时 间:2021-10-12 (Tue) 16:30
地 点:华严502会议室、钉钉远程
主 讲 人 : 郑延钦,陈松岳,赵奕翔,崔晨阳
会议秘书:郑延钦
题目:《MAD-GAN:Multivariate Anomaly Detection for Time Series Data with Generative Adversarial Networks》 分享类型:精讲论文 主讲人:郑延钦 简介:本文介绍了如何用生成对抗式网络对多维时间序列进行异常检测,与此同时也提供了两个多维数据集:SWAT和WADI,为后续异常检测的发展提供了有力的帮助 题目:《Model for Detection of Masquerade Attacks Based on Variable-Length Sequences》 分享类型:论文精讲 主讲人:陈松岳 简介:端点检测和响应(Endpoint Detection and Response,EDR)工具通过将系统事件与已知的对抗行为进行匹配,提供对复杂入侵的可见性。然而,目前的解决方案仍然面临着三个挑战: 1) EDR 工具产生大量的错误警报,为分析人员创建调查任务的积压; 2)由于大量的低级系统日志,确定这些威胁警报的真实性需要繁琐的手工劳动,造成了“大海捞针”的问题; 3)由于日志保留的巨大资源负担,在实践中,描述长期攻击活动的系统日志常常在调查开始之前被删除。本文引入了战术起源图(TPGs)的概念,它不对低级系统事件依赖关系进行编码,而是解释 EDR生成的威胁警报之间的因果依赖关系。TPGs 为分析人员提供多阶段攻击的紧凑可视化并加速了攻击检查。为了解决 以往EDR模型 的虚报问题,本文引入了一种威胁评分方法,该方法基于 TPG 中出现的单个威胁警报之间的时间顺序来评估风险。与保留大量的系统日志不同,我们维护了一个最低限度的骨架图,它可以提供现有和未来威胁警报之间的可关联性。我们在企业环境中使用赛门铁克 EDR 工具评估我们的系统 RapSheet。结果表明,我们的方法可以排名真正的恶意 TPGs 高于虚报 TPGs。此外,我们的骨架图降低了长期记录保持率的服务器负担 题目:《扫描器识别能力集成工作汇报》 分享类型:工作汇报 主讲人:赵奕翔 简介:网络扫描探测通常是发起网络入侵的第一步,攻击者可以利用扫描探测工具获取网络中的主机系统、TCP/UDP 端口的开放情况、子域名、网站指纹、WAF、CDN、中间件类别等重要信息,识别出存在安全漏洞的主机或系统,从而发起有针对性的网络入侵行为。此外,一些扫描工具同时具备漏洞利用的能力。因此,对网络扫描探测行为进行识别和研究,有利于及时发现网络攻击的前兆,发现网络攻击行为,快速定位网络服务中存在的漏洞,对网络安全防护工作十分有意义。报告主要内容包括:网络扫描探测及其识别方法介绍,扫描器指纹库的构建过程,扫描器识别能力的开发,项目总结与展望 题目:《FdGars: Fraudster Detection via Graph Convolutional Networks in Online App Review System》 分享类型:精讲论文 主讲人:崔晨阳 简介:在线评论系统使用户可以提交关于产品的评论。然而,互联网的开放性和众包任务的佣金奖励刺激了大量的欺诈性用户编写虚假评论和发布广告以干扰应用程序里的排序。现有的检测垃圾评论的方法是成功的,但它们通常是针对电子商务(如Amazon,eBay)和推荐(如Yelp,大众点评)系统。由于欺诈性用户的行为是复杂的,而且在不同的评论平台上是不同的,因此现有的方法并不普遍适合用于评论系统中的欺诈者检测。文中设计并提出了FdGars系统,这是第一个图卷积网络方法在评论系统欺诈者检测上的应用
|