检测工程师一贯提出优秀的规则和启发式方法来检测其环境中的恶意和异常行为;一个很好的例子就是密码喷洒。但由于我们不能拥有美好的东西,所以总是有软件或行为违反了检测的基本假设。这不会使规则无效,但它确实要求规则中内置异常。手动执行此操作既繁琐又耗时。当一条规则总是给出误报时,忽略该规则是自然的,也是可以理解的。但这是以规则检测到恶意内容为代价的。
在本次演讲中,我们将使用密码喷洒作为一个示例用例,展示如何通过使用机器学习使检测变得成熟。
加入我们的网络研讨会,“通过机器学习增强您的安全检测”,并学习:
- 如何采用数据驱动的方法进行检测开发
- 如何使检测成熟以检测日益复杂的攻击者
- 如何使用Splunk的机器学习工具包来理解行为
