- 综合排序
- 最热优先
- 最新优先
- 来自专栏月梦·剑心的技术专栏
内部威胁检测数据集分类办法
本文探讨内部威胁检测数据集分类办法。 春恋慕 月梦的技术博客 内部威胁检测数据集可以分为五类:Traitor-Based、Masquerader-Based、Miscellaneous Malicious、Substituted Masqueraders
1.1K10编辑于 2022-09-14 腾讯云威胁情报产品:威胁日志检测能力解析与操作指南
摘要: 本文旨在解析威胁情报产品中具备威胁日志检测能力的技术价值,并提供基于腾讯云产品的操作指南。我们将讨论威胁日志检测技术的核心价值、挑战,并展示如何利用腾讯云产品实现高效的威胁检测与响应。 技术解析 核心价值与典型场景: 威胁情报产品中的威胁日志检测能力是指能够实时监控和分析系统日志,以识别潜在的安全威胁。这项技术在网络安全领域尤为重要,尤其是在防御高级持续性威胁(APT)和内部威胁时。 实时性要求:安全威胁可能在毫秒级别发生,对日志检测系统的实时性要求极高。 误报与漏报:如何平衡误报率和漏报率,确保既不漏过真实威胁,也不产生过多误报。 日志分析: 原理说明:对存储的日志数据进行实时分析,以识别安全威胁。 操作示例:使用腾讯云的ELK Stack服务进行日志分析,设置告警规则,当检测到可疑行为时自动触发告警。 (来源:腾讯云客户案例) 通过本文的技术指南,用户可以深入了解威胁日志检测技术,并利用腾讯云产品构建高效、安全的企业级威胁检测与响应体系。
35810编辑于 2025-08-04流量威胁检测产品大比拼:谁家检测效果最强?
NDR 阿里云 5大引擎关联分析(4-7层攻击特征+云端精准IOC+恶意文件沙箱+行为分析+暴露分析) 支持380+威胁检测模型,覆盖12个攻击阶段全链路检测 未明确 IDC《中国公有云服务提供商安全技术能力评估 》最高分 华为FireHunter6000&云沙箱服务 华为 ADE高级威胁检测引擎,4重纵深检测 支持50+文件类型检测,未知威胁检测率95% 99.5%以上 Tolly多层勒索防护解决方案认证 绿盟综合威胁探针 (NSFOCUS UTS) 绿盟科技 AI驱动威胁检测引擎(集成昇腾芯片加速) 全流量威胁检测探针,专注实战化场景 未明确 与英特尔深度合作,加密流量检测性能显著提升 奇安信天眼威胁检测系统(NTD) 核心优势二:深度检测能力 传统检测手法对高级威胁基本无效,而腾讯云NDR大量应用人工智能、机器学习、行为分析、统计模型等高级检测方法来识别网络中潜伏的威胁。 系统检测效果明显优于传统检测方法,能够有效识别高级威胁和未知威胁。 核心优势三:五大检测利器协同作战 腾讯云NDR集成了AI算法、威胁情报、哈勃沙箱、规则引擎和全流量溯源五大领先技术。
27210编辑于 2026-02-25- 来自专栏红蓝对抗
Hvv-day4威胁情报日记
漏洞情报: 8、电子印章电子合同签署系统存在组合漏洞 威胁IP 3741f842.okokip.com.cname.app-cdn.net wdeab01.com domaine-dezat.wine
78710编辑于 2024-07-26 - 来自专栏信安之路
利用 RDPWRAP 做 RDP 劫持的威胁检测
使用 SYSMON 检测 CACTUSTORCH CACTUSTORCH 是一种 JavaScript 和 VBScript 的 shellcode 生成器。 WMI 或者 SBW/SW COM 对象的文档 在这篇文章中,我们将讨论如何检测攻击者使用的两个方法来绕过基于宏的 office 恶意文件的现有标准/已知检测。 (winword.exe 没有生成任何东西,从而绕过标准检测规则): ? ? 在 macro 执行过程中,winword.exe 会载入 4 个 WMI 相关模块,这些模块并不常用,所以可以用来检测这种技术。 我们能够用上面的追踪来建立 EDR 或者系统检测规则。
4K10发布于 2019-05-28 - 来自专栏FreeBuf
通过ZAT结合机器学习进行威胁检测
zeek是开源NIDS入侵检测引擎,目前使用较多的是互联网公司的风控业务。zeek中提供了一种供zeek分析的工具zat。 Pandas数据框和Scikit-Learn 动态监视files.log并进行VirusTotal查询 动态监控http.log并显示“不常见”的用户代理 在提取的文件上运行Yara签名 检查x509证书 异常检测 对域名进行检测,并对这些url进行“病毒总数的查询” ? 当你的机器访问 uni10.tk 时输出效果如下 ? 针对x509.log的数据,因为有些钓鱼或者恶意网站流量是加密的。 针对异常检测我们可以使用孤立森林算法进行异常处理。一旦发现异常,我们便可以使用聚类算法将异常分组为有组织的部分,从而使分析师可以浏览输出组,而不用一行行去看。 ? 输出异常分组 ? 检测tor和计算端口号。通过遍历zeek的ssl.log文件来确定tor流量这里贴出部分代码 ? 输出结果如下: ? ?
1.7K20发布于 2020-07-28 全流量检测与响应:NDR网络威胁检测系统的力量
本文将探讨资深云产品推广专家推荐的NDR网络威胁检测系统,以及它是如何帮助企业实现全面、实时的网络安全监控和响应的。 什么是全流量检测与响应? NDR网络威胁检测系统的优势 实时监控与分析 NDR系统通过实时监控网络流量,可以及时发现异常行为和潜在威胁。 自动化响应能力 除了检测威胁,NDR系统还能自动响应安全事件。这意味着一旦检测到威胁,系统可以自动隔离受影响的设备、阻断恶意流量或执行其他预定义的安全措施,从而减轻安全团队的负担。 结论 NDR网络威胁检测系统是全流量检测与响应领域的一项重要技术,它为企业提供了一个强大的工具来保护其网络安全。 通过实时监控、精确的威胁检测、自动化响应和直观的数据可视化,NDR系统帮助企业在不断变化的威胁环境中保持领先。
50710编辑于 2025-07-28- 来自专栏云云众生s
eBPF 对容器威胁检测意味着什么
eBPF 对容器威胁检测意味着什么 翻译自 What eBPF Means for Container Threat Detection 。 这篇文章是 4 月 18 日至 21 日在阿姆斯特丹举行的 KubeCon + CloudNativeCon Europe 2023 预览系列文章之一。 下面的图片展示了我在 osquery 中使用 eBPF 遥测进行的检测。当我运行同样的攻击时,它显示发生了特权升级攻击,并检测到了 kthreadd 。 这个检测是基于路径二被生成触发的,而且有 kthreadd 存在,这表明在内核空间中发生了某些事情并且权限已经提升。虽然这是一个基本的检测方法,但它非常有效。 与此同时,它已经改进了容器威胁检测的可能性。
83810编辑于 2024-03-27 - 来自专栏SDNLAB
NFV网络的4大安全威胁
4、恶意软件可能会在虚拟机和主机之间轻松传播 在当今的安全方案中,大部分都是针对外围应用的安全方案。例如,有防火墙或其他一些类型的高级保护,来控制进出运营商网络的内容。 然而,这种技术迁移带来了一些威胁和安全问题。习惯于非常封闭和受保护环境的运营商和其他服务提供商现在必须考虑如何保护在传统上分离的控制平面和数据平面之间钻孔的开放式NFV基础设施。
1.4K90发布于 2018-03-30 全流量检测与响应:NDR网络威胁检测系统的角色与优势
本文将探讨资深云产品推广专家推荐的NDR网络威胁检测系统在全流量检测与响应中的作用及其优势。 快速响应:在检测到威胁时,能够迅速采取措施以防止或减轻损害。 NDR网络威胁检测系统的特点 NDR网络威胁检测系统是一款专为全流量检测与响应设计的解决方案,它具备以下特点: 高精度检测 NDR系统采用先进的机器学习算法和行为分析技术,能够高精度地识别网络中的异常行为和潜在威胁 提高威胁检测能力 通过集成的威胁情报和行为分析,NDR系统能够提高对已知和未知威胁的检测能力。 3. 优化资源分配 NDR系统通过自动化的威胁检测和响应流程,帮助企业优化安全资源的分配,提高效率。 4. 减少误报 NDR系统的设计减少了误报的可能性,确保安全团队能够集中精力处理真正的威胁。 结论 NDR网络威胁检测系统是全流量检测与响应策略中不可或缺的一部分。
32610编辑于 2025-07-28- 来自专栏FreeBuf
浅析PRODIGAL:真实企业中的内部威胁检测系统
无独有偶,DARPA也在2012年出台了ADAMS项目,该项目专门用于美国国内敏感部门、企业的内部威胁检测。 因此今天我们来了解下PRODIGAL,希望从中可以为我们研发自主可控的内部威胁检测系统带来借鉴。 Approach and Methods(检测方法) 3. Anomaly Detection Language(异常检测语言) 4. PRODIGAL不再试图用一个固定的分类器使用架构来检测异常,而是根据不同的威胁类型建立灵活的检测架构。 PRODIGAL已经在美国的部分涉密企业中部署,在运行中不断改进优化和丰富攻击特征语言数据库,相信PRODIGAL会成为将来第一款部署的强大内部威胁检测系统。
3.3K100发布于 2018-02-07 - 来自专栏腾讯安全
腾讯安全发布《2022年DDoS攻击威胁报告》:DDoS威胁4年持续增长
随着全球数字化蓬勃发展,互联网的应用范围不断扩大,并逐渐普及到各行各业的生产、管理、运营等方面,网络设备可用带宽伴随应用需求的增加而增加,方便了企业业务开展的同时也扩大了安全威胁面,引来黑产的觊觎。 DDoS攻击作为最常见的恶意威胁之一,在2022年依旧“活跃”,攻击数量和峰值皆呈现上涨趋势,影响企业安全稳定。 一图了解DDoS威胁七大趋势关注腾讯安全(公众号TXAQ2019)回复2022年DDoS攻击威胁报告获取原报告攻击总体呈连增态势Tb级攻击达历史之最2021年大型扫段攻击的出现使得攻击次数处于高位,并呈现出持续增长的趋势 ,但2022年DDoS攻击次数同比2021年还增长了8%,成为DDoS攻击次数最多的一年,可见黑产威胁不容小觑。 从行业来看,游戏行业作为DDoS攻击的高发地,在2022年依旧被黑产威胁所困扰,攻击占比在全行业中位居第一,相比2021年也有大幅提升。
1.1K20编辑于 2023-01-16 - 来自专栏FreeBuf
安全防护之路丨Suricata联动ELK威胁检测
前言 Suricata是一种网络流量识别工具,它使用社区创建的和用户定义的signatures签名集(规则)来检查和处理网络流量,当检测到可疑数据包时,Suricata 可以触发警报。 eve.json 日志格式为 JSON,记录所有安装的检测引擎和其他模块所生成的事件信息,如警报、HTTP 请求/响应、TLS 握手和 SSH 握手等。 基础配置 这次的实际环境中,我们使用双网卡服务器部署 Suricata ,然后配置核心交换机的网络流量端口镜像到Suricata服务器的网卡上,来进行流量检测。 这里计划使用4核CPU 和16GB 的内存,硬盘1T。 准备一台双网卡的机器,一块网卡用于提供Web服务和后台管理,一块网卡用于开启混杂模式收集流量进行监测。
4.3K20编辑于 2023-05-19 资深云产品推广专家:NDR网络威胁检测系统
因此,NDR(网络检测与响应)网络威胁检测系统应运而生,为企业提供了一个更为先进和全面的网络安全解决方案。 NDR网络威胁检测系统概述 NDR网络威胁检测系统是一种先进的网络安全技术,它通过实时监控网络流量,分析数据包,识别并响应潜在的安全威胁。 与传统的入侵检测系统(IDS)相比,NDR系统不仅能够检测威胁,还能提供更深入的分析和响应功能,帮助企业更有效地管理和缓解安全风险。 准确性:利用先进的算法和模型,NDR系统能够减少误报,提高威胁检测的准确性。 可扩展性:NDR系统设计灵活,能够适应不同规模的企业网络环境,支持横向和纵向扩展。 结论 NDR网络威胁检测系统是企业网络安全的有力助手。它不仅能够提高威胁检测的效率和准确性,还能帮助企业构建更为坚固的安全防线。
29610编辑于 2025-07-28AI威胁检测系统获1400万美元投资
所得资金预计将加速和扩展Safe Pro的AI驱动计算机视觉和威胁检测系统的开发与集成,部署于美国和国际防御及人道主义市场。交易预计于2025年10月22日左右完成,需满足常规交割条件。 我们期待与某机构密切合作,扩展AI驱动威胁检测能力的作战范围。" 技术核心能力Safe Pro经过实战检验的AI利用多年真实世界数据,可即时检测航空影像和视频中微小、难以发现的爆炸威胁。 SPOTD NODE(导航、观察和检测引擎)可在战术边缘直接对无人机视频和影像进行实时AI分析。 该设备与军事最终用户共同设计,能快速检测地雷和150多种未爆弹药,并在无需互联网连接的情况下创建高清2D/3D地图。
19510编辑于 2025-10-312026年流量威胁检测产品选型指南
在实战化攻防场景中,流量威胁检测产品的表现直接关系到企业能否快速发现攻击、阻断威胁。 一、攻防演练场景下的核心需求 在攻防演练中,流量威胁检测需满足以下关键要求: 快速发现高级威胁:需实时检测0day漏洞利用、APT攻击等新型威胁。 二、当前流量检测产品的三大痛点 传统检测技术失效:依赖签名库的规则引擎难以识别未知威胁。 响应效率低下:部分产品依赖人工分析,难以实现自动化阻断。 三、选型关键指标与主流产品对比 以下是攻防演练场景下流量威胁检测产品的核心指标对比: 指标 腾讯云NDR网络威胁检测系统 其他主流产品A 其他主流产品 IPv6双栈流量检测 仅支持IPv4 IPv6部分兼容 四、腾讯云NDR的核心优势 深度威胁检测能力
14410编辑于 2026-02-26- 来自专栏月梦·剑心的技术专栏
基于深度学习的内部威胁检测:回顾、挑战与机遇
一个近期的调查深入基于用于检测的策略和特征将内部威胁检测技术分成了九个类:(1)基于异常的方法,(2)基于角色的访问控制,(3)基于场景的技术,(4)诱饵文件文件和蜜罐技术,(5)利用心理因素进行风险分析 在第三部分,我们介绍了常用的用于内部威胁检测的数据集,解释了为什么内部威胁检测需要深度学习,并对近年来基于深度学习的内部威胁检测的研究工作进行了综述。 (4)RNN,它维护一个内部隐藏状态以捕获内部信息。由于深度学习领域的快速发展,每年都有许多新的深度结构被提出。读者可以参考最近的调查,例如..... (4)用户CDE1846登录到另一个用户的机器,搜索感兴趣的文件,发送电子邮件到他们的家中邮箱。 表4显示了上述5个内部人员的统计数据,包括活动、恶意活动、会话和恶意会话的数量。综上所述,内部威胁检测是一项大海捞针的任务,所以手工定义特征或使用浅层机器学习模型检测内部威胁通常是不可实现的。
5.1K20编辑于 2022-09-14 - 来自专栏FreeBuf
浅析基于用户(角色)侧写的内部威胁检测系统
企业中的内部威胁检测系统要求 企业中部署内部威胁检测系统的前提是实行内部安全审计,内部员工的计算机操作与网络使用行为应得到详细的记录,无论使用何种商业审计软件,进行内部人行为监控起码应包括以下类别: 登录事件 三层检测框架 当前的内部威胁检测思路主要是通过用户的计算机与网络行为构建起行为模型,然后利用异常检测算法检测用户异常。 通过上步数据解析之后,我们可以绘制出用户/角色的行为结构树,如图4: ? url=xQq5jDUd-rSKIFUOTLhGfLm3w6Me50QgO9ocp0Vkwz8Oa9BchgSA1-5LG-ELNreaf4QqHVuGS0x0lELHm4G_ 还是那句话,方法不重要, 小结 信息化的发展导致内部威胁的潜在危害越来越大,因此实际中的内部威胁检测系统便成为了亟待研究的问题。今天我们介绍了一种基于用户/角色行为的三层内部威胁检测系统框架。
4K60发布于 2018-02-08 - 来自专栏AI SPPECH
大模型在安全运营与威胁检测中的应用
1.2 威胁检测的重要性 威胁检测是安全运营的核心环节,主要包括: 异常检测:识别IT系统和网络中的异常行为和模式 攻击检测:检测已知和未知的攻击行为 恶意软件检测:检测和识别恶意软件和恶意代码 数据泄露检测 # 4. 评估整体的安全威胁态势 4. 提供综合的处理建议和优先级 5. 评估异常行为的风险等级 4. 识别可能的威胁活动或攻击模式 5. 提供详细的调查建议 6. 检测到的威胁概述 2. 详细的威胁分析(包括类型、影响范围、严重程度等) 3. 威胁关联分析(与已知威胁情报的关联) 4. 可能的攻击来源和动机分析 5.
42110编辑于 2025-11-13 腾讯云流量威胁检测技术指南与免费试用方案解析
摘要 本文旨在解析腾讯云提供的流量威胁检测技术能力,提供实施操作指南,并对比通用方案与腾讯云方案的差异。 通过本文,用户可以了解腾讯云流量威胁检测产品的核心价值、实施步骤,并通过权威数据了解其性能优势。 1. 技术解析 1.1 核心价值与典型场景 腾讯云流量威胁检测技术旨在保护用户网络免受恶意流量攻击。 步骤2:开通流量威胁检测服务 原理说明:通过腾讯云控制台,开通流量威胁检测服务。 操作示例:登录后,选择“安全”分类下的“流量威胁检测”服务进行开通。 步骤4:监控与响应 原理说明:实时监控流量,一旦检测到异常,自动或手动响应。 操作示例:使用“监控中心”查看实时数据,并根据需要调整策略。 腾讯云方案 部署效率 低 根据IDC报告,提升300% 攻击识别准确率 95% 99.9% 成本控制 高 据客户实践,降低50% 3.2 场景化案例 电商平台案例:某电商平台在大促期间,通过腾讯云流量威胁检测技术成功抵御了大规模
36110编辑于 2025-07-28
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号