当前位置:主页 > 技术文章 >

技术文章

Technical articles

通过社交媒体中的内容举行网络宁静事件检测

时间:2021-02-01 05:19 点击次数:
  本文摘要:开源数据中有许多与威胁有关的信息。今后类信息中尽早发现新兴宁静威胁是已部署软件和系统宁静的重要组成部门。 只管已经存在几种网络宁静事件检测方法来从开放数据源中的非结构化文本中提取宁静事件,可是大多数现有方法都集中于检测大量提及的事件。相反,为了比攻击者更快地做出响应,无论事件被提及几多次,宁静分析人员和IT运营商都需要尽早意识到关键的宁静事件。

华体会官网

开源数据中有许多与威胁有关的信息。今后类信息中尽早发现新兴宁静威胁是已部署软件和系统宁静的重要组成部门。

只管已经存在几种网络宁静事件检测方法来从开放数据源中的非结构化文本中提取宁静事件,可是大多数现有方法都集中于检测大量提及的事件。相反,为了比攻击者更快地做出响应,无论事件被提及几多次,宁静分析人员和IT运营商都需要尽早意识到关键的宁静事件。

在本文中提出了一种新颖的宁静事件检测系统W2E(https://github.com/Samsung/W2E ),该系统可以快速地从Twitter识别关键的宁静事件,例如新威胁或相关攻击的再次泛起。与现有方法差别,该方法通过监视新单词和重新泛起单词来触发事件,从而在数百个事件中缩小候选事件的规模。然后,它通过将与触发词链接的推文聚类来形成事件。这种方法使宁静人员能够尽早发现新的威胁。

0x01 Introduction随着云盘算,物联网(IoT),人工智能(AI)和5G等新技术在数字市场中被接纳,网络宁静的攻击面在不停扩大。凭据赛门铁克的《互联网宁静威胁陈诉》,不仅网络威胁的数量每年都在增加,而且威胁的态势也变得越发多样化,因此越来越多的威胁来自新的和意外的泉源。为了减轻不停增加的网络威胁带来的风险,组织必须尽早感知正在举行的网络宁静事件,并分析检测到的事件对其产物,服务和基础架构的潜在影响,这一点很重要。

与宁静威胁,毛病和攻击有关的许多信息天天都市在种种非正式泉源(例如社交媒体平台,博客和开发者论坛)上公布,这使得人工分析人员险些不行能手动检察和评估其与他/她的组织。因此,用于自动事件检测和从开放数据源生成警报的技术已引起研究社区和行业的极大关注。

社交媒体是一种有效的方式,可以不停地通知新兴的网络宁静威胁。在其他方面,Twitter是收集数量和多样性方面与威胁相关的信息的最有用的资源。

从小我私家宁静专家,主流新闻到宁静公司,种种差别的宁静利益相关者团体,拥有Twitter帐户,并使用Twitter作为信息流传的泉源。这些帐户公布的推文从宁静通告,产物促销,新毛病发现到共享最新网络宁静事件(如勒索软件攻击,DDoS攻击和数据泄露)不等。在许多应用领域中,多个用户在Twitter上提到的事件很是重要,例如,自然灾害检测或突发新闻检测。

因此,已经设计了许多事件检测算法来检测许多人提到的事件。可是,在宁静领域,事件开始时的提及次数可能与事件的重要性不成正比。许多网络宁静事件开始时只有很少的用户讨论,直到对其影响举行分析之前尚不清楚。

此类事件需要几天的时间才气提及。例如,@tencent_blade和@Nicky_Wu在其第一天(2018年12月11日)仅提及两次Magellan毛病(一种SQLite远程执行毛病),而在2018年12月14日仅提及了不到5次。2018年12月15日,该数字的提及凌驾70。

华体会官网

此外,新的Android恶意软件Mys terybot由@ThreatFabric于2018年6月7日首次公布,但直到其分析陈诉公布后6天才引起关注。分析陈诉公布后的一天,公布了100多条推文。此类事件无法通过需要大量提及的事件检测算法在其早期阶段举行检测。

从宁静角度来看,及早发现被提及的新的网络威胁或事件的早期识别对于预防网络攻击具有重要作用。因此在本文中,着重于检测大量日常宁静事件中的新威胁和重复威胁。本研究提出了一种新颖的事件检测系统W2E(Words to Events),该系统可以在早期阶段以低误报率和高事件检测笼罩率来感知新的和重现的网络威胁。W2E通过接纳单词级事件监视而不是语义聚类方法来实现此目的。

在种种类型的单词中,W2E会识别新单词和重新泛起的单词,以发现新的和再起的网络威胁。将新单词界说为事件检测之前未看到的单词,它们可能与新的宁静事件(例如新的恶意软件和新的毛病)相关联,可以检测没有新术语的新宁静事件。

重新泛起的单词被界说为在事件检测之前至少泛起一次,但在检测时其频率显着上升的单词。它们很可能代表与以前的受害者或以前的威胁(如众所周知的恶意软件和毛病)相关的宁静事件。重新泛起的词包罗公司名称(如“ google”),产物名称(如“ android”或“ iphone”),恶意软件名称(如“ mirai”),毛病名称(如“ heartbleed”)和技术(如“ wpa2”)。

使用重新泛起的单词可以检测到较早发生的宁静事件,但这发生了新问题。识别新单词和重新泛起的单词后,W2E使用聚类算法合并或拆分按检测到的单词分组的推文以形成事件。W2E是单词级此外事件监视法式,因此如果没有适当的文本处置惩罚,它可能会遇到性能问题。例如,监视单词而不管其词性(名词,动词,形容词等)或词尾变化,都市导致过多的误报。

W2E接纳了许多自然语言处置惩罚(NLP)技术,例如词性(POS)标志,词形化和命名实体识别(NER),以尽可能淘汰误报。此外,W2E通过限制与选定Twitter用户的数据收集,大大淘汰了误报。凭据真实Twitter数据得出的评估效果讲明,W2E可以通过恶意软件,毛病使用法式,恶意软件,毛病使用法式,垃圾邮件,垃圾邮件,垃圾邮件,垃圾邮件,垃圾邮件,垃圾邮件,垃圾邮件,垃圾邮件,垃圾邮件,垃圾邮件,垃圾邮件,毛病,DDoS攻击和数据泄露事件。(第5节)0x02 Twitter as a Data Source有许多与威胁有关的信息提要,理想情况下,监视所有数据源对于早期事件检测是最好的。

可是,没有适。


本文关键词:通过,社交,媒体,中的,内容,举行,华体会官网,网络,宁静

本文来源:华体会-www.168668668.com

Copyright © 2008-2021 www.168668668.com. 华体会科技 版权所有 备案号:ICP备39899047号-6

在线客服 联系方式 二维码

服务热线

082-923125764

扫一扫,关注我们