاستخدام مزيج من التحقق من صحة وطريقة تصديق متقاطع.

ما ترك التحقق من الصحة؟ لالكستناء!

على سبيل المثال، النموذج المستخدم لتوليد الحدث عينة في مجموعة عينة APT، الحدث APT الحالية لا تشارك في استخراج تدريبية نموذجية، ونماذج أخرى لفحص حالة APT، ذات الصلة التفتيش التهديد الاستخبارات نتائج الفحص.

يستخدم عبر التحقق من صحة أكثر من مرة ترك التحقق للتأكد من أن كل حدث لم يشارك في التدريب ليست هي نفسها، وهذا هو لضمان أن كل يمكن استخدام البيانات المعنية في التحقق من صحة النموذج العملية والتدريب، والنموذج سوف تكون أكثر الأمثل موثوق به.

في مرحلة المختبر، وهذه الأساليب تستخدم عادة للتحقق من صحة النموذج، وهذه العملية قبل رسميا، وسوف نختار لانشاء خزان الضغط. تجمع الضغط لديه الكثير من البيانات، سيتم مسح جميع البيانات في بركة أمام الخط، ومن ثم تقييم نتائج الفحص، إذا كانت نتائج الفحص تماشيا مع توقعاتنا، وسيتم إطلاق تأثير هذه العملية رسميا.

على الرغم من أن استخدام التعلم الآلي للاستفادة متقدمة التهديد الاستخبارات نتائج جيدة الحالية، ولكن تشاو YUTING أقول لى شبكة فنغ، هناك عنق الزجاجة - كيفية تنفيذ عبر شهادة في العرض في الوقت.

كيف يمكن ضمان كفاءة عالية ودقة هذه العملية في المستقبل لتحقيق هذا العرض، والتركيز على دراستنا القادمة.