為應變大量資安事件,以及避免受到資安系統所產生的誤報影響,企業資安防禦策略逐漸由被動的阻擋機制,轉向為威脅獵捕等主動式防禦。本議程中,將帶領聽眾深入探討如何設計一套基於機器學習的威脅獵捕系統--Fuchikoma,利用 Fuchikoma 將調查過程的經驗自動化、快篩告警,並產生攻擊過程的前後脈絡資訊。透過本次議程,希望令聽眾了解如何應用機器學習技術建置威脅獵捕系統,並進一步協助分析人員快速找出及專注於高風險事件的分析;而除了自動分析,提供資訊給分析人員進行根因分析、自動標籤攻擊上下文,對分析人員的工作亦可產生相當大的助益。
在本議程中,將以處理 Event Log 中的 Process Creation 為例。首先,Fuchikoma 利用Analysis-unit Builder 彙整所有 Event Log 資訊並轉換成分析單元 (Analysis Units),上述分析單元包含了 Children Process 及 Parent Process 等上下文相關資訊,而透過圖學的群落結構分析 (Community Detection),能夠找出相關連的分析單元,進一步結合異常偵測來找出異常項目;於此同時,也整合原有的偵測規則,將 MITRE ATT&CK 攻擊手法進行標註。最後,對於高風險的結構,利用 Topic Model 來提供分析人員額外的分析資訊。議程內容中我們將深入探討各個模組,並分享其實驗成果。
CK 現任奧義資深研究員,專注於資安技術研究,包含:APT 調查、惡意程式分析、數位鑑識等。他在許多技術會議皆有發表過技術文章,包含:BlackHat, HITCON, HITB, RootCon, CodeBlue, FIRST and VXCON。並在資安社群 HITCON、chroot 也相當積極,並投入許多資安教育相關活動。