安全运营之路 - 威胁检测模型

此处整理一些需要威胁检测模型。威胁检测提供威胁狩猎的“原料”,数据的检测质量、效率很大程度上会影响威胁狩猎的深度(检测的精确率)和广度(检测的覆盖率)。

协议、证书相关异常检测

  • https证书相关异常检测

    常规Web漏洞检测模型

  • SQL Injection漏洞检测

  • Weblogic漏洞检测
  • XSS漏洞检测

  • ..

    远程控制检测模型

  • Shellcode检测模型

  • Webshell检测模型
  • 未知木马远控检测

  • 未知后门植入检测

    行为检测相关模型

  • 内网横向渗透检测

  • 高隐蔽扫描行为检测

    文件检测相关模型

  • 沙箱检测

    • 静态沙箱检测
    • 动态沙箱检测
      • 虚拟执行
      • ..

        僵尸网络相关模型

  • DGA随机域名生成检测模型

  • fast-flux相关检测

    钓鱼行为检测

  • 域名阴影检测

    隐蔽能力相关模型

  • DNS隐蔽信道检测

  • ICMP隐蔽隧道检测

    威胁情报相关模型

  • 威胁情报的大数据碰撞模型

    机器学习相关模型

  • 深度学习算法自学习检测模型

    邮件相关模型

  • 钓鱼邮件发现

    • 涉及到沙箱检测
  • 邮件异常水印检测
  • 邮箱爆破、撞库检测
  • 邮箱异常登入检测
    • 涉及到风控规则

  • 邮箱异常同步、转发的检测

    数据库异常相关检测

  • 数据库异常访问检测