RSA大会相关文章资料收集整理

=Start=

缘由:

收集整理一下RSA大会相关的资料以及一些评论文章,方便后续阅读学习。

正文:

参考解答:

=

=

参考链接:
  • 如上

=END=

声明: 除非注明,ixyzero.com文章均为原创,转载请以链接形式标明本文地址,谢谢!
https://ixyzero.com/blog/archives/4351.html

《RSA大会相关文章资料收集整理》上有1条评论

  1. 智能威胁分析之图数据构建
    https://mp.weixin.qq.com/s/15Avw3KTnmGIftxYhK34mQ
    https://paper.tuisec.win/detail/e5fcc36a070d1d6

    RSAC大会的热度似乎持续了一整个北京的春天,直播、新闻、技术解读、研讨活动让人应接不暇。从RSA大会官网上查询今年“Better.”主题的由来和背景,发现会议主题的设计虽然从字面似乎是表达“去年做的不错,今年再接再厉”的客观评价,不过更多的,是大会对安全行业“不忘初心”的鼓励。“最重要的是,永远不要忘记我们来到这里的根本原因:帮助确保一个更安全的世界,这样其他人就可以着手让世界变得更美好。” 看到这里,读者脑海中是否也回荡起Michael Jackson的经典歌曲“Heal the world, make it a better place…”闲言少叙,作为网络安全数据应用的研究者,常常会思考的一个问题,是怎么才叫安全智能,怎么才能让网络安全更智能(better)?
    基于深度神经网络的AI技术在许多领域有所突破,而在网络安全中的应用总体来看仍然是有限的落地。当前阶段,期望通过层级的深度神经元网络,端到端的识别、关联和响应威胁事件,可以说是有些不切实际。算法专家周涛给出了AI在威胁检测中难落地的几点总结:

    1.机器学习擅长发现正常模式,但入侵是异常行为
    2.有大数据并不等于有大量标注的数据,无监督学习方法的精度有限
    3.威胁检测是一个开放问题,难以定义损失函数
    4.对结果可解释性的追求

    一、数据层次划分模型,DIKW
    二、数据组织形式,图模型
    三、构建智能威胁分析能力的关键数据图

    当前,大规模多维度网络安全大数据的接入,给网络威胁事件的处理造就了全新机会。同时,在有限可用资源的条件下,对安全数据源的甄选和统一处理也显得尤为重要。不同于DIKW的数据分层模型和CyGraph的安全/任务知识栈结构,从网络攻防的对抗本质出发,以给定的网络空间为战场,以保护资产(包括实体资产和虚拟资产)并打击威胁主体为目的,智能化的威胁分析应该收集并构建以下维度的关键数据图:

    环境数据图:如资产、资产脆弱性、文件信息、用户信息、IT系统架构信息等
    行为数据图:如网络侧检测告警、终端侧检测告警、文件分析日志、应用日志、蜜罐日志、沙箱日志等
    情报数据图:各类外部威胁情报
    知识数据图:各类知识库(如ATT&CK,CAPEC,CWE)等

    四、 总结
    针对网络空间智能威胁分析技术的研究,目的不是设计一个如何炫目的概念,也难以实现一个放之四海皆可用的AI安全模型。回归到攻防的战场上,我们希望也能够得到的,是一个统一的、能吞吐海量异构多源数据,快速检测、推理、响应、追踪威胁事件的高度自动化平台及工具链,辅助人进行安全的运营、研究和对抗。本文从实践经验出发,基于对网络安全数据分析中常用数据源的再分类,提出了构建智能安全平台的图模型所需的环境、行为、情报、知识四张关键数据图,以支撑“智能化”安全研究工作的进一步开展。

    当然,一个可用的、可拓展的图数据架构,不仅需要数据处理、存储框架等基础设施的支持,更重要的,是要保证不同种类的数据图内部和数据图之间的数据关联和交互。这一方面需要对图结构模式层的结构化的概念模板——本体库进行系统的设计与优化,包括实体种类、实体关系和实体属性等;另一方面,需要使用统一、可拓展的规范和语言(如STIX、MAEC、信息安全技术网络安全威胁信息格式规范等)对图结构数据层中的实例进行描述,并通过统一接口完成数据交互。此外,不同数据层数据之间的关联需要标准的命名、分类体系,例如,需要将企业定制化的IOC检测告警对应到知识库的指定知识节点上。这些工作本身就对传统的网络安全架构和实现提出了挑战。最后,从安全智能生态构建的角度,需要从数据、技术、架构、法规等更多的维度针对智慧安全技术建立行业标准,以迎接安全大数据的深入分享与交互,实现真正的行业智慧。

发表评论

电子邮件地址不会被公开。 必填项已用*标注