- ข้อความ
- ประวัติศาสตร์
Based on our experiment, we describ
Based on our experiment, we describe a number of lessons we learned from the validation of security incidents. In particular, we make three contributions. First, we describe how to leverage four different security data sources to remotely diagnose live infections in a large production network. Second, to delineate the manual investigation process, we evaluate the (complementary) utility of the four data sources. Surprisingly, we find that a search engine was one of the most useful sources in deciding if a suspicious host was infected, providing useful evidence that led to a positive diagnosis in 54.5% of the cases. Reconnaissance and vulnerability reports were useful in fewer cases, but helped diagnose more sophisticated malware, whereas blacklists were useful only for 10.5% of the incidents. In addition, we report which combinations of
sources helped diagnose different types ofmalware. Third, we make available a list of 165 Snort signatures that were effective in detecting validated malware without producing false positives. We analyze the differences between good and regular Snort signatures and observe that good signatures tend to use offsets, regular expressions, fixed packet sizes, and specific destination ports much more often than regular signatures. This shows that unlike common best practices for keeping IDS signatures simple, complexity in the case of signature writing is a virtue. In addition, we find that different signature features exhibit strong correlations with the effectiveness of a good signature, i.e., the number of validated incidents it detected. Based on this, we introduce a novel signature quality metric that can be used by security specialists to evaluate the available rulesets, prioritize the generated alerts, and facilitate the forensics analysis processes. Finally, we apply our
metric to the most popular signature rulesets, i.e., to the Vulnerability Research Team, the Emerging Threats [1], the Bleeding Edge [2], and the SRI Bothunter [3] rulesets, and highlight their differences.
sources helped diagnose different types ofmalware. Third, we make available a list of 165 Snort signatures that were effective in detecting validated malware without producing false positives. We analyze the differences between good and regular Snort signatures and observe that good signatures tend to use offsets, regular expressions, fixed packet sizes, and specific destination ports much more often than regular signatures. This shows that unlike common best practices for keeping IDS signatures simple, complexity in the case of signature writing is a virtue. In addition, we find that different signature features exhibit strong correlations with the effectiveness of a good signature, i.e., the number of validated incidents it detected. Based on this, we introduce a novel signature quality metric that can be used by security specialists to evaluate the available rulesets, prioritize the generated alerts, and facilitate the forensics analysis processes. Finally, we apply our
metric to the most popular signature rulesets, i.e., to the Vulnerability Research Team, the Emerging Threats [1], the Bleeding Edge [2], and the SRI Bothunter [3] rulesets, and highlight their differences.
0/5000
ขึ้นอยู่กับการทดลองของเรา เราอธิบายจำนวนบทเรียนที่เราเรียนรู้จากการตรวจสอบปัญหาด้านความปลอดภัย โดยเฉพาะอย่างยิ่ง เราทำผลงาน 3 ครั้งแรก เราอธิบายถึงวิธีการใช้ประโยชน์จากแหล่งข้อมูลต่าง ๆ ความปลอดภัย 4 การวินิจฉัยการติดเชื้อที่อยู่ในเครือข่ายขนาดใหญ่ผลิตจากระยะไกล สอง เพื่อไปขั้นตอนการสืบสวนด้วยตนเอง เราประเมินโปรแกรมอรรถประโยชน์ (เสริม) ของแหล่งข้อมูล 4 จู่ ๆ เราพบว่า เครื่องมือค้นหาเป็นแหล่งประโยชน์มากที่สุดในการตัดสินใจว่า โฮสต์สงสัยถูกติด ให้หลักฐานมีประโยชน์ที่นำไปสู่การวินิจฉัยบวก 54.5% กรณี อย่างใดอย่างหนึ่ง รายงานมารวมกันและช่องโหว่ที่มีประโยชน์ในกรณีที่น้อยกว่า แต่ช่วยวินิจฉัยการมัลแวร์ที่มีความซับซ้อนมากขึ้น ขณะ blacklists มีประโยชน์สำหรับ 10.5% ของปัญหา นอกจากนี้ เรารายงานชุดที่แหล่งช่วยวินิจฉัยแตกต่างกัน ofmalware ที่สาม เราทำให้มีรายการของ 165 Snort ลายเซ็นที่มีประสิทธิภาพในการตรวจจับมัลแวร์ตรวจสอบความถูกไม่มีการผลิตทำงานผิดพลาดไม่ เราวิเคราะห์ความแตกต่างระหว่างดี และปกติ Snort เซ็น และสังเกตว่า ลายเซ็นที่ดีมักจะ ใช้ปรับค่า นิพจน์ทั่วไป ขนาดแพ็คเก็ตถาวร และพอร์ตปลายทางเฉพาะมากมักกว่าลายเซ็นปกติ แสดงว่า แตกต่างจากทั่วไปปฏิบัติการรักษารหัสลายเซ็นง่าย ความซับซ้อนในกรณีของการเขียนลายเซ็นเป็นคุณธรรมที่ นอกจากนี้ เราพบว่า คุณลักษณะของลายเซ็นที่แตกต่างแสดงความสัมพันธ์ที่แข็งแกร่ง มีประสิทธิภาพของลายเซ็นดี เช่น หมายเลขของเหตุการณ์ที่ตรวจได้ตรวจพบ เราตามนี้ แนะนำการวัดคุณภาพลายเซ็นนวนิยายที่สามารถใช้ โดยผู้เชี่ยวชาญด้านความปลอดภัยประเมิน rulesets ว่าง จัดลำดับความสำคัญของการแจ้งเตือนที่สร้างขึ้น และช่วยในการวิเคราะห์กระบวนการนิติ การ สุดท้าย เราใช้ของเราวัด rulesets ลายเซ็นนิยม เช่น ทีมวิจัยช่องโหว่ ภัยคุกคามเกิดขึ้น [1], ขอบเลือด [2], และ rulesets Bothunter ศรี [3] และเน้นความแตกต่างของพวกเขา
การแปล กรุณารอสักครู่..
ขึ้นอยู่กับการทดลองของเราเราจะอธิบายจำนวนบทเรียนที่เราได้เรียนรู้จากการตรวจสอบเหตุการณ์ที่เกิดขึ้นของการรักษาความปลอดภัย โดยเฉพาะอย่างยิ่งเราทำผลงานสาม ครั้งแรกที่เราอธิบายถึงวิธีการใช้ประโยชน์จากแหล่งข้อมูลที่สี่การรักษาความปลอดภัยที่แตกต่างกันจากระยะไกลในการวินิจฉัยการติดเชื้อที่อาศัยอยู่ในเครือข่ายการผลิตขนาดใหญ่ ประการที่สองเพื่อวิเคราะห์กระบวนการสอบสวนคู่มือเราประเมิน (เสริม) ยูทิลิตี้ในสี่ของแหล่งข้อมูล น่าแปลกที่เราจะพบว่าเครื่องมือค้นหาเป็นหนึ่งในแหล่งที่มีประโยชน์มากที่สุดในการตัดสินใจถ้าโฮสต์ที่น่าสงสัยติดเชื้อให้หลักฐานที่เป็นประโยชน์ที่จะนำไปสู่การวินิจฉัยในเชิงบวกใน 54.5% ของกรณีที่ การสำรวจและรายงานช่องโหว่เป็นประโยชน์ในกรณีที่น้อยกว่า แต่ก็ช่วยให้การวินิจฉัยมัลแวร์ที่ซับซ้อนมากขึ้นในขณะที่บัญชีดำเป็นประโยชน์สำหรับ 10.5% ของเหตุการณ์ที่เกิดขึ้น นอกจากนี้เรารายงานซึ่งการรวมกันของแหล่งที่มาช่วยในการวินิจฉัยที่แตกต่างกัน ofmalware
ประการที่สามเราจัดให้มีรายการ 165 ลายเซ็น Snort ที่มีประสิทธิภาพในการตรวจสอบมัลแวร์โดยไม่ต้องผ่านการตรวจสอบการผลิตบวกเท็จ เราวิเคราะห์ความแตกต่างระหว่างลายเซ็น Snort ที่ดีและปกติและสังเกตว่าลายเซ็นที่ดีมักจะใช้ชดเชยการแสดงออกปกติขนาดแพ็คเก็ตถาวรและพอร์ตปลายทางที่เฉพาะเจาะจงมากบ่อยกว่าปกติลายเซ็น นี้แสดงให้เห็นว่าแตกต่างจากปฏิบัติที่ดีที่สุดร่วมกันในการรักษาลายเซ็น IDS ง่ายซับซ้อนในกรณีของการเขียนลายเซ็นที่มีคุณธรรม นอกจากนี้เรายังพบว่ามีคุณสมบัติที่แตกต่างกันลายเซ็นแสดงความสัมพันธ์ที่แข็งแกร่งกับประสิทธิภาพของลายเซ็นที่ดีเช่นจำนวนของเหตุการณ์ที่เกิดขึ้นตรวจสอบตรวจพบ จากนี้เราแนะนำตัวชี้วัดคุณภาพลายเซ็นใหม่ที่สามารถนำมาใช้โดยผู้เชี่ยวชาญในการประเมินการรักษาความปลอดภัยที่มีอยู่ rulesets จัดลำดับความสำคัญการแจ้งเตือนที่สร้างขึ้นและอำนวยความสะดวกในกระบวนการวิเคราะห์นิติ สุดท้ายเราใช้ของเราตัวชี้วัดที่จะ rulesets ลายเซ็นที่นิยมมากที่สุดคือช่องโหว่เพื่อทีมวิจัยที่ภัยคุกคามที่เกิดขึ้นใหม่ [1], ขอบเลือด [2] และศรี Bothunter [3] rulesets และเน้นความแตกต่างของพวกเขา
ประการที่สามเราจัดให้มีรายการ 165 ลายเซ็น Snort ที่มีประสิทธิภาพในการตรวจสอบมัลแวร์โดยไม่ต้องผ่านการตรวจสอบการผลิตบวกเท็จ เราวิเคราะห์ความแตกต่างระหว่างลายเซ็น Snort ที่ดีและปกติและสังเกตว่าลายเซ็นที่ดีมักจะใช้ชดเชยการแสดงออกปกติขนาดแพ็คเก็ตถาวรและพอร์ตปลายทางที่เฉพาะเจาะจงมากบ่อยกว่าปกติลายเซ็น นี้แสดงให้เห็นว่าแตกต่างจากปฏิบัติที่ดีที่สุดร่วมกันในการรักษาลายเซ็น IDS ง่ายซับซ้อนในกรณีของการเขียนลายเซ็นที่มีคุณธรรม นอกจากนี้เรายังพบว่ามีคุณสมบัติที่แตกต่างกันลายเซ็นแสดงความสัมพันธ์ที่แข็งแกร่งกับประสิทธิภาพของลายเซ็นที่ดีเช่นจำนวนของเหตุการณ์ที่เกิดขึ้นตรวจสอบตรวจพบ จากนี้เราแนะนำตัวชี้วัดคุณภาพลายเซ็นใหม่ที่สามารถนำมาใช้โดยผู้เชี่ยวชาญในการประเมินการรักษาความปลอดภัยที่มีอยู่ rulesets จัดลำดับความสำคัญการแจ้งเตือนที่สร้างขึ้นและอำนวยความสะดวกในกระบวนการวิเคราะห์นิติ สุดท้ายเราใช้ของเราตัวชี้วัดที่จะ rulesets ลายเซ็นที่นิยมมากที่สุดคือช่องโหว่เพื่อทีมวิจัยที่ภัยคุกคามที่เกิดขึ้นใหม่ [1], ขอบเลือด [2] และศรี Bothunter [3] rulesets และเน้นความแตกต่างของพวกเขา
การแปล กรุณารอสักครู่..
จากการทดลองของเรา เราอธิบายตัวเลขของบทเรียนที่เราได้เรียนรู้จากการตรวจสอบเหตุการณ์การรักษาความปลอดภัย โดยเฉพาะเราให้ 3 ผลงาน แรกเราจะอธิบายวิธีการใช้ประโยชน์จากแหล่งข้อมูลที่แตกต่างกันสี่การรักษาความปลอดภัยจากระยะไกลวินิจฉัยเชื้ออยู่ในเครือข่ายการผลิตขนาดใหญ่ ประการที่สอง เพื่ออธิบายกระบวนการสอบสวนด้วยตนเองเราประเมิน ( เสริม ) สาธารณูปโภคจากสี่แหล่งข้อมูล . จู่ ๆ เราพบว่า เครื่องมือค้นหาเป็นหนึ่งในแหล่งข้อมูลที่มีประโยชน์มากที่สุดในการตัดสินใจถ้าโฮสต์สงสัยติดเชื้อ การให้ประโยชน์หลักฐานที่นำไปสู่การวินิจฉัยในเชิงบวกในการรักษาของผู้ป่วย รายงานการสำรวจและช่องโหว่มีประโยชน์ในกรณีน้อยกว่า แต่ช่วยวินิจฉัยที่ซับซ้อนมากขึ้นมัลแวร์ในขณะที่แบล๊กลิสต์ มีประโยชน์เพียง 10.5 % ของเหตุการณ์ นอกจากนี้ เรารายงานซึ่งการรวมกันของ
แหล่งช่วยวินิจฉัย ofmalware ชนิดต่าง ๆ สาม เราให้บริการรายชื่อ 165 Snort ลายเซ็นที่ประสิทธิภาพในการตรวจจับมัลแวร์โดยการผลิตการตรวจสอบ แจ้งเท็จเราวิเคราะห์ความแตกต่างระหว่างดีและปกติ Snort ลายเซ็นและสังเกตว่า ลายเซ็นต์ที่ดี มักจะใช้ offsets , นิพจน์ปกติ , การแก้ไขแพ็คเก็ตขนาด และจุดหมายปลายทางที่เฉพาะเจาะจงมากของพอร์ตบ่อยกว่าปกติ นี้แสดงให้เห็นว่าแตกต่างจากวิธีการทั่วไปสำหรับการรักษารหัสลายเซ็นง่ายๆ ความซับซ้อน ในกรณีของการเขียนลายเซ็นคือคุณธรรม นอกจากนี้เราพบว่า มีความสัมพันธ์ที่แข็งแกร่งกับลายเซ็นที่แตกต่างกันมีประสิทธิผลดี ลายเซ็น คือ จำนวนของการตรวจสอบเหตุการณ์ที่ตรวจพบ . ตามนี้ เราแนะนำนิยายลายเซ็นคุณภาพตัวชี้วัดที่สามารถใช้โดยผู้เชี่ยวชาญด้านความปลอดภัยเพื่อประเมิน rulesets ใช้ได้ เน้นสร้างการแจ้งเตือน และอำนวยความสะดวกในกระบวนการนิติเวชวิเคราะห์ ในที่สุดเราใช้ของเรา
เมตริกกับลายเซ็น rulesets ที่ได้รับความนิยมมากที่สุด ได้แก่ กลุ่มทีมวิจัย , ภัยคุกคามเกิดใหม่ [ 1 ] , เลือดออกที่ขอบ [ 2 ] และศรี bothunter [ 3 ] rulesets
และเน้นความแตกต่างของ
แหล่งช่วยวินิจฉัย ofmalware ชนิดต่าง ๆ สาม เราให้บริการรายชื่อ 165 Snort ลายเซ็นที่ประสิทธิภาพในการตรวจจับมัลแวร์โดยการผลิตการตรวจสอบ แจ้งเท็จเราวิเคราะห์ความแตกต่างระหว่างดีและปกติ Snort ลายเซ็นและสังเกตว่า ลายเซ็นต์ที่ดี มักจะใช้ offsets , นิพจน์ปกติ , การแก้ไขแพ็คเก็ตขนาด และจุดหมายปลายทางที่เฉพาะเจาะจงมากของพอร์ตบ่อยกว่าปกติ นี้แสดงให้เห็นว่าแตกต่างจากวิธีการทั่วไปสำหรับการรักษารหัสลายเซ็นง่ายๆ ความซับซ้อน ในกรณีของการเขียนลายเซ็นคือคุณธรรม นอกจากนี้เราพบว่า มีความสัมพันธ์ที่แข็งแกร่งกับลายเซ็นที่แตกต่างกันมีประสิทธิผลดี ลายเซ็น คือ จำนวนของการตรวจสอบเหตุการณ์ที่ตรวจพบ . ตามนี้ เราแนะนำนิยายลายเซ็นคุณภาพตัวชี้วัดที่สามารถใช้โดยผู้เชี่ยวชาญด้านความปลอดภัยเพื่อประเมิน rulesets ใช้ได้ เน้นสร้างการแจ้งเตือน และอำนวยความสะดวกในกระบวนการนิติเวชวิเคราะห์ ในที่สุดเราใช้ของเรา
เมตริกกับลายเซ็น rulesets ที่ได้รับความนิยมมากที่สุด ได้แก่ กลุ่มทีมวิจัย , ภัยคุกคามเกิดใหม่ [ 1 ] , เลือดออกที่ขอบ [ 2 ] และศรี bothunter [ 3 ] rulesets
และเน้นความแตกต่างของ
การแปล กรุณารอสักครู่..
ภาษาอื่น ๆ
การสนับสนุนเครื่องมือแปลภาษา: กรีก, กันนาดา, กาลิเชียน, คลิงออน, คอร์สิกา, คาซัค, คาตาลัน, คินยารวันดา, คีร์กิซ, คุชราต, จอร์เจีย, จีน, จีนดั้งเดิม, ชวา, ชิเชวา, ซามัว, ซีบัวโน, ซุนดา, ซูลู, ญี่ปุ่น, ดัตช์, ตรวจหาภาษา, ตุรกี, ทมิฬ, ทาจิก, ทาทาร์, นอร์เวย์, บอสเนีย, บัลแกเรีย, บาสก์, ปัญจาป, ฝรั่งเศส, พาชตู, ฟริเชียน, ฟินแลนด์, ฟิลิปปินส์, ภาษาอินโดนีเซี, มองโกเลีย, มัลทีส, มาซีโดเนีย, มาราฐี, มาลากาซี, มาลายาลัม, มาเลย์, ม้ง, ยิดดิช, ยูเครน, รัสเซีย, ละติน, ลักเซมเบิร์ก, ลัตเวีย, ลาว, ลิทัวเนีย, สวาฮิลี, สวีเดน, สิงหล, สินธี, สเปน, สโลวัก, สโลวีเนีย, อังกฤษ, อัมฮาริก, อาร์เซอร์ไบจัน, อาร์เมเนีย, อาหรับ, อิกโบ, อิตาลี, อุยกูร์, อุสเบกิสถาน, อูรดู, ฮังการี, ฮัวซา, ฮาวาย, ฮินดี, ฮีบรู, เกลิกสกอต, เกาหลี, เขมร, เคิร์ด, เช็ก, เซอร์เบียน, เซโซโท, เดนมาร์ก, เตลูกู, เติร์กเมน, เนปาล, เบงกอล, เบลารุส, เปอร์เซีย, เมารี, เมียนมา (พม่า), เยอรมัน, เวลส์, เวียดนาม, เอสเปอแรนโต, เอสโทเนีย, เฮติครีโอล, แอฟริกา, แอลเบเนีย, โคซา, โครเอเชีย, โชนา, โซมาลี, โปรตุเกส, โปแลนด์, โยรูบา, โรมาเนีย, โอเดีย (โอริยา), ไทย, ไอซ์แลนด์, ไอร์แลนด์, การแปลภาษา.
- ฉันเป็นผู้หญิงแข็งแรงและอดทน
- Ask for the name and address of your com
- carry neural message away from the cell
- สวัสดี ตอนนี้ฉันทำงานธนาคารUOBในกรุงเทพ
- การสร้างกำไรให้กับธุรกิจ
- We would like to give you as much assist
- even
- ระยะทางที่ต้องเดินต่อเหลืออีกประมาณครึ่ง
- ข้าวห่อไข่
- ทำไมเร็วจัง้
- Pitch
- CLASSIC RECIPES
- ยิ้มได้
- สวัสดี ตอนนี้ฉันทำงานธนาคารUOBในกรุงเทพ
- สำหรับข้อมูลของคุณ
- You much to see this !!
- หลังจากซื้อของเล่น เธอก็มีของเล่นไปเข้าก
- Complex
- Yes go ahead
- take children to school
- หลังจากซื้อของเล่น เธอก็มีของเล่นไปเข้าก
- คุณ ถึง ที่หมาย ของคุณ หรือ ยังค่ะ
- รถบังคับ
- ลดการทิ้งขยะลงในคลอง
