- ข้อความ
- ประวัติศาสตร์
AbstractThe manual forensics invest
Abstract
The manual forensics investigation of security incidents is an opaque process that involves the collection and correlation of diverse evidence. In this work we first conduct a complex experiment to expand our understanding of forensics analysis processes. During a period of 4 weeks, we systematically investigated 200 detected security incidents about compromised hosts within a large operational network. We used data from four commonly used security sources, namely Snort alerts, reconnaissance and vulnerability scanners, blacklists, and a search engine, to manually investigate these incidents. Based on our experiment, we first evaluate the (complementary) utility of the four security data sources and surprisingly find that the search engine provided useful evidence for diagnosing many more incidents than more traditional security sources, i.e., blacklists, reconnaissance, and vulnerability reports. Based on our validation, we then identify and make publicly available a list of 165 good Snort signatures, i.e., signatures that were effective in identifying validated malware without producing false positives. In addition, we analyze the characteristics of good signatures and identify strong correlations between different signature features and their effectiveness, i.e., the number of validated incidents in which a good signature is identified. Based on our experiment, we finally introduce an IDS signature quality metric that can be exploited by security specialists to evaluate the available rulesets, prioritize the generated alerts, and facilitate the forensics analysis processes. We apply our metric to characterize the most popular Snort rulesets. Our analysis of signatures is useful not only for configuring Snort but als for establishing best practices and for teaching how to write new IDS signatures.
The manual forensics investigation of security incidents is an opaque process that involves the collection and correlation of diverse evidence. In this work we first conduct a complex experiment to expand our understanding of forensics analysis processes. During a period of 4 weeks, we systematically investigated 200 detected security incidents about compromised hosts within a large operational network. We used data from four commonly used security sources, namely Snort alerts, reconnaissance and vulnerability scanners, blacklists, and a search engine, to manually investigate these incidents. Based on our experiment, we first evaluate the (complementary) utility of the four security data sources and surprisingly find that the search engine provided useful evidence for diagnosing many more incidents than more traditional security sources, i.e., blacklists, reconnaissance, and vulnerability reports. Based on our validation, we then identify and make publicly available a list of 165 good Snort signatures, i.e., signatures that were effective in identifying validated malware without producing false positives. In addition, we analyze the characteristics of good signatures and identify strong correlations between different signature features and their effectiveness, i.e., the number of validated incidents in which a good signature is identified. Based on our experiment, we finally introduce an IDS signature quality metric that can be exploited by security specialists to evaluate the available rulesets, prioritize the generated alerts, and facilitate the forensics analysis processes. We apply our metric to characterize the most popular Snort rulesets. Our analysis of signatures is useful not only for configuring Snort but als for establishing best practices and for teaching how to write new IDS signatures.
0/5000
บทคัดย่อการสอบสวนด้วยตนเองนิติของปัญหาด้านความปลอดภัยมีกระบวนการทึบแสงที่เกี่ยวข้องกับคอลเลกชันและความสัมพันธ์ของหลักฐานที่หลากหลาย ในงานนี้ เราต้องทำทดลองซับซ้อนขยายเราเข้าใจกระบวนการวิเคราะห์นิติ ช่วง 4 สัปดาห์ เราเป็นระบบตรวจสอบ 200 ความปลอดภัยตรวจพบปัญหาเกี่ยวกับโฮสต์ถูกโจมตีในเครือข่ายการดำเนินงานขนาดใหญ่ เราใช้ข้อมูลจากแหล่งความปลอดภัยที่ใช้กันทั่วไป 4 คือ Snort แจ้งเตือน สแกนเนอร์มารวมกันและช่องโหว่ blacklists และ โปรแกรมค้นหา การตรวจสอบเหตุการณ์เหล่านี้ด้วยตนเอง เราขึ้นอยู่กับการทดลองของเรา ก่อน ประเมินโปรแกรมอรรถประโยชน์ (เสริม) ของแหล่งข้อมูลความปลอดภัยทั้งสี่ และจู่ ๆ พบว่า กูเกิลได้ให้หลักฐานที่เป็นประโยชน์ในการวินิจฉัยปัญหามากมากกว่ามากกว่าความปลอดภัยแหล่งที่มา เช่น blacklists มารวมกัน และรายงานช่องโหว่ ตามตรวจสอบเรา เราระบุ แล้วเผยทำรายการ 165 ดี Snort ลายเซ็น เช่น ลายเซ็นที่มีประสิทธิภาพในการระบุมัลแวร์ตรวจสอบความถูกไม่มีการผลิตทำงานผิดพลาดไม่ นอกจากนี้ เราวิเคราะห์ลักษณะของลายเซ็นที่ดี และระบุความสัมพันธ์ที่แข็งแกร่งระหว่างคุณลักษณะของลายเซ็นที่แตกต่างกัน และประสิทธิภาพ เช่น จำนวนตรวจสอบเหตุการณ์ซึ่งระบุลายเซ็นดี ตามการทดลองของเรา เราก็แนะนำวัดคุณภาพลายเซ็นรหัสที่สามารถนำไปรักษาความปลอดภัยผู้เชี่ยวชาญประเมิน rulesets ว่าง จัดลำดับความสำคัญของการแจ้งเตือนที่สร้างขึ้น และช่วยในการวิเคราะห์กระบวนการนิติ การ เราใช้ของวัดต้องกำหนดลักษณะ rulesets Snort นิยมมากที่สุด วิเคราะห์ลายเซ็นของเรามีประโยชน์ไม่เพียงแต่ สำหรับการกำหนดค่า Snort แต่ยังกำหนดวิธีปฏิบัติ และ การสอนวิธีการเขียนลายเซ็นรหัสใหม่
การแปล กรุณารอสักครู่..
บทคัดย่อการสืบสวนนิติคู่มือของเหตุการณ์การรักษาความปลอดภัยเป็นกระบวนการที่ทึบแสงที่เกี่ยวข้องกับการเก็บรวบรวมและความสัมพันธ์ของหลักฐานที่มีความหลากหลาย
ในงานนี้เป็นครั้งแรกที่เราดำเนินการทดลองที่ซับซ้อนในการขยายความเข้าใจของเรานิติกระบวนการวิเคราะห์ ในช่วงระยะเวลา 4 สัปดาห์เรามีระบบการรักษาความปลอดภัยตรวจสอบเหตุการณ์ที่เกิดขึ้นเกี่ยวกับการตรวจพบ 200 ที่ถูกบุกรุกโฮสต์ภายในเครือข่ายการดำเนินงานที่มีขนาดใหญ่ เราใช้ข้อมูลจากสี่ที่ใช้กันทั่วไปแหล่งที่มาของการรักษาความปลอดภัยคือการแจ้งเตือน Snort ลาดตระเวนและสแกนเนอร์ช่องโหว่บัญชีดำและเครื่องมือค้นหาด้วยตนเองตรวจสอบเหตุการณ์ที่เกิดขึ้นเหล่านี้ ขึ้นอยู่กับการทดลองของเราครั้งแรกที่เราประเมิน (เสริม) ยูทิลิตี้ของแหล่งข้อมูลที่สี่การรักษาความปลอดภัยและน่าแปลกใจที่พบว่าเครื่องมือค้นหาให้หลักฐานที่มีประโยชน์สำหรับการวินิจฉัยเหตุการณ์อื่น ๆ อีกมากมายกว่าแหล่งการรักษาความปลอดภัยแบบดั้งเดิมมากขึ้นเช่นบัญชีดำลาดตระเวนและรายงานช่องโหว่ ขึ้นอยู่กับการตรวจสอบของเราเราแล้วระบุและให้เปิดเผยต่อสาธารณชนรายการ 165 ลายเซ็น Snort ที่ดีคือลายเซ็นที่มีประสิทธิภาพในการระบุมัลแวร์โดยไม่ต้องผ่านการตรวจสอบการผลิตบวกเท็จ นอกจากนี้เราวิเคราะห์ลักษณะของลายเซ็นที่ดีและระบุความสัมพันธ์ที่แข็งแกร่งระหว่างคุณลักษณะลายเซ็นที่แตกต่างกันและประสิทธิภาพของพวกเขาคือจำนวนของเหตุการณ์ที่เกิดขึ้นในการที่ผ่านการตรวจสอบลายเซ็นที่ดีมีการระบุ ขึ้นอยู่กับการทดลองของเราในที่สุดเราก็แนะนำลายเซ็น IDS ตัวชี้วัดที่มีคุณภาพที่สามารถใช้ประโยชน์โดยผู้เชี่ยวชาญการรักษาความปลอดภัยในการประเมิน rulesets ที่มีลำดับความสำคัญการแจ้งเตือนที่สร้างขึ้นและอำนวยความสะดวกในกระบวนการวิเคราะห์นิติ เราใช้ตัวชี้วัดของเราที่จะอธิบายลักษณะความนิยมมากที่สุด Snort rulesets การวิเคราะห์ลายเซ็นของเราจะเป็นประโยชน์ไม่เพียง แต่สำหรับการกำหนดค่า Snort แต่ทางการสำหรับการสร้างและการปฏิบัติที่ดีที่สุดสำหรับการเรียนการสอนวิธีการเขียนลายเซ็นใหม่ IDS
ในงานนี้เป็นครั้งแรกที่เราดำเนินการทดลองที่ซับซ้อนในการขยายความเข้าใจของเรานิติกระบวนการวิเคราะห์ ในช่วงระยะเวลา 4 สัปดาห์เรามีระบบการรักษาความปลอดภัยตรวจสอบเหตุการณ์ที่เกิดขึ้นเกี่ยวกับการตรวจพบ 200 ที่ถูกบุกรุกโฮสต์ภายในเครือข่ายการดำเนินงานที่มีขนาดใหญ่ เราใช้ข้อมูลจากสี่ที่ใช้กันทั่วไปแหล่งที่มาของการรักษาความปลอดภัยคือการแจ้งเตือน Snort ลาดตระเวนและสแกนเนอร์ช่องโหว่บัญชีดำและเครื่องมือค้นหาด้วยตนเองตรวจสอบเหตุการณ์ที่เกิดขึ้นเหล่านี้ ขึ้นอยู่กับการทดลองของเราครั้งแรกที่เราประเมิน (เสริม) ยูทิลิตี้ของแหล่งข้อมูลที่สี่การรักษาความปลอดภัยและน่าแปลกใจที่พบว่าเครื่องมือค้นหาให้หลักฐานที่มีประโยชน์สำหรับการวินิจฉัยเหตุการณ์อื่น ๆ อีกมากมายกว่าแหล่งการรักษาความปลอดภัยแบบดั้งเดิมมากขึ้นเช่นบัญชีดำลาดตระเวนและรายงานช่องโหว่ ขึ้นอยู่กับการตรวจสอบของเราเราแล้วระบุและให้เปิดเผยต่อสาธารณชนรายการ 165 ลายเซ็น Snort ที่ดีคือลายเซ็นที่มีประสิทธิภาพในการระบุมัลแวร์โดยไม่ต้องผ่านการตรวจสอบการผลิตบวกเท็จ นอกจากนี้เราวิเคราะห์ลักษณะของลายเซ็นที่ดีและระบุความสัมพันธ์ที่แข็งแกร่งระหว่างคุณลักษณะลายเซ็นที่แตกต่างกันและประสิทธิภาพของพวกเขาคือจำนวนของเหตุการณ์ที่เกิดขึ้นในการที่ผ่านการตรวจสอบลายเซ็นที่ดีมีการระบุ ขึ้นอยู่กับการทดลองของเราในที่สุดเราก็แนะนำลายเซ็น IDS ตัวชี้วัดที่มีคุณภาพที่สามารถใช้ประโยชน์โดยผู้เชี่ยวชาญการรักษาความปลอดภัยในการประเมิน rulesets ที่มีลำดับความสำคัญการแจ้งเตือนที่สร้างขึ้นและอำนวยความสะดวกในกระบวนการวิเคราะห์นิติ เราใช้ตัวชี้วัดของเราที่จะอธิบายลักษณะความนิยมมากที่สุด Snort rulesets การวิเคราะห์ลายเซ็นของเราจะเป็นประโยชน์ไม่เพียง แต่สำหรับการกำหนดค่า Snort แต่ทางการสำหรับการสร้างและการปฏิบัติที่ดีที่สุดสำหรับการเรียนการสอนวิธีการเขียนลายเซ็นใหม่ IDS
การแปล กรุณารอสักครู่..
นามธรรม
คู่มือนิติเวชสอบสวนเหตุการณ์การรักษาความปลอดภัยเป็นเพียงกระบวนการที่เกี่ยวข้องกับคอลเลกชัน และความสัมพันธ์ของหลักฐานที่หลากหลาย ในงานนี้เรานำการทดลองที่ซับซ้อนเพื่อขยายความเข้าใจของเราในกระบวนการของการวิเคราะห์นิติเวช ในช่วงระยะเวลา 4 สัปดาห์เรามีระบบตรวจสอบการบุกรุกโฮส 200 ตรวจพบเหตุการณ์เกี่ยวกับภายในเครือข่ายปฏิบัติการขนาดใหญ่ เราใช้ข้อมูลจากสี่ที่ใช้กันทั่วไปการรักษาความปลอดภัยแหล่งที่มา คือ เทศบาลเมือง แจ้งเตือน การลาดตระเวน และช่องโหว่สแกนเนอร์ แบล๊กลิสต์ และการค้นหาด้วยตนเองตรวจสอบเหตุการณ์เหล่านี้ จากการทดลองของเราเราประเมิน ( เสริม ) ประโยชน์ของการรักษาความปลอดภัยข้อมูล และจู่ ๆสี่แหล่งค้นหาที่เครื่องมือค้นหาให้หลักฐานที่มีประโยชน์ในการวินิจฉัยมากขึ้นกว่าเดิมอีกหลายเหตุการณ์การรักษาความปลอดภัยแหล่งที่มา เช่น แบล๊กลิสต์ สอดแนม และรายงานช่องโหว่ . จากการตรวจสอบของเรา เราก็สามารถระบุและให้สาธารณชนรายการ 165 ดี Snort ลายเซ็นคือลายเซ็นที่มีประสิทธิภาพในการระบุการตรวจสอบมัลแวร์โดยการผลิตการแจ้งเท็จ นอกจากนี้ เราวิเคราะห์ลักษณะของลายเซ็นที่ดีและความสัมพันธ์ที่แข็งแกร่งระหว่างคุณสมบัติที่ระบุลายเซ็นที่แตกต่างกันและประสิทธิผลของพวกเขา เช่น จำนวนของการตรวจสอบเหตุการณ์ที่ลายเซ็นดี ระบุ จากการทดลองของเราในที่สุดเราก็แนะนำรหัสมีลายเซ็นคุณภาพตัวชี้วัดที่สามารถใช้โดยผู้เชี่ยวชาญด้านความปลอดภัยเพื่อประเมิน rulesets ใช้ได้ เน้นสร้างการแจ้งเตือน และอำนวยความสะดวกในกระบวนการนิติเวชวิเคราะห์ เราใช้ของเราเป็นลักษณะของ rulesets Snort ที่ได้รับความนิยมมากที่สุดการวิเคราะห์ของเราของลายเซ็นจะเป็นประโยชน์ไม่เพียง แต่สำหรับการทำเสียงขึ้นจมูก แต่ถ้าจัดตั้งปฏิบัติที่ดีที่สุดและสอนวิธีการเขียนลายเซ็น
ID ใหม่
คู่มือนิติเวชสอบสวนเหตุการณ์การรักษาความปลอดภัยเป็นเพียงกระบวนการที่เกี่ยวข้องกับคอลเลกชัน และความสัมพันธ์ของหลักฐานที่หลากหลาย ในงานนี้เรานำการทดลองที่ซับซ้อนเพื่อขยายความเข้าใจของเราในกระบวนการของการวิเคราะห์นิติเวช ในช่วงระยะเวลา 4 สัปดาห์เรามีระบบตรวจสอบการบุกรุกโฮส 200 ตรวจพบเหตุการณ์เกี่ยวกับภายในเครือข่ายปฏิบัติการขนาดใหญ่ เราใช้ข้อมูลจากสี่ที่ใช้กันทั่วไปการรักษาความปลอดภัยแหล่งที่มา คือ เทศบาลเมือง แจ้งเตือน การลาดตระเวน และช่องโหว่สแกนเนอร์ แบล๊กลิสต์ และการค้นหาด้วยตนเองตรวจสอบเหตุการณ์เหล่านี้ จากการทดลองของเราเราประเมิน ( เสริม ) ประโยชน์ของการรักษาความปลอดภัยข้อมูล และจู่ ๆสี่แหล่งค้นหาที่เครื่องมือค้นหาให้หลักฐานที่มีประโยชน์ในการวินิจฉัยมากขึ้นกว่าเดิมอีกหลายเหตุการณ์การรักษาความปลอดภัยแหล่งที่มา เช่น แบล๊กลิสต์ สอดแนม และรายงานช่องโหว่ . จากการตรวจสอบของเรา เราก็สามารถระบุและให้สาธารณชนรายการ 165 ดี Snort ลายเซ็นคือลายเซ็นที่มีประสิทธิภาพในการระบุการตรวจสอบมัลแวร์โดยการผลิตการแจ้งเท็จ นอกจากนี้ เราวิเคราะห์ลักษณะของลายเซ็นที่ดีและความสัมพันธ์ที่แข็งแกร่งระหว่างคุณสมบัติที่ระบุลายเซ็นที่แตกต่างกันและประสิทธิผลของพวกเขา เช่น จำนวนของการตรวจสอบเหตุการณ์ที่ลายเซ็นดี ระบุ จากการทดลองของเราในที่สุดเราก็แนะนำรหัสมีลายเซ็นคุณภาพตัวชี้วัดที่สามารถใช้โดยผู้เชี่ยวชาญด้านความปลอดภัยเพื่อประเมิน rulesets ใช้ได้ เน้นสร้างการแจ้งเตือน และอำนวยความสะดวกในกระบวนการนิติเวชวิเคราะห์ เราใช้ของเราเป็นลักษณะของ rulesets Snort ที่ได้รับความนิยมมากที่สุดการวิเคราะห์ของเราของลายเซ็นจะเป็นประโยชน์ไม่เพียง แต่สำหรับการทำเสียงขึ้นจมูก แต่ถ้าจัดตั้งปฏิบัติที่ดีที่สุดและสอนวิธีการเขียนลายเซ็น
ID ใหม่
การแปล กรุณารอสักครู่..
ภาษาอื่น ๆ
การสนับสนุนเครื่องมือแปลภาษา: กรีก, กันนาดา, กาลิเชียน, คลิงออน, คอร์สิกา, คาซัค, คาตาลัน, คินยารวันดา, คีร์กิซ, คุชราต, จอร์เจีย, จีน, จีนดั้งเดิม, ชวา, ชิเชวา, ซามัว, ซีบัวโน, ซุนดา, ซูลู, ญี่ปุ่น, ดัตช์, ตรวจหาภาษา, ตุรกี, ทมิฬ, ทาจิก, ทาทาร์, นอร์เวย์, บอสเนีย, บัลแกเรีย, บาสก์, ปัญจาป, ฝรั่งเศส, พาชตู, ฟริเชียน, ฟินแลนด์, ฟิลิปปินส์, ภาษาอินโดนีเซี, มองโกเลีย, มัลทีส, มาซีโดเนีย, มาราฐี, มาลากาซี, มาลายาลัม, มาเลย์, ม้ง, ยิดดิช, ยูเครน, รัสเซีย, ละติน, ลักเซมเบิร์ก, ลัตเวีย, ลาว, ลิทัวเนีย, สวาฮิลี, สวีเดน, สิงหล, สินธี, สเปน, สโลวัก, สโลวีเนีย, อังกฤษ, อัมฮาริก, อาร์เซอร์ไบจัน, อาร์เมเนีย, อาหรับ, อิกโบ, อิตาลี, อุยกูร์, อุสเบกิสถาน, อูรดู, ฮังการี, ฮัวซา, ฮาวาย, ฮินดี, ฮีบรู, เกลิกสกอต, เกาหลี, เขมร, เคิร์ด, เช็ก, เซอร์เบียน, เซโซโท, เดนมาร์ก, เตลูกู, เติร์กเมน, เนปาล, เบงกอล, เบลารุส, เปอร์เซีย, เมารี, เมียนมา (พม่า), เยอรมัน, เวลส์, เวียดนาม, เอสเปอแรนโต, เอสโทเนีย, เฮติครีโอล, แอฟริกา, แอลเบเนีย, โคซา, โครเอเชีย, โชนา, โซมาลี, โปรตุเกส, โปแลนด์, โยรูบา, โรมาเนีย, โอเดีย (โอริยา), ไทย, ไอซ์แลนด์, ไอร์แลนด์, การแปลภาษา.
- ฝนกำลังตก
- มอเตอร์แผงวงจร
- the greatest
- Now we want something that could control
- Has this protocol been reviewed by anoth
- จีนและไต้หวันไม่มีไฟล์ข้อมูลสำหรับโหลดรา
- ภรรยาของคุณ
- Now we want something that could control
- ค่าตกแต่งสำนักงาน
- ไม่แพร่หลายแหล่งพลังงานเนื่องจากพลังงานช
- Bill Date
- The green trees, the soft sunlight of th
- เมือวานฉันเศร้ามาก
- เธอสมัครงานไว้กี่แห่งแล้ว
- อัยการ
- ใช่ฉันรู้ เพื่อนฉันหลายคนก็อยู่ที่นั่น
- แม่บ้าน
- Well
- ผมจะแปลทุกประโยคที่คุณส่งมา
- เธอรู้สึกหดหู่เมื่อมีใครมาว่าเธอ
- คู่
- เหตุผลที่นักเรียนได้ถูกปฏิเสธวีซ่าเป็นคร
- ฝนกำลังตก
- คุณโอเคไหม
