- 综合排序
- 最热优先
- 最新优先
- 来自专栏月梦·剑心的技术专栏
内部威胁检测数据集分类办法
本文探讨内部威胁检测数据集分类办法。 春恋慕 月梦的技术博客 内部威胁检测数据集可以分为五类:Traitor-Based、Masquerader-Based、Miscellaneous Malicious、Substituted Masqueraders 中的用户意图,从而产生恶意分支和良性分支;b1)对于恶意分支,通过执行违规策略的方式-通过使用合法用户的访问(基于叛逆者),通过获得未经授权的访问(基于伪装者),或当这两种情况分别包含在数据集中(混合恶意);b2)
1.1K10编辑于 2022-09-14 腾讯云威胁情报产品:威胁日志检测能力解析与操作指南
摘要: 本文旨在解析威胁情报产品中具备威胁日志检测能力的技术价值,并提供基于腾讯云产品的操作指南。我们将讨论威胁日志检测技术的核心价值、挑战,并展示如何利用腾讯云产品实现高效的威胁检测与响应。 技术解析 核心价值与典型场景: 威胁情报产品中的威胁日志检测能力是指能够实时监控和分析系统日志,以识别潜在的安全威胁。这项技术在网络安全领域尤为重要,尤其是在防御高级持续性威胁(APT)和内部威胁时。 实时性要求:安全威胁可能在毫秒级别发生,对日志检测系统的实时性要求极高。 误报与漏报:如何平衡误报率和漏报率,确保既不漏过真实威胁,也不产生过多误报。 日志分析: 原理说明:对存储的日志数据进行实时分析,以识别安全威胁。 操作示例:使用腾讯云的ELK Stack服务进行日志分析,设置告警规则,当检测到可疑行为时自动触发告警。 (来源:腾讯云客户案例) 通过本文的技术指南,用户可以深入了解威胁日志检测技术,并利用腾讯云产品构建高效、安全的企业级威胁检测与响应体系。
35810编辑于 2025-08-04流量威胁检测产品大比拼:谁家检测效果最强?
那么,在众多厂商中,谁家的流量威胁检测产品检测效果最强?本文将为您深入解析。 一、 主流厂商产品对比分析 根据2026年最新市场调研,国内主流云服务商和网络安全厂商均推出了各自的流量威胁检测产品。 》最高分 华为FireHunter6000&云沙箱服务 华为 ADE高级威胁检测引擎,4重纵深检测 支持50+文件类型检测,未知威胁检测率95% 99.5%以上 Tolly多层勒索防护解决方案认证 绿盟综合威胁探针 (NSFOCUS UTS) 绿盟科技 AI驱动威胁检测引擎(集成昇腾芯片加速) 全流量威胁检测探针,专注实战化场景 未明确 与英特尔深度合作,加密流量检测性能显著提升 奇安信天眼威胁检测系统(NTD) 核心优势二:深度检测能力 传统检测手法对高级威胁基本无效,而腾讯云NDR大量应用人工智能、机器学习、行为分析、统计模型等高级检测方法来识别网络中潜伏的威胁。 系统检测效果明显优于传统检测方法,能够有效识别高级威胁和未知威胁。 核心优势三:五大检测利器协同作战 腾讯云NDR集成了AI算法、威胁情报、哈勃沙箱、规则引擎和全流量溯源五大领先技术。
27210编辑于 2026-02-25- 来自专栏信安之路
利用 RDPWRAP 做 RDP 劫持的威胁检测
它的核心功能是利用 JavaScript 调用对象还原序列化(还原到内存)和从内存载入一个任意的 .NET v2/3.5 程序(脚本用 base64 编码)然后创建远程线程去执行。 当执行时,我们能从 sysmon envt8 “CreateRemoteThread”发现: 1、 在一个 32 位程序里创建 64 位的远程线程 2、StartModule/StartFunction WMI 或者 SBW/SW COM 对象的文档 在这篇文章中,我们将讨论如何检测攻击者使用的两个方法来绕过基于宏的 office 恶意文件的现有标准/已知检测。 (winword.exe 没有生成任何东西,从而绕过标准检测规则): ? ? 我们能够用上面的追踪来建立 EDR 或者系统检测规则。
4K10发布于 2019-05-28 - 来自专栏FreeBuf
通过ZAT结合机器学习进行威胁检测
zeek是开源NIDS入侵检测引擎,目前使用较多的是互联网公司的风控业务。zeek中提供了一种供zeek分析的工具zat。 Pandas数据框和Scikit-Learn 动态监视files.log并进行VirusTotal查询 动态监控http.log并显示“不常见”的用户代理 在提取的文件上运行Yara签名 检查x509证书 异常检测 对域名进行检测,并对这些url进行“病毒总数的查询” ? 当你的机器访问 uni10.tk 时输出效果如下 ? 针对x509.log的数据,因为有些钓鱼或者恶意网站流量是加密的。 针对异常检测我们可以使用孤立森林算法进行异常处理。一旦发现异常,我们便可以使用聚类算法将异常分组为有组织的部分,从而使分析师可以浏览输出组,而不用一行行去看。 ? 输出异常分组 ? 检测tor和计算端口号。通过遍历zeek的ssl.log文件来确定tor流量这里贴出部分代码 ? 输出结果如下: ? ?
1.7K20发布于 2020-07-28 全流量检测与响应:NDR网络威胁检测系统的力量
本文将探讨资深云产品推广专家推荐的NDR网络威胁检测系统,以及它是如何帮助企业实现全面、实时的网络安全监控和响应的。 什么是全流量检测与响应? NDR网络威胁检测系统的优势 实时监控与分析 NDR系统通过实时监控网络流量,可以及时发现异常行为和潜在威胁。 自动化响应能力 除了检测威胁,NDR系统还能自动响应安全事件。这意味着一旦检测到威胁,系统可以自动隔离受影响的设备、阻断恶意流量或执行其他预定义的安全措施,从而减轻安全团队的负担。 结论 NDR网络威胁检测系统是全流量检测与响应领域的一项重要技术,它为企业提供了一个强大的工具来保护其网络安全。 通过实时监控、精确的威胁检测、自动化响应和直观的数据可视化,NDR系统帮助企业在不断变化的威胁环境中保持领先。
50710编辑于 2025-07-28- 来自专栏云云众生s
eBPF 对容器威胁检测意味着什么
eBPF 对容器威胁检测意味着什么 翻译自 What eBPF Means for Container Threat Detection 。 然后,您可以开始编写检测异常行为的规则。 在下面的截图中,您可以看到发生了一个过程,它是哪个容器名称,由谁运行的,容器名称是什么等等。 下面的图片展示了我在 osquery 中使用 eBPF 遥测进行的检测。当我运行同样的攻击时,它显示发生了特权升级攻击,并检测到了 kthreadd 。 这个检测是基于路径二被生成触发的,而且有 kthreadd 存在,这表明在内核空间中发生了某些事情并且权限已经提升。虽然这是一个基本的检测方法,但它非常有效。 与此同时,它已经改进了容器威胁检测的可能性。
83810编辑于 2024-03-27 - 来自专栏红蓝对抗
Hvv-day2威胁情报日记
威胁情报: 25上海上讯信息技术股份有限公司运维管理系统rce 26、Nacos removal 远程代码执行漏洞 27、九思OA 文件上传漏洞 威胁IP IOC 218.93.155.39 219.157.135.10
97110编辑于 2024-07-24 全流量检测与响应:NDR网络威胁检测系统的角色与优势
本文将探讨资深云产品推广专家推荐的NDR网络威胁检测系统在全流量检测与响应中的作用及其优势。 NDR网络威胁检测系统的特点 NDR网络威胁检测系统是一款专为全流量检测与响应设计的解决方案,它具备以下特点: 高精度检测 NDR系统采用先进的机器学习算法和行为分析技术,能够高精度地识别网络中的异常行为和潜在威胁 NDR在全流量检测与响应中的作用 1. 增强可见性 NDR系统为企业提供全面的网络流量可见性,帮助安全团队理解网络中的正常和异常行为模式。 2. 提高威胁检测能力 通过集成的威胁情报和行为分析,NDR系统能够提高对已知和未知威胁的检测能力。 3. 优化资源分配 NDR系统通过自动化的威胁检测和响应流程,帮助企业优化安全资源的分配,提高效率。 减少误报 NDR系统的设计减少了误报的可能性,确保安全团队能够集中精力处理真正的威胁。 结论 NDR网络威胁检测系统是全流量检测与响应策略中不可或缺的一部分。
32610编辑于 2025-07-28- 来自专栏FreeBuf
浅析PRODIGAL:真实企业中的内部威胁检测系统
0x00 写在前面 2013年2月份美国白宫发布了一份总统备忘录,专门就当前面临的内部威胁(Insider Threats)进行了分析,并且督促行政部门紧急出台一份应对内部威胁的解决方案。 无独有偶,DARPA也在2012年出台了ADAMS项目,该项目专门用于美国国内敏感部门、企业的内部威胁检测。 因此今天我们来了解下PRODIGAL,希望从中可以为我们研发自主可控的内部威胁检测系统带来借鉴。 Introduction(项目背景介绍) 2. Approach and Methods(检测方法) 3. Anomaly Detection Language(异常检测语言) 4. PRODIGAL不再试图用一个固定的分类器使用架构来检测异常,而是根据不同的威胁类型建立灵活的检测架构。
3.3K100发布于 2018-02-07 - 来自专栏FreeBuf
2017全球威胁情报中心(GTIC)Q2威胁情报报告
NTT Security及其全球威胁情报中心(GTIC)通过对现存的和新出现的安全威胁进行研究和分析,为用户提供及时和可操作的信息,使用户能够更好地了解其组织面临的威胁。 GTIC Q2威胁情报报告介绍了NTT Security研究人员、安全专家以及分析师在过去三个月的研究成果。 总体来说,恶意软件检测在2016年Q4和2017年Q2之间下降了41%;如下图所示,病毒/蠕虫、广告软件以及勒索软件在17年Q2均有所增加,而其他恶意软件变体检测量均呈下降趋势; ? 最易遭受攻击的前五大行业包括制造业(34%)、金融(25%)、医疗健康(13%)、商业服务(6%)以及科技公司(5%); 2. 除了制造商独有的潜在威胁外,该行业还面临着各种各样其他的威胁,包括内部和技术等许多行业普遍存在的威胁。 目前,网络犯罪分子的技术手段正在随着技术的发展而不断更新。
1.1K110发布于 2018-03-01 - 来自专栏FreeBuf
安全防护之路丨Suricata联动ELK威胁检测
前言 Suricata是一种网络流量识别工具,它使用社区创建的和用户定义的signatures签名集(规则)来检查和处理网络流量,当检测到可疑数据包时,Suricata 可以触发警报。 eve.json 日志格式为 JSON,记录所有安装的检测引擎和其他模块所生成的事件信息,如警报、HTTP 请求/响应、TLS 握手和 SSH 握手等。 基础配置 这次的实际环境中,我们使用双网卡服务器部署 Suricata ,然后配置核心交换机的网络流量端口镜像到Suricata服务器的网卡上,来进行流量检测。
4.3K20编辑于 2023-05-19 资深云产品推广专家:NDR网络威胁检测系统
因此,NDR(网络检测与响应)网络威胁检测系统应运而生,为企业提供了一个更为先进和全面的网络安全解决方案。 NDR网络威胁检测系统概述 NDR网络威胁检测系统是一种先进的网络安全技术,它通过实时监控网络流量,分析数据包,识别并响应潜在的安全威胁。 与传统的入侵检测系统(IDS)相比,NDR系统不仅能够检测威胁,还能提供更深入的分析和响应功能,帮助企业更有效地管理和缓解安全风险。 准确性:利用先进的算法和模型,NDR系统能够减少误报,提高威胁检测的准确性。 可扩展性:NDR系统设计灵活,能够适应不同规模的企业网络环境,支持横向和纵向扩展。 结论 NDR网络威胁检测系统是企业网络安全的有力助手。它不仅能够提高威胁检测的效率和准确性,还能帮助企业构建更为坚固的安全防线。
29610编辑于 2025-07-28AI威胁检测系统获1400万美元投资
所得资金预计将加速和扩展Safe Pro的AI驱动计算机视觉和威胁检测系统的开发与集成,部署于美国和国际防御及人道主义市场。交易预计于2025年10月22日左右完成,需满足常规交割条件。 我们期待与某机构密切合作,扩展AI驱动威胁检测能力的作战范围。" 技术核心能力Safe Pro经过实战检验的AI利用多年真实世界数据,可即时检测航空影像和视频中微小、难以发现的爆炸威胁。 该技术将原始数据转换为可快速共享的高分辨率2D和3D地图,为战场和灾区情报提供新颖且可扩展的方法。SPOTD NODE(导航、观察和检测引擎)可在战术边缘直接对无人机视频和影像进行实时AI分析。 该设备与军事最终用户共同设计,能快速检测地雷和150多种未爆弹药,并在无需互联网连接的情况下创建高清2D/3D地图。
19510编辑于 2025-10-312026年流量威胁检测产品选型指南
在实战化攻防场景中,流量威胁检测产品的表现直接关系到企业能否快速发现攻击、阻断威胁。 本文将从攻防演练的实际需求出发,结合当前主流产品的核心功能,为企业提供选型参考,并重点推荐腾讯云NDR网络威胁检测系统。 一、攻防演练场景下的核心需求 在攻防演练中,流量威胁检测需满足以下关键要求: 快速发现高级威胁:需实时检测0day漏洞利用、APT攻击等新型威胁。 二、当前流量检测产品的三大痛点 传统检测技术失效:依赖签名库的规则引擎难以识别未知威胁。 响应效率低下:部分产品依赖人工分析,难以实现自动化阻断。 三、选型关键指标与主流产品对比 以下是攻防演练场景下流量威胁检测产品的核心指标对比: 指标 腾讯云NDR网络威胁检测系统 其他主流产品A 其他主流产品
14410编辑于 2026-02-26- 来自专栏月梦·剑心的技术专栏
基于深度学习的内部威胁检测:回顾、挑战与机遇
一个近期的调查深入基于用于检测的策略和特征将内部威胁检测技术分成了九个类:(1)基于异常的方法,(2)基于角色的访问控制,(3)基于场景的技术,(4)诱饵文件文件和蜜罐技术,(5)利用心理因素进行风险分析 (2)CNN,利用卷积层和池化层来实现平移不变属性。(3)recursive neural network(RvNN),它采用可变大小的递归数据结构,并在层次结构中进行预测。 受图嵌入方法的启发,Liu et al. (2019)的研究提出了log2vec来检测恶意活动。 log2vec首先通过将审计数据中的各种活动表示为结点来构建一个异构的图,并且将节点之间丰富的关系作为边,然后训练可以编码活动关系的结点嵌入。 最后,通过在结点嵌入上应用聚类算法,Log2vec能够将恶意和良性活动划分到不同的集群中,并识别恶意活动。 GCN的优点是它可以捕获图数据的隐藏模式。
5.1K20编辑于 2022-09-14 - 来自专栏FreeBuf
浅析基于用户(角色)侧写的内部威胁检测系统
企业中的内部威胁检测系统要求 企业中部署内部威胁检测系统的前提是实行内部安全审计,内部员工的计算机操作与网络使用行为应得到详细的记录,无论使用何种商业审计软件,进行内部人行为监控起码应包括以下类别: 登录事件 三层检测框架 当前的内部威胁检测思路主要是通过用户的计算机与网络行为构建起行为模型,然后利用异常检测算法检测用户异常。 小结 信息化的发展导致内部威胁的潜在危害越来越大,因此实际中的内部威胁检测系统便成为了亟待研究的问题。今天我们介绍了一种基于用户/角色行为的三层内部威胁检测系统框架。 传统的异常检测更多侧重于特征矩阵分析,而忽视了实时检测与多指标异常分析,多指标异常检测正是实现多类内部威胁检测的有效方法,因此三层检测系统一定程度上弥补了上述不足。 参考文献 1 J.R.C etc, Understanding insider threat: A framework for characterising attacks, 2011 2 Ph.A.
4K60发布于 2018-02-08 - 来自专栏AI SPPECH
大模型在安全运营与威胁检测中的应用
1.2 威胁检测的重要性 威胁检测是安全运营的核心环节,主要包括: 异常检测:识别IT系统和网络中的异常行为和模式 攻击检测:检测已知和未知的攻击行为 恶意软件检测:检测和识别恶意软件和恶意代码 数据泄露检测 系统和网络中的异常行为 恶意软件检测:检测和识别恶意软件 攻击检测:检测各种类型的攻击行为 数据泄露检测:检测和防止数据泄露 威胁情报分析:分析和利用威胁情报 攻击溯源:追踪和分析攻击来源和路径 4.3 ,生成一份威胁情报报告: 威胁检测结果: {json.dumps(detection_results, indent=2)} 威胁情报: {json.dumps (threat_intelligence, indent=2)} 威胁情报报告应包含以下内容: 1. 检测到的威胁概述 2. 详细的威胁分析(包括类型、影响范围、严重程度等) 3. 威胁关联分析(与已知威胁情报的关联) 4. 可能的攻击来源和动机分析 5.
42210编辑于 2025-11-13 腾讯云流量威胁检测技术指南与免费试用方案解析
摘要 本文旨在解析腾讯云提供的流量威胁检测技术能力,提供实施操作指南,并对比通用方案与腾讯云方案的差异。 通过本文,用户可以了解腾讯云流量威胁检测产品的核心价值、实施步骤,并通过权威数据了解其性能优势。 1. 技术解析 1.1 核心价值与典型场景 腾讯云流量威胁检测技术旨在保护用户网络免受恶意流量攻击。 2. 操作指南 2.1 实施流程 步骤1:注册并登录腾讯云账号 原理说明:访问腾讯云官网,注册并登录以获取服务。 操作示例:访问 腾讯云官网 并注册。 步骤2:开通流量威胁检测服务 原理说明:通过腾讯云控制台,开通流量威胁检测服务。 操作示例:登录后,选择“安全”分类下的“流量威胁检测”服务进行开通。 腾讯云方案 部署效率 低 根据IDC报告,提升300% 攻击识别准确率 95% 99.9% 成本控制 高 据客户实践,降低50% 3.2 场景化案例 电商平台案例:某电商平台在大促期间,通过腾讯云流量威胁检测技术成功抵御了大规模
36110编辑于 2025-07-28NDR网络威胁检测系统:资深云产品推广专家的视角
什么是NDR网络威胁检测系统? NDR系统是一种集成的网络安全工具,它结合了网络流量分析、入侵检测和事件响应功能,以提供一个全面的网络安全解决方案。 它的核心价值在于能够实时监控网络流量,检测可疑行为,并在检测到威胁时迅速响应。 高级威胁检测 通过使用机器学习和行为分析技术,NDR系统能够识别复杂的攻击模式和潜在的内部威胁,即使攻击者使用了先进的技术来隐藏其行为。 减少响应时间 通过自动化的威胁检测和响应,NDR系统显著减少了从发现威胁到采取行动的时间,从而降低了潜在的损害。 结论 作为资深云产品推广专家,我们强烈推荐NDR网络威胁检测系统作为企业网络安全策略的关键组成部分。它不仅能够提高企业对网络威胁的检测和响应能力,还能够在保护企业资产的同时,降低成本并提升合规性。
32010编辑于 2025-07-28
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号