CIS2019-基于图数据的云上BOT团伙深度感知（23页）.pdf

编号：83969

PDF 23页 675.94KB 下载积分：VIP专享

下载报告请您先登录！

CIS2019-基于图数据的云上BOT团伙深度感知（23页）.pdf

1、基于图数据的云上BOT团伙深度感知郭伟博阿里云智能高级安全工程师关于我花名：桑铎，任职于阿里云智能云平台安全团队负责阿里云云盾的基础安全防御能力建设，为客户提供免费的基础安全防御。目标是防止阿里云上出现大规模的批量入侵，如勒索、蠕虫病毒等。个人微信:LoerPe 案例安全产品团队推送预警：大量客户的主机上出现相同告警防御侧应急入侵排查防御规则检查防御能力升级分析蜜罐流量攻击日志分析样本逆向分析沙箱分析 CheckList 更新防御策略客户侧应急病毒清理入侵排查漏洞修复应急报告病毒文件/进程清理 Rootkit清理无文件对抗.分析安全日志漏洞扫描.修复

2、漏洞应急报告困境数据庞杂分析耗时高安全对抗需要专业经验结果遗漏漏洞修复不全面根本问题 Who？How？What？能力需求对象感知攻击感知行为感知 BOT团伙感知发展趋势历史攻击方式主机行为网络行为新攻击方式解决思路主机进程日志网络层检测主机层检测图模型告警依赖关系行为关联关系 IOCs 关联关系 Bot识别 BOT团伙情报运营业务价值进程图构建恶意shell 进程日志进程图标签传递进程IOC提取 http:/159.89.156.190/.y/pty8 图唯一性标签 IOC 网络行为关联中控：115.159.189.241

3、 ddos检测挖矿检测中控检测中控网络行为标签从多种网络侧检测告警中，抽取关联实体，构成进程图中的行为属性。进程行为模式识别 Rootkit写入添加后门 Rootkit 无文件攻击 Rootkit 进程行为标签构建四十余类的恶意进程行为模式，识别主机层攻击技术。攻击方式识别-文本相似度文本相似度分析攻击方式进程行为标签 CVE-2017-9841 攻击方式识别-进程链回溯 SSH爆破攻击方式标签数据问题数据缺失主机层对Agent的资源限制和短时进程导致数据采集率存在问题数据规模庞大，存在大量重复信息几十亿点和边解决方法主机A 主机B 完整信息图基于图唯一性

4、标签，对图进行压缩合并，将缺失信息的图修复为一张完整的图，数据量降到百万以内情报运营 Bulehero IOC:http:/fid.hognoob.se/download.exe 进程模式：无文件攻击未知 IOC:http:/wiu.fxxxxxxk.me/download.exe 进程模式：扫描139端口 Bulehero情报情报运营依托于阿里云上部署的超大规模蜜网，实现了对云端BOT威胁的全面监控。防御侧业务价值入侵排查防御规则检查防御能力升级自动分析蜜罐流量进行未知攻击方式检测 CheckList 更新防御策略 BOT团伙情报客户侧业务价值病毒清理入侵排查漏洞修复应急报告病毒一键清理 CheckList 修复漏洞应急报告 BOT团伙情报基于top Bot的清理工具其他基于阿里云对云端BOT团伙的全面感知能力，我们及时识别并预警了多起热门BOT利用最新漏洞传播的事件，基于长期的监测数据发布了针对挖矿僵尸网的趋势报告。威胁快报|Solr dataimport成挖矿团伙新型利用方式威胁快报|Bulehero挖矿蠕虫升级，PhpStudy后门漏洞加入武器库威胁预警|Solr velocity模板注入远程命令执行已加入watchbog武器库生存还是毁灭？一文读懂挖矿木马的战略战术

友情提示

1、下载报告失败解决办法
2、PDF文件下载后，可能会被浏览器默认打开，此种情况可以点击浏览器菜单，保存网页到桌面，就可以正常下载了。
3、本站不支持迅雷下载，请使用电脑自带的IE浏览器，或者360浏览器、谷歌浏览器下载即可。
4、本站报告下载后的文档和图纸-无水印,预览文档经过压缩，下载后原文更清晰。

本文（CIS2019-基于图数据的云上BOT团伙深度感知（23页）.pdf）为本站（小时候）主动上传，三个皮匠报告文库仅提供信息存储空间，仅对用户上传内容的表现方式做保护处理，对上载内容本身不做任何修改或编辑。若此文所含内容侵犯了您的版权或隐私，请立即通知三个皮匠报告文库（点击联系客服），我们立即给予删除！

温馨提示：如果因为网速或其他原因下载失败请重新下载，重复下载不扣分。