CS 259D Continuous Authentication for Mouse Dynamics: A Pattern-Growth Approach

作者:Leo

  • 背景知识
  • 论文目标和贡献
  • 数据(鼠标行为数据)
    • 数据来源
    • 鼠标行为分析
    • 鼠标行为模式挖掘
      • 标记定义
      • 数据挖掘方法
      • 行为模式参考的生成与匹配
      • 行为模式分析
  • 特征
    • 从挖掘到的模式中构造特征
    • 特征实例研究
  • 实施检测
  • 局限性
  • 参考资料

继续阅读“CS 259D Continuous Authentication for Mouse Dynamics: A Pattern-Growth Approach”

CS 259D An Examination of User Behavior for Re-Authentication

作者:Leo

  • 背景信息和启发
    • 再认证
    • 生物行为信息 (再)认证
  • 用户再认证系统的目标
  • 多模态数据分析
  • 样本采集
    • 数据集 I
    • 数据集 II
    • 数据集 III
  • 数据处理和特征提取
    • 鼠标
      • 鼠标数据
      • 鼠标数据层次结构
      • 鼠标数据特征
    • 按键
      • 按键数据
      • 按键特征层次结构
      • 按键数据特征
    • GUI
      • GUI 数据
      • GUI 特征层次结构
      • GUI 数据特征
    • 特征空间总结
  • 实施方案
  • 实验
  • 参考资料

大多数事故(83%)属于祸起萧墙,且发生在工作时间。

几乎所有的银行金融业发生法的内部事故都会使机构蒙受经济损失: 30%的案件财务损失超过了50万美元。 许多机构的诸多方面都受到了损害。

美国特勤局国家威胁评估中心(NTAC),内部威胁研究(2004)

继续阅读“CS 259D An Examination of User Behavior for Re-Authentication”

CS 259D 内部威胁

作者:Leo

  • 案例
  • 两类攻击者
  • 启发
  • 内部攻击
    • 攻击的形式
    • 内部攻击的特点
  • 检测方法
  • 参考资料

尽管每年都有些不同,但内部的事故和外部的总是差不多。不过,得到的教训却很简单:机构必须预防来自各个方面的攻击。

CSI/FBI 计算机犯罪与安全调查 2005

继续阅读“CS 259D 内部威胁”

CS 259D 僵尸网络 EXPOSURE: Finding Malicious Domains Using Passive DNS Analysis

作者:Leo

文中图表均引用于 CS259D 课程,版权由 CS259D 所有。

  • 背景知识与启发
  • 论文目标与贡献
  • EXPOSURE 概述
  • 收集训练数据
  • 特征
    • 基于时间的特征
      • 变化点检测(Change Point Detection, CPD)
      • 检测每日近似行为
    • 基于 DNS 应答的特征
    • 基于 TTL 的特征
    • 基于域名的特征
  • 训练
    • 分类器
      • C4.5 决策树算法
  • 评价
  • 局限 (逃避检测)
  • 参考资料

继续阅读“CS 259D 僵尸网络 EXPOSURE: Finding Malicious Domains Using Passive DNS Analysis”

CS 259D 僵尸网络 BotMiner: Clustering Analysis of Network Traffic for Protocol- and Structure-Independent Botnet Detection

作者:Leo

文中图表均引用于 CS259D 课程,版权由 CS259D 所有。

  • 背景知识和启发
  • 论文目标与贡献
  • BotMiner
    • C平面监视器
    • A平面监视器
    • C平面聚类
    • A平面聚类
    • 跨平面关联
  • 局限和可能的解决方案
  • 参考资料

继续阅读“CS 259D 僵尸网络 BotMiner: Clustering Analysis of Network Traffic for Protocol- and Structure-Independent Botnet Detection”

CS 259D 僵尸网络 BotFinder: Finding Bots in Network Traffic Without Deep Packet Inspection

作者:Leo

  • 背景知识与启发
  • 论文目标与贡献
  • 数据来源
  • BotFinder
    • 符号定义
    • 输入数据处理
    • 流量重组
    • Trace 提取
    • 统计特征分析
    • 模型创建(训练)
    • 恶意软件检测
  • 僵尸机器人演进
    • 僵尸网络的策略
    • 僵尸网络的成本
    • BotFinder 检测失败的可能原因
  • 参考资料

继续阅读“CS 259D 僵尸网络 BotFinder: Finding Bots in Network Traffic Without Deep Packet Inspection”

CS 259D 僵尸网络 介绍

作者:Leo

  • 简介
  • 起源
  • 僵尸网络的组件
  • 僵尸网络生命周期
  • 僵尸网络C&C拓扑结构
    • 星型结构
    • 多服务器结构
    • 分层结构
    • 随机结构
  • 召集机制
    • IP 地址硬编码
    • 动态DNS
    • 分布式的DNS
    • Fluxing
    • IP Flux (Fast-Flux)
    • 域名 Flux
  • 盲代理重定向
  • 通信协议
    • IRC 协议
    • HTTP 协议
  • 可观测到的行为
    • 基于网络的的行为
    • 基于主机的行为
    • 全局相关的特征
  • 逃避检测与僵尸网络检测的挑战
  • 参考资料

继续阅读“CS 259D 僵尸网络 介绍”