今日,每个人都喜欢谈论机器网络安全学习使用几乎每个安全商家都以某种形式利用机器学习组织使用安全团队数据分析技巧实现威胁搜捕自动化可扩增有效机学习能力并覆盖大范围威胁真正需要什么?
多元数据集机器学习系统从观察中学习均衡表示各种行业、大小和地理定位客户遇到的恶意对系统提供综合覆盖至关重要
网络端点数据它们是检测网络威胁的两个常用点,两者都提供机器学习系统随时间学习所需的遥测技术将培训数据限为其中之一会降低检测效果和精度
组合机学习算法多重算法和算法类别并发远比单算法都有效并适应操作并发增强精度归因
频繁更新分类器新的威胁数据提供后,分类者应持续学习并适配完全新写恶意软件从零到零不会被从未接触新恶意软件样本属性的老分类器检测
智能特征工程基础应用机器学习特征工程需要大量集思广益、领域知识并广度测试 精确选择文件属性(或网络流)驱动精确预测
Cisco方法
Cisco处理恶意软件和威胁检测方法基于多种数据类型、机器学习算法和算法类别(受监督、不受监督、在线或半监督、图基)的组合帮助保护组织不受网络威胁(使用以威胁为中心防火墙、电子邮件和网络安全等工具)或端点级威胁(使用AMP端点)。与客户的这种密切联系和交互作用还导致全球威胁可见度和接触全球各种组织的大量恶意软件
我们总是尽我们所能自动阻塞大多数威胁,尽管有些新恶意样本有时可以穿透将回溯消除这些威胁回溯检测可能是Cisco后端应用多种不同分析技术的结果一种方法我们称之交叉解析前博客文章.通过连接网络和端点数据,跨行解析使我们能够提高检测效率安全团队提高生产率(以前必须搜捕的东西现在是自动化的),并可以把焦点转向创建新的搜捕和检测机制上。
随时间推移 机器学习能力推介 单个产品级进化 并组成实战架构全局风险地图网络分析管道,端点分析流水线交叉解析
Cisco机器学习架构
每一块都包含数组机器学习算法,这些算法专门面向给定域所有块可独立使用,但在并发时互为补充除单纯检测入侵外,目标是正确估计入侵相关风险并优先高效处理计分和建议动作在那里Cisco威胁响应并起重要作用,因为它允许客户从各种思科和3进行遥测华府即时党源想出适当的响应策略合并这些方法有助于提供最优覆盖,以对付各种攻击者
2018年新事物:静态文件分析
深入研究静态文件分析算法 最接近传统反病毒解决方案算法检验各种文件文物并分类为恶意或未知静态分析引擎利用地面实情使用机器学习技巧生成前瞻性保护我们努力为客户构建的东西 也可以描述成时间机 允许你主动分类文件
静态文件分类程序培训由Cisco云完成仔细审核以培训偏差并优化公平表示各种恶意家属和类别更具体地说,我们正在使用静态和动态恶意分析结果将恶意样本归结为特定恶意家庭分析可用以确保我们同时考虑低风险和高风险恶意家庭推送训练有素分类器提高各种威胁检测率我们不积极寻找最大范围恶意软件和合法文件培训,相反,我们的目标是均衡表示100 001全采样同一种多态恶意几乎没有增量值
静态文件分析算法供威胁网格云用户使用,作为帮助总体样本分析效果和威胁评分的指标之一静态文件分析不限样本提交源反之它分析提交威胁网格的每一便携式可执行二分分类器还检查二进制手工艺品
机器学习静态文件分析
非广度熟悉威胁网格,则该强平台作为Cisco样本分析后端,与安全组合中的大多数产品紧密结合行为指标作为其分析管道基础构件,该管道由静态分析与动态分析组成,使用“外向面向”(允许监控VM外部内核以对抗沙盒规避技术)行为指标显示为分析报表的一部分,当样本执行期间观察到特定行为时每一指标都配得相关评分得分越高,我们就越确信标注显示的具体行为或样本特定静态属性恶意性并发导分析期间所有指标都有助于最终威胁评分分配样本评分95或95以上样本自动标记AMP云架构中的恶意
机器学习模型识别可执行人工行为似恶意
新建机器学习静态分析能为思科客户提供什么?答案简单-提高AMP辅助装置和端点效率文件分析提交方式来自AMP启动设备(Endpoint、Web、Email或FireWa
初步评价约8.4M样本5天内提交威胁网格后,我们观察到约2%效率提高再拆小点我们看到约15800样本 被威胁网格判定有罪以ML为基础的静态分析分类器增加320个经确认为真正数的独特样本不仅帮助改善客户保护,还帮助解决整个安全组合覆盖空白
去哪儿下一步
深入了解端点AMPhttp://cisco.com/go/ampendpoint
深入了解威胁网格http://cisco.com/go/threatgrid
深入了解认知智能http://cisco.com/go/cognitive
参加Cisco直播巴塞罗纳赛事 加入我们8小时技术深入下潜 深入了解Cisco端点安全查找TECSEC-2599
连接CISCO