Based on our experiment, we describ

Based on our experiment, we describe a number of lessons we learned from the validation of security incidents. In particular, we make three contributions. First, we describe how to leverage four different security data sources to remotely diagnose live infections in a large production network. Second, to delineate the manual investigation process, we evaluate the (complementary) utility of the four data sources. Surprisingly, we find that a search engine was one of the most useful sources in deciding if a suspicious host was infected, providing useful evidence that led to a positive diagnosis in 54.5% of the cases. Reconnaissance and vulnerability reports were useful in fewer cases, but helped diagnose more sophisticated malware, whereas blacklists were useful only for 10.5% of the incidents. In addition, we report which combinations of
sources helped diagnose different types ofmalware. Third, we make available a list of 165 Snort signatures that were effective in detecting validated malware without producing false positives. We analyze the differences between good and regular Snort signatures and observe that good signatures tend to use offsets, regular expressions, fixed packet sizes, and specific destination ports much more often than regular signatures. This shows that unlike common best practices for keeping IDS signatures simple, complexity in the case of signature writing is a virtue. In addition, we find that different signature features exhibit strong correlations with the effectiveness of a good signature, i.e., the number of validated incidents it detected. Based on this, we introduce a novel signature quality metric that can be used by security specialists to evaluate the available rulesets, prioritize the generated alerts, and facilitate the forensics analysis processes. Finally, we apply our
metric to the most popular signature rulesets, i.e., to the Vulnerability Research Team, the Emerging Threats [1], the Bleeding Edge [2], and the SRI Bothunter [3] rulesets, and highlight their differences.

0/5000

จาก: -

เป็น: -

ผลลัพธ์ (ไทย) 1: [สำเนา]

คัดลอก!

Based on our experiment, we describe a number of lessons we learned from the validation of security incidents. In particular, we make three contributions. First, we describe how to leverage four different security data sources to remotely diagnose live infections in a large production network. Second, to delineate the manual investigation process, we evaluate the (complementary) utility of the four data sources. Surprisingly, we find that a search engine was one of the most useful sources in deciding if a suspicious host was infected, providing useful evidence that led to a positive diagnosis in 54.5% of the cases. Reconnaissance and vulnerability reports were useful in fewer cases, but helped diagnose more sophisticated malware, whereas blacklists were useful only for 10.5% of the incidents. In addition, we report which combinations ofsources helped diagnose different types ofmalware. Third, we make available a list of 165 Snort signatures that were effective in detecting validated malware without producing false positives. We analyze the differences between good and regular Snort signatures and observe that good signatures tend to use offsets, regular expressions, fixed packet sizes, and specific destination ports much more often than regular signatures. This shows that unlike common best practices for keeping IDS signatures simple, complexity in the case of signature writing is a virtue. In addition, we find that different signature features exhibit strong correlations with the effectiveness of a good signature, i.e., the number of validated incidents it detected. Based on this, we introduce a novel signature quality metric that can be used by security specialists to evaluate the available rulesets, prioritize the generated alerts, and facilitate the forensics analysis processes. Finally, we apply ourmetric to the most popular signature rulesets, i.e., to the Vulnerability Research Team, the Emerging Threats [1], the Bleeding Edge [2], and the SRI Bothunter [3] rulesets, and highlight their differences.

การแปล กรุณารอสักครู่..

ผลลัพธ์ (ไทย) 2:[สำเนา]

คัดลอก!

ขึ้นอยู่กับการทดลองของเราเราจะอธิบายจำนวนบทเรียนที่เราได้เรียนรู้จากการตรวจสอบเหตุการณ์ที่เกิดขึ้นของการรักษาความปลอดภัย โดยเฉพาะอย่างยิ่งเราทำผลงานสาม ครั้งแรกที่เราอธิบายถึงวิธีการใช้ประโยชน์จากแหล่งข้อมูลที่สี่การรักษาความปลอดภัยที่แตกต่างกันจากระยะไกลในการวินิจฉัยการติดเชื้อที่อาศัยอยู่ในเครือข่ายการผลิตขนาดใหญ่ ประการที่สองเพื่อวิเคราะห์กระบวนการสอบสวนคู่มือเราประเมิน (เสริม) ยูทิลิตี้ในสี่ของแหล่งข้อมูล น่าแปลกที่เราจะพบว่าเครื่องมือค้นหาเป็นหนึ่งในแหล่งที่มีประโยชน์มากที่สุดในการตัดสินใจถ้าโฮสต์ที่น่าสงสัยติดเชื้อให้หลักฐานที่เป็นประโยชน์ที่จะนำไปสู่การวินิจฉัยในเชิงบวกใน 54.5% ของกรณีที่ การสำรวจและรายงานช่องโหว่เป็นประโยชน์ในกรณีที่น้อยกว่า แต่ก็ช่วยให้การวินิจฉัยมัลแวร์ที่ซับซ้อนมากขึ้นในขณะที่บัญชีดำเป็นประโยชน์สำหรับ 10.5% ของเหตุการณ์ที่เกิดขึ้น นอกจากนี้เรารายงานซึ่งการรวมกันของแหล่งที่มาช่วยในการวินิจฉัยที่แตกต่างกัน ofmalware
ประการที่สามเราจัดให้มีรายการ 165 ลายเซ็น Snort ที่มีประสิทธิภาพในการตรวจสอบมัลแวร์โดยไม่ต้องผ่านการตรวจสอบการผลิตบวกเท็จ เราวิเคราะห์ความแตกต่างระหว่างลายเซ็น Snort ที่ดีและปกติและสังเกตว่าลายเซ็นที่ดีมักจะใช้ชดเชยการแสดงออกปกติขนาดแพ็คเก็ตถาวรและพอร์ตปลายทางที่เฉพาะเจาะจงมากบ่อยกว่าปกติลายเซ็น นี้แสดงให้เห็นว่าแตกต่างจากปฏิบัติที่ดีที่สุดร่วมกันในการรักษาลายเซ็น IDS ง่ายซับซ้อนในกรณีของการเขียนลายเซ็นที่มีคุณธรรม นอกจากนี้เรายังพบว่ามีคุณสมบัติที่แตกต่างกันลายเซ็นแสดงความสัมพันธ์ที่แข็งแกร่งกับประสิทธิภาพของลายเซ็นที่ดีเช่นจำนวนของเหตุการณ์ที่เกิดขึ้นตรวจสอบตรวจพบ จากนี้เราแนะนำตัวชี้วัดคุณภาพลายเซ็นใหม่ที่สามารถนำมาใช้โดยผู้เชี่ยวชาญในการประเมินการรักษาความปลอดภัยที่มีอยู่ rulesets จัดลำดับความสำคัญการแจ้งเตือนที่สร้างขึ้นและอำนวยความสะดวกในกระบวนการวิเคราะห์นิติ สุดท้ายเราใช้ของเราตัวชี้วัดที่จะ rulesets ลายเซ็นที่นิยมมากที่สุดคือช่องโหว่เพื่อทีมวิจัยที่ภัยคุกคามที่เกิดขึ้นใหม่ [1], ขอบเลือด [2] และศรี Bothunter [3] rulesets และเน้นความแตกต่างของพวกเขา

การแปล กรุณารอสักครู่..

ผลลัพธ์ (ไทย) 3:[สำเนา]

คัดลอก!

จากการทดลองของเรา เราอธิบายตัวเลขของบทเรียนที่เราได้เรียนรู้จากการตรวจสอบเหตุการณ์การรักษาความปลอดภัย โดยเฉพาะเราให้ 3 ผลงาน แรกเราจะอธิบายวิธีการใช้ประโยชน์จากแหล่งข้อมูลที่แตกต่างกันสี่การรักษาความปลอดภัยจากระยะไกลวินิจฉัยเชื้ออยู่ในเครือข่ายการผลิตขนาดใหญ่ ประการที่สอง เพื่ออธิบายกระบวนการสอบสวนด้วยตนเองเราประเมิน ( เสริม ) สาธารณูปโภคจากสี่แหล่งข้อมูล . จู่ ๆ เราพบว่า เครื่องมือค้นหาเป็นหนึ่งในแหล่งข้อมูลที่มีประโยชน์มากที่สุดในการตัดสินใจถ้าโฮสต์สงสัยติดเชื้อ การให้ประโยชน์หลักฐานที่นำไปสู่การวินิจฉัยในเชิงบวกในการรักษาของผู้ป่วย รายงานการสำรวจและช่องโหว่มีประโยชน์ในกรณีน้อยกว่า แต่ช่วยวินิจฉัยที่ซับซ้อนมากขึ้นมัลแวร์ในขณะที่แบล๊กลิสต์ มีประโยชน์เพียง 10.5 % ของเหตุการณ์ นอกจากนี้ เรารายงานซึ่งการรวมกันของ
แหล่งช่วยวินิจฉัย ofmalware ชนิดต่าง ๆ สาม เราให้บริการรายชื่อ 165 Snort ลายเซ็นที่ประสิทธิภาพในการตรวจจับมัลแวร์โดยการผลิตการตรวจสอบ แจ้งเท็จเราวิเคราะห์ความแตกต่างระหว่างดีและปกติ Snort ลายเซ็นและสังเกตว่า ลายเซ็นต์ที่ดี มักจะใช้ offsets , นิพจน์ปกติ , การแก้ไขแพ็คเก็ตขนาด และจุดหมายปลายทางที่เฉพาะเจาะจงมากของพอร์ตบ่อยกว่าปกติ นี้แสดงให้เห็นว่าแตกต่างจากวิธีการทั่วไปสำหรับการรักษารหัสลายเซ็นง่ายๆ ความซับซ้อน ในกรณีของการเขียนลายเซ็นคือคุณธรรม นอกจากนี้เราพบว่า มีความสัมพันธ์ที่แข็งแกร่งกับลายเซ็นที่แตกต่างกันมีประสิทธิผลดี ลายเซ็น คือ จำนวนของการตรวจสอบเหตุการณ์ที่ตรวจพบ . ตามนี้ เราแนะนำนิยายลายเซ็นคุณภาพตัวชี้วัดที่สามารถใช้โดยผู้เชี่ยวชาญด้านความปลอดภัยเพื่อประเมิน rulesets ใช้ได้ เน้นสร้างการแจ้งเตือน และอำนวยความสะดวกในกระบวนการนิติเวชวิเคราะห์ ในที่สุดเราใช้ของเรา
เมตริกกับลายเซ็น rulesets ที่ได้รับความนิยมมากที่สุด ได้แก่ กลุ่มทีมวิจัย , ภัยคุกคามเกิดใหม่ [ 1 ] , เลือดออกที่ขอบ [ 2 ] และศรี bothunter [ 3 ] rulesets
และเน้นความแตกต่างของ

การแปล กรุณารอสักครู่..

ภาษาอื่น ๆ

การสนับสนุนเครื่องมือแปลภาษา: กรีก, กันนาดา, กาลิเชียน, คลิงออน, คอร์สิกา, คาซัค, คาตาลัน, คินยารวันดา, คีร์กิซ, คุชราต, จอร์เจีย, จีน, จีนดั้งเดิม, ชวา, ชิเชวา, ซามัว, ซีบัวโน, ซุนดา, ซูลู, ญี่ปุ่น, ดัตช์, ตรวจหาภาษา, ตุรกี, ทมิฬ, ทาจิก, ทาทาร์, นอร์เวย์, บอสเนีย, บัลแกเรีย, บาสก์, ปัญจาป, ฝรั่งเศส, พาชตู, ฟริเชียน, ฟินแลนด์, ฟิลิปปินส์, ภาษาอินโดนีเซี, มองโกเลีย, มัลทีส, มาซีโดเนีย, มาราฐี, มาลากาซี, มาลายาลัม, มาเลย์, ม้ง, ยิดดิช, ยูเครน, รัสเซีย, ละติน, ลักเซมเบิร์ก, ลัตเวีย, ลาว, ลิทัวเนีย, สวาฮิลี, สวีเดน, สิงหล, สินธี, สเปน, สโลวัก, สโลวีเนีย, อังกฤษ, อัมฮาริก, อาร์เซอร์ไบจัน, อาร์เมเนีย, อาหรับ, อิกโบ, อิตาลี, อุยกูร์, อุสเบกิสถาน, อูรดู, ฮังการี, ฮัวซา, ฮาวาย, ฮินดี, ฮีบรู, เกลิกสกอต, เกาหลี, เขมร, เคิร์ด, เช็ก, เซอร์เบียน, เซโซโท, เดนมาร์ก, เตลูกู, เติร์กเมน, เนปาล, เบงกอล, เบลารุส, เปอร์เซีย, เมารี, เมียนมา (พม่า), เยอรมัน, เวลส์, เวียดนาม, เอสเปอแรนโต, เอสโทเนีย, เฮติครีโอล, แอฟริกา, แอลเบเนีย, โคซา, โครเอเชีย, โชนา, โซมาลี, โปรตุเกส, โปแลนด์, โยรูบา, โรมาเนีย, โอเดีย (โอริยา), ไทย, ไอซ์แลนด์, ไอร์แลนด์, การแปลภาษา.